Accueil
Accueil
Envoyer à un ami
Version imprimable
PartagerL’épicentre réglementaire : L’AI Act et l’échéance du Haut Risque pour Août 2026
Le Règlement (UE) 2024/1689 (AI Act), adopté en juin 2024, repose sur une approche par les risques.
Tandis que les pratiques considérées comme présentant un risque inacceptable (telles que le social scoring ou l'exploitation des vulnérabilités) sont interdites depuis le début de l’année, l’attention se porte désormais sur les systèmes à Haut Risque (HR).
Ces systèmes, dont la défaillance peut nuire gravement à la santé, à la sécurité ou aux droits fondamentaux, couvrent des domaines critiques listés à l'Annexe III du document, notamment :
Tandis que les pratiques considérées comme présentant un risque inacceptable (telles que le social scoring ou l'exploitation des vulnérabilités) sont interdites depuis le début de l’année, l’attention se porte désormais sur les systèmes à Haut Risque (HR).
Ces systèmes, dont la défaillance peut nuire gravement à la santé, à la sécurité ou aux droits fondamentaux, couvrent des domaines critiques listés à l'Annexe III du document, notamment :
- L'Emploi et la Gestion de la Main-d'œuvre : Systèmes utilisés pour le recrutement (tri de CV, analyse des candidatures) ou pour l'évaluation et la gestion des performances.
- La Finance et l'Accès aux Services Essentiels : Évaluation de la solvabilité (notation de crédit) ou l'évaluation des risques en assurance-vie/maladie.
- Les Infrastructures Critiques : Composants de sécurité de l’IA dans la gestion du trafic routier, de l’eau, du gaz ou de l'électricité.
- La Santé : Composants de sécurité de produits ou systèmes utilisés dans les soins de santé (chirurgie assistée par robot ou diagnostic).
La Conformité Haut Risque : Une feuille de route en 10 étapes Pour les fournisseurs de systèmes HR, la mise en conformité est complexe et passe par dix étapes obligatoires :
- Mise en place d'un Système de gestion des risques tout au long du cycle de vie du produit.
- Garantie d'une Gouvernance des données stricte, assurant que les jeux de données d’entraînement sont pertinents, suffisamment représentatifs et exempts de biais (notamment pour éviter la discrimination, un risque majeur en RH).
- Établissement d'une Documentation technique complète et mise à jour (Annexe IV).
- Mise en œuvre d'une Supervision humaine appropriée, permettant aux déployeurs d’interpréter les sorties de l’IA et d'intervenir.
- Validation de l'Exactitude, de la Robustesse et de la Cybersécurité.
- Obtention du Marquage CE et Enregistrement dans la base de données de l’UE.
Les utilisateurs d'IA à haut risque, notamment les organismes publics et les entités privées fournissant des services publics, ont des obligations spécifiques, comme la réalisation d'une Analyse d’impact sur les droits fondamentaux (Fundamental Rights Impact Assessment) avant le premier déploiement.
Les défis de l'empilement réglementaire (Le « Millefeuille »)
L'AI Act ne peut être isolé des autres textes qui entrent en application, créant un "millefeuille administratif".
A. Cybersécurité et Résilience (DORA et NIS 2)
Le secteur financier doit gérer l'interaction entre les réglementations prudentielles (comme Bâle III), l’AI Act et le Règlement DORA (applicable depuis le 17 janvier 2025). DORA impose aux banques et assurances de renforcer leur résilience opérationnelle numérique et de tester leurs défenses. L’AI Act s’applique aux systèmes de notation de crédit (Haut Risque), tandis que DORA sécurise l’infrastructure informatique qui fait fonctionner ces systèmes.
Dans le secteur de l'énergie, la directive NIS 2 (en cours de transposition) élargit massivement le nombre d'entités concernées (jusqu'à 100 000 en Europe). Elle vise à renforcer les exigences de sécurité pour prévenir des cyberattaques qui pourraient, comme en Ukraine, plonger des milliers de foyers dans le noir.
Dans le secteur de l'énergie, la directive NIS 2 (en cours de transposition) élargit massivement le nombre d'entités concernées (jusqu'à 100 000 en Europe). Elle vise à renforcer les exigences de sécurité pour prévenir des cyberattaques qui pourraient, comme en Ukraine, plonger des milliers de foyers dans le noir.
B. La Révolution des Données en Santé (EHDS)
Le Règlement (UE) 2025/327 créant l'Espace Européen des Données de Santé (EHDS) est un tournant pour la santé. Il garantit aux citoyens un accès renforcé à leurs données via MaSanté@UE et impose l’interopérabilité des dossiers médicaux électroniques (DME). Surtout, l'EHDS prévoit la réutilisation secondaire des données de santé (anonymisées ou pseudonymisées) à des fins de recherche, tout en interdisant strictement leur usage pour l’assurance, le commerce ou les RH. L'interopérabilité des données de qualité est vue comme un "prérequis nécessaire" pour que l'IA en santé (souvent classée HR) puisse délivrer des bénéfices tangibles.
Les défis d’exécution : RH, Gouvernance et Impact environnemental
La conformité nécessite une transformation interne majeure, au-delà des équipes techniques :
- Les RH face au Haut Risque et à la Transparence : Les fonctions RH doivent anticiper les obligations liées aux systèmes de recrutement ou de notation du personnel classés HR. L’AI Act introduit aussi une obligation de transparence effective au 2 août 2026, exigeant que les collaborateurs ou candidats exposés à un traitement via l'IA soient informés de son usage. Les équipes doivent être formées non seulement à utiliser l'IA de manière éthique, mais aussi à cartographier les usages et à prévenir le shadow use (utilisation non encadrée).
