Newsletters

Règlement sur l'Intelligence Artificielle : quelles mesures doit-on prendre ?

C’est le 2 août 2025 que certaines obligations relatives au Règlement européen sur l’Intelligence artificielle (RIA) devaient être mises en œuvre. Elles s’appliquent aux modèles d’IA à usage général au sein des États membres. Me Eric A. Caprioli du cabinet d’avocats Caprioli & Associés en analyse les incidences sur les entités concernées.

Drapeau UE
European Commission
Drapeau UE

Contexte et enjeux

Le règlement 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 constitue le premier corps de règles de nature législative au niveau international qui a pour objectif de réguler les systèmes d’IA (SIA). Ce texte d’application directe dans les droits des divers États membres est relativement complexe en raison d’une part, de sa formulation et sa structure (180 considérants, 113 articles, 13 annexes) et d’autre part, de son articulation avec d’autres textes européens et nationaux tel que notamment le RGPD relatif à la protection des données personnelles, le Data Act ou le Data Governance Act ou en France la Loi Sécuriser et Réguler l’Espace Numérique.

Le RIA établit un cadre juridique applicables aux fournisseurs de SIA dont les services sont destinés aux États membres. Les enjeux sont très importants dans la mesure où le RIA doit concilier l’encadrement des systèmes d’IA et ne pas freiner l’innovation associée à ces technologies. On observera toutefois que ce texte intervient en amont des pratiques et du processus de déploiement des SIA Génératives (ex. : ChatGPT, Midjourney ou Microsoft AI Copilot). Pour tenter de trouver un équilibre entre ces forces contraires, l’UE a prévu une application progressive des dispositions du RIA. Le Règlement se fonde sur une approche par les risques.

Ces derniers sont divisés en quatre catégories : inacceptables (interdiction depuis le 2 février 2025), SIA à haut risque (applicable le 2 août 2027, art. 6 du RIA), SIA à usage général (applicable depuis le 2 août 2025) et SIA à risques minimes. Il sera ici question des règles applicables aux modèles de SIA à usage général depuis le 2 août 2025. Ces systèmes se définissent comme "un système d’IA qui est fondé sur un modèle d’IA à usage général et qui a la capacité de répondre à diverses finalités, tant pour une utilisation directe que pour une intégration dans d’autres systèmes d’IA" (art. 3-66).

Cependant, la Commission européenne a publié le 10 juillet 2025 le Code des bonnes pratiques applicables aux fournisseurs d’IA à usage général qui se compose de trois chapitres. Cela concerne la transparence, la sûreté et la sécurité et le respect du droit d’auteur (ex : le respect de la licéité de l’utilisation des contenus "scrapés").

Quelles obligations pour les modèles d’IA à usage général ?

Qualification juridique 

S’agissant des modèles à usage général, le RIA y consacre son chapitre V, articles 51 à 56. Sont plus particulièrement visés les modèles présentant un risque systémique (art. 55) auxquels s’ajoutent des obligations renforcées. Ce risque systémique est défini comme "un risque spécifique aux capacités à fort impact des modèles d’IA à usage général, ayant une incidence significative sur le marché de l’Union en raison de leur portée ou d’effets négatifs réels ou raisonnablement prévisibles sur la santé publique, la sûreté, la sécurité publique, les droits fondamentaux ou la société dans son ensemble, pouvant être propagé à grande échelle tout au long de la chaîne de valeur" (art. 3-65).

Néanmoins, il reste que certaines qualifications juridiques en matière d’IA restent problématiques (par ex : les notions de fournisseurs d’IA, de déployeurs, d’importateurs, de distributeurs, ou encore celle risque systémique), à l’image de ce qui existe en matière de données personnelles avec les notions de responsables de traitement, co-responsables et sous-traitants. De cette qualification découlera le régime juridique applicable.

