AI Act

The AI Act frames the marketing, commissioning and use of artificial intelligence systems according to the level of risk they present.

Getting started

The European Regulation on Artificial Intelligence (RIA or AI Act) is the first general (or comprehensive) legislation dedicated to artificial intelligence. It aims to frame the development, marketing and use of artificial intelligence (AI) systems, which may present risks to health, safety or fundamental rights.

Objectives of the European AI Regulation:

  • Ensure that AI systems are safe and respect laws on fundamental rights, EU values, the rule of law and the environment;
  • Encourage reliable, human-centric IA;
  • Create a uniform legal framework to facilitate investment and innovation;
  • Strengthen governance and enforcement of existing laws on AI system safety and fundamental rights;
  • Improve the internal market for legal and safe AI applications, and avoid market fragmentation.

In practice

The regulation lays down rules, prohibits certain practices and imposes specific requirements on high-risk AI systems.

A risk-based approach by classifying AI systems into four levels:

1. Unacceptable risk:
Definition: these systems are strictly prohibited because they threaten the security, fundamental rights and values of the EU.
Decision: total prohibition.
Examples: subliminal manipulation, social rating by governments, real-time biometric surveillance in public spaces, etc.

2. High risk:
Definition: AI systems with a significant impact on health, safety or fundamental rights.
Decision: Enhanced requirements for compliance with rigorous standards of risk management, data governance and human control.
Examples: AI used in critical infrastructure (health, transport, energy), education and training systems, automated recruitment tools, AI for essential public services (health, justice), etc.

3. Limited risk:
Definition: These systems are subject to specific transparency obligations, particularly in the event of a clear risk of manipulation.
Decision: Users must be informed that they are interacting with an AI.
Examples: Chatbots, content generation, deepfakes, emotion recognition systems, etc.

4. Minimal risk:
Definition: All other AI systems are not subject to any specific obligations under the AI Regulation.
Decision: No specific regulatory constraints.
Examples: Spam filters, AI-based video games, etc.

The RIA also frames a new category of general-purpose models, such as those used in generative AI. These models, capable of performing numerous tasks, are difficult to classify in existing categories. For these models, the RIA imposes different levels of obligations, ranging from minimum transparency (Article 53) to in-depth assessment and measures to mitigate systemic risks.

When ?

The RIA, published in the Journal Officiel on July 12, 2024, came into force on August 1, 2024.
It is being applied gradually:
- February 2, 2025: Ban on AI systems presenting unacceptable risks
- August 2, 2025: Application of rules for general-purpose AI models
- August 2, 2026: All provisions of the AI Regulation become applicable, including rules for high-risk AI systems in Annex III (biometrics, critical infrastructure, education, employment, access to essential public services, law enforcement, immigration and justice)
- August 2, 2027: Application of rules for high-risk AI systems in Annex I (toys, radio equipment, in vitro diagnostic medical devices, civil aviation safety, agricultural vehicles, etc.)

En pratique

Le règlement fixe des règles, interdit certaines pratiques et impose des exigences spécifiques aux systèmes d'IA à haut risque.

Une approche fondée sur les risques en classant les systèmes d’IA en quatre niveaux :

  1. Risque inacceptable :
    Définition : Ces systèmes sont strictement interdits car ils menacent la sécurité, les droits fondamentaux et les valeurs de l'UE.
    Décision : Interdiction totale.
    Exemples : Manipulation subliminale, notation sociale par les gouvernements, surveillance biométrique en temps réel dans les espaces publics, etc.
  2. Risque élevé :
    Définition : Les systèmes d’IA ayant un impact significatif sur la santé, la sécurité ou les droits fondamentaux. 
    Décision : Exigences renforcées de conformité à des normes rigoureuses de gestion des risques, de gouvernance des données et de contrôle humain.
    Exemples : IA utilisée dans les infrastructures critiques (santé, transports, énergie), systèmes d'éducation et de formation, outils de recrutement automatisés, IA pour les services publics essentiels (santé, justice), etc.
  3. Risque limité :
    Définition : Ces systèmes sont soumis à des obligations de transparence spécifiques, notamment en cas de risque manifeste de manipulation.
    Décision : Les utilisateurs doivent être informés qu'ils interagissent avec une IA.
    Exemples : Chatbots, génération de contenu, deepfakes, systèmes de reconnaissance d'émotions, etc.
  4. Risque minimal :
    Définition : Tous les autres systèmes d’IA ne sont soumis à aucune obligation spécifique au titre du règlement sur l'IA.
    Décision : Pas de contraintes réglementaires spécifiques.
    Exemples : Filtres anti-spam, jeux vidéo basés sur l'IA, etc.

