EU AI Act : Modifications 2025 expliquées
Les entreprises investissent dans des pilotes d'IA, souvent sans tenir compte du cadre juridique changeant. Les questions sur les systèmes d'IA à haut risque ou les obligations de déclaration pour les modèles de fondation surviennent plus tard. Cet article se penche sur les ajustements de l'EU AI Act et les plans nationaux d'IA, comme celui de l'Australie, afin d'offrir une orientation.
EU AI Act : Fondamentaux et Changements
L'EU AI Act est en vigueur depuis 2024 et entrera progressivement en application d'ici août 2027. Il est basé sur un modèle basé sur le risque avec quatre niveaux de risque et une catégorie supplémentaire pour les modèles d'IA à usage général (GPAI), également appelés modèles de fondation. Service Desk AI Act, ECNL
En 2025, ce cadre sera affiné. L'UE publiera des lignes directrices et un code de pratique pour l'IA à usage général. Parallèlement, elle proposera, dans le cadre d'un « Digital Omnibus », une prolongation des délais pour les systèmes à haut risque d'août 2026 à fin 2027. Stratégie Numérique Europe, Stratégie Numérique Europe, Reuters, OneTrust
Pour les entreprises, cela signifie que la conformité à l'IA est une tâche stratégique, en particulier dans les secteurs tels que les services financiers, la santé ou l'administration publique, où de nombreux cas d'utilisation entrent dans la catégorie des « systèmes d'IA à haut risque ». Intelligence Artificielle Loi UE, Service Desk AI Act
Comprendre les modifications de l'EU AI Act en 2025
L'EU AI Act réglemente l'IA sur la base de niveaux de risque : risque inacceptable, élevé, limité et minimal, complété par une voie distincte pour les modèles d'IA à usage général. ECNL
Le calendrier de mise en œuvre officiel de la Commission européenne prévoit quatre étapes clés :
- À partir du 2 février 2025, les dispositions générales (définitions, littératie en IA) ainsi que l'interdiction des pratiques d'IA « inacceptables », telles que certaines formes d'évaluation sociale, entreront en vigueur. Service Desk AI Act
- À partir du 2 août 2025, les règles pour les modèles d'IA à usage général (GPAI) entreront en vigueur et la structure de gouvernance (Conseil de l'IA, Comité scientifique, etc.) devra être en place. Service Desk AI Act, Stratégie Numérique Europe
- À partir du 2 août 2026, la plupart des règles, y compris les annexes relatives aux risques élevés (Annexe III) et les obligations de transparence, devaient entrer en vigueur, parallèlement aux bacs à sable nationaux pour l'IA et à la supervision opérationnelle. Service Desk AI Act
- À partir du 2 août 2027, les règles pour l'IA à haut risque intégrées dans des produits réglementés (par exemple, dispositifs médicaux, véhicules) s'appliqueront également. Service Desk AI Act
En 2025, l'accent se déplacera vers l'IA à usage général et la question de la rapidité avec laquelle les obligations relatives aux risques élevés seront effectivement mises en œuvre.

Source: mindfoundry.ai
Jalons et délais importants de l'EU AI Act qui illustrent l'introduction progressive du règlement jusqu'en 2027.
