EU AI Act : Modifications 2025 expliquées

Avatar
Lisa Ernst · 02.12.2025 · Technologie · 10 min

Les entreprises investissent dans des pilotes d'IA, souvent sans tenir compte du cadre juridique changeant. Les questions sur les systèmes d'IA à haut risque ou les obligations de déclaration pour les modèles de fondation surviennent plus tard. Cet article se penche sur les ajustements de l'EU AI Act et les plans nationaux d'IA, comme celui de l'Australie, afin d'offrir une orientation.

EU AI Act : Fondamentaux et Changements

L'EU AI Act est en vigueur depuis 2024 et entrera progressivement en application d'ici août 2027. Il est basé sur un modèle basé sur le risque avec quatre niveaux de risque et une catégorie supplémentaire pour les modèles d'IA à usage général (GPAI), également appelés modèles de fondation. Service Desk AI Act, ECNL

En 2025, ce cadre sera affiné. L'UE publiera des lignes directrices et un code de pratique pour l'IA à usage général. Parallèlement, elle proposera, dans le cadre d'un « Digital Omnibus », une prolongation des délais pour les systèmes à haut risque d'août 2026 à fin 2027. Stratégie Numérique Europe, Stratégie Numérique Europe, Reuters, OneTrust

Pour les entreprises, cela signifie que la conformité à l'IA est une tâche stratégique, en particulier dans les secteurs tels que les services financiers, la santé ou l'administration publique, où de nombreux cas d'utilisation entrent dans la catégorie des « systèmes d'IA à haut risque ». Intelligence Artificielle Loi UE, Service Desk AI Act

Comprendre les modifications de l'EU AI Act en 2025

L'EU AI Act réglemente l'IA sur la base de niveaux de risque : risque inacceptable, élevé, limité et minimal, complété par une voie distincte pour les modèles d'IA à usage général. ECNL

Le calendrier de mise en œuvre officiel de la Commission européenne prévoit quatre étapes clés :

En 2025, l'accent se déplacera vers l'IA à usage général et la question de la rapidité avec laquelle les obligations relatives aux risques élevés seront effectivement mises en œuvre.

Jalons et délais importants de l'EU AI Act qui illustrent l'introduction progressive du règlement jusqu'en 2027.

Source: mindfoundry.ai

Jalons et délais importants de l'EU AI Act qui illustrent l'introduction progressive du règlement jusqu'en 2027.

Lignes directrices et Code de pratique pour l'IA à usage général

En juillet 2025, la Commission européenne publiera trois instruments clés pour la régulation des modèles de fondation : des lignes directrices pour les fournisseurs de GPAI, un code de pratique GPAI et d'autres aides à l'interprétation. Stratégie Numérique Europe

Les lignes directrices GPAI et les FAQ officielles clarifieront quand un modèle est considéré comme une IA à usage général (tâches larges, effort d'entraînement important, applicabilité polyvalente) et quand une adaptation fonde un fournisseur distinct avec des obligations. Stratégie Numérique Europe

Le code de pratique GPAI est un instrument volontaire qui donne aux prestataires des recommandations concrètes sur l'organisation de la documentation, de la transparence et des processus de droit d'auteur afin de préparer les exigences légales. Stratégie Numérique Europe

La Commission reconnaît que le code de pratique a été achevé plus tard que prévu (fin 2025 au lieu de mai). Cela a prolongé l'incertitude pour les fournisseurs de modèles de fondation et a été une raison des demandes de « pause » pour l'AI Act de la part des grandes entreprises technologiques. Reuters, Reuters

Digital Omnibus : reports des délais pour les systèmes à haut risque

En novembre 2025, la Commission présentera un paquet intitulé « Digital Omnibus ». Un point central est le report de l'application des obligations relatives aux risques élevés d'août 2026 à fin 2027. Reuters, euronews, OneTrust

Les applications telles que l'identification biométrique dans l'espace public, l'IA pour les candidatures et les examens professionnels, l'IA dans les réseaux d'énergie et de transport, l'évaluation de la solvabilité ou les décisions basées sur l'IA dans les soins de santé et dans l'application de la loi seraient concernées. Reuters, Service Desk AI Act

Le report proposé est une prolongation pour finaliser les normes, les lignes directrices et les structures de surveillance, et non un recul de la réglementation. Les ONG et certains députés parlent néanmoins d'un « recul » des mécanismes de protection numérique, car des assouplissements des règles de protection des données et de cookies sont également discutés. The Guardian

