Alain Rees · 11-07-2026 · 15 min leestijd
Le règlement sur l'IA, communément appelé AI Act, est la première loi européenne de portée générale à fixer des règles pour le développement et l'utilisation de l'intelligence artificielle. Le règlement fonctionne par niveaux de risque : plus le risque qu'un système d'IA fait peser sur les personnes et leurs droits est élevé, plus les exigences sont lourdes. Cet article explique ce que recouvre le règlement sur l'IA, quelles obligations correspondent à quel niveau de risque, quel rôle joue votre organisation et comment vous conformer de façon démontrable sans vous perdre dans une prolifération de documents épars.
En bref
- Le règlement sur l'IA répartit les systèmes d'IA en quatre niveaux de risque : inacceptable, élevé, limité et minimal.
- Les systèmes à risque inacceptable sont interdits, et les systèmes à risque élevé sont soumis à des exigences lourdes.
- Contrairement à une directive, un règlement s'applique directement, de sorte que vous n'avez aucune loi nationale à attendre.
- Vos obligations dépendent de votre rôle de fournisseur ou de déployeur.
- La base de la conformité est de savoir quelle IA vous utilisez : commencez donc par un registre de vos systèmes d'IA.
- La conformité coïncide avec les quatre phases du modèle Kantyra : détecter, évaluer, traiter et démontrer.
Le règlement sur l'IA (règlement (UE) 2024/1689) est une législation européenne qui fixe des règles communes pour l'intelligence artificielle dans toute l'Union européenne. Son objectif est double. D'une part, la loi protège les droits fondamentaux, la santé et la sécurité des personnes ; d'autre part, elle laisse une place à l'innovation et à des conditions de concurrence équitables sur le marché intérieur.
Le cœur de la loi est une approche fondée sur le risque. Le règlement ne s'intéresse pas à la technique en tant que telle, mais à ce qu'un système d'IA fait concrètement et au risque que cela engendre. Vous connaissez ce même modèle d'autres textes européens. Vous déterminez d'abord le degré de risque, puis vous adaptez les exigences en conséquence.
C'est une distinction importante qui prête souvent à confusion. Contrairement à la directive NIS2 (directive (UE) 2022/2555), qui devait d'abord être transposée en droit national – en France sous l'autorité de l'ANSSI, et en Belgique par la loi du 26 avril 2024, en vigueur depuis le 18 octobre 2024 sous l'autorité du CCB –, le règlement sur l'IA s'applique directement dans tous les États membres. Il n'y aura donc pas de loi nationale distincte sur l'IA que vous appliqueriez à la place du règlement. Les obligations s'appliquent directement, et vous n'avez pas à attendre une transposition nationale avant de vous mettre au travail.
Ce qui est réglé au niveau national, c'est la surveillance. Chaque État membre désigne ses propres autorités notifiantes et autorités de surveillance du marché, et pour certaines catégories d'IA à haut risque le règlement renvoie à l'autorité nationale de protection des données. La répartition précise des compétences et la pratique de contrôle se dessinent encore, vérifiez donc l'état actuel auprès des autorités compétentes de votre pays.
Le règlement sur l'IA répartit les systèmes d'IA en quatre niveaux, chacun avec son propre régime.
Au niveau du risque inacceptable se trouvent les pratiques interdites. Pensez aux systèmes qui manipulent les personnes de manière préjudiciable, à l'attribution de notations sociales par les autorités publiques, et à certaines formes de reconnaissance biométrique. Vous ne pouvez ni mettre ces systèmes sur le marché ni les utiliser.
Au niveau du risque élevé se trouvent les systèmes susceptibles d'avoir des conséquences importantes pour les personnes. Ce sont par exemple les systèmes d'IA utilisés dans le recrutement et la sélection, dans l'accès à l'éducation, dans les services essentiels, dans les infrastructures critiques ou dans le contexte du maintien de l'ordre. L'IA qui fait office de composant de sécurité dans un produit réglementé relève également de ce niveau. Les exigences les plus lourdes s'appliquent à ces systèmes.
Au niveau du risque limité, ce sont surtout des obligations de transparence qui s'appliquent. Si vous utilisez un chatbot, faites en sorte que votre système indique clairement que la personne parle à une machine. Si vous générez ou modifiez des images, du son ou du texte, ce contenu doit être reconnaissable comme généré artificiellement.
Au niveau du risque minimal se range la très grande majorité de l'IA, comme les filtres antispam ou les recommandations d'une boutique en ligne. Le règlement n'impose ici aucune obligation particulière, même si un usage responsable reste bien sûr toujours judicieux.
Outre ces quatre niveaux, le règlement prévoit des règles distinctes pour les modèles d'IA à usage général, comme les grands modèles de langage. Ces modèles sont soumis à leurs propres obligations en matière de documentation et de transparence, et les modèles les plus puissants font l'objet d'exigences supplémentaires.
Vos obligations dépendent fortement de votre rôle. Le règlement en distingue plusieurs, mais pour la plupart des organisations, deux comptent.
