L'AI Act publié : le calendrier de mise en application
L’AI Act comporte des dispositions qui n’entreront en application qu’en 2027 et pose des échéances de mise en conformité qui vont jusqu’à 2031. Tour d’horizon.
Dernière ligne droite avant l’entrée en vigueur de l’AI Act. Ce sera le 2 août 2024.
L’essentiel des dispositions seront applicables au 2 août 2026. Certaines le seront néanmoins par avant… ou par après.
Les dispositions applicables « en décalé »
> Février 2025
Les premiers éléments à entrer en application seront les chapitres I (objet du règlement, champ d’application, définitions) et II (pratiques interdites). Date prévue : le 2 février 2025. Une entrée en application avancée « compte tenu du risque associé à certains utilisations de l’IA ».
> Août 2025
Le 2 août 2025 marquera l’entrée en application de la section 4 du chapitre III. Elle est consacrée aux autorités notifiantes. C’est-à-dire celles chargées d’accomplir les procédures nécessaires à l’évaluation, à la désignation et à la notification des organismes d’évaluation de la conformité.
Les 12 articles que comprend cette section touchent à la coordination de ces autorités, à leurs filiales et leurs sous-traitants, à la contestation de leur compétence, etc.
Même échéance pour :
– Le chapitre V, relatif aux modèles d’IA à usage général
Il couvre les obligations des fournisseurs, y compris en cas de présence de risque systémique.
– Le chapitre VII, relatif à la gouvernance au niveau de l’UE
Y sont établis un Bureau de l’IA, un Comité de l’IA, un forum consultatif et un groupe scientifique d’experts indépendants.
– Le chapitre XII, relatif aux sanctions
L’article 99 définit l’essentiel des amendes encourues pour non-respect des dispositions de l’AI Act. L’article 100 définit les amendes imposées aux institutions, organes et organismes de l’UE. Il y a exception pour l’article 101, qui entrera en application un an plus tard.
– L’article 78, relatif à la conformité
Cet article impose un principe de respect de la confidentialité des informations et des données. Il s’applique aux tâches et aux activités des autorités de surveillance du marché et des organismes notifiés. Ainsi qu’à toute autre personne physique ou morale associée à l’application du règlement.
> 2026-2027
L’article 101, évoqué ci-dessus, ne s’appliquera qu’au 2 août 2026. Il définit les amendes applicables aux fournisseurs de modèles d’IA à usage général.
L’article 6.1 et les obligations correspondantes s’appliqueront au 2 août 2027. Elles concernent la classification « à haut risque » des systèmes d’IA.
De 2024 à 2031, les échéances à tenir
> En 2024
L’article 77 de l’AI Act établit les pouvoirs des autorités de protection des droits fondamentaux. Celles-ci sont par exemple habilitées à demander toute documentation relative aux systèmes d’IA à haut risque listés dans l’annexe III. Chaque État membre devra avoir identifié ces autorités au plus tard le 2 novembre 2024.
Auparavant – le 1er août -, la Commission européenne se sera officiellement vu confier, pour 5 ans, le pouvoir d’adopter des actes délégués. Lesquels pourront modifier, entre autres :
– La liste des systèmes d’IA à haut risque
– Le contenu de la déclaration UE de conformité
– Les seuils au-delà desquels un modèle d’IA à usage général est réputé présenter un risque systémique
– La procédure élaboration de la documentation technique pour les fournisseurs de modèles d’IA à usage général
– La procédure d’évaluation de la conformité
> En 2025
Le chapitre V doit entrer en application le 2 août 2025. Il comporte cependant une échéance antérieure – non contraignante : que les « codes de bonne pratique » soient prêts au 2 mai 2025. Objectif : permettre aux fournisseurs de démontrer leur conformité à temps.
Si, à la date du 2 août 2025, un tel code n’a pas pu être mis au point ou que le Bureau de l’IA estime que ce n’est pas approprité, il est prévu une alternative. La Commission pourra prévoir, au moyen d’actes d’exécution, des règles communes. Elles concerneront la mise en œuvre des obligations prévues aux articles 53 (pour les fournisseurs de modèles d’IA à usage général ne présentant pas de risque systémique) et 55 (modèles présentant un risque systémique).
L’article 70 impose à chaque État membre d’établir ou de désigner au moins une autorité notifiante et au moins une autorité de surveillance du marché.
Ils devront, au plus tard le 2 août 2025, avoir publié des informations sur la façon de joindre ces autorités par voie électronique.
À la même date, et tous les deux ans par la suite, ils feront rapport à la Commission européenne sur l’état des ressources financières et humaines de ces autorités.
L’article 73 impose aux fournisseurs de systèmes d’IA à haut risque de signaler tout incident grave aux autorités de surveillance du marché des États membres où s’est produit l’incident.
La Commission a jusqu’au 2 août 2025 pour publier des orientations spécifiques afin de faciliter le respect de ces obligations.
> En 2026
L’article 72 établit un système de surveillance après commercialisation. Celui-ci repose sur un plan intégré à la documentation technique.
La Commission européenne a jusqu’au 2 février 2026 pour adopter un acte exécutif établissant un modèle de plan de surveillance.
Bruxelles a jusqu’à la même date pour fournir des lignes directrices précisant la mise en œuvre pratique de l’article 6. Celui-ci établit des règles relatives à la classification « à haut risque » des systèmes d’IA.
Les lignes directrices s’accompagneront d’exemples pratiques de cas d’utilisation présentant et ne présentant pas un tel risque.
Au plus tard le 2 août 2026, les autorités compétentes au sein de chaque État membre devront avoir mis en place au moins un bac à sable réglementaire de l’IA au niveau national. Elles ont la possibilité d’en établir conjointement avec les autorités compétentes d’autres États membres.
> En 2027
L’article 111 impose une échéance aux fournisseurs de modèles d’IA à usage général mis sur le marché avant le 2 août 2025. Ils devront se conformer à l’AI Act au plus tard le 2 août 2027.
> En 2028
Au plus tard le 2 août 2028 et tous les 4 ans par la suite, la Commission européenne évaluera la nécessité :
– D’ajouter des rubriques de domaine dans l’annexe III ou d’étendre les existantes
– De modifier la liste des systèmes d’IA nécessitant des mesures de transparence supplémentaires
– De renforcer l’efficacité du système de surveillance et de gouvernance
Aux mêmes échéance et intervalle, elle présentera un rapport sur l’examen de l’état d’avancement des travaux de normalisation sur le développement économe en énergie de modèles d’IA à usage général. En parallèle, elle évaluera le fonctionnement du Bureau de l’IA.
> En 2029
Au plus tard le 2 août 2029 et tous les 4 ans par la suite, la Commission européenne devra évaluer et réexaminer l’AI Act. Puis en faire rapport au Parlement et au Conseil.
> En 2030
L’article 111, sus-évoqué, comprend un paragraphe applicable aux systèmes d’IA qui sont des composants des SI à grande échelle établis en annexe X (SI Schengen, SI sur les visas, Eurodac, etc.).
Ces systèmes d’IA, si mis sur le marché ou mis en service avant le 2 août 2027, devront être conformes à l’AI Act au plus tard le 31 décembre 2030.
Une autre disposition concerne les systèmes d’IA à haut risque autres que ceux susvisés. Ils devront être mis en conformité avec l’AI Act au plus tard le 2 août 2030 s’ils remplissent trois conditions :
– Destinés à un usage par des autorités publiques
– Mis sur le marché ou en service avant le 2 août 2026
– Object d’importantes modifications de leurs conceptions après cette date
Illustration © alexlmk – Adobe Stock
Sur le même thème
Voir tous les articles Business