Aller au contenu
Intelligence Artificielle

Artificial Intelligence Act : pour une IA mieux contrôlée

·
17 minutes de lecture
Le logiciel de gestion avec IA qui multiplie votre potentiel
Temps, talents et finances boostés par l’ia pour travailler plus vite et intelligemment Découvrez Factorial IA

Table des matières

Article rédigé par

L’intelligence artificielle se développe un peu plus de jour en jour et occupe déjà une place importante dans notre quotidien. Avec l’Artificial Intelligence Act, l’Union Européenne a pour objectif d’encadrer les usages de l’intelligence artificielle.

En proposant un cadre clairement identifié, l’UE veut empêcher toutes les dérives et les abus. En effet, l’IA pourrait s’avérer dangereuse, intrusive, menaçante si elle est utilisée sans contrôle.

Factorial vous en dit un peu plus sur cette réglementation européenne désormais en vigueur et sur les mesures qui le composent.

Factorial est la solution RH complète et évolutive qui centralise et digitalise tous vos processus RH sur un seul et même outil.
Demander une démo

L’artificial intelligence act, c’est quoi ?

Le Règlement européen (UE) 2024/1689, plus connu sous le nom d’AI Act ou loi sur l’intelligence artificielle, est le premier cadre législatif mondial spécifiquement dédié à l’encadrement de l’IA. Après trois années d’intenses négociations, ce projet initié le 21 avril 2021 par la Commission européenne a été adopté par le Parlement européen en mars 2024, puis officiellement validé par le Conseil de l’Union européenne le 21 mai 2024.

Publié au Journal officiel de l’UE le 12 juillet 2024, le règlement est entré en vigueur le 1er août 2024, avec une application progressive jusqu’en 2027.

Cette loi a pour but d’imposer un cadre réglementaire et juridique commun pour l’intelligence artificielle et ses usages. Elle s’applique à tous les secteurs et à tous les types d’IA.

Ce projet de réglementation est la suite logique de plusieurs travaux déjà réalisés par l’Europe. En février 2020 déjà, un livre blanc avait été publié. En octobre 2020, le Parlement européen avait adopté certaines réglementations en matière d’éthique, de responsabilité et de propriété intellectuelle avant d’appeler à une IA garante des droits fondamentaux.

En quoi cela consiste ?

L’artificial Intelligence Act a pour vocation de mettre en place une régulation de l’intelligence artificielle. Utilisée dans de nombreux domaines comme le management, l’IA a très vite attirée l’attention de la Commission européenne qui avait déclaré vouloir se pencher sur son cas afin d’éviter tout abus, notamment de la part des entreprises.

La loi Intelligence artificielle repose essentiellement sur la notion de risque. En effet, pour établir un cadre juridique juste et crédible, l’UE a décidé d’imposer un barème afin de déterminer le niveau de risque d’une application de l’IA.

Ainsi, 4 catégorie ont été définies :

  • Les IA inacceptables : Ce sont les intelligences artificielles interdites qui vont clairement à l’encontre des valeurs de l’Union Européenne. Les IA participant à la manipulation inconsciente des comportements ou bien à l’exploitation des vulnérabilités sont concernées. La reconnaissance des émotions sur le lieu de travail, la notation sociale (social scoring) et certaines formes de surveillance biométrique en temps réel dans l’espace public font également partie de cette catégorie ;
  • Les IA à risque élevé : On pense ici aux applications qui représentent un risque élevé pour la santé et la sécurité ou les droits fondamentaux des personnes physiques. Les audits, le scoring de crédit ou de CV, la notation d’examen en font partie par exemple. Les systèmes d’IA utilisés dans le recrutement, l’évaluation des performances, la gestion de carrière, ainsi que dans les infrastructures critiques, la biométrie, l’éducation ou la justice sont également classés à haut risque. Ces IA devront être soumises à une évaluation de conformité stricte par un tiers et devront obtenir le marquage CE avant leur mise sur le marché ;
  • Les IA à risque limité : Cela concerne tous les systèmes qui interagissent avec les humains comme ceux qui détectent les émotions ou utilisent des données biométriques. Les IA soumises à la transparence comme les chatbots ou le deepfake sont également concernées. L’obligation principale pour ces systèmes est d’informer clairement les utilisateurs qu’ils interagissent avec une intelligence artificielle ;
  • Les IA à risque minimal : Ce sont ces IA à risque minime comme les filtres anti-spam ou les jeux vidéos par exemple. Elles ne feront l’objet d’aucune obligation particulière car elles ne présentent pas de réels dangers.

