Parlons RIA, règlement sur l’Intelligence Artificielle | Introduction au règlement IA

Florence : Bonjour à tous et à toutes, et bienvenue dans le premier épisode de notre série de podcasts consacrée au cadre réglementaire de l’intelligence artificielle.

Notre objectif est de vous accompagner dans la compréhension des enjeux que pose le règlement européen sur l’intelligence artificielle, plus connu sous le nom de RIA ou AI Act.

Dans ce premier épisode, nous vous proposons de poser le contexte : Qu’est-ce que l’IA, les objectifs du règlement européen sur l’IA, comment l’IA est-elle encadrée dans d’autres régions du monde, en quoi consistent l’IA responsable et l’IA de confiance ?

Dans les prochains épisodes nous détaillerons le RIA pour mieux en comprendre sa portée, ses conséquences et les mesures que les organisations doivent mettre en place pour être en conformité.

Je suis Florence BONNET, Partner chez TNP Consultants et aujourd’hui je suis en présence de Céline, consultante au sein de notre équipe TRUST.

Céline : Bonjour Florence et bonjour à tous les auditeurs.

Adopté le 13 juin 2024, le règlement européen sur l’intelligence artificielle (aussi appelé RIA) marque une avancée majeure : c’est la toute première initiative législative mondiale visant à instaurer des règles harmonisées concernant l’intelligence artificielle.

Ce texte introduit un cadre juridique clair pour encadrer le développement, la mise sur le marché et l’utilisation des systèmes d’IA.

Florence : Le RIA est un texte européen… mais sa portée dépasse les seules entreprises européennes

Céline : Oui, le RIA a une portée extraterritoriale. Il s’applique non seulement aux acteurs établis dans l’Union européenne, mais aussi à toute entreprise, quel que soit son pays d’origine, dès lors qu’elle met sur le marché ou met en service un système d’IA dans l’UE.

Il s’applique également lorsque les résultats d’un système d’IA sont utilisés dans l’Union, même si le fournisseur ou le déployeur est basé hors UE.

Florence : Donc un champ d’application assez large. Et cela concerne divers types d’acteurs impliqués dans la chaîne de valeur de l’IA

Céline : Exactement. On distingue les développeurs, fournisseurs, déployeurs, distributeurs et importateurs. Nous reviendrons dans un prochain épisode sur ces définitions et sur les rôles et responsabilités de chacun.

Florence : En effet, mais commençons par rappeler l’objectif du RIA

Céline : Le RIA répond à 3 objectifs :

• Veiller à ce que les systèmes d’IA mis sur le marché soient sûrs et respectent la législation en vigueur en matière de droits fondamentaux, les valeurs de l’UE, l’État de droit et la durabilité environnementale
• Garantir la sécurité juridique afin de faciliter les investissements et l’innovation dans le domaine de l’IA
• Créer un marché européen unique pour l’IA pour faciliter l’innovation.

Florence : Peux-tu nous rappeler le calendrier d’application de ce règlement ?

Céline : L’application du règlement est progressive, étalée entre août 2024 et 2030.

• Depuis février 2025, certains systèmes d’IA jugés inacceptables sont interdits.

• En août 2025, s’appliqueront les obligations relatives aux modèles d’IA à usage général— on y reviendra aussi sur ces modèles dans un prochain épisode.

En août 2025 également, chaque État membre devra aussi avoir désigné ses autorités de contrôle compétentes pour assurer le respect du RIA

• En 2026 et 2027, entreront en vigueur les obligations relatives aux systèmes d’IA à haut risque, ainsi que la mise en place de bacs à sable réglementaires, ce sont des environnements contrôlés qui permettront aux entreprises de tester leurs solutions innovantes dans un cadre sécurisé.
• Enfin, à l’horizon 2030, ce sera le tour des dispositions applicables aux systèmes d’IA intégrés à des infrastructures critiques «des composants de systèmes d’information » à grande échelle dans l’UE.

Florence :  Avant de rentrer dans le détail du RIA, peut-être qu’on peut commencer par rappeler ce qu’est l’IA puisqu’on peut dire qu’il existe plusieurs définitions mais l’une d’elles fait largement consensus.

Dès 1956, Marvin Lee Minsky, un scientifique américain considéré comme l’un des pionniers de l’IA,

décrivait l’IA comme « la construction de programmes informatiques qui s’adonnent à des tâches qui sont, pour l’instant, accomplies de façon plus satisfaisante par des êtres humains, car elles demandent des processus mentaux de haut niveau tels que : l’apprentissage perceptuel, l’organisation de la mémoire et le raisonnement critique. »

C’est une définition ancienne, mais qui continue de faire référence dans la communauté scientifique. Lorsque le Parlement européen a proposé sa propre définition de l’IA en 2020, il a défini l’IA comme « la possibilité pour une machine de reproduire des comportements liés aux humains, tels que le raisonnement, la planification et la créativité ». La CNIL définit l’IA en tant que “procédé logique et automatisé reposant généralement sur un algorithme et en mesure de réaliser des tâches bien définies ».

