L'IA Act européen : ce que l'étudiant en droit doit en retenir

Le règlement (UE) 2024/1689, dit "IA Act", est le premier texte à organiser la régulation des systèmes d'intelligence artificielle à l'échelle d'un grand marché. Adopté le 13 juin 2024 et applicable progressivement entre 2025 et 2027, il classe les systèmes d'IA selon quatre niveaux de risque et impose des obligations proportionnées à chacun d'eux.

Pour savoir exactement où vous en êtes dans votre maîtrise des grands textes du droit européen, faites votre bilan personnalisé, c'est moins de 2 minutes.

Qu'est-ce que l'IA Act et pourquoi ce texte compte ?

Publié au Journal officiel de l'Union le 12 juillet 2024, entré en vigueur le 1er août suivant, le règlement (UE) 2024/1689 constitue le cadre juridique le plus ambitieux mis en place à ce jour pour encadrer le développement et le déploiement des systèmes d'intelligence artificielle. Son champ d'application est délibérément large : il vise les fournisseurs, les déployeurs et, sous conditions, les utilisateurs de systèmes d'IA mis sur le marché ou en service dans l'Union, qu'ils soient établis en Europe ou non.

Le réflexe juridique face à ce texte est d'en saisir la logique avant les détails. L'IA Act ne prohibe pas l'intelligence artificielle. Il la soumet à un régime de contraintes graduées selon le risque que chaque système fait peser sur les droits fondamentaux, la sécurité et les processus démocratiques. C'est cette architecture par les risques qui structure tout le règlement et que vous devez être capable de restituer en copie.

Quelles sont les quatre catégories de risque établies par le règlement ?

La classification est l'ossature du texte. Elle détermine le régime applicable à chaque système d'IA, des interdictions absolues jusqu'à l'absence totale de contrainte.

La première catégorie regroupe les systèmes à risque inacceptable, dont l'usage est purement et simplement interdit par l'article 5 du règlement. Entrent dans ce périmètre : les systèmes de notation sociale déployés par des autorités publiques, les technologies de manipulation subliminale, l'exploitation des vulnérabilités liées à l'âge, au handicap ou à la précarité sociale, et l'identification biométrique en temps réel dans les espaces accessibles au public. Cette dernière interdiction admet des exceptions strictement délimitées, notamment pour les besoins d'enquêtes pénales portant sur des infractions graves, sous réserve d'autorisation judiciaire ou administrative préalable.

La deuxième catégorie rassemble les systèmes à haut risque. Elle est la plus développée dans le règlement et couvre des secteurs déterminants : les infrastructures critiques, les dispositifs médicaux, l'éducation et la formation professionnelle, le recrutement, l'accès aux services essentiels comme le crédit ou l'assurance, les outils utilisés dans le cadre du maintien de l'ordre et de la gestion des frontières, et, point particulièrement notable pour un étudiant en droit, l'administration de la justice. Les systèmes d'aide à la décision judiciaire entrent dans ce périmètre. Ces systèmes ne sont pas interdits, mais soumis à des exigences rigoureuses : registres de conformité, évaluations préalables, supervision humaine obligatoire, transparence.

La troisième catégorie concerne les systèmes à risque limité, pour lesquels le règlement impose essentiellement des obligations de transparence. Les chatbots doivent signaler à l'utilisateur qu'il interagit avec un système automatisé. Les contenus générés par IA, qu'il s'agisse d'images, de sons ou de textes, doivent être identifiables comme tels. La question des deepfakes se joue principalement ici.

La quatrième catégorie, enfin, englobe les systèmes à risque minimal, qui représentent la grande majorité des applications en usage courant : filtres anti-spam, systèmes de recommandation, jeux vidéo assistés par IA. Ces systèmes ne font l'objet d'aucune obligation réglementaire spécifique.

**Étape A de la méthode CADRE, assembler les règles** : face à un sujet portant sur l'IA Act, votre premier réflexe ne doit pas être de commenter le texte, mais de localiser les règles applicables. Quelle catégorie de risque est en jeu ? Quel article du règlement s'applique ? Quelles obligations concrètes en découlent ? C'est cette précision dans l'identification du cadre normatif que le correcteur attend. Pour construire ce réflexe, voir notre article sur la [méthode CADRE](/blog/methode-cadre-donner-cadre-copie-droit).

Vous avez du mal à identifier les règles applicables dans un sujet de droit européen ? Identifiez vos lacunes avec votre bilan personnalisé et obtenez un retour ciblé sur votre profil.

Quelles sanctions prévoit le règlement IA Act ?

L'article 99 du règlement organise un système de sanctions graduées à trois niveaux, proportionnées à la gravité de la violation et calculées soit en pourcentage du chiffre d'affaires mondial annuel de l'entité en cause, soit selon un montant forfaitaire alternatif (le plus élevé des deux étant retenu). Les violations des interdictions absolues posées par l'article 5 sont passibles des amendes les plus lourdes : jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial annuel. Les manquements aux obligations imposées aux systèmes d'IA à haut risque relèvent du palier intermédiaire, avec des amendes pouvant atteindre 15 millions d'euros ou 3 % du chiffre d'affaires. Enfin, la communication d'informations incorrectes ou incomplètes aux autorités de surveillance constitue le niveau le plus bas, plafonné à 7,5 millions d'euros ou 1,5 % du chiffre d'affaires. Pour les PME et les startups, des plafonds adaptés sont prévus.

La mise en œuvre de ces sanctions est confiée à des autorités nationales compétentes que chaque État membre doit désigner, ainsi qu'à un Bureau européen de l'IA créé au sein de la Commission européenne.

Quel est le calendrier d'application progressif du règlement ?