Les entreprises devraient utiliser cette période comme une fenêtre de temps pour construire des structures de gouvernance. C'est ce que soulignent également les analyses de conformité, par exemple de Nemko ou Compliance & Risks. digital.nemko.com, complianceandrisks.com

Plans nationaux d'IA

Parallèlement à l'UE, l'Australie adopte une approche différente : avec un Plan national pour l'IA, les investissements dans les centres de données, l'infrastructure de données et la formation continue sont regroupés. L'IA sera largement réglementée par les lois existantes, soutenue par un institut de sécurité de l'IA distinct à partir de 2026. Page Entreprise, ABC, Reuters

Plan National Australien d'Intelligence Artificielle : Infrastructure, Données, Humains

Tandis que l'UE affine son EU AI Act, l'Australie met l'accent sur une approche différente avec son Plan national pour l'IA 2025 : moins de nouvelles interdictions, mais une expansion coordonnée de l'infrastructure, de l'accès aux données et des compétences. Page Entreprise

Le plan suit trois lignes directrices principales :

Le gouvernement australien souligne qu'il s'appuiera pour l'instant sur les lois existantes – notamment en matière de protection des données, de droit de la concurrence et de protection des consommateurs – pour la réglementation, plutôt que de créer son propre AI Act. ABC, The Guardian

Pour les entreprises actives dans plusieurs juridictions, cela crée un contraste : dans l'UE, la conformité à l'IA est liée à un cadre spécial (EU AI Act), tandis que l'Australie travaille davantage avec des autorités de surveillance sectorielles et des instruments juridiques existants, soutenue par un programme national d'investissement et de qualification.

Conformité IA pour les entreprises

Le débat tourne autour de la question : comment construire une stratégie de conformité à l'IA qui adresse à la fois l'EU AI Act et les plans nationaux d'IA ? Une approche pragmatique consiste à considérer l'IA comme une extension des structures de gouvernance existantes, similaire aux approches de « conformité par conception ». complianceandrisks.com

Que signifie concrètement « système d'IA à haut risque » dans l'UE ?

La question centrale de nombreux projets est : « Que signifie le système d'IA à haut risque de l'UE – est-ce que cela s'applique à notre projet ? »

L'AI Act définit les systèmes à haut risque par deux approches : premièrement, l'IA qui fait partie ou une composante de sécurité d'un produit déjà réglementé (par exemple, dispositifs médicaux, véhicules). Deuxièmement, les systèmes d'IA dans certains domaines d'application sensibles listés dans l'Annexe III. Intelligence Artificielle Loi UE, Intelligence Artificielle Loi UE

L'Annexe III comprend notamment : la biométrie (par exemple, la reconnaissance faciale à distance dans les espaces publics), les infrastructures critiques (énergie, transport, eau), l'éducation (admission, surveillance des examens), l'emploi et les RH (sélection et évaluation des candidats), l'accès aux services essentiels (par exemple, prêts, assurances), l'application de la loi, la migration et la justice. Intelligence Artificielle Loi UE, Service Desk AI Act

Exemples concrets :

Il est juridiquement décisif de savoir si un système crée un risque important pour la santé, la sécurité ou les droits fondamentaux. L'AI Act autorise des dérogations pour certains cas de l'Annexe III si aucun « risque significatif » n'est présent, par exemple dans des scénarios limités de détection de fraude. Al Act, dpo-consulting.com

Pour les systèmes d'IA à haut risque, des obligations strictes s'appliquent : gestion des risques documentée, gouvernance des données robuste, documentation technique, journalisation, concepts de supervision humaine, ainsi que des exigences en matière de précision, de robustesse et de cybersécurité. Intelligence Artificielle Loi UE

Les entreprises qui utilisent l'IA dans ces domaines devraient analyser rapidement quels projets entrent dans la catégorie des risques élevés et commencer la documentation.

La classification des risques des systèmes d'IA selon l'EU AI Act, du risque minimal à inacceptable.

Source: ctol.digital

La classification des risques des systèmes d'IA selon l'EU AI Act, du risque minimal à inacceptable.

