Conformité au Règlement IA de l'UE

La conformité au Règlement IA de l'UE simplifiée

Le Règlement IA de l'UE est en vigueur. Nous transformons le texte juridique en un plan clair avec des responsables, des échéances et des preuves. Commencez par une analyse rapide des écarts, puis suivez tout au même endroit.

Commencer l'évaluation gratuite Demander une démo

Niveaux de risque expliqués

Le Règlement IA de l'UE utilise une approche basée sur les risques avec quatre catégories principales

Risque inacceptable

Entièrement interdit

Notation sociale, reconnaissance des émotions au travail/à l'école, catégorisation biométrique, biométrie en temps réel dans les espaces publics, techniques subliminales

interdit

Risque élevé

Contrôles stricts requis

Tri de CV, évaluation de solvabilité, application de la loi, dispositifs médicaux, infrastructures critiques, évaluation éducative, outils de recrutement

réglementé

Risque limité

Transparence requise

Chatbots, deepfakes, systèmes de reconnaissance des émotions, catégorisation biométrique (non interdite), contenus générés par IA

divulgation

Risque minimal

Peu ou pas d'obligations

Filtres anti-spam, jeux vidéo, gestion des stocks, jeux vidéo alimentés par IA, systèmes de recommandation simples

minimal

Comment VerifyWise aide à la conformité au Règlement IA de l'UE

Des fonctionnalités concrètes qui répondent aux exigences réglementaires spécifiques

Inventaire des systèmes d'IA avec classification des risques

Enregistrez chaque système d'IA de votre organisation avec des métadonnées structurées. Chaque entrée capture l'objectif, les sources de données, le contexte de déploiement et les parties prenantes. La plateforme applique les critères de l'Annexe III pour déterminer si les systèmes sont classés à haut risque, risque limité ou risque minimal, et génère une justification de classification pour les audits.

Adresse : Article 6 Classification, Article 9 Gestion des risques, Article 49 Enregistrement

Génération de documentation technique

Créez le package de documentation requis par l'Article 11. La plateforme structure les informations sur l'architecture du système, la provenance des données d'entraînement, les métriques de performance et les limitations connues dans des documents formatés conformes aux attentes réglementaires. Les modèles couvrent les perspectives des fournisseurs et des déployeurs.

Adresse : Article 11 Documentation technique, Annexe IV Exigences

Configuration des workflows de surveillance humaine

Définissez qui examine les sorties de l'IA, dans quelles conditions et avec quelle autorité pour annuler. La plateforme permet de configurer les déclencheurs de surveillance, d'attribuer des examinateurs par rôle ou expertise et de capturer les décisions d'examen avec horodatage. Les modèles de surveillance deviennent des enregistrements vérifiables démontrant la conformité à l'Article 14.

Adresse : Article 14 Surveillance humaine, Article 26 Obligations des déployeurs

Journalisation et conservation opérationnelles

Capturez les événements système, les interactions utilisateur et les sorties de décision avec horodatage automatique. Les journaux sont conservés selon des politiques configurables, par défaut à six mois minimum pour les déployeurs. Les capacités de recherche et d'exportation soutiennent les enquêtes sur les incidents et les demandes des autorités.

Adresse : Article 12 Enregistrements, Article 26(5) Conservation des journaux

Suivi et signalement des incidents

Enregistrez les incidents liés à l'IA avec une classification de gravité et assignez des responsables d'investigation. La plateforme suit les progrès de remédiation et génère des rapports d'incidents adaptés aux déclarations aux autorités. Les incidents graves peuvent être escaladés aux autorités dans les délais requis, avec documentation jointe.

Adresse : Article 62 Signalement des incidents graves, Article 73 Sanctions

Analyse d'impact sur les droits fondamentaux

Les déployeurs d'IA à haut risque dans certains secteurs doivent évaluer les impacts sur les droits fondamentaux avant le déploiement. La plateforme fournit des modèles d'évaluation structurés pour le risque de discrimination, les implications de confidentialité, l'accès aux services et les garanties procédurales. Les évaluations complétées génèrent des enregistrements datés comme preuve de conformité.