Lignes directrices et Code de pratique pour l'IA à usage général
En juillet 2025, la Commission européenne publiera trois instruments clés pour la régulation des modèles de fondation : des lignes directrices pour les fournisseurs de GPAI, un code de pratique GPAI et d'autres aides à l'interprétation. Stratégie Numérique Europe
Les lignes directrices GPAI et les FAQ officielles clarifieront quand un modèle est considéré comme une IA à usage général (tâches larges, effort d'entraînement important, applicabilité polyvalente) et quand une adaptation fonde un fournisseur distinct avec des obligations. Stratégie Numérique Europe
Le code de pratique GPAI est un instrument volontaire qui donne aux prestataires des recommandations concrètes sur l'organisation de la documentation, de la transparence et des processus de droit d'auteur afin de préparer les exigences légales. Stratégie Numérique Europe
La Commission reconnaît que le code de pratique a été achevé plus tard que prévu (fin 2025 au lieu de mai). Cela a prolongé l'incertitude pour les fournisseurs de modèles de fondation et a été une raison des demandes de « pause » pour l'AI Act de la part des grandes entreprises technologiques. Reuters, Reuters
Digital Omnibus : reports des délais pour les systèmes à haut risque
En novembre 2025, la Commission présentera un paquet intitulé « Digital Omnibus ». Un point central est le report de l'application des obligations relatives aux risques élevés d'août 2026 à fin 2027. Reuters, euronews, OneTrust
Les applications telles que l'identification biométrique dans l'espace public, l'IA pour les candidatures et les examens professionnels, l'IA dans les réseaux d'énergie et de transport, l'évaluation de la solvabilité ou les décisions basées sur l'IA dans les soins de santé et dans l'application de la loi seraient concernées. Reuters, Service Desk AI Act
Le report proposé est une prolongation pour finaliser les normes, les lignes directrices et les structures de surveillance, et non un recul de la réglementation. Les ONG et certains députés parlent néanmoins d'un « recul » des mécanismes de protection numérique, car des assouplissements des règles de protection des données et de cookies sont également discutés. The Guardian
Les entreprises devraient utiliser cette période comme une fenêtre de temps pour construire des structures de gouvernance. C'est ce que soulignent également les analyses de conformité, par exemple de Nemko ou Compliance & Risks. digital.nemko.com, complianceandrisks.com
Plans nationaux d'IA
Parallèlement à l'UE, l'Australie adopte une approche différente : avec un Plan national pour l'IA, les investissements dans les centres de données, l'infrastructure de données et la formation continue sont regroupés. L'IA sera largement réglementée par les lois existantes, soutenue par un institut de sécurité de l'IA distinct à partir de 2026. Page Entreprise, ABC, Reuters
Plan National Australien d'Intelligence Artificielle : Infrastructure, Données, Humains
Tandis que l'UE affine son EU AI Act, l'Australie met l'accent sur une approche différente avec son Plan national pour l'IA 2025 : moins de nouvelles interdictions, mais une expansion coordonnée de l'infrastructure, de l'accès aux données et des compétences. Page Entreprise
Le plan suit trois lignes directrices principales :
- Centres de données et infrastructures : Le gouvernement fédéral soutient les investissements dans des centres de données modernes optimisés pour les GPU et des capacités de données souveraines afin de maintenir les charges de travail d'IA dans le pays. Reuters, Daily Telegraph
- Formation continue et compétences : Un objectif central est de permettre aux employés à tous les niveaux d'utiliser l'IA de manière sûre et productive – du service public (APS AI Plan) à l'industrie. finance.gov.au, go8.edu.au
- Sécurité et gouvernance : Un institut de sécurité de l'IA, financé à hauteur de 30 millions AUD, sera créé d'ici 2026 et servira de centre de compétences pour le développement d'IA sécurisée, en particulier en ce qui concerne la sécurité nationale et la souveraineté. News.com.au
Le gouvernement australien souligne qu'il s'appuiera pour l'instant sur les lois existantes – notamment en matière de protection des données, de droit de la concurrence et de protection des consommateurs – pour la réglementation, plutôt que de créer son propre AI Act. ABC, The Guardian
Pour les entreprises actives dans plusieurs juridictions, cela crée un contraste : dans l'UE, la conformité à l'IA est liée à un cadre spécial (EU AI Act), tandis que l'Australie travaille davantage avec des autorités de surveillance sectorielles et des instruments juridiques existants, soutenue par un programme national d'investissement et de qualification.
Conformité IA pour les entreprises
Le débat tourne autour de la question : comment construire une stratégie de conformité à l'IA qui adresse à la fois l'EU AI Act et les plans nationaux d'IA ? Une approche pragmatique consiste à considérer l'IA comme une extension des structures de gouvernance existantes, similaire aux approches de « conformité par conception ». complianceandrisks.com
Que signifie concrètement « système d'IA à haut risque » dans l'UE ?
