Article | AI Act 2025 : Impact et Obligations pour les Déployeurs de Systèmes d'IA à Haut Risque

Le 12 juillet 2024, le règlement sur l’intelligence artificielle (AI Act) a été publié dans le Journal Officiel de l’Union européenne, pour une entrée en vigueur le 1er août 2024 et une application progressive depuis le 2 février 2025. Cet acte législatif, initié pour la première fois le 21 avril 2021, vise à réglementer l’utilisation et la commercialisation de l’intelligence artificielle (IA). Il cible plus précisément les systèmes d’IA à haut risque, la Commission européenne ayant classifié les systèmes d’IA selon quatre niveaux de risque¹ : risque minimal, risque limité, haut risque, risque inacceptable. 

Impact sur les entreprises et déployeurs de systèmes d’IA

Les entreprises sont impactées à la fois en tant que fournisseurs de systèmes d’IA pour leurs clients, mais également en tant qu’utilisateurs de leurs propres systèmes d’IA ou simplement déployeurs. En fonction de ce statut, elles ont un certain nombre d’obligations à respecter en termes de gouvernance interne, de gestion des risques ou encore de supervision humaine. Cet article mettra majoritairement l’accent sur les attentes pour les déployeurs.

Pour plus d’informations sur le cadre général de l’AI Act, consultez l'article Qu'est-ce que l'AI Act ? rédigé par nos experts.

Les déployeurs de systèmes d’IA à haut risque : un rôle central dans la conformité

Le règlement, applicable aux déployeurs et fournisseurs de systèmes d’IA établis ou qui génèrent des résultats dans l’Union Européenne (UE), définit un cadre juridique uniforme pour les pays de l’UE. Cette harmonisation des pratiques vise à instaurer un environnement de confiance par la prévention des risques, en matière de sécurité et de respect des droits fondamentaux² notamment, dans la conception, la mise sur le marché, l’utilisation et le suivi des systèmes d’intelligence artificielle (systèmes d’IA).

Définition des systèmes d’IA à haut risque

L’AI Act introduit les « systèmes d’IA »³ comme des logiciels développés au moyen d’une ou plusieurs techniques et approches (apprentissage automatique, logique et connaissance, statistiques, estimation bayésienne, méthodes de recherche et d’optimisation) et qui peuvent, pour un ensemble donné d’objectifs définis par l’homme, générer des résultats. Ils sont déployables dans plusieurs secteurs de l’économie et susceptibles de circuler dans toute l’UE. Ces systèmes d’IA pouvant fonctionner à divers degrés d’autonomie, présentent des risques⁴ inhérents à leur utilisation. Ils sont alors qualifiés de « systèmes d’IA à haut risque » lorsqu’ils présentent un risque élevé, pour la santé, la sécurité ou les droits fondamentaux des personnes physiques. 

Ils sont autorisés sur le marché européen sous réserve du respect de certaines exigences obligatoires pour les déployeurs et les fournisseurs. 

D’après le règlement, le déployeur est défini comme une personne physique ou morale, une autorité publique ou tout autre organisme, qui utilise sous sa propre autorité un système d’IA, dans un contexte professionnel.

En instaurant des exigences pour les déployeurs, l’AI Act fiabilise l’utilisation et la commercialisation des systèmes d’IA à haut risque sur le marché européen.

Une gestion des risques et un contrôle humain imposés aux déployeurs dans l’utilisation des systèmes d’IA à haut risque

Exigences pour les Déployeurs de Systèmes d’IA à Haut Risque

L’AI Act fixe une liste d’objectifs clairs venant préciser les attendus des déployeurs⁵ dans l’utilisation des systèmes d’IA à haut risque. Les dispositifs de gouvernance interne des déployeurs doivent répondre aux exigences des systèmes d’IA à haut risque telles qu’énoncées ci-après :

• Un devoir de gestion des risques : Le déployeur est tenu d’utiliser son système d’IA conformément aux notices d’utilisation procurées par le fournisseur. En s’appuyant sur ces dernières, le déployeur doit mettre à jour sa cartographie des risques.
• Un devoir d’information : Le déployeur a l’obligation d’informer ses clients ou prospects lorsqu’il a recours à de l’IA. En cas de constat d’un potentiel risque ou dysfonctionnement du système d’IA à haut risque, il doit alerter le fournisseur, et interrompre le système si nécessaire. 
• Un devoir de surveillance : Le déployeur s’appuie sur les notices d’utilisation du système d’IA à haut risque procurées par le fournisseur, pour surveiller le bon fonctionnement du système.
• Un devoir de traçabilité : Le déployeur assure la tenue de journaux, conservés pendant une durée variable au regard de la destination du système d’IA à haut risque.