Modèles d'IA à usage général : nouvelles directives de l'UE pour les modèles de fondation

Le deuxième grand enjeu concerne les modèles d'IA à usage général (GPAI), souvent appelés modèles de fondation. L'AI Act définit un « modèle d'IA à usage général » comme un modèle qui a été entraîné sur de grandes quantités de données, fait preuve d'une grande généralité et peut accomplir une multitude de tâches différentes de manière compétente. Intelligence Artificielle Loi UE

Les exemples incluent des modèles comme GPT-4, DALL·E ou BERT, qui ne deviennent spécifiques à un domaine qu'en étant intégrés dans des systèmes concrets. Taylor Wessing

Depuis le 2 août 2025, des obligations spéciales s'appliquent aux fournisseurs de tels modèles d'IA à usage général :

Les modèles présentant un risque systémique sont classifiés notamment sur la base de seuils techniques (calcul d'entraînement) et de leurs effets potentiels. Intelligence Artificielle Loi UE, Stibbe

Le cadre GPAI est pratiquement pertinent pour deux groupes d'entreprises :

Le report proposé dans le Digital Omnibus concerne principalement les obligations relatives aux risques élevés, et non les obligations GPAI qui s'appliquent à partir d'août 2025 de manière globale. OneTrust

Ceux qui automatisent déjà des processus décisionnels internes avec un modèle de fondation aujourd'hui devraient vérifier si leur propre configuration doit être comprise comme un fournisseur GPAI, un système à haut risque, ou une combinaison des deux rôles.

Trois observations pratiques pour la stratégie de conformité à l'IA

  1. Sans inventaire, pas de stratégie : Les entreprises qui créent rapidement une carte des IA – quels systèmes sont utilisés où, quelles données ils utilisent et quelles décisions ils influencent – peuvent identifier plus rapidement quels cas d'utilisation tombent potentiellement dans l'Annexe III ou impliquent des modèles de fondation. eyreACT, dpo-consulting.com
  2. Déterminer la classe de risque + le rôle : La combinaison de la classe de risque (Haut Risque vs. Risque Limité) et du rôle (Fournisseur vs. Déployeur) détermine les obligations. Par exemple, quelqu'un qui utilise un modèle de fondation américain dans un contexte bancaire européen peut être à la fois le déployeur d'un système à haut risque et un « utilisateur en aval » d'un modèle GPAI – avec des obligations différentes et superposées. Intelligence Artificielle Loi UE
  3. Penser la conformité comme une fonctionnalité produit : En particulier dans les secteurs réglementés, la conformité à l'IA devient un argument de vente. Une fintech qui a mis en place une gestion des risques IA conforme à l'EU AI Act aura plus de facilité avec les clients B2B. Les évaluations d'impact structurées (par exemple, évaluations d'impact sur les droits de l'homme ou les droits fondamentaux) rendent les risques visibles. arXiv, arXiv

Ceux qui utilisent le délai plus long pour les systèmes à haut risque jusqu'en 2027 pour établir de tels processus seront mieux positionnés lorsque la supervision formelle augmentera et bénéficieront plus tôt d'un bonus de confiance.

Définitions importantes

Un diagramme montre sept principes pour l'utilisation de l'IA, disposés en cercle avec des descriptions textuelles.

Source: user-added

Un diagramme montre sept principes pour l'utilisation de l'IA, disposés en cercle avec des descriptions textuelles.

Ressources et perspectives

Pour ceux qui préfèrent que les sujets leur soient expliqués, certaines vidéos sont bien adaptées – toujours en complément des textes originaux:

Les États renforcent les règles sur l'IA – mais ils ne le font pas partout de la même manière. En Europe, l'EU AI Act est précisé et étalé dans le temps dans certaines parties, sans renoncer à sa logique fondamentale de régulation strictement basée sur les risques. En Australie, un Plan national pour l'IA est axé sur l'infrastructure, les compétences et la sécurité, s'appuyant davantage sur les lois existantes et la surveillance sectorielle. Service Desk AI Act, Page Entreprise

Pour les entreprises, cela signifie : ne pas choisir entre innovation et réglementation, mais structurer sa propre stratégie IA de manière à soutenir les deux. Ceux qui identifient leurs systèmes d'IA à haut risque, classent correctement les modèles de fondation et établissent la gouvernance IA comme une partie intégrante du développement de produits et de processus, utilisent le « changement réglementaire » actuel comme une opportunité.

Partagez notre article !