La question centrale de nombreux projets est : « Que signifie le système d'IA à haut risque de l'UE – est-ce que cela s'applique à notre projet ? »
L'AI Act définit les systèmes à haut risque par deux approches : premièrement, l'IA qui fait partie ou une composante de sécurité d'un produit déjà réglementé (par exemple, dispositifs médicaux, véhicules). Deuxièmement, les systèmes d'IA dans certains domaines d'application sensibles listés dans l'Annexe III. Intelligence Artificielle Loi UE, Intelligence Artificielle Loi UE
L'Annexe III comprend notamment : la biométrie (par exemple, la reconnaissance faciale à distance dans les espaces publics), les infrastructures critiques (énergie, transport, eau), l'éducation (admission, surveillance des examens), l'emploi et les RH (sélection et évaluation des candidats), l'accès aux services essentiels (par exemple, prêts, assurances), l'application de la loi, la migration et la justice. Intelligence Artificielle Loi UE, Service Desk AI Act
Exemples concrets :
- Banque : Un modèle de notation qui décide automatiquement des limites de crédit et des conditions pour les clients particuliers est classé à haut risque, car il interfère avec les opportunités financières. eyreACT
- Hôpital : Un système de triage qui priorise les patients d'urgence sur la base d'une évaluation par IA des données vitales est à haut risque en raison du risque pour la santé et la vie. twobirds.com
- Administration : Une agence pour l'emploi qui utilise un modèle pour évaluer l'aptibilité des candidats à l'emploi entre généralement dans l'Annexe III en raison de l'impact sur les droits sociaux. Stibbe
Il est juridiquement décisif de savoir si un système crée un risque important pour la santé, la sécurité ou les droits fondamentaux. L'AI Act autorise des dérogations pour certains cas de l'Annexe III si aucun « risque significatif » n'est présent, par exemple dans des scénarios limités de détection de fraude. Al Act, dpo-consulting.com
Pour les systèmes d'IA à haut risque, des obligations strictes s'appliquent : gestion des risques documentée, gouvernance des données robuste, documentation technique, journalisation, concepts de supervision humaine, ainsi que des exigences en matière de précision, de robustesse et de cybersécurité. Intelligence Artificielle Loi UE
Les entreprises qui utilisent l'IA dans ces domaines devraient analyser rapidement quels projets entrent dans la catégorie des risques élevés et commencer la documentation.

Source: ctol.digital
La classification des risques des systèmes d'IA selon l'EU AI Act, du risque minimal à inacceptable.
Modèles d'IA à usage général : nouvelles directives de l'UE pour les modèles de fondation
Le deuxième grand enjeu concerne les modèles d'IA à usage général (GPAI), souvent appelés modèles de fondation. L'AI Act définit un « modèle d'IA à usage général » comme un modèle qui a été entraîné sur de grandes quantités de données, fait preuve d'une grande généralité et peut accomplir une multitude de tâches différentes de manière compétente. Intelligence Artificielle Loi UE
Les exemples incluent des modèles comme GPT-4, DALL·E ou BERT, qui ne deviennent spécifiques à un domaine qu'en étant intégrés dans des systèmes concrets. Taylor Wessing
Depuis le 2 août 2025, des obligations spéciales s'appliquent aux fournisseurs de tels modèles d'IA à usage général :
- Obligations de transparence (y compris documentation technique, description des capacités, limitations connues, résumés des données d'entraînement).
- Directives sur la gestion du droit d'auteur, par exemple par des politiques et des mécanismes pour le respect des chaînes de droits.
- Pour les modèles présentant un risque systémique, des obligations supplémentaires telles que des évaluations de modèles, une réduction des risques, des tests contradictoires et un rapport d'incidents. Stratégie Numérique Europe, Stratégie Numérique Europe, Reuters
Les modèles présentant un risque systémique sont classifiés notamment sur la base de seuils techniques (calcul d'entraînement) et de leurs effets potentiels. Intelligence Artificielle Loi UE, Stibbe
Le cadre GPAI est pratiquement pertinent pour deux groupes d'entreprises :
- Fournisseurs de modèles – équipes qui entraînent leurs propres modèles de fondation et les proposent « en tant que service » ou les déployent largement en interne.
- Utilisateurs en aval, qui intègrent un modèle de fondation externe dans un système concret et deviennent ainsi le fournisseur de système ou le déployeur. Eipa, EY
Le report proposé dans le Digital Omnibus concerne principalement les obligations relatives aux risques élevés, et non les obligations GPAI qui s'appliquent à partir d'août 2025 de manière globale. OneTrust
Ceux qui automatisent déjà des processus décisionnels internes avec un modèle de fondation aujourd'hui devraient vérifier si leur propre configuration doit être comprise comme un fournisseur GPAI, un système à haut risque, ou une combinaison des deux rôles.