Adresse : Article 27 Analyse d'impact sur les droits fondamentaux

Toutes les activités de conformité sont suivies avec horodatage, responsables assignés et workflows d'approbation. Cette piste d'audit démontre une gouvernance systématique plutôt qu'une documentation créée a posteriori.

Couverture complète des exigences du Règlement IA de l'UE

VerifyWise fournit des outils dédiés pour chaque exigence réglementaire dans 15 catégories de conformité

Exigences du Règlement IA de l'UE

Exigences avec outils dédiés

100%

Couverture de toutes les catégories

Article 96/6

Gestion et évaluation des risques

Article 104/4

Gouvernance des données

Article 11, Annexe IV5/5

Documentation technique

Article 124/4

Enregistrements & Journalisation

Article 134/4

Transparence & Information des utilisateurs

Article 145/5

Surveillance humaine

Article 154/4

Précision, robustesse & Cybersécurité

Article 176/6

Système de gestion de la qualité

Article 43, Annexe VI4/4

Évaluation de conformité

Articles 47-493/3

Enregistrement & Marquage CE

Article 724/4

Surveillance post-commercialisation

Article 733/3

Signalement des incidents

Article 265/5

Obligations des déployeurs

Article 274/4

Analyse d'impact sur les droits fondamentaux

Article 43/3

Compétence IA & Formation

Fonctionnalités qui distinguent VerifyWise

Workflow marquage CE

Processus guidé en 7 étapes pour l'évaluation de conformité avec génération de documents

Passerelle LLM

Surveillance en temps réel et application des politiques pour l'utilisation des modèles GPAI

Registre des formations

Suivi des exigences de compétence IA et des preuves de qualification des employés

Gestion des incidents

Workflows structurés pour le suivi des incidents graves et le signalement aux autorités

Pas sûr d'être concerné ?

Faites notre évaluation gratuite de préparation au Règlement IA de l'UE pour déterminer votre classification de risque et vos obligations de conformité en quelques minutes.

5 min

Évaluation rapide

Immédiat

Résultats instantanés

Commencer l'évaluation gratuite

Connaissez votre rôle et vos obligations

Les différents acteurs de la chaîne de valeur de l'IA ont des responsabilités différentes selon le Règlement IA de l'UE

Fournisseur

Organisations qui développent ou modifient substantiellement des systèmes d'IA

Mettre en œuvre un système de gestion des risques tout au long du cycle de vie
Assurer la qualité et la gouvernance des données d'entraînement
Créer et maintenir une documentation technique
Développer des capacités de journalisation appropriées
Assurer la transparence et informer les déployeurs
Mettre en œuvre des mesures de surveillance humaine
Assurer la précision, la robustesse et la cybersécurité
Établir un système de gestion de la qualité
Effectuer une évaluation de conformité et apposer le marquage CE
Enregistrer le système dans la base de données de l'UE
Signaler les incidents graves aux autorités

Déployeur

Organisations qui utilisent des systèmes d'IA sous leur responsabilité

Affecter du personnel pour la surveillance humaine
Conserver les journaux pendant au moins 6 mois
Effectuer une analyse d'impact sur les droits fondamentaux
Surveiller le fonctionnement et les performances du système
Signaler les incidents graves aux fournisseurs et aux autorités
Utiliser le système d'IA conformément aux instructions
Assurer des données d'entrée pertinentes pour l'usage prévu
Informer les fournisseurs des risques identifiés
Suspendre l'utilisation si le système présente un risque
Coopérer avec les autorités lors des enquêtes

Distributeur/Importateur

Organisations qui mettent des systèmes d'IA à disposition sur le marché de l'UE

Vérifier que le fournisseur a effectué l'évaluation de conformité
S'assurer du marquage CE et de la documentation
Vérifier l'enregistrement dans la base de données de l'UE
Stocker et maintenir la documentation requise
Assurer les conditions de stockage et de transport pour maintenir la conformité
Fournir les informations nécessaires aux autorités
Cesser la distribution si le système d'IA n'est pas conforme
Informer les fournisseurs et les autorités de la non-conformité
Coopérer avec les autorités pour les mesures correctives

