Introduction
Qu'est-ce que l'AI Act européen ?
L'AI Act (Règlement UE 2024/1689) est le premier cadre juridique mondial encadrant l'intelligence artificielle. Entré en vigueur le 1er août 2024, il instaure une classification des systèmes d'IA par niveau de risque, des pratiques interdites, et des obligations de transparence. Son application est progressive : les pratiques interdites s'appliquent depuis février 2025, les obligations sur les modèles d'IA à usage général depuis août 2025, et la majorité des obligations entrent en vigueur en août 2026. Le règlement s'applique extraterritorialement, comme le RGPD : tout fournisseur d'IA dont les produits sont utilisés dans l'Union européenne doit s'y conformer, même s'il est établi hors d'Europe.
Les 5 niveaux de risque de l'AI Act
L'AI Act classe les systèmes d'IA en cinq catégories selon le risque qu'ils présentent pour les droits fondamentaux :
- Risque inacceptable (interdit) : manipulation du comportement humain, notation sociale (social scoring), identification biométrique à distance en temps réel dans les espaces publics, exploitation des vulnérabilités des personnes.
- Risque élevé : IA utilisées dans la santé, l'éducation, le recrutement, les infrastructures critiques, l'application de la loi et la justice. Ces systèmes doivent respecter des exigences strictes de qualité, transparence, supervision humaine et sécurité. Certains nécessitent une évaluation d'impact sur les droits fondamentaux (FRIA) avant déploiement.
- IA à usage général (GPAI) : créés en 2023 lors des négociations. Les modèles présentant un risque systémique (nécessitant plus de 10²⁵ FLOPS pour l'entraînement) doivent subir des évaluations approfondies, des tests adverses et signaler les incidents graves. Les modèles moins puissants ont seulement des obligations de transparence.
- Risque limité : obligation de transparence pour informer les utilisateurs qu'ils interagissent avec une IA. Concerne les deepfakes, les chatbots et les systèmes générant ou manipulant des images, du son ou des vidéos.
- Risque minimal : aucune obligation (jeux vidéo, filtres anti-spam). Les fournisseurs sont encouragés à suivre un code de conduite volontaire.
Pratiques interdites depuis février 2025
Depuis le 2 février 2025, les pratiques suivantes sont strictement interdites dans l'Union européenne :
- Manipulation du comportement humain : les systèmes d'IA qui exploitent les vulnérabilités ou manipulent subtilement les décisions des personnes sans leur consentement éclairé.
- Notation sociale (social scoring) : le classement des individus basé sur leurs caractéristiques personnelles, leur statut socio-économique ou leur comportement, entraînant des traitements discriminatoires.
- Identification biométrique à distance en temps réel : la reconnaissance faciale en temps réel dans les espaces publics est interdite, sauf exceptions strictement encadrées pour la lutte contre le terrorisme, les enlèvements ou les crimes graves impliquant une menace réelle et imminente.
- Évaluation des émotions : l'utilisation de l'IA pour détecter les émotions dans les lieux de travail et les établissements scolaires, sauf raisons médicales.
- Prédiction de la criminalité : les systèmes prédisant le risque de récidive ou la propension à commettre une infraction uniquement sur la base du profilage.
Calendrier d'application complet
- 1er août 2024 : entrée en vigueur du règlement (publication au Journal officiel le 12 juillet 2024).
- 2 février 2025 : dispositions générales (Chapitre I) et pratiques interdites (Chapitre II).
- 2 août 2025 : autorités notifiantes, obligations pour les modèles d'IA à usage général (Chapitre V), gouvernance (Chapitre VII) et sanctions (Chapitre XII), hors article 101 sur les amendes.
- 2 août 2026 : application de la majorité du règlement, sauf certaines obligations pour les systèmes d'IA à haut risque de l'annexe III (article 6, paragraphe 1).
- 2 août 2027 : application complète du règlement, y compris les obligations restantes pour les systèmes à haut risque.
Droits des particuliers : ce que l'AI Act vous garantit
L'AI Act consacre plusieurs droits fondamentaux pour les citoyens européens :
- Droit de déposer une plainte : tout citoyen peut saisir l'autorité nationale de surveillance du marché pour dénoncer un système d'IA qu'il estime non conforme au règlement.
- Droit à l'explication : toute personne affectée par une décision prise par un système d'IA à haut risque a le droit de recevoir une explication claire de cette décision et de son impact sur ses droits.
- Droit à la non-discrimination : les systèmes d'IA ne doivent pas reproduire ou amplifier les discriminations fondées sur le sexe, la race, l'origine ethnique, la religion, le handicap, l'âge ou l'orientation sexuelle.
- Droit à la supervision humaine : les systèmes d'IA à haut risque doivent permettre une intervention humaine pour corriger ou arrêter le système en cas de dysfonctionnement.
- Droit à l'information : les utilisateurs de systèmes d'IA à risque limité doivent être informés qu'ils interagissent avec une IA, sauf si cela est évident.
- Évaluation d'impact sur les droits fondamentaux (FRIA) : certains déploiements de systèmes à haut risque doivent faire l'objet d'une évaluation préalable de leur impact sur les droits fondamentaux avant mise en service.