Entré en vigueur le 1er août 2024, le règlement s'applique par étapes successives. Les interdictions visant les systèmes à risque inacceptable sont applicables depuis février 2025. Les dispositions relatives aux modèles d'IA à usage général et aux règles de gouvernance s'appliquent depuis août 2025. La majorité des obligations imposées aux systèmes à haut risque entrent en application à partir d'août 2026. Certaines dispositions sectorielles spécifiques, notamment pour les produits relevant de législations de sécurité préexistantes, bénéficient d'un délai prolongé jusqu'en août 2027.

Ce calendrier étalé n'est pas anodin sur le plan juridique : il signifie que le droit applicable à un système d'IA donné dépend également de la date à laquelle on se place, ce qui peut nourrir une réflexion sur l'applicabilité temporelle du règlement.

Pourquoi l'IA Act intéresse-t-il particulièrement le juriste ?

Le texte présente d'abord une portée extraterritoriale qui en fait l'un des leviers de régulation les plus puissants du droit européen contemporain. Comme le RGPD avant lui, l'IA Act s'applique dès lors qu'un système d'IA produit ses effets sur le territoire de l'Union, quelle que soit la localisation de son fournisseur. Ce mécanisme, que les juristes désignent parfois sous l'expression "Brussels effect" pour caractériser la propension des standards européens à devenir des références mondiales de facto, transforme le règlement en outil d'influence normative bien au-delà des frontières de l'Union.

Il s'articule également avec le RGPD selon une logique de complémentarité que le juriste doit savoir restituer. Les deux textes poursuivent des finalités connexes sans se confondre : le RGPD encadre la licéité du traitement des données, l'IA Act encadre la conformité du système lui-même. Un déployeur d'IA traitant des données personnelles devra satisfaire aux deux textes simultanément. La tension entre leurs régimes respectifs, notamment en matière de responsabilité et de droit à l'explication, est un point que le Conseil d'État avait déjà identifié dans son étude de 2022 sur l'intelligence artificielle et l'action publique comme l'un des défis majeurs de la régulation algorithmique.

Et le règlement pointe vers un contentieux à venir qui constituera le matériau juridique des prochaines années : premières décisions des autorités nationales de surveillance, questions préjudicielles à la CJUE sur l'interprétation des notions indéterminées (qu'est-ce qu'une "vulnérabilité" au sens de l'article 5 ? comment délimiter un "risque systémique" pour un modèle à usage général ?), débats sur la proportionnalité des sanctions transnationales.

**Attention à la confusion fréquente** : l'IA Act n'est pas un texte sur la propriété intellectuelle des œuvres générées par IA, ni sur la responsabilité civile en cas de dommage causé par un système d'IA. Ces questions font l'objet de propositions législatives distinctes encore en cours d'élaboration. L'IA Act encadre la conformité des systèmes d'IA, pas les droits sur leurs productions ni les recours en responsabilité.

Comment mobiliser l'IA Act dans une copie de partiel ?

En dissertation de droit européen de niveau L3, un sujet comme "Le règlement IA Act traduit-il une exception européenne dans la régulation du numérique ?" se prête à une problématisation construite autour de la tension entre innovation et protection. Une première partie pourrait montrer que le texte incarne un modèle de régulation fondé sur les droits fondamentaux, structurellement différent du modèle américain fondé sur l'autorégulation. Une seconde partie interrogerait les limites de ce modèle : risque de frein à l'innovation, difficultés d'application pour les acteurs non européens, effectivité incertaine des sanctions transnationales.

En commentaire, si la CJUE vient prochainement à se prononcer sur une question liée au règlement, le réflexe sera d'articuler le texte, sa place dans la hiérarchie des normes européennes et la manière dont le juge interprète les notions indéterminées. La technique du commentaire d'arrêt en droit européen suppose de maîtriser ce passage du texte à l'interprétation, que vous pouvez travailler avec notre guide pas à pas du commentaire d'arrêt.

En matière de libertés fondamentales, l'IA Act nourrit également une réflexion sur l'articulation entre liberté d'entreprendre, protection de la vie privée et impératifs de sécurité publique, notamment à travers le régime d'exception à l'interdiction de l'identification biométrique en temps réel.

Les erreurs fréquentes à ne pas commettre avec l'IA Act

• Confondre l'IA Act et le RGPD comme s'ils étaient interchangeables ou redondants
• Assimiler la catégorie "risque élevé" à une interdiction, alors qu'elle correspond à un encadrement strict et non à une prohibition
• Omettre la portée extraterritoriale du règlement, qui est pourtant centrale pour comprendre ses effets réels
• Ignorer le calendrier d'application progressif et raisonner comme si toutes les dispositions étaient déjà pleinement applicables
• Réduire les pratiques interdites à la seule biométrie, en oubliant la notation sociale et la manipulation subliminale
• Traiter l'IA Act comme un texte définitivement stabilisé, sans signaler les textes complémentaires encore en cours d'élaboration
• Citer le règlement en bloc sans en préciser les articles pertinents face au problème juridique posé

---

Reste une question que le règlement laisse largement ouverte : quelle sera la place du juge national dans son application concrète ? La désignation des autorités nationales de surveillance, l'articulation avec les juridictions ordinaires, les marges d'interprétation laissées aux États membres dans la qualification des "risques systémiques" ou des "vulnérabilités" sont autant de chantiers que le contentieux à venir devra clarifier. Pour un étudiant en L3 qui prépare un sujet de droit européen ou de libertés fondamentales, cette zone d'incertitude est ce qui transforme l'IA Act en sujet de dissertation : non pas un texte à connaître, mais un texte dont il faut savoir formuler les tensions.

Identifiez ce qui vous coûte des points à l'examen, bilan personnalisé gratuit (moins de 2 minutes)