Trois observations pratiques pour la stratégie de conformité à l'IA
- Sans inventaire, pas de stratégie : Les entreprises qui créent rapidement une carte des IA – quels systèmes sont utilisés où, quelles données ils utilisent et quelles décisions ils influencent – peuvent identifier plus rapidement quels cas d'utilisation tombent potentiellement dans l'Annexe III ou impliquent des modèles de fondation. eyreACT, dpo-consulting.com
- Déterminer la classe de risque + le rôle : La combinaison de la classe de risque (Haut Risque vs. Risque Limité) et du rôle (Fournisseur vs. Déployeur) détermine les obligations. Par exemple, quelqu'un qui utilise un modèle de fondation américain dans un contexte bancaire européen peut être à la fois le déployeur d'un système à haut risque et un « utilisateur en aval » d'un modèle GPAI – avec des obligations différentes et superposées. Intelligence Artificielle Loi UE
- Penser la conformité comme une fonctionnalité produit : En particulier dans les secteurs réglementés, la conformité à l'IA devient un argument de vente. Une fintech qui a mis en place une gestion des risques IA conforme à l'EU AI Act aura plus de facilité avec les clients B2B. Les évaluations d'impact structurées (par exemple, évaluations d'impact sur les droits de l'homme ou les droits fondamentaux) rendent les risques visibles. arXiv, arXiv
Ceux qui utilisent le délai plus long pour les systèmes à haut risque jusqu'en 2027 pour établir de tels processus seront mieux positionnés lorsque la supervision formelle augmentera et bénéficieront plus tôt d'un bonus de confiance.
Définitions importantes
- EU AI Act: Un règlement de l'Union européenne pour la régulation de l'intelligence artificielle, qui adopte une approche basée sur les risques.
- General Purpose AI (GPAI) / Modèles de fondation: Modèles d'IA entraînés sur de grandes quantités de données, qui font preuve d'une grande généralité et peuvent accomplir une multitude de tâches différentes.
- Système d'IA à haut risque: Systèmes d'IA qui présentent un risque important pour la santé, la sécurité ou les droits fondamentaux, soit en tant que partie de produits réglementés, soit dans des domaines d'application sensibles spécifiques (Annexe III).
- Digital Omnibus: Un ensemble de propositions de la Commission européenne qui comprend, entre autres, un report des délais pour les systèmes d'IA à haut risque.
- Plan national d'IA (Australie): Stratégie australienne pour la promotion de l'IA par des investissements dans l'infrastructure, l'accès aux données et la formation continue, la régulation s'effectuant principalement par le biais de lois existantes.

Source: user-added
Un diagramme montre sept principes pour l'utilisation de l'IA, disposés en cercle avec des descriptions textuelles.
Ressources et perspectives
Pour ceux qui préfèrent que les sujets leur soient expliqués, certaines vidéos sont bien adaptées – toujours en complément des textes originaux:
- Une introduction compacte à la structure, aux classes de risque et à la portée mondiale est offerte par „EU AI Act Explained 2025“.
- Un aperçu plus général est fourni par „The EU’s AI Act Explained“.
- Ceux qui travaillent déjà sur des modèles de fondation auront un aperçu pratique du code de pratique GPAI dans la discussion avec „Unpacking the EU AI Act Code of Practice with Marietje Schaake“ un aperçu pratique du code de pratique GPAI..
- Pour le contexte australien, il vaut la peine de jeter un coup d'œil aux discussions sur la stratégie IA du pays et l'écosystème IA, par exemple dans le format „Australia’s AI ecosystem growth and opportunities“ du Centre national pour l'IA..
Les États renforcent les règles sur l'IA – mais ils ne le font pas partout de la même manière. En Europe, l'EU AI Act est précisé et étalé dans le temps dans certaines parties, sans renoncer à sa logique fondamentale de régulation strictement basée sur les risques. En Australie, un Plan national pour l'IA est axé sur l'infrastructure, les compétences et la sécurité, s'appuyant davantage sur les lois existantes et la surveillance sectorielle. Service Desk AI Act, Page Entreprise
Pour les entreprises, cela signifie : ne pas choisir entre innovation et réglementation, mais structurer sa propre stratégie IA de manière à soutenir les deux. Ceux qui identifient leurs systèmes d'IA à haut risque, classent correctement les modèles de fondation et établissent la gouvernance IA comme une partie intégrante du développement de produits et de processus, utilisent le « changement réglementaire » actuel comme une opportunité.