Le régime juridique applicable aux fournisseurs de SIA à usage général

Quatre obligations principales pèsent sur les fournisseurs de modèles, sauf dans le cadre d’une publication sous licence libre qui exonèrent des deux premières obligations :

  • Élaboration et tenue à jour de la documentation technique du modèle conformément à ce qui est prescrit à l’annexe XI ;
  • Élaboration, mise à jour et à disposition pour les fournisseurs de système d’IA qui envisagent d’intégrer le modèle d’IA dans leurs systèmes d’IA et contiennent a minima les informations mentionnées à l’annexe XII ;
  • Établissement d’une politique respectant le droit d’auteur et les droits voisins ;
  • Élaboration et mise à disposition d’un résumé détaillé des données d’entrainement.

Bref, l’idée sous-jacente consiste à apporter la démonstration du respect des exigences du RIA.

Des obligations renforcées en cas de risque systémique

Ces fournisseurs doivent notifier leur statut à la Commission en cas de franchissement des seuils amenant à considérer le SIA à usage général comme étant soumis à un risque systémique, franchissement devant être notifié dans les deux semaines suivant le moment où la condition est remplie (art. 52-1). Les obligations renforcées portent principalement sur la sécurité numérique :

  • Évaluation permanente des risques afin d’atténuer les risques systémiques ;
  • Notification des incidents graves et des failles de sécurité au bureau de l’IA, ainsi qu’aux autorités nationales compétentes désignées ;
  • Garantie d’un niveau approprié de protection en matière de cybersécurité pour le modèle présentant un risque systémique.

Sanctions

En cas de manquement aux obligations prescrites, les amendes peuvent aller jusqu’à 35 millions d’euros ou représentant jusqu’à 7 % du chiffre d’affaires mondial de l’entreprise ayant commis l’infraction (art. 99-3 du RIA). Toutefois, conformément à l’article 101 du RIA, pour les amendes applicables aux fournisseurs de modèles d’IA à usage général, la Commission européenne peut infliger des amendes n’excédant pas 3% du CA mondial réalisé l’année n-1 ou 15 millions d’euros, le montant le plus élevé étant retenu. Le respect du contradictoire est prévu (art. 101-2) et les recours contre les décisions relèvent de la Cour de Justice de l’UE.

Finalement, on observera que l’IA est également devenue "une nouvelle terre de conformité légale", sous peine de sanctions. Mais cette conformité a un coût financier et humain important pour des entreprises soumises à une réglementation européenne toujours plus prégnante dans leur quotidien.

Éric A. Caprioli, avocat à la Cour, docteur en Droit

Caprioli & Associés, société d’avocats membre du réseau JURISDEFI

Les avis d'experts sont publiés sous l'entière responsabilité de leurs auteurs et n'engagent en rien la rédaction

Les plus lus : Intelligence artificielle
  1. Nano Banana Pro, tournant majeur pour les métiers de la création numérique
  2. Amazon va construire pour 50 milliards de dollars d'infrastructures IA pour le gouvernement des Etats-Unis
  3. ChatGPT Shopping Research, l'expérience d'achat revisitée à l'heure de l'IA
  4. Claude Opus 4.5, nouveau modèle de référence d'Anthropic pour le développement et l'utilisation d'outils comme Excel
  5. Les robots humanoïdes Digit d'Agility Robotics ont transporté plus de 100 000 bacs dans un entrepôt du logisticien GXO
  6. Digital Omnibus : Faut-il craindre la réforme qui bouscule le RGPD, l'encadrement de l'IA et la cybersécurité ?
Newsletter L'Usine Digitale
Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.
Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes…
Cherche talents numériques
Emploi numérique
Ingénieur AMOA (h/f)
ADECCO - 23/02/2026 - CDI - LAVAL
Responsable Informatique (h/f)
LHH Recruitment Solutions - 24/02/2026 - CDI - MULHOUSE
Tous les postes disponibles
Les webinars
Tout voir
Tech
Projets tech et carrière : découvrez le quotidien de deux experts chez Accenture
31 mars 2026 - 12h00
45 min
102 inscrit(s)
Contenu proposé par ACCENTURE
Voir le replay
Tech
[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités
18 novembre 2025 - 10h00
45 min
188 inscrit(s)
Contenu proposé par Salesforce
Voir le replay
Marketing
Performance et IA : les nouvelles priorités digitales du secteur des médias
5 juin 2025 - 09h00
45 min
402 inscrit(s)
Contenu proposé par Salesforce
Voir le replay