Une catégorie spécifique concerne les modèles d’IA à usage général (GPAI) comme ChatGPT ou d’autres grands modèles de langage. Ces systèmes, qui peuvent être intégrés dans diverses applications, doivent respecter des obligations de transparence, notamment concernant le respect du droit d’auteur et la publication d’un résumé des contenus utilisés pour l’entraînement.

Pourquoi cette loi ?

Si l’AI Act a pour ambition d’encadrer au mieux cette nouvelle technologie, cette loi a, comme spécifié dans son texte, pour objectif de :

  • Veiller à ce que les systèmes d’IA présents sur le marché européen soient sûrs et conformes avec les valeurs de l’UE et les droits fondamentaux ;
  • Garantir la sécurité juridique afin de faciliter l’investissement et l’innovation dans le domaine de l’intelligence artificielle ;
  • Renforcer la gouvernance et l’application effective de la législation existante en matière de droits fondamentaux et des exigences de sécurité applicables aux systèmes d’IA ;
  • Faciliter le développement d’un marché unique pour des applications d’IA légales, sûres et dignes de confiance, et empêcher la fragmentation du marché.

L’AI Act vise également à protéger les droits fondamentaux inscrits dans la Charte des droits fondamentaux de l’UE, y compris la démocratie, l’état de droit, la protection de l’environnement et la protection des données à caractère personnel, tout en encourageant l’innovation responsable, particulièrement pour les PME et les start-ups.

Comment cela fonctionne ?

Les catégories de risques

Comme nous l’avons vu plus haut, l’Artificial Intelligence Act définit des catégories de risques du système d’IA utilisé : Risque inacceptable, élevé, limité et minimal.

Ces catégories ont pour vocation de contrôler au mieux les IA et d’empêcher les dérives, notamment avec les applications qui auraient tendance à récolter trop d’informations sensibles ou à participer à la manipulation humaine.

Ce cadre mis en place par l’Union Européenne s’appliquera à la fois aux acteurs publics et privés. Si l’IA en question est disponible sur le marché européen, l’entreprise devra se conformer aux obligations du texte.

La classification des risques détermine le niveau d’encadrement nécessaire : plus le risque est élevé, plus les exigences de conformité sont strictes. Les fournisseurs et déployeurs de systèmes d’IA doivent donc évaluer avec précision dans quelle catégorie se situent leurs applications pour respecter les obligations correspondantes.

Les Regulatory Sandboxes

Un système de regulatory sandboxes a également été implanté. Ces sandboxes permettent de déployer un environnement contrôlé pour tester les technologies innovantes sur une durée limitée. 

L’idée ici pour les autorités compétentes est d’assurer la conformité du système d’IA pour un accès sur les marchés bien plus rapide. D’ailleurs, les PME et les start-ups auront un accès prioritaire à ces regulatory sandboxes.

Chaque État membre doit mettre en place au moins un bac à sable réglementaire au niveau national d’ici le 2 août 2026. Ces espaces permettent aux entreprises innovantes de tester leurs produits ou services IA, y compris en conditions réelles, sous la supervision d’un régulateur et avec une souplesse temporaire des règles applicables.

Le marquage CE

Avec les systèmes d’IA à risque élevé, l’UE a dû créer un marquage CE. Obligatoire, il assure la conformité aux exigences fixées par la réglementation communautaire et applique les normes imposées par l’Artificial Intelligence Act.

Qui plus est, ces systèmes d’IA devront obligatoirement être enregistrés dans une base de données européenne pour un traçage plus précis et une plus grande sécurité.

Le marquage CE pour les systèmes d’IA à haut risque atteste que le fournisseur a procédé à une évaluation de conformité rigoureuse. Cette évaluation peut être réalisée par le fournisseur lui-même dans certains cas, ou nécessiter l’intervention d’un organisme notifié désigné par les autorités nationales compétentes.