La définition de l’IA est différente de celle d’un Système d’IA, notion au coeur du règlement européen sur l’IA. Je te propose maintenant qu’on prenne un peu de recul et qu’on regarde comment l’IA est encadrée dans d’autres régions du monde.

Céline : Oui tout à fait.  Aujourd’hui, on observe plusieurs grandes tendances en matière de régulation de l’intelligence artificielle :

• D’abord, il y a des réglementations spécifiques à l’IA, mises en place au niveau national ou régional — comme c’est le cas pour le RIA en Europe.
• Ensuite, on peut voir des exigences relatives à l’IA comprises dans des textes législatifs plus larges, par exemple sur la protection des données ou la cybersécurité ou alors dans des textes sectoriels dans la santé par exemple.
• On voit aussi émerger des lignes directrices, plus ou moins contraignantes, émises par des autorités ou des organismes spécialisés.
• Et enfin, des outils pratiques pour aider les entreprises à évaluer la conformité ou les risques associés à leurs systèmes d’IA.

Florence : Exactement. Prenons le cas de l’Amérique du Nord pour commencer

Aux Etats-Unis, il n’existe pas à ce jour, de législation fédérale unique sur l’IA. En revanche, plusieurs États ont des projets de loi ambitieux.

• Par exemple en Californie, on a 29 projets en cours et 7 textes traitant de l’IA déjà votés
• Au Colorado, une loi plus structurante a été adoptée : le Colorado IA Act. C’est la première législation complète sur l’IA aux États-Unis, qui impose des obligations aux développeurs et aux déployeurs de systèmes d’IA à haut risque.

Il y a par exemple 21 projets en cours à NY et 19 au Texas pour ne parler que de ces états

Au niveau fédéral, des initiatives existent aussi, comme le décret signé par Joe Biden en octobre 2023, qui encadre l’usage de l’IA dans les agences gouvernementales.

Bien entendu on ne peut pas préjuger des évolutions à venir et directement liées au pouvoir en place, mais à ce jour il existe 30 projets de loi au niveau fédéral.

Céline : Le Canada est également en pleine structuration de son cadre réglementaire.

En 2022, le gouvernement a présenté le projet de loi sur l’intelligence artificielle et les données, dont l’acronyme est LIAD (AIDA en anglais).
Ce texte vise à protéger les citoyens contre les systèmes d’IA à haut impact, à interdire les usages malveillants, et à favoriser une IA responsable. Il repose, comme le RIA, sur une approche par les risques.

Ce texte est toujours en discussion au Parlement, mais en anticipation, le gouvernement canadien a déjà publié un code de conduite pour l’IA générative, et impose, via une directive, des obligations aux administrations en matière de décisions automatisées.

Florence : Dans une toute autre région du monde, la Chine n’a pas de législation générale sur l’IA mais plusieurs textes sont déjà en vigueur, chacun ciblant des cas d’usage spécifiques.

la Chine a mis en place des règles très strictes :

• Par exemple, en 2023, plusieurs autorités chinoises (telles que l’organisme de surveillance de l’internet chinois) ont publié conjointement un ensemble de règles visant à encadrer les contenus générés par l’IA générative, entrées en vigueur ce même jour.
• Le mois dernier, les autorités chinoises ont annoncé une nouvelle règle visant à imposer un étiquetage obligatoire des contenus générés par l’IA dans le cadre de la lutte contre la désinformation.

Et en septembre 2024, elle a présenté son propre cadre de gouvernance de la sécurité de l’IA, dans le cadre de son initiative globale sur la gouvernance de l’intelligence artificielle.

Au-delà de la Chine, peux-tu nous dire ce qu’il en est dans d’autres régions de l’Asie ?

Céline : On trouve des approches variées

• Pour commencer en Corée du Sud, une loi fondamentale sur l’intelligence artificielle a été adoptée fin 2024. L’objectif est d’encadrer l’innovation tout en assurant l’accès équitable à la technologie, notamment pour les développeurs indépendants.
• En Inde, l’accent est mis sur le développement stratégique avec l’initiative IndiaAI. Le pays investit dans les infrastructures et l’écosystème IA, avec un projet de loi en préparation, le Digital India Act, qui intégrera des dispositions ciblées sur les IA à haut risque. L’Inde a aussi mis en place un AI Task Force, qui travaille sur des enjeux éthiques et juridiques.
• Singapour a développé un cadre très structuré combinant éthique et innovation. Le pays a notamment développé un outil appelé AI Verify, lancé par les autorités nationales, pour permettre aux entreprises d’évaluer de manière concrète la conformité de leurs systèmes d’IA avec les principes éthiques.

