TGS
  1. Accueil
  2. Le blog de TGS France Avocats
  3. IA : dernière ligne droite pour votre mise en conformité avec le règlement européen

IA : dernière ligne droite pour votre mise en conformité avec le règlement européen

Le 12.03.2026 0 commentaires
IA Act, Intelligence artificielle, TGS France Avocats, droit des nouvelles technologies
Dans quelques mois, les systèmes d’intelligence artificielle dits à "haut risque" devront se plier aux exigences du règlement européen. Qualification des rôles, cartographie des risques, gouvernance... la mise en conformité est un chantier complexe qui ne s'improvise pas à la dernière minute.

 

Le règlement européen sur l’intelligence artificielle du 13 juin 2024 (dit “IA Act”) est une évolution majeure dans l’encadrement du secteur numérique. Dans quelques mois, le 2 août 2026, il poursuivra une nouvelle phase d’entrée en vigueur, et s’appliquera pour la première fois à des systèmes d’intelligence artificielle à haut risque, celles de son Annexe 3. L’IA Act a pour objet d’encadrer le développement, la mise sur le marché et l’utilisation des systèmes d’intelligence artificielle. Ses conditions d’application dépendant de nombreux paramètres, rendent la mise en conformité complexe dans certains cas. En vue de cette échéance à venir, Marc ABANE, avocat en droit des nouvelles technologies rappelle les étapes clés de la mise en conformité avec ce nouveau règlement, qui exige une préparation proactive des entreprises. 

 

Qui fait quoi ? L’importance de bien qualifier l’organisation et de cartographier les IA 

Avant de lancer une mise en conformité avec l’IA Act, il convient de s’assurer que l’organisation entre bien dans le champ d’application de ce dernier. En effet, bien qu’il soit difficile d’échapper à son large champ d’application, l’IA Act prévoit quelques exclusions qui méritent d’être vérifiées au préalable. L’exemple de l’IA open source est intéressant à cet égard. 

Une fois les conditions réglementaires réunies, il convient d’établir une cartographie des systèmes d’IA actuels et en projet au sein l’organisation ainsi que leurs niveaux de risque respectifs : minimal, spécifique en matière de transparence, haut risque ou encore risque inacceptable. En pratique, cette cartographie consistera à faire l’inventaire de tous les logiciels et algorithmes qui remplissent les conditions d’une intelligence artificielle telle que définie par l’IA Act. 

Pour chaque système d’IA recensé, il faudra qualifier correctement le ou les rôles de l’organisation, tel que prévu par l’IA Act : fournisseur, déployeur, distributeur ou encore fournisseur en aval. Ces rôles peuvent se cumuler.   

Cette première étape doit être menée avec rigueur car une mauvaise qualification ou une cartographie erronée peut rendre les étapes suivantes inefficaces. 

 

Que faire ? Les obligations à exécuter  

Outre l’obligation généralisée sur les fournisseurs et déployeurs de « prendre des mesures pour garantir un niveau suffisant de maîtrise de l’IA pour leur personnel et les autres personnes s’occupant du fonctionnement et d’utilisation des systèmes d’IA pour leur compte », des obligations différenciées et contraignantes s’appliquent également, selon le niveau de risque de l’outil et du/des rôle(s) de l’organisation à l’égard de l’outil d’IA. 

L’organisation doit, pour chaque outil d’IA recensé, déterminer les obligations applicables à ce dernier. Elles incluent notamment des mécanismes d’évaluation de conformité, de documentation technique, de gestion des risques, de transparence, de surveillance humaine, de qualité des données, d’analyse d’impact sur les droits fondamentaux ou encore de coopération avec les autorités compétentes. Par conséquent, elles peuvent conduire à une mise à jour importante de l’organisation opérationnelle. 

La bonne exécution de ces obligations réglementaires nécessite aussi d’encadrer contractuellement sa relation avec le partenaire dans le cadre d’une fourniture ou d’une utilisation d’un système d’IA. Par exemple, un déployeur sera amené à figer, dans son contrat avec le fournisseur, une description claire et complète du système d’IA utilisé pour pouvoir lui-même se conformer à son devoir de « prendre des mesures pour garantir un niveau suffisant de maîtrise de l’IA ». 

De manière générale, il faudra être en mesure de documenter l'accomplissement de l'ensemble des obligations réglementaires applicables, notamment en cas de contrôle d'une autorité compétente ou de contentieux en responsabilité civile et/ou pénale mettant en cause l'utilisation ou la fourniture d'un système d'IA.

 

Comment faire ? La nécessité d’un plan d’action cohérent et rigoureux 

L’accomplissement de cette étape commence par identifier une personne référente et/ou un groupe de travail aux compétences pluridisciplinaires, ayant un rôle de coordination et de mise en œuvre d’une feuille de route pour cette mise en conformité et son maintien sur la durée. 