Les obligations à respecter

La loi intelligence artificielle oblige les entreprises à respecter certaines exigences dans l’élaboration de leurs système d’IA :

  • Surveillance humaine : Des personnes physiques devront superviser et surveiller les systèmes d’IA à haut risque durant leur utilisation afin de prévenir ou réduire au minimum les risques pour la santé, la sécurité ou les droits fondamentaux. Un être humain doit pouvoir reprendre le contrôle à tout moment et contester les décisions automatisées ;
  • Gestion des risques : Anticiper les risques, les identifier et les éliminer sont des obligations à respecter. Des process de gestion des risques doivent être mis en place dès la conception et tout au long du cycle de vie de l’IA. Cette évaluation continue permet d’adapter le système aux évolutions et de détecter les dérives potentielles ;
  • Données et gouvernance des données : L’AI Act oblige les systèmes d’IA à tester et valider des ensembles de données répondant aux critères de qualité. Ces jeux de données doivent être pertinents, représentatifs, exempts d’erreurs, complets et utilisés à bon escient. La protection des données à caractère personnel doit être garantie conformément au RGPD, et les biais algorithmiques doivent être identifiés et corrigés ;
  • Transparence et information des utilisateurs : Les IA concernées se doivent d’être transparentes et d’informer les utilisateurs sur leur fonctionnement et l’utilisation des données. Ces informations sont faciles d’accès et permettent une interprétation des résultats compréhensibles par tous. Les déployeurs doivent également informer les personnes concernées lorsqu’elles interagissent avec un système d’IA ou lorsque celui-ci est utilisé pour prendre des décisions les concernant ;
  • Traçabilité : Une tenue de registres d’activités est obligatoire grâce à la conception d’un système permettant l’enregistrement automatique des événements. Ce journal est un moyen d’offrir une traçabilité des événements. Les logs doivent être conservés et mis à disposition des autorités de surveillance lors des contrôles ;
  • Documentation : Comme pour l’obligation de transparence, l’Artificial Intelligence Act impose aux systèmes d’IA de fournir une documentation technique établie avant la mise sur le marché ou la mise en service de ce système pour que les autorités compétentes puissent évaluer la conformité de l’IA. Cette documentation doit être maintenue à jour tout au long du cycle de vie du système ;
  • Précision, robustesse et cybersécurité : Les systèmes d’IA ont une obligation de performance. Elles doivent répondre à des objectifs de précision, de robustesse et de cybersécurité, tout au long de leur cycle de vie. Des tests réguliers et une surveillance continue sont nécessaires pour garantir ces niveaux de performance.

Une obligation spécifique de formation et de maîtrise de l’IA (AI literacy) est entrée en vigueur le 2 février 2025. Les fournisseurs et déployeurs de systèmes d’IA doivent s’assurer que leurs équipes disposent d’un niveau suffisant de connaissances en matière d’IA, adapté à leur contexte d’utilisation et leur niveau de responsabilité.

Les pratiques interdites

En plus de ces obligations à observer, les IA ne doivent pas utiliser certaines pratiques. L’Artificial Intelligence act interdit :

  • La manipulation inconsciente des comportements ;
  • L’exploitation des vulnérabilités de certains groupes d’individus dans l’optique d’influencer leur comportement et leurs décisions ;
  • La notation sociale basée sur l’IA ;
  • L’utilisation de systèmes d’identification biométrique à distance « en temps réel » dans des espaces accessibles au public.

Depuis le 2 février 2025, ces pratiques interdites sont formellement prohibées. Toute entreprise utilisant ce type de système s’expose à des sanctions pouvant atteindre 35 millions d’euros ou 7% du chiffre d’affaires mondial annuel, selon le montant le plus élevé.

L’AI Act interdit également la reconnaissance des émotions sur le lieu de travail, sauf dans des cas très spécifiques liés à la sécurité ou à la recherche médicale. Les systèmes d’IA ne peuvent pas déduire l’état émotionnel ou psychologique des salariés ou candidats.

Quel impact sur les RH ?

L’Artificial Intelligence Act pourrait avoir un impact non-négligeable dans le domaine des ressources humaines, car elle introduit de nouvelles règles de transparence pour les IA de gestion du capital humain.

En effet, ces types d’IA sont considérés comme étant à risque élevé. Ainsi, elles doivent se conformer à des règles strictes de transparence qui, si elles ne sont pas respectées, peuvent entraîner des sanctions financières allant de 2% à 6% du chiffre d’affaires.

Concrètement, les systèmes d’IA utilisés pour le recrutement (tri de CV, analyse de candidatures, entretiens vidéo automatisés), l’évaluation des performances, la promotion, la gestion de carrière ou le suivi de la localisation des salariés sont tous classés comme systèmes à haut risque selon l’Annexe III du règlement.