Le RIA encadre aussi une nouvelle catégorie de modèles à usage général, comme ceux utilisés en IA générative. Ces modèles, capables de réaliser de nombreuses tâches sont difficiles à classer dans les catégories existantes. Pour ces modèles, le RIA impose différents niveaux d'obligations, allant de la transparence minimale (article 53) à une évaluation approfondie et des mesures pour atténuer les risques systémiques.

Quand ?

Le RIA, publié au Journal officiel le 12 juillet 2024, est entré en vigueur le 1er août 2024. 

Son application se fait progressivement :

  • 2 février 2025 : Interdiction des systèmes d'IA présentant des risques inacceptables
  • 2 août 2025 : Application des règles pour les modèles d'IA à usage général
  • 2 août 2026 : Toutes les dispositions du règlement sur l'IA deviennent applicables, notamment les règles pour les systèmes d'IA à haut risque de l'annexe III (biométrie, infrastructures critiques, éducation, emploi, accès aux services publics essentiels, application de la loi, immigration et justice)
  • 2 août 2027 : Application des règles pour les systèmes d'IA à haut risque de l'annexe I (jouets, équipements radio, dispositifs médicaux de diagnostic in vitro, sécurité de l'aviation civile, véhicules agricoles, etc.)

Nos experts sur le sujet

Line Farah,

Délégation au numérique en santé (DNS)

Hélène Guimiot,

CNIL

Questions fréquentes

Qui est concerné par l’AI Act ?

Le Règlement européen sur l'intelligence artificielle (AI Act) concerne toute organisation qui fournit, importe, distribue ou déploie des systèmes d'intelligence artificielle encadrés par le règlement1. Cela inclut les entreprises, les associations et les administrations.

Le RIA remplace le RGPD ?

Non, le RIA ne remplace pas le RGPD, mais le complète. En effet, le RGPD s'applique à tous les traitements de données personnelles. Ainsi, respecter les exigences du RIA aide à respecter celles du RGPD.
Pour en savoir plus consultez les questions – réponses de la CNIL 

Comment savoir quel règlement s'applique à mon projet ?

  • Le RIA s’applique seul : si ma solution utilise un système d'IA à haut risque sans nécessiter de données personnelles ;
  • Le RGPD s’applique seul : si je traite des données personnelles sans utiliser de système d'IA soumis au RIA ;
  • Les deux s’appliquent : si mon système d’IA à haut risque nécessite des données personnelles pour son développement ou son déploiement ;
  • Aucun des deux ne s’applique : si mon système d’IA à risque minimal ne traite pas de données personnelles.

    Pour en savoir plus consultez les questions – réponses de la CNIL
     

Quelles sont les autorités de surveillance et la gouvernance prévues par le règlement IA ?

Le règlement sur l'IA prévoit plusieurs niveaux de surveillance et de gouvernance :

  • Bureau européen de l'IA : créé au sein de la Commission européenne, il supervise l'application du règlement dans les États membres et surveille les modèles d'IA à usage général
  • Autorités nationales de surveillance du marché : chaque État membre doit désigner des autorités responsables de la surveillance et de l'application des règles sur les systèmes d'IA, notamment les interdictions et les exigences pour les systèmes à haut risque
     

En France, les autorités de surveillance et de gouvernance pour le règlement sur l'IA incluent :

  • La CNIL (Commission Nationale de l'Informatique et des Libertés) : elle joue un rôle central dans la surveillance de l'application du règlement sur l'IA, en particulier en ce qui concerne la protection des données personnelles
  • La DGE (Direction Générale des Entreprises) : elle est impliquée dans la mise en œuvre des règles pour les entreprises et l'innovation en matière d'IA

Quelles sont les sanctions en cas de non-conformité ?

Les sanctions prévues par l'AI Act varient de 1 % à 7 % du chiffre d'affaires annuel mondial de l'entreprise, ou de 7,5 à 35 millions d'euros d'amende. Le montant dépend de la nature de la non-conformité (usages interdits, exigences pour les applications à haut risque, ou exigences de transparence pour les risques limités) et de la catégorie de l'entreprise.