Champ d'application : qui est concerné ?
La Loi IA de l'UE (Règlement 2024/1689) s'applique à toute organisation qui développe ou utilise des systèmes d'IA qui affectent des personnes dans l'Union européenne, indépendamment du lieu d'établissement de l'organisation. Une entreprise basée à Paris, à Bruxelles, à Genève, à Montréal ou à Casablanca qui utilise un système d'IA pour prendre des décisions affectant des citoyens européens est en scope.
Le règlement distingue quatre catégories de risque. Les pratiques d'IA interdites (manipulation subliminale, notation sociale par les autorités publiques, reconnaissance biométrique en temps réel dans les espaces publics dans la plupart des cas) sont prohibées depuis le 2 février 2025. Les systèmes d'IA à haut risque, qui couvrent des domaines sensibles comme l'emploi, l'accès au crédit, la santé, l'éducation et les services essentiels, font l'objet d'obligations strictes.
Les délais clés mis à jour (accord Omnibus, mai 2026)
L'accord provisoire du 7 mai 2026 entre le Conseil de l'UE et le Parlement européen a substantiellement modifié le calendrier d'application pour l'IA à haut risque :
- 2 février 2025 : Interdictions applicables (déjà en vigueur)
- 2 août 2025 : Obligations pour les modèles d'IA à usage général (déjà en vigueur)
- 2 août 2026 : Obligations de transparence, divulgation des chatbots IA, marquage des contenus générés par IA (NON modifié par l'Omnibus)
- 2 décembre 2026 : Filigranage des contenus générés par IA (Article 50(2)), délai de grâce de 3 mois accordé par l'Omnibus
- 2 décembre 2027 : Obligations principales pour l'IA à haut risque Annexe III (prolongé de 16 mois par l'Omnibus, était août 2026)
- 2 août 2028 : Systèmes Annexe I intégrés dans des produits (prolongé d'un an par l'Omnibus)
Ce que doivent faire les entreprises françaises maintenant
La priorité immédiate pour les entreprises françaises est la réalisation d'un inventaire des systèmes d'IA utilisés dans l'organisation, qu'ils soient développés en interne ou achetés auprès de fournisseurs. Cet inventaire doit identifier pour chaque système : sa finalité, les données personnelles traitées, les décisions qu'il influence ou prend, et les personnes affectées.
La classification du risque vient ensuite. La grande majorité des systèmes d'IA utilisés par les entreprises relèvent de la catégorie "risque limité" ou "risque minimal", ce qui signifie des obligations légères (essentiellement des exigences de transparence). Seule une minorité de systèmes, ceux utilisés dans les RH, le crédit, les assurances, l'éducation ou les services publics, relèvent de la catégorie "haut risque" avec des obligations substantielles.
Le rôle de la CNIL et l'intersection avec le RGPD
La Commission Nationale de l'Informatique et des Libertés (CNIL) reste l'autorité compétente pour les questions de protection des données liées à l'IA en France. La CNIL a publié des recommandations spécifiques sur les systèmes d'IA, notamment sur les systèmes de recommandation et les décisions automatisées. Ces recommandations s'articulent avec l'Article 22 du RGPD qui encadre les décisions entièrement automatisées ayant des effets significatifs sur les personnes.
La Loi IA de l'UE et le RGPD créent des obligations cumulatives pour les entreprises qui traitent des données personnelles via des systèmes d'IA. Les deux corpus réglementaires doivent être respectés simultanément, il n'y a pas de dérogation de l'un par rapport à l'autre.