NIS2 & DORA en vigueur. EU AI Act arrive — réservez une démo
Tous les référentiels
Cadre réglementaire

Conformite EU AI Act, entierement automatisee

L'EU AI Act est la premiere reglementation globale sur l'IA au monde - obligatoire a partir du 2 aout 2026. Matproof couvre la classification des risques, la detection des pratiques interdites, la gouvernance des donnees, la supervision humaine et l'evaluation de conformite.

Demander une démo

Qu'est-ce que l'EU AI Act ?

L'EU AI Act (Reglement 2024/1689) est le premier cadre juridique complet au monde reglementant l'intelligence artificielle. Adopte par le Parlement europeen en mars 2024 et publie au Journal officiel le 12 juillet 2024, il etablit des regles harmonisees pour le developpement, la mise sur le marche et l'utilisation des systemes d'IA dans l'Union europeenne. Le reglement adopte une approche fondee sur les risques, avec des obligations allant de l'interdiction pure et simple a des exigences de transparence et de documentation.

L'AI Act classe les systemes d'IA en quatre niveaux de risque : interdit (pratiques d'IA posant des risques inacceptables pour les droits fondamentaux), haut risque (IA utilisee dans des domaines critiques comme la biometrie, l'education, l'emploi, les forces de l'ordre et les services essentiels), risque limite (IA necessitant des obligations de transparence specifiques comme les chatbots et les deepfakes) et risque minimal (toute autre IA sans obligation specifique au-dela de la culture IA).

Pour les systemes d'IA a haut risque, le reglement etablit des exigences exhaustives couvrant la gestion des risques (Art. 9), la gouvernance des donnees (Art. 10), la documentation technique (Art. 11), la tenue de registres (Art. 12), la transparence (Art. 13), la supervision humaine (Art. 14), ainsi que la precision, la robustesse et la cybersecurite (Art. 15). Les fournisseurs doivent egalement mettre en place des systemes de gestion de la qualite et passer des evaluations de conformite avant la mise sur le marche.

L'AI Act introduit egalement des obligations pour les modeles d'IA a usage general (GPAI) au titre des Articles 53-55, incluant la documentation technique, la conformite au droit d'auteur et des exigences supplementaires pour les modeles presentant des risques systemiques. Le reglement est applique par une combinaison du Bureau europeen de l'IA, des autorites nationales competentes et des organismes de surveillance du marche.

Qui doit se conformer a l'EU AI Act ?

L'EU AI Act s'applique a toute organisation qui developpe, deploie ou utilise des systemes d'IA au sein du marche de l'UE ou a destination de celui-ci. Le champ d'application est deliberement large pour couvrir l'ensemble de la chaine de valeur de l'IA :

Fournisseurs d'IA (Developpeurs)

  • Entreprises developpant des systemes d'IA pour le marche de l'UE
  • Fournisseurs de modeles GPAI (par ex. developpeurs de modeles de fondation)
  • Developpeurs d'IA open source (avec exemptions pour la recherche)
  • Entreprises hors UE dont les resultats d'IA sont utilises dans l'UE
  • Fabricants de produits integrant l'IA dans des produits reglementes
  • Entreprises adaptant ou affinant des modeles d'IA tiers

Deployers d'IA (Utilisateurs)

  • Organismes du secteur public utilisant des systemes d'IA a haut risque
  • Institutions financieres utilisant l'IA pour la notation de credit
  • Employeurs utilisant l'IA pour le recrutement et les decisions RH
  • Prestataires de sante utilisant des systemes de diagnostic IA
  • Entreprises utilisant l'IA pour l'identification biometrique
  • Toute organisation utilisant l'IA a haut risque dans l'UE

Toutes les organisations utilisant l'IA dans l'UE doivent assurer la culture IA de leur personnel (Art. 4), que leurs systemes d'IA soient classes a haut risque ou non. Cette obligation s'applique a partir du 2 fevrier 2025. Pour les fournisseurs et deployers d'IA a haut risque, l'ensemble des obligations s'applique a partir du 2 aout 2026.

Not sure if you're compliant?

Take the free EU AI Act readiness assessment — 10 questions, 3 minutes.

Check your readiness

Exigences cles de l'EU AI Act

1. Classification des risques IA (Articles 5-7, Annex III)

La base de la conformite a l'AI Act est la classification correcte de chaque systeme d'IA par niveau de risque. L'Article 5 definit les pratiques interdites (en vigueur depuis fevrier 2025). Les Articles 6-7 et l'Annex III definissent les categories a haut risque couvrant la biometrie, les infrastructures critiques, l'education, l'emploi, les services essentiels, les forces de l'ordre, la migration et la justice. Les organisations doivent maintenir un inventaire des systemes d'IA, classifier chaque systeme et revoir regulierement les classifications a mesure que les cas d'usage evoluent.