Florence : Pour compléter ce tour d’horizon, regardons du côté du Golfe, où certains pays ont pris des initiatives marquantes en matière d’intelligence artificielle.

Dès 2017 les Émirats arabes unis sont devenus le premier pays au monde à créer un ministère dédié à l’intelligence artificielle.

Depuis, les EAU ont mis en place une stratégie nationale ambitieuse, avec l’objectif clair de devenir un hub mondial de l’IA, axé sur la recherche, l’innovation et la collaboration public-privé.

Plusieurs cadres et outils ont été développés pour structurer cette vision (lignes directrices, outil d’auto-évaluation éthique en ligne…) mais rien qui pourrait etre assimilé à une loi sur l’IA.

Ils ont également introduit des dispositions spécifiques, comme le Règlement n°10 du centre financier de Dubaï sur le traitement des données personnelles par des systèmes autonomes.

Céline : Le Qatar aussi a franchi un cap. En 2024, l’agence nationale de la cybersécurité et la banque centrale ont publié conjointement des lignes directrices sur l’usage de l’IA, notamment pour encadrer les projets dans le secteur financier. C’est une première étape vers une gouvernance plus structurée, dans un contexte où l’IA est perçue comme un levier de modernisation économique.

Florence : En Afrique, la stratégie de l’Union Africaine donne la priorité au développement et à l’adaptation des systèmes d’IA au contexte africain. Elle met l’accent sur une approche de gouvernance à plusieurs niveaux, fondée sur des principes éthiques, des valeurs démocratiques et les droits de l’homme. Cette stratégie doit servir de cadre aux états africains afin qu’ils mettent en place leur propre cadre réglementaire.

Une enquête de l’UNESCO sur l’évaluation des besoins en intelligence artificielle a identifié la mise en place de cadres juridiques et réglementaires pour la gouvernance de l’IA, pour la protection des données personnelles et la gouvernance des données, comme une des priorités. On voit d’ailleurs que le Maroc qui dispose d’un cadre réglementaire assez mature sur la protection des données, a de fortes ambitions concernant le développement de l’IA.

Céline : Et puis, on ne peut pas terminer ce tour d’horizon sans dire un mot du Royaume-Uni qui a choisi une approche sectorielle et proportionnée. Il s’appuie sur les lois existantes et a publié de nombreux guides pratiques. En mars 2025, un projet de loi a d’ailleurs été déposé au Parlement, avec la création d’une autorité dédiée à la régulation de l’IA.

Florence : Nous comprenons que les approches varient d’un continent à l’autre — entre réglementation contraignante, cadre volontaire ou initiatives sectorielles — mais on observe malgré tout une dynamique commune : celle de vouloir encadrer l’IA en raison des risques qu’elle représente tant pour les individus que pour la société, sans pour autant brider l’innovation.

La convention-cadre sur l’intelligence artificielle, les droits de l’homme, la démocratie et l’État de droit adoptée le 17 mai 2024, par le Conseil de l’Europe,
est le tout premier traité international juridiquement contraignant dans le domaine de l’IA. Il a été adopté par les 46 États membres du Conseil de l’Europe, mais aussi signé par 11 pays non-membres, comme les États-Unis, le Japon, le Canada, l’Australie ou Israël.

Cette convention illustre bien la volonté des États d’établir des principes communs de gouvernance de l’IA à l’échelle mondiale.

Revenons maintenant au règlement européen sur l’IA.  Comme on l’a dit, le RIA a une portée extraterritoriale. Céline, peux-tu revenir sur le champ d’application matériel du RIA ?

Céline : Bien sûr. Tout d’abord, comme le RGPD, le RIA ne s’applique pas aux systèmes utilisés à des fins strictement personnelles, c’est-à-dire dans un cadre privé.

Il ne s’applique pas non plus aux systèmes d’IA destinés à des activités militaires, de défense ou de sécurité nationale ni aux systèmes déployés dans le cadre de la coopération policière ou judiciaire internationale, entre l’Union européenne et les États membres.

Enfin, les systèmes conçus uniquement pour la recherche et le développement scientifique, ou encore ceux qui sont en phase de test avant commercialisation, sont également en dehors du périmètre du Règlement.

Florence : il faut aussi rappeler que le RIA s’applique sans préjudice des autres réglementations européennes existantes, notamment en matière de protection des données personnelles — je pense évidemment au RGPD.

Donc dès qu’un système d’IA traite des données personnelles, ce qui est souvent le cas, le RGPD s’applique en parallèle du RIA.

