RIA (AI Act) : Une mise en oeuvre délicate

Adoption tardive, mise en œuvre progressive, pression de la concurrence internationale, divergences réglementaires… Focus sur les défis de la mise en œuvre du Règlement européen sur l'IA.

Après une adoption règlementaire tardive, le Règlement européen sur l'Intelligence Artificielle (RIA) impose aux opérateurs d'IA un calendrier de mise en œuvre exigeant, dans un contexte de forte concurrence internationale, où la vision de la régulation de l'IA diffère.

Au-delà des défis que l'application du RIA représente pour les fournisseurs de technologies et les professionnels de la conformité, ce nouveau cadre réglementaire met également la Commission européenne sous pression, celle-ci devant publier, dans des délais serrés, des lignes directrices opérationnelles pour accompagner les acteurs concernés.

Une mise en application échelonnée, avec des dispositions déjà applicables

L'Union européenne a officiellement adopté une régulation de l'IA avec l'entrée en vigueur, le 1er août 2024, du RIA (Règlement UE 2024/1689), vingt jours après sa publication au Journal Officiel de l'UE.

Pour rappel, l'objectif du RIA est d'harmoniser et de réguler l’usage des systèmes d’IA susceptibles de présenter des risques pour la santé, la sécurité, l'environnement et — surtout — les droits fondamentaux.

D'application directe pour les États membres, le RIA a établi des dispositions avec des délais de mise en application de 6 à 36 mois, certaines dispositions étant déjà applicables dès 2025 :

  • Depuis le 2 février dernier, avec l'interdiction des systèmes d’IA présentant des risques jugés "inacceptables" et la nécessité de maîtriser l'IA avec un niveau adapté. Les entités qui créent et utilisent des systèmes d'IA doivent en ce sens s'assurer que leurs employés et toute autre personne qui exploite ou utilise ces systèmes en leur nom sont bien formés à ce sujet.
  • À partir du 2 août prochain, avec la mise en place des règles pour les modèles d’IA "à usage général" (GPAI) et la désignation des autorités compétentes pour contrôler l'application du RIA dans chaque État membre. En ce sens, le compte à rebours a également commencé pour les fournisseurs de modèles d’IA dits "à usage général" (GPAI). Tout fournisseur de GPAI devra démontrer que son modèle est transparent, traçable et sûr. Les opérateurs d'IA devront dorénavant assurer un contrôle rigoureux et une traçabilité totale des modèles qu'ils développent.

La mise en application du RIA se poursuivra progressivement avec d'autres étapes clés, à savoir :

  • L'entrée en application des obligations du RIA pour les systèmes d'IA dits "à haut risque", en août 2026 ;
  • L'application complète de toutes les autres dispositions du RIA, en août 2027.

Des échéances décalées et des ajustements nécessaires

Malgré ces ambitions, certaines échéances ont été décalées, ralentissant l’application prévue du RIA. Bien que certaines règles soient déjà applicables, d’autres aspects essentiels, comme la définition des codes de conduite ou la désignation des autorités compétentes, connaissent des retards.

En effet, le Code de bonnes pratiques pour les GPAI, qui devait clarifier les obligations des fournisseurs de modèles génératifs, a été rejeté en mars 2025, notamment à cause de critiques le qualifiant de trop laxiste sur le respect des droits d'auteur. Ce code, qui devait être adopté en mai 2025, a vu son adoption reportée à l’été 2025.

Critiquée récemment pour des délais serrés, la Commission européenne s'efforce de tenir le rythme et de mettre à disposition des lignes directrices pratiques pour guider les entreprises dans la conformité avec le règlement.

Pour garantir l'effectivité de ces obligations, l’AI Office, bras opérationnel de la Commission européenne, a pour rôle de superviser la conformité des GPAI à l’échelle de l’Union. Ce nouveau gendarme européen a des pouvoirs considérables pour assurer le respect des règles.

Ainsi, l’AI Office adopte une approche proactive, avec des évaluations de risques, tout en gardant la possibilité d’une approche répressive en cas de non-conformité manifeste.

La régulation européenne de l'IA, parmi d'autres approches

Alors que l’Union européenne mise sur une régulation stricte et hiérarchisée des risques avec le RIA, d'autres pays ont une vision différente.

Le 28 mai dernier, le Parlement japonais a adopté sa première loi pour favoriser le développement et l'utilisation sécurisés de l'IA en réponse aux préoccupations liées aux risques tels que la diffusion de fausses informations et la désinformation. Cette loi permet au gouvernement d'exiger la coopération des entreprises lors des enquêtes sur les abus liés à l'IA, mais sans imposer de sanctions. Ainsi, le Japon prend le contre-pied en adoptant sa première loi sur l’IA dans une logique de "soft law" pro-innovation. Pas d'amendes, pas d’audits, mais un cadre incitatif visant à favoriser la recherche, l’éthique et la coopération internationale. Portée par une instance stratégique de niveau gouvernemental, cette approche souple fait du Japon un terrain attractif pour les entreprises.

La Chine, quant à elle, joue la carte du contrôle total, avec des règles déjà en place sur les algorithmes, les deepfakes et les modèles de fondation, dans une logique de surveillance étatique renforcée.

De leur côté, les États-Unis avancent via une mosaïque de décrets présidentiels et de lois sectorielles, laissant place à une régulation fragmentée et largement guidée par le marché.

Trois visions du futur de l’IA : l’Europe régule, la Chine contrôle, le Japon coordonne, pendant que les États-Unis... s'alignent avec leurs habitudes.