Recours : comment agir en cas de violation
Si vous subissez un préjudice lié à un système d'IA non conforme, voici les voies de recours :
- Saisir la CNIL : en France, la CNIL est désignée comme autorité de surveillance du marché pour les pratiques interdites et les systèmes à haut risque de l'annexe III. Vous pouvez déposer une plainte en ligne sur cnil.fr.
- Saisir les autorités sectorielles : environ 15 autorités sectorielles seront compétentes selon le domaine (ARCOM pour les médias, AMF pour la finance, ARS pour la santé, etc.). La loi DDADUE examinée par le Sénat en février 2026 précise ces désignations.
- Procédure d'urgence : en cas de atteinte grave aux droits fondamentaux, la CNIL peut activer une procédure d'urgence pour suspendre ou retirer un système d'IA du marché.
- Recours juridictionnel : les décisions de la CNIL peuvent être contestées devant le tribunal judiciaire. Les victimes de dommages causés par un système d'IA peuvent engager une action en responsabilité civile contre le fournisseur ou l'utilisateur.
- Signalement à l'AI Office européen : l'AI Office, rattaché à la Commission européenne, coordonne l'application du règlement entre les États membres et peut ouvrir des enquêtes sur les modèles GPAI présentant un risque systémique.
Sanctions et amendes prévues
Le règlement prévoit des sanctions financières dissuasives :
- Violation des pratiques interdites (article 5) : jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial annuel de l'entreprise, le montant le plus élevé étant retenu.
- Non-respect des autres obligations des opérateurs : jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires mondial.
- Fourniture d'informations incorrectes, incomplètes ou trompeuses : jusqu'à 7,5 millions d'euros ou 1 % du chiffre d'affaires mondial.
- Fournisseurs de modèles GPAI (article 101) : amendes distinctes allant jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires mondial.
- PME et start-ups : le plafond est le montant le plus bas entre le pourcentage applicable et le montant fixe, pour éviter de mettre en péril leur viabilité.
En France, la CNIL pourra prononcer des injonctions, des ordonnances exécutoires et des sanctions pécuniaires allant jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial.
Impact concret pour les particuliers en 2026
L'AI Act transforme la relation entre les citoyens et l'intelligence artificielle de plusieurs manières concrètes :
- Recrutement : les systèmes d'IA utilisés pour filtrer les CV ou évaluer les candidats sont classés à haut risque. Les candidats ont le droit de savoir si une IA a participé à la décision et de contester cette décision.
- Santé : les IA utilisées pour le diagnostic médical ou l'orientation des patients doivent respecter des exigences de qualité des données, de transparence et de supervision médicale.
- Banque et assurance : les systèmes de scoring de crédit et d'évaluation des risques d'assurance sont à haut risque. Les refus basés sur une décision d'IA doivent être expliqués.
- Éducation : les IA utilisées pour l'admission dans les établissements ou l'évaluation des étudiants sont à haut risque et doivent garantir l'équité et la non-discrimination.
- Justice et application de la loi : les IA utilisées par les forces de l'ordre ou les tribunaux pour évaluer les risques de récidive ou la probabilité de commission d'une infraction sont interdites.
- Deepfakes et contenus générés : tout contenu généré par IA (images, vidéos, audio) doit être signalé comme tel. Les deepfakes non identifiés sont sanctionnés.
Étapes
- Étape 1 : Identifier le type de système d'IA concerné. Déterminez s'il s'agit d'un système à risque inacceptable (interdit), élevé, limité ou minimal. Consultez la classification sur le site de la Commission européenne.
- Étape 2 : Connaître vos droits. Si un système d'IA à haut risque vous affecte, vous avez droit à une explication, à déposer une plainte auprès de la CNIL, et à contester la décision.
- Étape 3 : Déposer une plainte si nécessaire. Rendez-vous sur cnil.fr pour signaler une violation de l'AI Act. Joignez toute documentation sur le système d'IA concerné et le préjudice subi.
- Étape 4 : Suivre les procédures de recours. Si la CNIL ne donne pas suite dans un délai raisonnable, vous pouvez saisir le médiateur ou engager une action en justice. Les associations de défense des droits peuvent agir en votre nom.
Points clés
- L'AI Act entre en application progressive entre février 2025 et août 2027.
- Les pratiques interdites (manipulation, notation sociale, reconnaissance faciale en temps réel) s'appliquent depuis février 2025.
- Les amendes peuvent atteindre 35 millions d'euros ou 7 % du chiffre d'affaires mondial.
- Tout citoyen peut déposer une plainte auprès de la CNIL pour violation de l'AI Act.
- Les systèmes d'IA à haut risque (recrutement, santé, justice) doivent garantir transparence, supervision humaine et non-discrimination.
- Les deepfakes et contenus générés par IA doivent être obligatoirement signalés.