Tableau comparatif des obligations

Référence rapide des obligations qui s'appliquent à chaque rôle

Obligation	Fournisseur	Déployeur	Distributeur
Système de gestion des risques Évaluation et atténuation des risques tout au long du cycle de vie
Documentation technique Spécifications du système, données d'entraînement, métriques de performance			Stocker
Surveillance humaine Prévenir ou minimiser les risques	Concevoir	Mettre en œuvre
Journalisation & Enregistrements Conservation minimale de 6 mois pour les déployeurs	Activer	Maintenir
Évaluation de conformité Auto-évaluation ou organisme notifié			Vérifier
Marquage CE Requis avant la mise sur le marché	Apposer		Vérifier
Enregistrement base de données UE Systèmes d'IA à haut risque	Enregistrer		Vérifier
Analyse d'impact droits fondamentaux Requis pour les déployeurs dans certains secteurs
Signalement des incidents Incidents graves aux autorités			Si connaissance
Surveillance post-commercialisation Surveillance continue des performances du système		Surveiller l'usage

Note : De nombreuses organisations peuvent avoir plusieurs rôles. Par exemple, si vous développez et exploitez un système d'IA, vous devez remplir les obligations de fournisseur et de déployeur.

6 étapes vers la conformité d'ici août 2026

Une feuille de route pratique pour atteindre la conformité au Règlement IA de l'UE

Étape 11-2 mois

Inventaire des systèmes d'IA

Cataloguer tous les systèmes d'IA de votre organisation

Identifier tous les systèmes et outils d'IA utilisés
Documenter les fournisseurs d'IA et les services tiers
Mapper les systèmes d'IA aux processus métier
Identifier les propriétaires des systèmes d'IA et les parties prenantes
Créer un registre central de l'IA

Étape 22-3 mois

Classification des risques

Attribuer des niveaux de risque à chaque système d'IA

Évaluer chaque système par rapport aux catégories de l'Annexe III
Vérifier si le système relève des cas d'usage interdits
Classifier comme haut risque, risque limité ou risque minimal
Documenter la justification de la classification
Identifier votre rôle (fournisseur, déployeur, distributeur)

Étape 33-4 mois

Analyse des écarts

Identifier les écarts de conformité et les exigences

Comparer l'état actuel aux exigences du Règlement IA de l'UE
Identifier la documentation et les processus manquants
Évaluer les écarts de conformité technique
Évaluer les mécanismes de gouvernance et de surveillance
Prioriser les mesures de remédiation

Étape 44-8 mois

Documentation & Gouvernance

Construire la documentation et les contrôles requis

Créer une documentation technique pour les systèmes à haut risque
Mettre en œuvre des systèmes de gestion des risques
Établir des procédures de gouvernance des données
Documenter les mécanismes de surveillance humaine
Créer un système de gestion de la qualité
Préparer les analyses d'impact sur les droits fondamentaux

Étape 58-10 mois

Test & Validation

Effectuer les évaluations de conformité

Effectuer des tests et validations internes
Réaliser des évaluations de biais et d'équité
Tester la précision, la robustesse et la cybersécurité
Faire appel à un organisme notifié si nécessaire
Obtenir le marquage CE pour les systèmes applicables
Enregistrer les systèmes à haut risque dans la base de données de l'UE

Étape 6Continu

Surveillance & Reporting

Maintenir la conformité et surveiller les systèmes

Mettre en œuvre des systèmes de surveillance continue
Maintenir les journaux et les pistes d'audit
Surveiller la dérive des performances et les incidents
Signaler les incidents graves dans les délais
Effectuer des révisions et mises à jour régulières
Rester informé des directives réglementaires

Note : Les organismes notifiés prennent déjà des rendez-vous jusqu'au T2 2026. Commencez votre parcours de conformité maintenant pour respecter l'échéance d'août 2026.

