Le Règlement européen de l'IA (AI Act) : entre spécifications techniques, incitations économiques et positionnement stratégique.

 par Arnaud Billion

Après un accouchement long et douloureux l’Union Européenne a fini par produire une réglementation de l’Intelligence Artificielle. Publiée en Juin 2024 celle-ci commence à se mettre en place dans une logique d’entrée en vigueur progressive. Il est vrai que pour des raisons politiques certaines parties de ce Règlement ont été récemment décalées dans le temps, mais on voit mal comment une marche arrière serait possible dans la mesure ou le « Brussels Effect » est un signal stratégique fort.

Une lecture superficielle du Règlement européen sur l'IA (AI Act) laisse à penser que ce ne serait qu’une liste à la Prévert de tâches procédurales et bureaucratiques, une sorte de reporting institutionnel surabondant. De plus ce texte est long, bavard et mal écrit ce qui est source d’incertitude. Mais, à regarder de plus près on peut tout de même y trouver intérêt.

 Les raisons de la curieuse forme de l’AI Act

L’AI Act est une partie d’un ensemble réglementaire riche et complexe produit par l’Union Européenne comme le RGPD (données personnelles), le DMA (marchés numériques), le DSA (services et contenus numériques), le DGA (gouvernance numérique), le NIS2 (cybersécurité) … Ces textes sont eux-mêmes partie d’un ensemble plus vaste qui est le droit positif applicable de l’Union, lequel comprend notamment les droits nationaux. Au fil des ans cette législation se développe et s’enrichit.

 Dès sa promulgation en Juin 2024 l’AI Act s’est imposé aux 27 pays européens sans qu’il soit nécessaire de l’implémenter dans les Etats membres selon une loi nationale. Il n’est pourtant entré que partiellement en vigueur à partir du 1^er août 2024 et sa mise en place va s’étaler jusqu’en 2027 et même au-delà car, face à la pression des lobbies, une loi dite « Omnibus » a décalé et reformulé certaines mesures. Enfin, point très important, les régulateurs nationaux chargés de surveiller l’application de l’AI Act ont été désignés et les contrôles commencent à être mis en œuvre.

 Prenant du recul, nous voyons que c’est un droit qui louche du côté de son implémentation informatique : rédigé selon les principes tels que « la norme claire » et « la norme déductible » il reflète une ambition de la Commission : un droit directement applicable dans le système d’information, sans même besoin d’une intervention humaine (« Digital Ready Policymaking ») (voir slide 11 ci-dessous). Au-delà, c’est un révélateur d’une des forces (et des dangers) du droit moderne qui depuis le 17^ème siècle  promeut « le système de règles formelles déductibles » octroyant une prime à tout programme au détriment de l’approche artisanale informelle ou intuitive.

 La longueur et la complexité de l’AI Act est en partie due à la durée de l’élaboration de ce texte. Entre sa première esquisse et sa publication finale il s’est passé quatre ans comprenant une longue phase de dialogue entre le Parlement et la Commission suivi d’un trilogue avec en plus le Conseil des Ministres des états, accompagné d’un intense lobbying du secteur. Cela explique, en grande partie, sa médiocre qualité juridique.

 Pour bien comprendre la logique de l’AI Act il faut se rappeler celle du droit européen qui s’efforce toujours de maintenir (ou plutôt d’énoncer) un équilibre entre le respect des droits fondamentaux et la recherche de l’efficacité économique. Ainsi tout juriste armé de cette boussole, est capable de montrer la logique de ce texte et de proposer aux entreprises concernées des stratégies de conformité adaptées à chaque contexte.

 Les grandes distinctions

 Sont catégorisés des utilisations des IA en fonction de leurs niveaux respectifs de risque. C’est une étrange taxonomie, qui tâche de saisir ce que va faire tel ou tel système.

 Faut-il penser que l’AI Act atteindra ses objectifs ? Ce serait étonnant, d’autant que l’approche par les risques n’est guère pertinente (puisque sont postulés des « systèmes » qui ne resteront pas fidèles à eux-mêmes) Il est en tout cas critiqué par des entreprises comme Open IA ou Mistral, qui le trouvent trop contraignant et inopportun économiquement, à cause d’une trop lourde charge de conformité : il faudrait pouvoir innover librement.

 Cependant de nombreuses entreprises décident de se conformer à l’AI Act, exercice qui ne peut consister à modifier tout le systèmes de gestion et d’information pour satisfaire l'ensemble des prescriptions du droit européen (ce serait bien trop lourd et compliqué en absence d’une cohérence d’ensemble). Le rêve serait simplement de prompter à un super agent d’IA « mets-moi en conformité avec l’ensemble de l’AI Act sans perturber mes processus ». On sent toute la vanité de ce projet.

