Le Règlement IA de l'UE, en langage clair.

Ce qu’est le Règlement, et ce qu’il n’est pas

Le Règlement IA de l’UE est un règlement, ce qui signifie qu’il s’applique directement dans les 27 États membres sans que chaque pays ait à en écrire sa propre version. Il est entré en vigueur le 1er août 2024 et s’applique par phases échelonnées jusqu’en 2027.

Ce n’est pas une interdiction de l’IA. Ce n’est pas un schéma de completion record. Ce n’est pas le RGPD de l’IA, même s’il en emprunte la structure. La lecture la plus propre est celle d’une loi de sécurité-produit à niveaux de risque, qui impose également des obligations aux employeurs et professionnels qui déploient des systèmes d’IA.

Si vous construisez de l’IA, il s’applique à vous. Si vous déployez de l’IA dans votre travail, il s’applique à vous. Si vos collaborateurs utilisent un outil d’IA tiers pour faire leur travail, les obligations de déployeur s’appliquent à vous.

Les quatre niveaux de risque

Le Règlement classe les systèmes d’IA en quatre niveaux, avec des règles différentes pour chacun.

• Interdit. Une courte liste d’usages que le Règlement interdit d’emblée - notation sociale par autorités publiques, identification biométrique en temps réel dans l’espace public avec des exceptions étroites, reconnaissance des émotions sur le lieu de travail et à l’école, et quelques autres. Applicable depuis le 2 février 2025.
• Haut risque. La longue liste - systèmes utilisés dans le scoring de crédit, le recrutement, les dispositifs médicaux, l’infrastructure critique, les décisions d’éducation, l’application de la loi, etc. Elles portent les obligations les plus lourdes : gestion des risques, gouvernance des données, documentation technique, supervision humaine, normes d’exactitude, et enregistrement dans une base de données UE.
• Risque limité. Systèmes qui interagissent avec des humains ou génèrent du contenu - chatbots, générateurs de deepfakes, etc. - avec des obligations de transparence (les utilisateurs doivent être informés qu’ils interagissent avec une IA, les contenus synthétiques doivent être étiquetés).
• Risque minimal. Tout le reste. Pas d’obligations spécifiques au titre du Règlement, bien que la littératie Article 4 s’applique toujours au personnel qui les utilise.

La majorité de l’usage IA en PME se situe en risque minimal ou limité. Les pièges sont les cas d’usage spécifiques - outils de recrutement, décisions de crédit, triage médical - qui font basculer un outil générique vers le niveau haut risque dès que vous l’utilisez ainsi.

Les obligations auxquelles la plupart des PME font face

Pour la PME européenne typique qui utilise l’IA au travail, trois groupes d’obligations comptent.

Article 4 - littératie IA. La clause courte, d’application anticipée. Le personnel et les contractants impliqués dans l’exploitation et l’utilisation de systèmes d’IA en votre nom doivent disposer d’un niveau suffisant de littératie IA. Applicable depuis le 2 février 2025. Traité en profondeur sur notre pilier Article 4.

Transparence sur le contenu généré par IA. Si vous déployez un chatbot, vous devez indiquer à l’utilisateur qu’il parle à une IA. Si vous publiez des images ou vidéos synthétiques, vous devez les étiqueter. Les obligations risque limité s’appliquent indépendamment de la taille de l’entreprise.

Diligence raisonnable sur les outils haut risque. Si l’outil d’un fournisseur est haut risque et que vous le déployez, vous héritez des obligations de déployeur - journalisation, supervision humaine, monitoring. Beaucoup de PME ne s’en rendent compte qu’en lisant attentivement leur contrat SaaS.

Le calendrier - ce qui est applicable quand

• 2 février 2025. Obligations de littératie Article 4 et liste des pratiques interdites en vigueur.
• 2 août 2025. Règles sur les modèles d’IA à usage général (les modèles sous-jacents de type GPT) en vigueur.
• 2 août 2026. Obligations pour les systèmes haut risque en vigueur pour la plupart des catégories.
• 2 août 2027. Règles haut risque pour l’IA intégrée aux produits réglementés (dispositifs médicaux, véhicules) en vigueur.

L’échelonnement signifie que le Règlement est déjà réel, même si les principales obligations haut risque sont encore à plus d’un an.

Ce que “suffisant” signifie réellement

L’Article 4 emploie le mot “suffisant” sans le définir. C’est la question que tout employeur nous pose.

La réponse pratique que nous utilisons avec les clients :

• Le personnel sait décrire, en langage clair, ce que le système d’IA fait en son nom.
• Le personnel sait nommer les modes d’échec courants de ce système - hallucinations, biais, fuites de vie privée, données d’entraînement dépassées.
• Le personnel sait quand traiter une sortie IA comme un brouillon et quand la traiter comme un travail fini.
• Le personnel sait documenter une décision assistée par IA a posteriori si on le lui demande.

Ces quatre compétences, appliquées rôle par rôle, sont à quoi ressemble un programme de littératie défendable. La formation générique de “sensibilisation à l’IA” ne passe pas la barre.

Ce que les régulateurs commencent à demander

Les autorités nationales compétentes de plusieurs États membres ont commencé à publier des orientations. La tendance est cohérente. Attendez-vous à être interrogé sur quatre choses :

1. Une politique écrite de littératie IA. Quels rôles, quels outils, quelle formation, quelle cadence.
2. Des registres de formation. Qui a été formé, à quoi, par qui, avec quels supports, quand.
3. Des preuves d’évaluation. Comment vous savez que la formation a fonctionné - pas un score à un quiz, mais un échantillon de travail réel revu.
4. Un registre d’incidents. Quand l’usage IA a mal tourné, ce qui a été appris, comment le programme a été ajusté.

Si vous ne pouvez pas produire ces quatre documents aujourd’hui, c’est l’écart à combler avant qu’un incident, un audit ou un CSE ne force la question.

Erreurs courantes

• Traiter ça comme un problème informatique. Les obligations pèsent sur l’employeur, pas sur le fournisseur. Les achats seuls ne satisfont pas l’Article 4.
• Formation ponctuelle. Les outils changent chaque trimestre. Un atelier annuel n’est pas un programme.
• Oublier les contractants et le personnel d’agence. “Personnel et autres personnes impliquées dans l’exploitation et l’utilisation de systèmes d’IA en votre nom” dépasse la masse salariale.
• Sur-documenter une politique vague. Une politique courte et cadrée à des rôles réels tient mieux qu’une longue politique générique.
• Attendre les règles haut risque complètes. L’Article 4 est déjà applicable. L’échéance est déjà passée.

Par où commencer

Trois points de départ honnêtes.

• Si vous voulez voir où en est votre équipe, passez le Scorecard de maturité Règlement IA. 10 questions, 4 minutes, un plan d’action de 3 pages.
• Si vous voulez la lecture approfondie de l’Article 4, notre pilier Article 4 est la page la plus liée du site.
• Si vous voulez un formateur de l’autre côté de la question, réservez un appel de découverte de 20 minutes. Zéro pitch.

Passer le Scorecard Lire le pilier Article 4