En pratique, la gouvernance reposerait notamment sur la mise en place : 

- de revues périodiques avec des comités de suivi et un reporting vers la direction générale,  
- de programmes de formation, en intégrant les aspects juridiques, techniques et éthiques de l’IA, ou encore 
- de mécanismes d’audit. 

Comme en matière de protection des données personnelles, la gouvernance en matière d’IA devra tenir compte de la nécessité de prouver la conformité (« accountability »), à travers une capacité à justifier et documenter les actions réalisées au titre de la gouvernance. Outre l’objectif de conformité à l’IA Act, cette gouvernance rigoureuse et documentée pourrait offrir un avantage concurrentiel. 

Il est enfin à noter que le plan d’action et la gestion des risques en matière de RGPD et d’IA pourraient faire l’objet d’une approche unifiée. Bien que les exigences de l’IA Act ne remplacent pas celles du RGPD, les mesures prises pour répondre aux premières peuvent contribuer au respect des secondes. L’intégration de l’analyse des risques IA dans les analyses d’impact RGPD en est la parfaite illustration. Ces synergies permettent à l’évidence de capitaliser sur le travail accompli. 

Compte tenu de cette dernière ligne droite avant cette prochaine phase d’entrée en vigueur, il est essentiel de lancer ou de poursuivre efficacement dès à présent les contraintes fixées par le texte. 

 

L’accompagnement TGS France Avocats 

Que vous soyez dirigeant d'une start-up ou d'une PME, vous pouvez bénéficier de l'accompagnement TGS France Avocats. Nos avocats en droit des nouvelles technologies sont à votre disposition pour vous assister sur l’anticipation de ce texte par exemple en : 

> Analysant la qualification juridique de votre structure et de vos systèmes d’IA au regard de l’IACT 
> Vous aidant à adopter un plan d’action de conformité adapté et tenant compte du calendrier de déploiement du texte  
> Réalisant des audits de conformité à l’IA ACT 
> Rédigeant ou relisant vos contrats liés à l’IA pour vérifier les engagements de vos partenaires ou pour vous sécuriser. 

IT
Auteur(s)
Marc Abane, avocat en droit du numérique et des nouvelles technologie à TGS France Avocats de Lille

MarcABANE

Marc ABANE

Avocat(e)
Marc ABANE
Categories
avocat-IT

Droit des nouvelles technologies

Lire la suite

Articles similaires

Règlement l'Intelligence Artificelle,AI ACT
Le 31.10.2024
par  Anne-Sophie VIARD-CRETAT  - Avocat(e)

Comment l’AI ACT va-t-il impacter les entreprises et les organismes publics ?

Depuis juin 2024, "l'AI ACT" impose de nouvelles règles sur l'Intelligence Artificielle. Les premières échéances débutent en février 2025 pour les entreprises et les organismes publics.
IT Compliance
E-ticket et conformité RGPD
Le 05.09.2024
par  Caroline BELOTTI  - Avocat(e)

RGPD et dématérialisation des tickets de caisse : protégez les données personnelles de vos clients

Commerçants, découvrez les pratiques conformes au RGPD pour protéger les données personnelles de vos clients lors de la dématérialisation des tickets de caisse !
IT Compliance
Programme de Contrôle CNIL 2025 : les thématiques prioritaires TGS France Avocats
Le 15.04.2025
par  Caroline BELOTTI  - Avocat(e)

Programme de contrôle CNIL 2025 : les thématiques prioritaires

La CNIL a annoncé son programme de contrôle pour 2025 qui détermine les thématiques prioritaires annuelles. Pour rappel, un quart des contrôles de la CNIL s’inscrit dans le cadre des thématiques définies. Dans cet article, Caroline Belotti, avocate associée en droit des nouvelles technologies et DPO certifiée et Chloé...
IT
Voir tous les articles
Contactez-nous
La Société TGS France Avocats, responsable de traitement, répond à votre demande à réception de vos coordonnées. Le service marketing du Groupe Soregor RCS d’Angers 523 742 468 et les métiers concernés de la Société TGS France Avocats sont destinataires de votre demande. Vos données ne sont pas transmises à d’autres entités du Groupe sans votre accord.

Elles seront conservées pendant 3 ans à compter du dernier contact. Vous disposez d’un droit d’accès, de rectification, d’effacement de vos données, de portabilité, de limitation du traitement, de rétractation et, d’opposition relativement à l’ensemble des données vous concernant, ainsi que du droit de définir des directives relatives au sort de vos données après votre décès. Ces droits peuvent être exercés à l’adresse mail suivante auprès du délégué à la protection des données dpo@tgs-avocats.fr. A tout moment vous pouvez introduire une réclamation auprès de la CNIL. Pour plus d’information, cliquez ici : politique de confidentialité.