Mais à quelque chose malheur est bon : les entreprises, en se penchant sur les risques de non-conformité, vont devoir se reposer la question de l’alignement stratégique, de la maintenabilité et de la valeur de leur système d’information. En effet, les prescriptions du l’AI Act peuvent être considérées comme une recension (certes incomplète, maladroite et velléitaire) de bonnes pratiques informatiques. Autrement dit, il faut chercher à lire dans l’AI Act les spécifications logicielles pertinentes et intelligentes permettant d’améliorer de manière significative le processus de transformation numérique des entreprises.

Par exemple, l’entreprise qui prendra au sérieux l’exigence posée de supervision humaine, aura une chance de conserver le contrôle des opérations (dans un contexte d’interconnexion grossièrement généralisée, dite « agentique ». Autre exemple : l’AI Act liste des applications interdites de l’IA par exemple les techniques de manipulation subliminale, ce qui permet d’éviter aux entreprises d’orienter leurs modèles d’affaires sur le service d’une société à la Orwell… mais on peut craindre que l’exercice de divination des mauvais usages de l’IA soit vain, puisque les risques sont en fait systémiques ; porter l’attention sur le soi-disant « système d’IA » n’est peut-être pas si opportun.

 Une liste de prescriptions

 Lorsqu’on lit les 113 articles de l’AI Act on constate très vite que c’est, pour une bonne partie, une liste des bonnes pratiques qui doivent être appliquées tant par les fournisseurs que par les intégrateurs de logiciels et de services, lesquels devront évaluer les risques liés à l’emploi de leurs systèmes et prendre des mesures pour chercher à les réduire. Ces règles concernent aussi la gestion des données qui doivent être convenablement sécurisées. De même les entreprises qui déploient pour le compte de tiers des systèmes à base d’Intelligence Artificielle doivent veiller à leur sécurité.

 Un effort particulier doit être porté à la compliance de ces systèmes par le moyen d’un processus de contrôle de la conformité et la possibilité d’obtenir un label CE. Cette démarche repose sur la vérification par un tiers de l’application des bonnes pratiques que tout professionnel connait et s’efforce d’appliquer. Notons encore que des normes harmonisées sont commandées à la CEN-CENELEC afin d’instancier un peu mieux toutes ces recommandations.

 En tout état de cause, la seule démarche praticable nous semble l’approche remontante ou bottom-up, consistant à reconnaître le champ des possibles transformations à partir d’un diagnostic clair dans chaque situation en fonction des ressources disponibles… la meilleure manière de servir l’alignement stratégique sans négliger le respect des droits humain fondamentaux.

 En guise de conclusion

 L’AI Act s’inscrit dans la logique du droit de l'Union, cherchant à concilier performance économique européenne et épanouissement des Droits de l’homme. Il invite chacun à maîtriser les systèmes basés sur l’Intelligence Artificielle. Il se différencie en cela des démarches, ou de l’absence de démarche, des deux pays qui assurent aujourd’hui une grande partie des développements des systèmes à base d’IA : les USA où l’administration Trump a supprimé le peu de législation existante et a même interdit aux différents Etats américain de légiférer sur le sujet ; la Chine qui semble avoir opté pour le contrôle étatique des systèmes par l’Intelligence Artificielle. Cependant, sa mise en œuvre par les entreprises concernées requiert un effort important de compréhension de cette loi afin d’en apprécier les avantages ce qui permettra de faire évoluer de leurs pratiques de développement et de mise en œuvre de ces systèmes.

 

Ce texte est un résumé de la conférence faite par Arnaud Billion au Club de la Gouvernance des Systèmes d’Information le Mercredi 18 Février 2026 sur le thème : « Le Règlement européen de l'IA (AI Act) : entre spécifications techniques, incitations économiques et positionnement stratégique. »

Elle a permis de faire le point sur ce sujet et de répondre à quelques questions clés comme :

-        Quelles sont les principes sous-jacents à l’AI Act et quels sont les objectifs visés par le législateur ?

-        Quels sont, derrière ces contraintes, les bonnes pratiques à mettre en œuvre ?

-        Comment les entreprises peuvent prendre en compte ces obligations pour en faire une opportunité ?

-        Est-ce qu’il est possible dès aujourd’hui de mesurer les impacts stratégiques de l’AI Act ?

-        Quels sont les pièges et chausse-trapes de l’AI Act ?

-         Quels sont les impacts économiques et géostratégiques de l’ensemble de ces démarches ?

-        ….

 Lire ci-dessous le support de la présentation de l’exposé de Arnaud Billon :

                                                                                                   Slide

1.        La problématique                                                                  3

2.        Le RIA dans son contexte réglementaire                               6

3.        Les grandes distinctions du RIA                                            8

4.        Compliance et gouvernance stratégique                               10

5.        Conclusion                                                                            13

Article sur la compliance et la gouvernance                          14