Le Règlement (UE) 2024/1689 (ci-après dénommé « le Règlement » ou « RIA ») est le premier instrument à réglementer uniformément l’intelligence artificielle (IA) dans l’UE. Il est entré en vigueur le 2 août 2024 et prévoit une application progressive jusqu’au 2 août 2026.

Le RIA établit un cadre juridique uniforme sur la mise sur le marché, la mise en service ou l’utilisation de systèmes d’IA dans l’UE, avec pour objectif principal de garantir leur utilisation conformément aux valeurs fondamentales de l’Union, en promouvant l’adoption d’une intelligence artificielle (IA) axée sur l’humain, fiable et sûre.

Le Règlement classe les systèmes d’IA en fonction du risque qu’ils représentent pour les droits fondamentaux, la santé et la sécurité des personnes :

1. Risque minimal ou inexistant

La plupart des applications d’IA entrent dans cette catégorie, comme les systèmes de recommandation, les assistants virtuels, les filtres anti-spam. Elles ne sont pas soumises à des restrictions particulières, mais peuvent suivre des Codes de conduite volontaires.

2. Risque limité

Ces systèmes d’IA présentent certains risques, notamment de manipulation ou de falsification (chatbots et hypertrucages). Ils doivent respecter des obligations de transparence, telles qu’informer les utilisateurs qu’ils interagissent avec une IA.

3. Risque élevé

Ce groupe comprend les systèmes d’IA qui, s’ils ne sont pas correctement conçus ou gérés, peuvent entraîner des risques importants pour la sécurité ou les droits fondamentaux des personnes.

Il s’agit, par exemple, des systèmes d’IA utilisés dans les domaines de la santé, des transports, de la justice ou à des fins d’évaluation de la solvabilité (tels que les systèmes d’évaluation du crédit) ou dans les processus de recrutement.

Ils sont soumis à des exigences strictes en matière de conformité, de documentation, de traçabilité et de contrôle.

4. Risque inacceptable (SIA interdits)

Cette catégorie comprend les systèmes délibérément manipulateurs (susceptibles d’altérer de manière significative le comportement des individus), la notation sociale, la reconnaissance faciale dans les espaces publics en temps réel, l’évaluation prédictive de la criminalité, la déduction des émotions et la catégorisation biométrique. Ils sont interdits en raison de la violation des droits fondamentaux.

Afin de clarifier les limites de ces interdictions, la Commission européenne a adopté des lignes directrices le 4 février 2025, qui précisent le contenu des interdictions, donnent des exemples de pratiques interdites et éventuellement autorisées, clarifient le champ d’application, les exceptions autorisées et les acteurs concernés.

Un système de sanctions est envisagé (effectif à partir d’août 2026) avec des amendes pouvant aller jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires pour les violations graves.

Pour compléter le cadre réglementaire du RIA, la Commission européenne a également publié le 11 mars 2025 le troisième projet de Code de bonnes pratiques pour les fournisseurs des modèles d’IA à usage général (« GPAI »), qui comprend des obligations en matière de transparence, d’évaluation des risques et de respect de la législation sur le droit d’auteur.

Parallèlement, la Commission a approuvé un modèle pour la transparence des données d’entraînement toujours à l’intention des entreprises produisant des systèmes GPAI. Les fournisseurs de systèmes GPAI devront non seulement rédiger et tenir à jour la documentation technique du modèle et mettre des informations et de la documentation à la disposition des fournisseurs de systèmes d’IA qui souhaitent intégrer le modèle d’IA à usage général dans leur système d’IA, mais aussi mettre en œuvre une politique de conformité avec la législation de l’Union en matière de droits d’auteur et rédiger et mettre à la disposition du public un résumé suffisamment détaillé des données ayant servi à l’entraînement de leur modèle d’IA à usage général, conformément à un formulaire fourni par l’Office IA.