Un fournisseur développe un système d'IA ou le fait mettre sur le marché sous son propre nom. Les fournisseurs de systèmes à haut risque portent le plus d'obligations, comme la mise en place d'un système de gestion des risques, la constitution de la documentation technique et la réalisation d'une évaluation de la conformité.
Un déployeur utilise un système d'IA pour ses propres besoins. La plupart des organisations relèvent de cette catégorie, par exemple lorsque vous achetez un système clé en main pour le recrutement ou pour le contact client. Les déployeurs ont eux aussi des obligations. Vous devez utiliser le système conformément aux instructions, organiser une surveillance humaine et, pour les systèmes à haut risque, en surveiller le fonctionnement.
Notez que vous pouvez passer de déployeur à fournisseur. Si vous modifiez substantiellement un système à haut risque, ou si vous le commercialisez sous votre propre marque, les obligations plus lourdes d'un fournisseur s'appliquent soudainement.
Le règlement sur l'IA est entré en vigueur le 1er août 2024, mais les obligations deviennent applicables par étapes. Les grandes lignes du calendrier légal sont les suivantes :
Cet échelonnement est fixé dans le règlement, mais les dates précises et les détails de mise en œuvre peuvent avoir été ajustés par des modifications ultérieures. Vérifiez donc l'état actuel avant de vous fier à une date précise.
Si l'un de vos systèmes relève de la catégorie du risque élevé, la barre est haute. Les principales exigences qui l'accompagnent sont les suivantes :
Beaucoup de ces exigences ressemblent à ce que vous faites déjà en matière de sécurité de l'information et de gestion des risques. C'est précisément le point d'ancrage pour ne pas traiter le règlement sur l'IA comme un chantier isolé.
Une obligation facile à négliger est celle relative à la maîtrise de l'IA. Les fournisseurs comme les déployeurs doivent veiller à ce que leur personnel dispose de connaissances suffisantes en IA pour utiliser les systèmes de manière responsable. Ce qui est suffisant dépend du rôle du collaborateur et du risque du système. Pour beaucoup d'organisations, cela signifie mettre en place de façon structurelle une sensibilisation et une formation ciblée autour de l'IA, et consigner qui a acquis quelles connaissances.
C'est ici que se situe l'étape que beaucoup d'organisations sautent. Vous ne pouvez pas vous conformer au règlement sur l'IA si vous ne savez pas quelle IA vous utilisez réellement. La base de tout est donc un registre de vos systèmes d'IA, c'est-à-dire un aperçu à jour de chaque système que vous développez ou déployez.
Pour chaque système, vous consignez ce qu'il fait, qui en est le fournisseur, dans quel rôle vous intervenez, dans quel niveau de risque il se situe et comment la surveillance humaine est organisée. Ce registre est à la fois votre point de départ et votre preuve. Il montre que vous ne connaissez pas seulement le règlement, mais que vous le maîtrisez. Dans Kantyra, ce registre est le cœur du module IA : chaque système a un propriétaire, un statut et une catégorie de risque, et vous le reliez au fournisseur, à l'actif et, s'il traite des données à caractère personnel, au traitement dans le registre des traitements.
Vous ne déterminez pas la catégorie de risque au jugé. Dans Kantyra, chaque système passe par une classification du risque IA : un questionnaire fixe suivant le règlement, de votre rôle et des pratiques interdites au risque élevé, aux obligations de transparence et à la maîtrise de l'IA, avec un tour de revue selon le principe des quatre yeux. Vous reportez le résultat comme catégorie dans le registre. Les obligations elles-mêmes figurent comme référentiel règlement sur l'IA dans le registre de conformité, avec un statut, un propriétaire et la preuve pour chaque exigence, à côté des référentiels pour NIS2 et le RGPD. Ainsi, le règlement sur l'IA s'intègre à votre processus de conformité existant au lieu de devenir un chantier distinct.
Depuis ce registre, les lignes rejoignent votre maîtrise existante. L'évaluation des risques d'un système à haut risque se raccorde à votre sécurité de l'information et gestion des risques (ISMS). Les exigences relatives à la documentation, à la surveillance humaine et à la sécurité, vous les traduisez en mesures que vous pilotez comme vos autres mesures de sécurité. Il existe désormais aussi une norme qui soutient cette démarche : l'ISO/IEC 42001, la norme pour un système de management de l'intelligence artificielle. Elle est à l'IA ce que l'ISO 27001 est à la sécurité de l'information. Dans Kantyra, l'ISO/IEC 42001 figure comme référentiel dans le registre de conformité, à côté du référentiel du règlement sur l'IA lui-même, de sorte que vous couvrez la norme et la loi avec les mêmes mesures et les mêmes preuves.
Comme la gestion des risques et le management de la conformité, la conformité au règlement sur l'IA ne peut se réduire à une seule phase du modèle Kantyra : c'est le cycle du modèle, appliqué aux systèmes d'IA.