2. Systeme de gestion des risques IA (Article 9)

Les fournisseurs d'IA a haut risque doivent etablir un systeme de gestion des risques continu et iteratif couvrant l'ensemble du cycle de vie. Cela inclut l'identification et l'analyse des risques connus et previsibles, l'estimation et l'evaluation des risques lies a l'utilisation prevue et au mauvais usage, l'adoption de mesures d'attenuation des risques, et des tests pour s'assurer que les risques residuels sont acceptables. Le systeme de gestion des risques doit etre documente, regulierement mis a jour et teste tout au long du cycle de vie du systeme d'IA.

3. Gouvernance des donnees (Article 10)

Les jeux de donnees d'entrainement, de validation et de test pour l'IA a haut risque doivent repondre a des exigences strictes de gouvernance. Cela inclut la qualite, la pertinence, la representativite et l'absence d'erreurs des donnees. Les jeux de donnees doivent etre examines pour detecter les biais potentiels, en particulier ceux affectant les caracteristiques protegees. Lorsque le traitement de donnees personnelles est necessaire pour la surveillance des biais, des garanties specifiques doivent etre mises en place. Les pratiques de gouvernance des donnees doivent etre documentees et verifiables.

4. Supervision humaine (Article 14)

Les systemes d'IA a haut risque doivent etre concus pour permettre une supervision humaine effective. Les operateurs humains doivent etre en mesure de comprendre pleinement les capacites et limites du systeme, d'interpreter correctement les resultats, de decider quand ne pas utiliser le systeme ou d'annuler ses resultats, et d'intervenir ou d'interrompre le fonctionnement. Pour l'identification biometrique en temps reel, des garanties supplementaires s'appliquent, notamment l'exigence d'au moins deux personnes physiques pour confirmer les resultats d'identification.

5. Documentation technique et transparence (Articles 11-13)

Les fournisseurs doivent preparer une documentation technique detaillee conformement a l'Annex IV avant la mise sur le marche d'un systeme d'IA a haut risque. Celle-ci couvre la conception du systeme, la methodologie de developpement, les procedures de surveillance et de test, les metriques de precision et les limites connues. Les deployers doivent recevoir des instructions d'utilisation claires incluant l'identite du fournisseur, les caracteristiques du systeme, les metriques de performance, les risques connus et les mesures de supervision humaine necessaires.

6. Evaluation de conformite et marquage CE (Articles 19-20, 43)

Avant de mettre un systeme d'IA a haut risque sur le marche de l'UE, les fournisseurs doivent realiser une evaluation de conformite, preparer une Declaration de conformite UE (Annex V) et apposer le marquage CE. L'evaluation peut etre auto-realisee pour la plupart des systemes a haut risque via une approche de systeme de gestion de la qualite (Annex VII), mais les systemes d'IA biometriques utilises par les forces de l'ordre necessitent une evaluation par un tiers aupres d'un organisme notifie. Les systemes doivent egalement etre enregistres dans la base de donnees de l'UE.

7. Obligations relatives aux modeles d'IA a usage general (Articles 53-55)

Les fournisseurs de modeles GPAI doivent preparer et maintenir une documentation technique, fournir des informations aux fournisseurs en aval, etablir des politiques de conformite au droit d'auteur et publier des resumes des donnees d'entrainement. Les modeles GPAI presentant un risque systemique (bases sur le calcul cumulatif ou la designation de la Commission) font face a des obligations supplementaires : evaluation du modele pour les risques systemiques, tests adverses, signalement des incidents graves au Bureau de l'IA et protections adequates en matiere de cybersecurite.

