Le 30/07/2025

L’application de l’IA Act continue, de manière progressive, avec une nouvelle étape au 02 août 2025. 

Rappels :

Le Règlement (UE) 2024/1689 du 13 juin 2024, dit « IA Act », établit des règles harmonisées concernant l’intelligence artificielle (IA). Ce règlement est entré en vigueur le 2 août 2024, et une application progressive de ses différentes dispositions a été prévue.

Ainsi, en février 2025 entraient en vigueur les dispositions concernant les systèmes d’IA présentant un risque jugé inacceptable. Il s’agit par exemple des systèmes :

• De manipulation des décisions d’une personne ou d’un groupe de personnes ;
• D’exploitation de la situation de vulnérabilité de certaines personnes (âge, handicap, situation sociale ou économique) ;
• D’évaluation, de classification et/ou de notation sociale ;
• D’évaluation de la probabilité qu’une personne déterminée commette une infraction, sur la seule base du profilage ou des traits de personnalité de cette personne ;
• De reconnaissance faciale par extraction non-ciblée d’images sur internet ou via la vidéosurveillance ;
• D’identification des émotions sur le lieu de travail et dans les établissements d’enseignement, sauf raisons médicales ou de sécurité ;
• Catégorisation des personnes sur la base de données biométriques afin d’identifier des attributs sensibles (race, opinions politiques, convictions religieuses ou philosophiques, vie ou orientation sexuelle, …) ;
• D’identification biométrique en temps réel dans les espaces publics à des fins répressives (sauf recherche de personnes disparues, de suspects ou de victimes de certains crimes et de prévention d’atteinte à la vie et de menace terroriste).

Au 2 août 2025, de nouvelles dispositions sont applicables :

La mise en application de l’IA Act se poursuit, avec l’entrée en vigueur de nouvelles dispositions, relatives :

• Aux modèles d’IA à usage général ;
• Aux organismes notifiés ;
• A la gouvernance ;
• A la confidentialité ;
• Aux sanctions.

1. Les modèles d’IA à usage général

L’IA Act prévoit, en son chapitre V, des dispositions spécifiques pour les IA à usage général (GPAI).

Les GPAI désignent des modèles d’IA faisant preuve d’une grande généralité et capables d’exécuter avec compétence un large éventail de tâches distinctes.

Concernant ces GPAI, les fournisseurs de ces modèles ont désormais l’obligation de mettre en place :

• Une documentation technique précisant notamment le processus d’entrainement et d’essai du modèle ainsi que le résultat de son évaluation ;
• Une documentation à l’intention des fournisseurs de systèmes d’IA envisageant d’intégrer le modèle dans leurs systèmes d’IA, afin de préciser notamment les capacités et les limites du modèle ;
• Une politique de conformité en matière de droit d’auteur;
• Un « résumé suffisamment détaillé » du contenu utilisé pour entrainer le modèle.

L’IA Act prévoit l’adoption de codes de bonnes pratiques (art. 56), qui doivent notamment préciser le niveau de détail attendu pour ce « résumé suffisamment détaillé ». Un premier code a été publié le 10 juillet 2025[1]. En parallèle, au niveau national, le Conseil supérieur de la Propriété Littéraire et Artistique (CSPLA) a publié un rapport précisant la portée de l’obligation de transparence mise à la charge des fournisseurs de GPAI et proposant un modèle de « résumé suffisamment détaillé » du contenu utilisé pour entraîner les GPAI[2]. 

Par ailleurs, lorsque le modèle GPAI présente un risque systémique, d’autres obligations s’ajoutent aux précédentes (art. 55) :

• Evaluer les modèles, notamment en conduisant et documentant des essais contradictoires pour identifier et atténuer les risques systémiques ;
• Evaluer et atténuer les risques systématiques éventuels au niveau de l’Union ;
• Repérer, documenter et signaler les incidents graves aux autorités nationales et européennes compétentes ;
• Assurer un niveau adéquat de protection en matière de cybersécurité.

Bien que progressif, le calendrier d’application de l’IA Act ne fait pas l’unanimité :

Un collectif de 45 grandes entreprises européennes (Airbus®, Axa®, Total Energies®, BNP Paribas®, Carrefour®, Mistral AI®, Dassault Systèmes®, …) a adressé une lettre ouverte à la Commission européenne pour solliciter une « pause » de 2 ans dans l’application de l’IA Act[3].

Les membres de ce comité estiment que les règlementations actuelles sont floues, complexes et entremêlées. Ils souhaiteraient que l’application de certaines dispositions soit repoussée jusqu’à ce que des standards techniques et des guides de mise en conformité soient disponibles.

Toutefois, la Commission a refusé cette demande et maintien le calendrier de mise en œuvre de l’IA Act, tel que prévu initialement par elle[4].

2. Les autorités notifiantes et organismes notifiés

Les dispositions relatives aux organismes notifiés (chap. III, section 4) entrent également en application.

Les États membres doivent désigner les « autorités notifiantes », chargées de mettre en place les procédures de désignation des « organismes notifiés ». 