Cela commence par détecter : savoir quelle IA vous utilisez, repérer les nouveaux systèmes et les modifications substantielles, et enregistrer les incidents impliquant l'IA. Vient ensuite évaluer : la classification du risque par système, du rôle et des pratiques interdites jusqu'au risque élevé et à la transparence. Dans la phase traiter, vous remplissez les obligations qui découlent de la catégorie : surveillance humaine, transparence, documentation et maîtrise de l'IA. Et dans la phase démontrer, le registre IA et la preuve par exigence du référentiel forment ensemble le dossier destiné à l'autorité de contrôle et à l'auditeur.
Le point de départ revêt ici une importance particulière. En sécurité de l'information, une organisation sait généralement ce qui tourne ; pour l'IA, c'est rarement le cas, car l'IA arrive aussi par les logiciels existants, par les fournisseurs et par les collaborateurs qui choisissent eux-mêmes leurs outils. C'est justement pourquoi la conformité au règlement sur l'IA commence tout en bas du modèle, par la détection.
Vous pouvez tenir votre registre des systèmes d'IA et les évaluations de risques associées dans des fichiers épars, et comme point de départ, c'est défendable. Mais à mesure que le nombre de systèmes d'IA augmente et que l'autorité de contrôle exige une démonstrabilité, vous vous heurtez aux mêmes limites que dans tout autre chantier de conformité. Les fichiers épars finissent par se désynchroniser, et il vous manque la vue d'ensemble et l'historique dont vous avez besoin.
Dans une plateforme GRC, vous gérez le registre des systèmes d'IA, la classification du risque et les mesures sous forme d'aperçus reliés au sein d'un environnement unique. Chaque système a un propriétaire, un statut et une catégorie de risque, et le lien avec votre sécurité de l'information évite de faire deux fois le même travail.
Avec Kantyra, vous gérez le règlement sur l'IA dans le même environnement que votre ISMS. Que vous voyiez le règlement comme une obligation isolée ou comme une extension de votre maîtrise existante, vos systèmes d'IA, vos risques et vos mesures se rejoignent en un seul endroit. Vous rendez ainsi la maîtrise de vos systèmes d'IA aussi démontrable que votre sécurité de l'information.
Le règlement sur l'IA est-il la même chose que le RGPD ? Non. Le RGPD porte sur la protection des données à caractère personnel, tandis que le règlement sur l'IA porte sur les risques des systèmes d'IA. Ils se complètent. Un système d'IA qui traite des données à caractère personnel doit respecter les deux.
Dois-je attendre une loi nationale sur l'IA ? Non. Le règlement sur l'IA s'applique directement dans tous les États membres. Contrairement à la directive NIS2, qui devait être transposée en droit national, aucune loi nationale distincte que vous appliqueriez à la place ne verra le jour.
Quand le règlement sur l'IA s'applique-t-il ? Le règlement s'applique par étapes. Les pratiques interdites et la maîtrise de l'IA s'appliquent depuis février 2025, tandis que la plupart des exigences pour les systèmes à haut risque s'appliquent à partir d'août 2026. Les dates précises peuvent avoir été ajustées par des modifications ultérieures, vérifiez donc l'état actuel.
Qu'est-ce qu'un système d'IA à haut risque ? Un système susceptible d'avoir des conséquences importantes pour les personnes, par exemple dans le recrutement et la sélection, l'éducation, les services essentiels, les infrastructures critiques ou le maintien de l'ordre. Les exigences les plus lourdes s'appliquent à ces systèmes, comme la gestion des risques, la documentation et la surveillance humaine.
Suis-je fournisseur ou déployeur ? Vous êtes fournisseur si vous développez un système d'IA ou le mettez sur le marché sous votre propre nom. Vous êtes déployeur si vous utilisez un système pour vos propres besoins. La plupart des organisations sont déployeurs, mais vous devenez fournisseur dès que vous modifiez substantiellement un système à haut risque.
Vous préférez ne pas gérer la conformité au règlement sur l'IA dans des fichiers épars, mais dans un environnement qui se raccorde à votre sécurité de l'information ? Avec le module IA de Kantyra, vous tenez le registre IA, faites passer chaque système par la classification du risque et gérez les obligations du règlement ainsi que de l'ISO/IEC 42001 comme référentiels dans le registre de conformité, avec la preuve qui y est rattachée. Demandez une démo et découvrez comment bâtir la conformité au règlement sur l'IA sur votre ISMS existant.
Kantyra est une plateforme ISMS et GRC européenne qui permet aux organisations de gérer de façon démontrable leur sécurité de l'information, leur gestion des risques, leur continuité et leur conformité en matière d'IA, en cohérence avec l'ISO 27001, l'ISO 22301, l'ISO/IEC 42001, NIS2 et le règlement sur l'IA.
In een demo van 30 minuten lopen we het model door aan de hand van jouw situatie.
Plan een demoMesurez, en tant que CISO, où en sont votre organisation et votre CISO Office, et découvrez comment piloter et corriger à temps grâce à une carte de score.
Comment piloter la gestion des vulnérabilités en tant que RSSI, de la politique jusqu'à la reddition de comptes à la direction.
Comment structurer vos tests d'intrusion, de la politique de pentest et du calendrier jusqu'au rapport et au suivi des constats.