Sanctions en cas de non-conformite a l'EU AI Act

L'AI Act etablit l'un des regimes de sanctions les plus significatifs de la reglementation technologique europeenne, avec des amendes calculees comme le montant le plus eleve entre un montant fixe et un pourcentage du chiffre d'affaires annuel mondial :

Jusqu'a 35 M EUR / 7 %

pour les violations des pratiques d'IA interdites (Article 5) - les sanctions les plus severes du reglement

Jusqu'a 15 M EUR / 3 %

pour le non-respect des obligations relatives a l'IA a haut risque, des exigences applicables aux modeles GPAI ou des obligations des organismes notifies

Jusqu'a 7,5 M EUR / 1 %

pour la fourniture d'informations incorrectes, incompletes ou trompeuses aux autorites ou aux organismes notifies

Proportionnalite PME

Les PME et startups font face au montant le plus bas entre le montant fixe et le plafond en pourcentage - garantissant que les sanctions restent proportionnees

Au-dela des sanctions financieres, le non-respect peut entrainer le retrait des systemes d'IA du marche, la restriction de leur utilisation et une atteinte a la reputation. Les autorites nationales de surveillance du marche disposent de larges pouvoirs d'enquete et de correction, et le Bureau europeen de l'IA supervise directement les fournisseurs de modeles GPAI.

Comment se preparer a la conformite EU AI Act

Avec les obligations relatives a l'IA a haut risque applicables a partir du 2 aout 2026, les organisations doivent commencer leur preparation des maintenant. Voici une approche structuree pour atteindre la conformite :

  1. 1

    Inventaire et classification des systemes d'IA

    Creez un inventaire complet de tous les systemes d'IA utilises ou developpes par votre organisation. Classifiez chaque systeme selon les niveaux de risque definis aux Articles 5-7 et a l'Annex III. Identifiez les pratiques interdites, les cas d'usage a haut risque et les obligations de transparence. Cet inventaire devient le fondement de toutes les activites de conformite ulterieures.

  2. 2

    Analyse des ecarts par rapport aux exigences

    Pour chaque systeme d'IA a haut risque, evaluez les pratiques actuelles au regard de l'ensemble des exigences des Articles 9-15. Identifiez les lacunes en matiere de gestion des risques, de gouvernance des donnees, de documentation technique, de journalisation, de transparence, de supervision humaine et de precision/robustesse. Priorisez les actions correctives en fonction du risque et de la complexite de mise en oeuvre.

  3. 3

    Systeme de gestion des risques IA

    Etablissez un processus de gestion des risques continu et iteratif pour chaque systeme d'IA a haut risque. Documentez l'identification, l'analyse, l'evaluation et le traitement des risques. Mettez en place des protocoles de test pour valider que les risques residuels sont acceptables. Assurez-vous que le systeme couvre l'ensemble du cycle de vie de l'IA, de la conception au deploiement et a la surveillance post-mise sur le marche.

  4. 4

    Gouvernance des donnees et tests de biais

    Mettez en place des pratiques de gouvernance des donnees pour les jeux de donnees d'entrainement, de validation et de test. Etablissez des criteres de qualite, des verifications de representativite et des processus d'examen des biais. Documentez la provenance des donnees, les etapes de pretraitement et les eventuelles limites. Mettez en place une surveillance continue des biais pour les systemes deployes.

  5. 5

    Preparation a l'evaluation de conformite

    Preparez la documentation technique conformement a l'Annex IV, mettez en place un systeme de gestion de la qualite conformement a l'Article 17 et preparez la Declaration de conformite UE conformement a l'Annex V. Pour les systemes d'identification biometrique utilises par les forces de l'ordre, faites appel a un organisme notifie pour l'evaluation par un tiers. Enregistrez les systemes dans la base de donnees de l'UE conformement a l'Article 49.

  6. 6

    Culture IA et conformite continue

    Mettez en place un programme de culture IA pour l'ensemble du personnel conformement a l'Article 4. Etablissez une surveillance post-mise sur le marche (Article 72), un signalement des incidents graves (Article 73) et des processus de supervision humaine continus. Integrez la conformite a l'AI Act dans le cadre existant de gouvernance, de gestion des risques et de conformite de votre organisation.

Questions frequentes sur l'EU AI Act

Qu'est-ce que l'EU AI Act ?

L'EU AI Act (Reglement 2024/1689) est le premier cadre juridique complet au monde pour l'intelligence artificielle. Il etablit une approche fondee sur les risques pour la reglementation des systemes d'IA, avec des obligations allant de l'interdiction pure et simple aux exigences de transparence. Les systemes d'IA a haut risque font face aux exigences les plus strictes, incluant la gestion des risques, la gouvernance des donnees et les evaluations de conformite. L'application complete debute le 2 aout 2026.

Qui doit se conformer a l'EU AI Act ?

L'AI Act s'applique aux fournisseurs (developpeurs) et deployers (utilisateurs) de systemes d'IA mis sur le marche de l'UE ou dont les resultats sont utilises dans l'UE. Cela inclut les entreprises basees dans l'UE, les entreprises hors UE servant les marches europeens et les fournisseurs de modeles d'IA a usage general. Toutes les organisations utilisant l'IA dans l'UE doivent assurer la culture IA de leur personnel.