Commencer le parcours de conformité

Dates clés à connaître

Des échéances de conformité critiques approchent

actif2 février 2025

Pratiques interdites

Les pratiques d'IA interdites deviennent illégales

Notation sociale
Catégorisation biométrique
Reconnaissance des émotions au travail/à l'école

à venir2 août 2025

Transparence GPAI

Règles de transparence pour l'IA à usage général

Codes de conduite
Documentation des modèles
Évaluations des risques systémiques

à venir2 août 2026

Haut risque Phase 1

Les règles de classification entrent en vigueur

Systèmes de gestion des risques
Gouvernance des données
Documentation technique

à venir2 août 2027

Conformité complète

Toutes les exigences pour les systèmes à haut risque actives

Surveillance complète
Surveillance post-commercialisation
Évaluations de conformité

Niveau 1 - IA interdite

35 M€ ou 7% du chiffre d'affaires mondial

(le plus élevé des deux)

Les violations comprennent :

Systèmes de notation sociale
IA manipulatrice
Biométrie en temps réel dans les espaces publics
Extraction non ciblée de visages

élevé

Niveau 2 - Violations haut risque

15 M€ ou 3% du chiffre d'affaires mondial

(le plus élevé des deux)

Les violations comprennent :

Systèmes d'IA à haut risque non conformes
Violations des obligations des systèmes d'IA
Non-réalisation des analyses d'impact requises

moyen

Niveau 3 - Violations d'information

7,5 M€ ou 1,5% du chiffre d'affaires mondial

(le plus élevé des deux)

Les violations comprennent :

Fourniture de fausses informations
Non-fourniture d'informations aux autorités
Documentation incomplète

Exigences pour l'IA à usage général (GPAI)

Les obligations pour les fournisseurs GPAI sont entrées en vigueur le 2 août 2025

Qu'est-ce qui qualifie comme IA à usage général ?

L'IA à usage général fait référence aux modèles entraînés sur des données larges et capables d'effectuer une variété de tâches sans être conçus pour un usage spécifique. Ces modèles fondateurs alimentent de nombreuses applications en aval, des chatbots aux assistants de code en passant par les générateurs d'images. Le Règlement IA de l'UE crée des obligations spécifiques pour les organisations qui développent ces modèles et celles qui créent des applications avec eux.

Grands modèles de langage

GPT-4, Claude, Gemini, Llama, Mistral

Génération d'images

Midjourney, DALL-E, Stable Diffusion

Modèles multimodaux

GPT-4o, Gemini Pro Vision, Claude 3.5

Génération de code

GitHub Copilot, Amazon CodeWhisperer

Êtes-vous fournisseur GPAI ou intégrateur en aval ?

Fournisseur GPAI

Vous avez développé ou entraîné le modèle fondateur vous-même

Les obligations complètes de transparence GPAI s'appliquent
Doit fournir une documentation pour les utilisateurs en aval
Responsable de la conformité aux droits d'auteur pour l'entraînement
Exigences de risque systémique si le seuil est atteint

Exemples : OpenAI, Anthropic, Google DeepMind, Meta AI

Fournisseur en aval

Vous développez des applications utilisant des modèles GPAI via API ou intégration

Doit obtenir la documentation du fournisseur GPAI
Responsable de la conformité de votre application spécifique
Les cas d'usage à haut risque déclenchent les obligations de haut risque
Ne peut pas transférer la responsabilité au fournisseur du modèle fondateur

Exemples : Entreprises utilisant l'API GPT-4, l'API Claude ou des modèles affinés

Niveaux d'obligations GPAI

Standard

Modèles GPAI généraux

Tous les modèles d'IA à usage général

Fournir une documentation technique
Fournir des informations et une documentation aux fournisseurs en aval
Mettre en œuvre une politique de droits d'auteur et publier un résumé des données d'entraînement
Assurer l'efficacité énergétique dans la mesure du possible