Étapes à suivre4
Identifier le type de système d'IA concerné (risque inaccept
Identifier le type de système d'IA concerné (risque inacceptable, élevé, limité ou minimal)
Connaître vos droits : explication, plainte CNIL, contestati
Connaître vos droits : explication, plainte CNIL, contestation de la décision
Déposer une plainte sur cnil.fr avec documentation du systèm
Déposer une plainte sur cnil.fr avec documentation du système et du préjudice
Suivre les procédures de recours : médiateur, action en just
Suivre les procédures de recours : médiateur, action en justice, associations de défense des droits
Conseils pratiques
- Conservez toute trace des décisions automatisées vous concernant : captures d'écran, emails de refus, notifications.
- Si un recruteur utilise une IA pour filtrer votre CV, il doit vous informer et vous pouvez demander une explication de la décision.
- Les deepfakes non signalés sont punissables : signalez tout contenu trompeur généré par IA sur cnil.fr.
- L'AI Act s'applique aussi aux entreprises étrangères : un fournisseur américain d'IA utilisé en France doit se conformer.
Points d'attention
- L'AI Act ne crée pas de droit individuel direct à réclamation financière : il encadre les systèmes d'IA et prévoit des sanctions administratives, pas de compensation automatique.
- Les exceptions pour la sécurité nationale et les forces armées sont larges : l'AI Act ne s'applique pas aux systèmes d'IA utilisés à des fins militaires ou de sécurité nationale.
- La transposition française via la loi DDADUE est encore en cours : certaines modalités d'application pourraient évoluer en 2026-2027.
Questions fréquentes5
Quelles sont les pratiques d'IA interdites par l'AI Act ?
Depuis février 2025, l'AI Act interdit cinq catégories de pratiques : la manipulation du comportement humain par exploitation des vulnérabilités, la notation sociale (social scoring) classant les personnes selon leurs caractéristiques, l'identification biométrique à distance en temps réel dans les espaces publics (reconnaissance faciale), l'évaluation des émotions en milieu de travail et scolaire, et la prédiction de la criminalité basée sur le profilage. Les violations sont passibles de sanctions allant jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial.
Comment déposer une plainte pour violation de l'AI Act ?
En France, vous pouvez déposer une plainte auprès de la CNIL via le site cnil.fr. La CNIL est l'autorité de surveillance du marché pour les pratiques interdites et les systèmes à haut risque. Vous pouvez aussi saisir les autorités sectorielles compétentes (ARCOM pour les médias, AMF pour la finance, etc.). En cas d'urgence avec atteinte grave aux droits fondamentaux, la CNIL peut déclencher une procédure d'urgence pour suspendre le système d'IA. Les décisions de la CNIL peuvent être contestées devant le tribunal judiciaire.
L'AI Act s'applique-t-il aux entreprises américaines comme OpenAI ?
Oui. L'AI Act s'applique extraterritorialement, comme le RGPD. Tout fournisseur d'IA dont les produits sont utilisés dans l'Union européenne doit se conformer au règlement, même s'il est établi hors d'Europe. OpenAI, Google, Meta et autres fournisseurs de modèles d'IA à usage général doivent respecter les obligations de transparence, de documentation et de signalement des incidents graves prévues par le règlement. Les amendes pour non-conformité s'appliquent également aux entreprises étrangères.
Quels sont les systèmes d'IA à haut risque qui me concernent ?
Les systèmes d'IA à haut risque couvrent les domaines qui affectent directement les particuliers : le recrutement et l'évaluation des candidats, le scoring de crédit et l'évaluation des risques d'assurance, le diagnostic médical et l'orientation des patients, l'admission dans les établissements d'enseignement et l'évaluation des étudiants, les systèmes utilisés par les forces de l'ordre, les infrastructures critiques (énergie, transports, eau), et l'accès aux services publics essentiels. Si un de ces systèmes vous affecte, vous avez droit à une explication de la décision et à la contester.
Quand l'AI Act entre-t-il pleinement en vigueur ?
L'AI Act s'applique progressivement : les pratiques interdites depuis février 2025, les obligations sur les modèles d'IA à usage général depuis août 2025, la majorité des obligations en août 2026, et l'application complète en août 2027. Cette mise en œuvre progressive permet aux entreprises et aux autorités de s'adapter. En France, la loi DDADUE examinée par le Sénat en février 2026 transpose le règlement et désigne les autorités compétentes, dont la CNIL comme autorité de surveillance du marché.
Guides Technologie & IA
Voir toutConstruire un chatbot local avec Ollama et Python en 30 minutes
Utiliser DeepSeek V4 en 2026 pour améliorer la recherche
Utiliser Claude Opus 4.7 en 2026 pour améliorer la productivité
Pixels de suivi dans les emails en 2026 : détecter, bloquer et protéger sa vie privée
Comment utiliser les outils de chiffrement PGP et GPG en 2026
Poursuivez votre lecture
Multi-catégoriesÉquipe éditoriale GuidePratiquefr
Rédacteurs spécialisés en droit, fiscalité et finances
Rédigé et vérifié par notre équipe de rédacteurs spécialisés. Sources officielles consultées : service-public.fr, legifrance.gouv.fr, impots.gouv.fr, ameli.fr. Dernière vérification : 19 mai 2026.
Sources officielles consultées
Les informations contenues dans ce guide sont fournies à titre indicatif et ne remplacent pas un conseil professionnel personnalisé.