Contrôle Humain et Protection des Données

Des impacts organisationnels sont à prévoir par les déployeurs, dans le cadre des exigences liées aux systèmes d’IA à haut risque, avec notamment :

• Un devoir de « contrôle humain »⁶ : Dans le cas d’un système d’IA à haut risque, le déployeur doit mobiliser ses ressources aux fins de la mise en œuvre des mesures de contrôle humain préconisées par le fournisseur. Selon le type de système d’IA à haut risque utilisé, le déployeur peut nécessiter une formation réalisée par le fournisseur. La personne désignée pour le « contrôle humain » devra pouvoir appréhender les capacités et limites du systèmes d’IA à haut risque, repérer les éventuels biais d’automatisation, et correctement interpréter les résultats fournis par le système d’IA à haut risque. Enfin, elle sera en mesure d’intervenir sur le fonctionnement du système d’IA, et de l’interrompre si nécessaire.

Ces exigences pour les déployeurs introduisent une obligation de protection des données à caractère personnel et de transparence envers les clients, dans l’utilisation des systèmes d’IA à haut risque.

Une adhérence de l’AI Act au Règlement Général de l’Union Européenne sur la Protection des Données (RGPD)

Les exigences définies par l’AI Act peuvent entrer en adhérence avec le RGPD⁷. 

Dans le cadre de la finalité de traitement, le RGPD impose aux utilisateurs de données à caractère personnel de définir l’objectif principal de l’utilisation de ces données. Les déployeurs de systèmes d’IA devront alors formaliser un registre de traitement, et informer le client ou prospect de la finalité de traitement de ses données. La phase de tests des systèmes d’IA, réalisée en amont de la mise en production, sera soumise aux mêmes obligations.

Pour se conformer au RGPD, le responsable de traitement doit mener une analyse d’impact sur la protection des données (PIA), relative aux principes de protection de la vie privée des personnes et de leurs données. Dans la continuité de cette obligation, les déployeurs de systèmes d’IA à haut risque devront réaliser une analyse d’impact relative à la protection des données, et conformément aux informations communiquées par les fournisseurs. Ils veilleront également à ce que leurs données d’entrée soient pertinentes au regard de la destination du système d’IA à haut risque.

Le RGPD renforce la sécurité des données personnelles, en imposant une vigilance accrue aux organisations et la tenue d’un registre des violations de données. Dans la poursuite de ces objectifs, les déployeurs assureront la tenue de journaux et encadreront l’utilisation de leurs systèmes d’IA par des personnes formées. Le déployeur et le fournisseur devront collaborer pour s’assurer que les systèmes d’IA à haut risque fassent preuve de robustesse et de résilience en cas de défaillances.

Conclusion : vers une IA responsable et co-construite

Les déployeurs de systèmes d’IA à haut risque devront adapter leur organisation pour :

• Instaurer des mécanismes de surveillance et d’évaluation de la conformité.
• Former leurs équipes à l’interprétation des résultats IA.
• Collaborer avec les éditeurs de solutions IA pour concevoir des systèmes alignés sur leurs besoins métiers et leurs politiques de sécurité.

Enfin, pour les systèmes d’IA déjà présents sur le marché mais ayant subi d’importantes modifications, une mise en conformité sera nécessaire pour mi-mai 2026.

Sources

¹ Loi sur l'intelligence artificielle (Règlement (UE) 2024/1689), version du Journal officiel du 13 juin 2024 Loi sur l'IA (Commission européenne)
² Charte des droits fondamentaux de l’Union européenne (2022) Charte des droits fondamentaux de l’Union européenne
³ Règlement du Parlement Européen et du Conseil établissant des règles harmonisées concernant l’intelligence artificielle (2021) EUR-Lex (europa.eu)
⁴ Loi européenne sur l’intelligence artificielle, Article 3 (2024) Article 3 (artificialintelligenceact.eu)
⁵ Loi européenne sur l’intelligence artificielle, Section 3 : Obligations des fournisseurs et des déployeurs de systèmes d’IA à haut risque et d’autres parties (2024) Section 3 (artificialintelligenceact.eu)
⁶ Loi européenne sur l’intelligence artificielle, Article 14 (2024) Article 14 (artificialintelligenceact.eu)
⁷ Loi européen Le règlement général sur la protection des données - RGPD | CNIL
 

Auteurs : 

Sophie SCHWARTZ - Conseil Assurance chez Forvis Mazars

Audrey DORSO - Conseil Assurance chez Forvis Mazars

Angélique GRIMAULT - Conseil Assurance chez Forvis Mazars