Risque systémique

Modèles GPAI avec risque systémique

>10²⁵ FLOPs ou désigné par la Commission

Effectuer une évaluation du modèle et une analyse des risques systémiques
Effectuer des tests contradictoires
Suivre, documenter et signaler les incidents graves
Assurer une protection adéquate en matière de cybersécurité
Mettre en œuvre des mesures d'atténuation des risques
Rapporter annuellement au Bureau de l'IA

Comprendre le seuil de risque systémique

Les modèles entraînés avec plus de 10²⁵ opérations en virgule flottante (FLOPs) sont automatiquement classés comme présentant un risque systémique. La Commission européenne peut également désigner des modèles en fonction de leurs capacités, de leur portée ou de leur potentiel de dommages graves, indépendamment de la puissance de calcul d'entraînement. Les modèles actuels susceptibles d'atteindre ce seuil incluent GPT-4 et ses successeurs, Claude 3 Opus et versions ultérieures, Gemini Ultra et les plus grandes variantes Llama de Meta.

La classification de risque systémique déclenche des obligations supplémentaires : évaluations complètes des modèles, red-teaming contradictoire, suivi et signalement des incidents, cybersécurité renforcée et rapport annuel au Bureau de l'IA de l'UE.

Dispositions GPAI open source

Exemption

Les obligations réduites s'appliquent si

Les poids du modèle sont accessibles publiquement
La méthodologie d'entraînement est documentée ouvertement
Publié sous une licence open-source qualifiante
Les paramètres et l'architecture sont publiés

Pas d'exemption

Les obligations complètes s'appliquent toujours si

Le modèle présente un risque systémique (>10²⁵ FLOPs)
Vous modifiez et déployez commercialement
Utilisé dans des applications à haut risque selon l'Annexe III
Le modèle est intégré dans des produits réglementés

Si vous construisez sur des modèles GPAI

La plupart des organisations utilisant l'IA sont des intégrateurs en aval plutôt que des fournisseurs de modèles fondateurs. Si vous accédez à GPT-4, Claude ou des modèles similaires via des API pour créer vos propres applications, ces obligations s'appliquent à vous.

Obtenir et examiner la documentation technique du fournisseur GPAI

Évaluer si votre cas d'usage spécifique est classé à haut risque

Mettre en œuvre une surveillance humaine appropriée pour votre application

Documenter comment vous avez intégré le modèle GPAI

Établir une journalisation et une surveillance pour votre déploiement

Créer des avis de transparence pour les utilisateurs finaux

Définir des procédures de réponse aux incidents pour les problèmes liés à l'IA

Le Bureau de l'IA de l'UE

Le Bureau de l'IA de l'UE au sein de la Commission européenne assure une surveillance centralisée des modèles GPAI. Il émet des lignes directrices, développe des codes de conduite, évalue les modèles à risque systémique et coordonne avec les autorités nationales. Les fournisseurs GPAI avec des modèles à risque systémique doivent rapporter directement au Bureau de l'IA. Le Bureau sert également de ressource pour les intégrateurs en aval cherchant des éclaircissements sur leurs obligations.

Modèles de politiques

Référentiel complet de politiques de gouvernance IA

Accédez à 37 modèles de politiques de gouvernance IA prêts à l'emploi alignés sur le Règlement IA de l'UE, ISO 42001 et les exigences NIST AI RMF

Gouvernance de base

• Politique de gouvernance IA
• Politique de gestion des risques IA
• Principes d'IA responsable
• Charte éthique IA
• Approbation et validation des modèles
• Assurance qualité IA
+ 6 autres politiques

Données et sécurité

• Politique d'utilisation des données IA
• Minimisation des données pour l'IA
• Approvisionnement des données d'entraînement
• Traitement des données sensibles
• Sécurité des prompts et durcissement
• Réponse aux incidents IA
+ 2 autres politiques

Juridique et conformité

• Politique de risque fournisseur IA
• Conformité réglementaire
• Préparation au marquage CE
• Enregistrement des systèmes à haut risque
• Documentation et traçabilité
• Responsabilité IA et rôles
+ 7 autres politiques

Parcourir tous les modèles de politiques

Foire aux questions

Questions fréquentes sur la conformité au Règlement IA de l'UE

Oui. Le règlement a une portée extraterritoriale, ce qui signifie que toute organisation dont les systèmes d'IA ou leurs résultats sont utilisés sur le marché de l'UE entre dans son champ d'application. Cela s'applique aux entreprises SaaS américaines, aux cabinets de conseil et à toute entreprise dont l'IA affecte les citoyens de l'UE, quel que soit le siège de l'entreprise. Voir Article 2 pour la définition complète du champ d'application.