Quelles sont les sanctions en cas de non-conformite ?

Les sanctions sont severes : jusqu'a 35 millions d'EUR ou 7 % du chiffre d'affaires annuel mondial pour les pratiques d'IA interdites, jusqu'a 15 millions d'EUR ou 3 % pour les obligations relatives a l'IA a haut risque, et jusqu'a 7,5 millions d'EUR ou 1 % pour la fourniture d'informations incorrectes. Les PME et startups beneficient de plafonds proportionnellement plus bas.

Qu'est-ce qui qualifie un systeme d'IA a haut risque ?

Les systemes d'IA a haut risque sont definis a l'Annex III et incluent l'IA utilisee dans : l'identification biometrique, la gestion des infrastructures critiques, l'education et la formation professionnelle, l'emploi et la gestion des travailleurs, l'acces aux services essentiels, les forces de l'ordre, la migration et le controle des frontieres, et l'administration de la justice.

Quelle est la difference entre l'EU AI Act et l'ISO 42001 ?

L'EU AI Act est un reglement juridiquement contraignant avec des mecanismes d'application et des sanctions, tandis que l'ISO 42001 est une norme internationale volontaire pour les systemes de gestion de l'IA. L'ISO 42001 peut aider a demontrer la conformite mais ne la garantit pas. L'AI Act comporte des exigences specifiques comme les evaluations de conformite, le marquage CE et le signalement des incidents qui vont au-dela de l'ISO 42001.

Quand l'EU AI Act devient-il applicable ?

L'AI Act est entre en vigueur le 1er aout 2024 avec une mise en oeuvre progressive : pratiques d'IA interdites a partir du 2 fevrier 2025 ; obligations relatives aux modeles GPAI a partir du 2 aout 2025 ; et exigences completes pour l'IA a haut risque a partir du 2 aout 2026.

EU AI Act Readiness Assessment

Check your AI compliance before August 2026

Take the free assessment

Fonctionnalités clés

Classification des risques IA (Art. 6)

Inventaire automatise des systemes d'IA avec classification des risques selon les categories de l'Annex III. Surveillance continue des systemes interdits, a haut risque, a risque limite et a risque minimal.

Detection des pratiques interdites (Art. 5)

Analysez tous les cas d'usage de l'IA au regard des interdictions de l'Article 5 - manipulation subliminale, notation sociale, inference emotionnelle et categorisation biometrique. Alertes automatisees et mesures correctives.

Systeme de gestion des risques (Art. 9)

Construisez et maintenez des systemes de gestion des risques IA en continu. Identification, analyse, evaluation et traitement des risques - avec piste d'audit complete et collecte de preuves.

Supervision humaine (Art. 14)

Documentez les mesures de supervision humaine pour l'IA a haut risque. Suivez les roles des operateurs, les procedures d'intervention, les capacites de contournement et la prevention du biais d'automatisation.

Documentation technique (Art. 11)

Generez et maintenez la documentation technique selon l'Annex IV. Conception du systeme, methodologie de developpement, procedures de test et metriques de performance - le tout au meme endroit.

Evaluation de conformite (Art. 19)

Preparez les evaluations de conformite grace a une analyse automatisee des ecarts. Generation de la Declaration de conformite UE et documentation du marquage CE.

Pourquoi Matproof

Couvre toutes les obligations de l'EU AI Act sur une seule plateforme
Classification des risques par IA selon les categories de l'Annex III
Politiques preconstruites pour les 8 domaines cles de gouvernance de l'IA
100 % de residence des donnees dans l'UE (heberge en Allemagne)

EU AI Act Readiness Assessment

Check your AI compliance before August 2026

Take the free assessment

Témoignages clients

Les équipes qui ne redoutent plus la saison des audits.

85 %de préparation en moins

Matproof nous a fait gagner des mois de préparation d'audit. Nous avons connecté nos outils le lundi et dès le vendredi, nous avions des preuves cartographiées selon DORA. Notre auditeur a été impressionné par la profondeur de la piste d'audit.

Ho

Head of Compliance

Series B Fintech, Germany

* Company names anonymized for privacy. All quotes from real compliance professionals using Matproof.

Prêt à commencer ?

Prêt à commencer ?

Découvrez comment Matproof automatise la conformité pour votre organisation.

Demander une démo