- La Primauté de la Gouvernance des Données : La qualité et l'absence de biais des données sont essentielles pour la conformité. La confiance et l'acceptabilité de l'IA dépendent de sa sécurité et de son éthique. La responsabilité civile est un risque émergent, nécessitant une supervision rigoureuse et des protocoles clairs. Comme le soulignent les experts, il n'y a "pas de gouvernance de l’IA sans gouvernance de la donnée".
- Le Bilan Environnemental de l'IA Générative : Un enjeu de plus en plus urgent est l'empreinte écologique de l'IA. Le Conseil Économique, Social et Environnemental (CESE) alerte sur le fait que l'IA, en particulier l'IA Générative, aggrave l'empreinte environnementale du numérique par sa consommation d'électricité, de métaux rares, d'eau et par l’artificialisation des sols (pour les centres de données). Former le modèle GPT-3 a consommé l'équivalent énergétique de 120 foyers américains. Le CESE recommande de concentrer les financements publics sur les "IA frugales" (Green IA) et les IA à finalité environnementale (IA for green) pour compenser ces impacts massifs. Les entreprises doivent évaluer l’empreinte environnementale "de la fabrication à l'utilisation" de leurs systèmes.
L'heure est à l'intégration stratégique de la conformité à tous les niveaux
Le paysage réglementaire est désormais dense et les obligations se chevauchent (RGPD, AI Act, DORA, NIS2). L'heure est à l'intégration stratégique de la conformité à tous les niveaux. La non-conformité expose non seulement à des amendes pouvant atteindre 7 % du chiffre d'affaires mondial (pour les pratiques interdites), mais aussi à une dégradation de la note de marché.
Pour s'assurer un avantage concurrentiel, les entreprises doivent désormais s'engager activement dans la documentation, la transparence et l'investissement dans des compétences internes adéquates.
Pour s'assurer un avantage concurrentiel, les entreprises doivent désormais s'engager activement dans la documentation, la transparence et l'investissement dans des compétences internes adéquates.
La récente nommination d'Anne Le Hénanff au poste de Ministre déléguée chargée de l'IA et du numérique. Une nouvelle impulsion
L'accession d'Anne Le Hénanff au poste de Ministre déléguée chargée de l’Intelligence artificielle et du Numérique au sein du Gouvernement Lecornu II, effective depuis le 12 octobre 2025, est un événement clé dans la mise en œuvre de la stratégie numérique française.
Ses sujets de prédilection à l'Assemblée nationale, où elle est membre de la commission de la Défense nationale, incluent la cybersécurité, la cyberdéfense et l'intelligence artificielle. Son approche est axée sur l'autonomie stratégique et elle est "très pro-européenne". Elle a d'ailleurs précédemment souligné le risque de dépendance technologique, notamment vis-à-vis des solutions américaines (comme Microsoft).
En tant que nouvelle ministre du Numérique, son impact est susceptible de se concentrer sur deux axes majeurs : le renforcement de la souveraineté et la sécurisation des infrastructures, en cohérence avec ses travaux sur le "piège Microsoft" et la nécessité d'éviter la dépendance extérieure, et l'encadrement de la mise en œuvre de l'AI Act.
Sa nomination intervient juste après l'entrée en vigueur des règles sur les modèles d’IA à usage général (GPAI) en août 2025, la positionnant pour piloter la conformité des acteurs français. De plus, elle aura la responsabilité de veiller à ce que les bacs à sable réglementaires de l'IA soient opérationnels d'ici le 2 août 2026, un outil essentiel pour soutenir l'innovation des PME tout en assurant le respect des règles (notamment pour les systèmes à haut risque, comme ceux utilisés dans le recrutement et l'évaluation du personnel).
Compte tenu de son expérience et de sa préférence pour une "frugalité des lois" en matière numérique, elle pourrait chercher à simplifier le "millefeuille administratif" tout en garantissant que l'IA en France se développe de manière sûre, fiable et éthique, conformément aux valeurs de l'UE.
Ses sujets de prédilection à l'Assemblée nationale, où elle est membre de la commission de la Défense nationale, incluent la cybersécurité, la cyberdéfense et l'intelligence artificielle. Son approche est axée sur l'autonomie stratégique et elle est "très pro-européenne". Elle a d'ailleurs précédemment souligné le risque de dépendance technologique, notamment vis-à-vis des solutions américaines (comme Microsoft).
En tant que nouvelle ministre du Numérique, son impact est susceptible de se concentrer sur deux axes majeurs : le renforcement de la souveraineté et la sécurisation des infrastructures, en cohérence avec ses travaux sur le "piège Microsoft" et la nécessité d'éviter la dépendance extérieure, et l'encadrement de la mise en œuvre de l'AI Act.
Sa nomination intervient juste après l'entrée en vigueur des règles sur les modèles d’IA à usage général (GPAI) en août 2025, la positionnant pour piloter la conformité des acteurs français. De plus, elle aura la responsabilité de veiller à ce que les bacs à sable réglementaires de l'IA soient opérationnels d'ici le 2 août 2026, un outil essentiel pour soutenir l'innovation des PME tout en assurant le respect des règles (notamment pour les systèmes à haut risque, comme ceux utilisés dans le recrutement et l'évaluation du personnel).
Compte tenu de son expérience et de sa préférence pour une "frugalité des lois" en matière numérique, elle pourrait chercher à simplifier le "millefeuille administratif" tout en garantissant que l'IA en France se développe de manière sûre, fiable et éthique, conformément aux valeurs de l'UE.
Source
Site officiel de la Commission européenne : Présentation complète du règlement, ses objectifs, les catégories de risques et les obligations des fournisseurs d’IA.
Lien
ArtimIS – DORA en pratique
Lien
Directive UE 2022/2555 Texte officiel de la directive NIS 2, élargissant les obligations de cybersécurité aux infrastructures critiques.
Lien