Vous avez toujours des obligations en tant que déployeur selon l'Article 26. Cela inclut les exigences de transparence, les dispositions de surveillance humaine et une journalisation appropriée. Le fournisseur assume certaines obligations en amont, mais vous restez responsable de l'exploitation du système au sein de votre organisation.

Les pratiques interdites selon l'Article 5 sont totalement prohibées et entraînent les sanctions les plus élevées. Les systèmes à haut risque selon l'Annexe III peuvent être exploités à condition de respecter des exigences strictes en matière de documentation, de gestion des risques, de surveillance humaine et d'évaluation de conformité. La distinction détermine si vous pouvez utiliser le système ou combien de gouvernance est requise.

Les pratiques interdites peuvent entraîner des amendes allant jusqu'à 35 millions d'euros ou 7% du chiffre d'affaires annuel mondial, selon le montant le plus élevé. Les violations à haut risque peuvent atteindre 15 millions d'euros ou 3% du chiffre d'affaires. Les violations d'information (documentation incomplète, manque de coopération avec les autorités) peuvent entraîner 7,5 millions d'euros ou 1,5% du chiffre d'affaires. Voir l'Article 99 pour la structure complète des amendes.

Le déploiement est progressif selon l'Article 113. Les pratiques interdites sont devenues illégales en février 2025. Les règles de transparence GPAI s'appliquent à partir d'août 2025. Les exigences pour les systèmes à haut risque commencent en août 2026, avec une conformité complète d'ici août 2027. Les organismes notifiés prennent déjà des rendez-vous jusqu'au T2 2026.

Les fournisseurs GPAI ont des obligations spécifiques selon l'Article 53 concernant la documentation, la conformité aux droits d'auteur et la transparence en aval. Les modèles dépassant 10^25 FLOPs (ou désignés par la Commission) ont des exigences supplémentaires de risque systémique selon l'Article 55, y compris des tests contradictoires et le signalement des incidents. Si vous construisez des applications avec ces modèles, vous restez responsable de la conformité de votre cas d'usage spécifique.

Les systèmes à haut risque nécessitent une documentation technique selon l'Article 11 et l'Annexe IV, couvrant l'architecture et les capacités du système, les enregistrements de gouvernance des données d'entraînement, les métriques de performance et de précision, les procédures de gestion des risques, les mécanismes de surveillance humaine et les journaux opérationnels (conservation minimale de six mois).

La plupart des systèmes d'IA à haut risque peuvent utiliser une auto-évaluation interne selon les procédures de l'Annexe VI. La biométrie pour les forces de l'ordre, certains systèmes de sécurité d'infrastructures critiques et certains dispositifs médicaux nécessitent une évaluation par un tiers via des organismes notifiés accrédités. Vérifiez votre catégorie Annexe III pour déterminer la voie applicable.

Le règlement contient des dispositions de proportionnalité pour les petites organisations. Vous pouvez utiliser des approches de documentation simplifiées, participer à des bacs à sable réglementaires pour les tests et prioriser vos systèmes les plus risqués. Les obligations principales s'appliquent toujours, mais la mise en œuvre peut être adaptée à vos ressources. De nombreuses PME commencent par un inventaire IA et une classification des risques avant de construire une gouvernance complète.