Les autorités notifiantes sont chargées de :

• Recevoir et évaluer les demandes de notification des différents organismes d’évaluation souhaitant devenir des organismes notifiés ;
• Contrôler la conformité de ces organismes aux exigences de l’IA Act (indépendance, objectivité, impartialité, structure organisationnelle, confidentialité, compétence …)
• Gérer le processus de notification officielle.

Les organismes notifiés sont, quant à eux, chargés de :

• Recevoir la documentation fournie par certains acteurs, en particulier les fournisseurs de systèmes d’IA à haut risque ;
• D’évaluer et de contrôler la conformité de ces systèmes d’IA avec l’IA Act ;
• De délivrer des certificats de conformité pour ces systèmes d’IA.

Les autorités notifiantes françaises n’ont, à ce jour, pas encore été désignées (au 30/07/2025, jour de la publication du présent article).

3. La gouvernance

Le chapitre VII de l’IA Act prévoit une gouvernance à deux niveaux : au niveau européen et au niveau national.

Au niveau européen, une application cohérente de l’IA Act sur tout le territoire est recherchée par la mise en place des organes suivants :

• Le Bureau de l’IA (ou Office de l’IA): il fait partie de la Commission et a vocation à favoriser le développement et l’utilisation d’une IA digne de confiance ainsi que la coordination et la coopération internationales, en particulier concernant les GPAI.
• Le Comité européen de l’IA: il s’agit d’un organe consultatif composé d’un représentant de chaque Etat membre disposant de compétences et pouvoirs pertinents pour contribuer aux tâches du Comité. Son rôle est de conseiller et d’assister la Commission et les Etats membres pour une application cohérente et efficace de l’IA Act.
• Le Forum consultatif: il apporte une expertise technique au Comité IA et à la Commission et contribue à l’accomplissement de leurs missions. Ses membres sont nommés par la Commission et doivent représenter de manière équilibrée les parties prenantes (jeunes pousses, PME, société civile, monde universitaire, etc.).
• Le groupe scientifique : Ce groupe est composé d’experts indépendants, sélectionnés par la Commission. Il soutient le Bureau de l’IA et assure la mise en œuvre et le contrôle de l’application de l’IA Act, en particulier en ce qui concerne les modèles et systèmes de GPAI.

Au niveau national, les Etats membres doivent désigner :

• Des autorités compétentes: Elles désignent les autorités notifiantes et les autorités de surveillance du marché mises en place au niveau national (au moins une autorité de chaque type doit être désignée) et chargée de contrôler l’application et la mise en œuvre de l’IA Act. Les tâches de chacune de ces autorités sont déterminées et communiquées à la Commission par les Etats membres.
• Un point de contact unique: une autorité de surveillance du marché doit être désignée au niveau national afin de servir de point de contact unique avec le public et avec les homologues au niveau des autres Etat membres et de l’Union européenne.

Le point de contact unique en France n’a, à ce jour, pas encore été désingé (au 30/07/2025, jour de la publication du présent article).

4. La confidentialité

Conformément à l’article 78 de l’IA Act, toute personne associée à l’application du règlement (Commission, autorités de surveillance du marché, organismes notifiés, …) préserve la confidentialité des informations obtenues dans l’exécution de leurs missions. Sont notamment concernées les informations couvertes par la confidentialité, les secrets d’affaires, le secret de la défense nationale, ou protégées par des droits de propriété intellectuelle.

Cette confidentialité ne fait pas obstacle à l’échange d’informations entre les organismes notifiés, les autorités compétentes et la Commission, dans le respect de l’IA Act.

5. Les sanctions

En application des article 99 et 100 de l’IA Act, les Etats membres doivent prévoir un régime de sanctions effectives, proportionnées et dissuasives applicable en cas de violation de l’IA Act. Ces sanctions prennent notamment la forme d’amendes administratives allant jusqu’à :

• 35 millions d’euros ou 7% du chiffre d’affaires annuel mondial en cas de violation des dispositions sur les IA à risque inacceptable ou en cas de non-respect de certaines obligations essentielles
• 15 millions d’euros ou 3% du chiffre d’affaires annuel mondial en cas de non-respect de la plupart des autres obligations issues de l’IA Act ;
• 7,5 millions d’euros ou 1% du chiffre d’affaires annuel mondial en cas de fausses déclarations ou de non-coopération avec les autorités compétentes et organismes notifiés.

Nous sommes à votre disposition pour toutes questions ou assistance dans le domaine de l’intelligence artificielle.

[1] https://digital-strategy.ec.europa.eu/fr/policies/contents-code-gpai 

[2] IA et Transparence des données d’entrainement : publication du rapport d’Alexandra Bensamoun sur la mise en œuvre du règlement européen établissant… | Ministère de la Culture

[3] Voir not. IA : 45 entreprises européennes demandent une « pause » dans l’application de l’AI Act 

[4] Voir not. Règlement sur l’IA : Bruxelles tente d’avancer, malgré les vents contraires.