On pourra donc avoir des cas de SIA soumis au RGPD mais pas au RIA et vice versa, mais aussi des cas où les deux règlementations s’appliqueront.

Céline : J’ajoute que le RIA prévoit aussi un traitement particulier pour les logiciels en open source. En principe, les systèmes d’IA diffusés sous licence libre sont exclus du champ d’application du règlement.

Florence : dans tous les cas ?

Céline :  Non, il y a des exceptions avec des cas où ils relèvent du RIA :

• Si ces systèmes open source sont interdits (par exemple en raison de risques inacceptables),
• s’ils sont classés comme étant « à haut risque »,
• ou s’ils sont conçus pour interagir directement avec des humains — comme les chatbots ou les systèmes génératifs.

Florence : Est-ce que les États membres gardent une marge de manœuvre ?

Céline : Oui, tout à fait. Le texte leur permet de mettre en place des dispositions spécifiques, notamment pour encadrer l’usage de l’IA dans le cadre des relations de travail, par exemple entre employeurs et salariés.

Florence : Merci Céline. J’aimerais maintenant qu’on revienne aux principes sur lesquels se fonde le RIA. Le Règlement promeut une IA “digne de confiance” – ou trustworthy AI

Ce concept a été défini par un groupe d’experts indépendants de haut niveau sur l’intelligence artificielle, mandaté par la Commission européenne.

Une IA digne de confiance doit répondre à trois exigences fondamentales :

• Être licite, c’est-à-dire respecter la législation et la réglementation applicables,
• Être éthique, en adhérant aux principes et valeurs fondamentales de l’Union européenne,
• Être robuste, pour éviter tout effet indésirable, même involontaire.

Peux tu nous dire en quoi consistent les principes éthiques ?

Céline :  On a quatre grands principes éthiques :

• Le respect de l’autonomie humaine en vertu duquel les êtres humains qui interagissent avec les systèmes d’IA doivent avoir une autodétermination totale et effective. La supervision et le contrôle humain des systèmes d’IA jouent un rôle essentiel.
• la prévention de toute atteintecontre les êtres humains en protégeant la dignité humaine, les personnes vulnérables, les relations de pouvoir (par ex entre employeurs et travailleurs).
• le principe d’explicabilité: Pour faire simple, les déployeurs et utilisateurs doivent pouvoir comprendre comment le système fonctionne, à quoi il sert, et sur quelles bases il prend ses décisions. Les fournisseurs ont donc l’obligation de documenter clairement leur système — et c’est un sujet qu’on approfondira d’ailleurs dans un prochain épisode.
• Et le principe d’équité selon lequel la mise au point, le déploiement et l’utilisation de systèmes d’IA doivent éviter les biais injustes et favoriser l’accès et l’égalité des chances.

Florence : Ces quatre principes sont ensuite traduits en 7 exigences dites « essentielles » qui doivent être prises en compte tout au long du cycle de vie du système d’IA

1. Le contrôle humain,
2. La robustesse technique et la sécurité,
3. Le respect de la vie privée et la gouvernance des données,
4. La transparence,
5. La non-discrimination et l’équité,
6. Le bien-être sociétal et environnemental,
7. Et enfin, la responsabilité.

Le RIA propose une vision européenne d’une IA responsable, éthique.

Céline : on parle aussi souvent d’IA responsable

Florence : Oui, une IA responsable relève d’une approche multidisciplinaire qui vise à traduire la vision d’une IA de confiance en lignes directrices pratiques. En résumé c’est la transposition en mesures opérationnelles des principes d’une IA de confiance.

Pour terminer Céline, peux tu nous dire comment le règlement permet de soutenir l’innovation ?

Céline : Oui, c’est un point essentiel. Le règlement prévoit des dispositifs concrets pour encourager une innovation responsable. L’un des leviers majeurs est la mise en place de bacs à sable réglementaires dans chaque État membre, d’ici août 2026.

Il s’agit d’environnements contrôlés et sécurisés dans lesquels les entreprises — notamment les PME, les TPE ou les start-ups — peuvent tester leurs systèmes d’IA innovants avant leur mise sur le marché ou leur mise en service. Les entreprises bénéficient de l’accompagnement des autorités compétentes. L’objectif est clair : soutenir l’innovation, sans renoncer aux principes éthiques et de sécurité.

Florence : Merci pour cet éclairage. Nous arrivons déjà à la fin de ce premier épisode.

Si vous avez des questions, n’hésitez pas à nous contacter.

Nous vous retrouvons très bientôt pour un second épisode dont le sujet portera sur la définition d’un un système d’IA au sens du Règlement européen sur l’Intelligence Artificielle (RIA), la description des acteurs et l’impact de votre qualification en tant que déployeur, fournisseur ou distributeur.