Ils fonctionnent comme des cadres complémentaires. Le RGPD régit le traitement des données personnelles, tandis que le Règlement IA traite des risques des systèmes d'IA, que des données personnelles soient impliquées ou non. L'IA à haut risque traitant des données personnelles déclenche des exigences sous les deux : vous avez besoin d'analyses d'impact RGPD en plus des évaluations de conformité et de la documentation technique du Règlement IA.

Les systèmes existants doivent atteindre la conformité d'ici la date limite pertinente (août 2026 pour la plupart des catégories à haut risque, août 2027 pour les exigences complètes). Commencez maintenant à inventorier et classifier votre portefeuille d'IA actuel. Les systèmes substantiellement modifiés après août 2025 seront traités comme de nouveaux systèmes avec des obligations immédiates selon l'Article 111.

L'IA fantôme désigne les outils d'IA utilisés sans surveillance de gouvernance. Les approches de détection incluent la surveillance du trafic réseau pour les appels aux API d'IA (OpenAI, Anthropic, Google), l'examen des notes de frais pour les abonnements IA, l'interrogation des employés sur leur utilisation d'outils et la vérification des extensions de navigateur. La plupart des organisations découvrent plus d'utilisation d'IA qu'attendu lors de cet exercice.

L'auto-évaluation signifie que votre équipe interne effectue l'évaluation de conformité selon les procédures de l'Annexe VI. L'évaluation par un organisme notifié signifie qu'un tiers accrédité évalue votre système selon l'Article 43. La plupart des IA à haut risque sont éligibles à l'auto-évaluation. Les catégories nécessitant un examen externe comprennent l'identification biométrique à distance pour les forces de l'ordre, l'IA en tant que composant de sécurité dans les produits réglementés et certaines applications d'infrastructures critiques.

Les modèles GPAI open source publiés sous des licences qualifiantes avec des paramètres accessibles publiquement ont des obligations de transparence réduites selon l'Article 53(2). L'exemption ne s'applique pas si le modèle présente un risque systémique ou si vous le modifiez et le déployez commercialement (ce qui peut faire de vous un fournisseur avec des obligations complètes). Les applications à haut risque construites sur des modèles open source nécessitent toujours une conformité complète, quelle que soit la licence du modèle sous-jacent.

Les systèmes à haut risque nécessitent une surveillance continue dans le cadre de la surveillance post-commercialisation selon l'Article 72. Les revues formelles de conformité doivent avoir lieu au moins annuellement, plus lors de changements importants du système, d'incidents ou de nouvelles directives réglementaires. La conformité est continue et n'est pas une certification ponctuelle.

Les États membres de l'UE doivent établir des bacs à sable réglementaires pour l'IA d'ici août 2026 selon l'Article 57. Ces environnements contrôlés permettent de tester l'IA innovante sous surveillance réglementaire, souvent avec une protection de responsabilité et des retours accélérés. Contactez votre autorité nationale compétente en matière d'IA pour en savoir plus sur la disponibilité des bacs à sable et les procédures de candidature dans votre juridiction.

L'Article 4 exige que les organisations s'assurent que les employés possèdent une compétence IA suffisante adaptée à leur rôle. Le personnel exploitant les systèmes d'IA doit comprendre les capacités et les limitations. Ceux responsables de la surveillance de l'IA ont besoin de connaissances plus approfondies sur les facteurs de risque et les procédures d'escalade. Les exigences de formation s'adaptent au niveau de risque des systèmes gérés.

Chaque État membre désigne des autorités nationales compétentes et des autorités de surveillance du marché selon l'Article 70. Le Bureau de l'IA de l'UE (au sein de la Commission européenne) supervise spécifiquement les modèles GPAI. Les mécanismes d'application comprennent les inspections, les mesures correctives et les sanctions administratives. Il existe une protection des lanceurs d'alerte pour les personnes signalant des violations. Les entreprises non-UE mettant de l'IA sur le marché de l'UE doivent désigner un représentant autorisé dans l'Union.

Prêt pour la conformité ?

Commencez votre parcours de conformité au Règlement IA de l'UE dès aujourd'hui avec nos outils complets d'évaluation et de suivi.

Commencer l'évaluation gratuite Planifier une démo