À compter du 2 août 2026, les entreprises devront :

  • Réaliser une évaluation des risques liés à la sécurité, la discrimination ou l’atteinte aux droits fondamentaux ;
  • Garantir une supervision humaine permanente des décisions automatiques ;
  • Assurer une transparence renforcée sur le fonctionnement du système, ses limites et conditions d’usage ;
  • Mettre en place des contrôles pour éviter toute discrimination (vérification des biais algorithmiques) ;
  • Informer les candidats et salariés de l’utilisation d’un système d’IA ;
  • Permettre aux personnes concernées de contester les décisions prises par l’IA.

En cas de violation de l’AI Act, les sanctions encourues suivent la même logique que celle du régime du RGPD. En cas de non-respect des règles d’usage, la personne fautive encourt une amende de 30 millions d’euros ou pouvant aller jusqu’à 6% du chiffre d’affaires s’il est question d’une entreprise.

L’Artificial Intelligence Act prévoit également des amendes pour manquement de coopération avec les autorités, jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires.

Ainsi, de nombreuses solutions RH sont concernées et devront être en conformité avec cette loi intelligence artificielle. Il sera impératif d’éviter la discrimination et de fournir des résultats facilement exploitables.

L’utilisation des données sera tout autant cruciale, qui plus est pour les logiciels utilisant les données d’autres applications. Les responsabilités seront à définir et il conviendra de prêter attention aux moindres détails pour ne pas se retrouver dans l’illégalité.

En France, la CNIL (Commission Nationale de l’Informatique et des Libertés) joue un rôle central dans l’application de l’AI Act. Elle a publié dès juillet 2024 un guide pour aider les entreprises à se conformer aux nouvelles exigences, incluant des aspects tels que la gestion des risques et la transparence.

De plus, le dialogue social est essentiel : la consultation du CSE (Comité Social et Économique) est requise lors de l’introduction de nouvelles technologies comme l’IA, notamment dans le cadre de la définition des orientations stratégiques de l’entreprise et de l’évaluation des risques professionnels.

Calendrier de mise en application de l’AI Act

L’application du règlement européen sur l’IA se fait de manière progressive pour permettre aux entreprises de s’adapter :

  • 1er août 2024: Entrée en vigueur officielle du règlement ;
  • 2 février 2025: Interdiction des systèmes d’IA à risque inacceptable + Obligation de formation (AI literacy) ;
  • 2 août 2025: Application des règles pour les modèles d’IA à usage général (GPAI) + Mise en place du Bureau de l’IA de l’UE + Activation du régime de sanctions ;
  • 2 août 2026: Application complète aux systèmes d’IA à haut risque + Mise en place obligatoire des bacs à sable réglementaires par les États membres ;
  • 2 août 2027: Application aux systèmes d’IA à haut risque incorporés dans certains produits réglementés (dispositifs médicaux, jouets, machines, etc.) ;
  • 31 décembre 2030: Fin des périodes de grâce pour les systèmes d’IA existants.

Les entreprises ont donc jusqu’en août 2026 pour mettre en conformité leurs systèmes d’IA à haut risque utilisés dans la gestion RH. Il est recommandé de commencer dès maintenant les audits et la cartographie des outils d’IA utilisés.

Factorial AI : une solution RH conforme à l’AI Act

Face aux exigences croissantes de l’AI Act, les entreprises ont besoin de solutions technologiques qui intègrent nativement la conformité réglementaire. C’est précisément ce que propose Factorial avec Factorial One, son agent d’intelligence artificielle.

Factorial One transforme la gestion des ressources humaines en permettant aux équipes de gagner en efficacité tout en respectant scrupuleusement le cadre juridique européen. La responsabilité de la conformité aux exigences légales incombe aux développeurs des systèmes, et Factorial garantit que toutes ses fonctionnalités IA sont conçues pour répondre aux normes de l’AI Act.

Avec Factorial AI, les entreprises bénéficient d’un agent intelligent qui comprend leur organisation, analyse les données en temps réel et aide à prendre des décisions plus rapides et plus éclairées, tout en maintenant une transparence totale et une supervision humaine permanente. Voici comment Factorial One s’intègre dans vos processus RH :

  • Performance & Engagement : Co-création d’enquêtes de satisfaction et d’évaluations de performance, analyse automatique des feedbacks avec détection de tendances, génération de rapports structurés et tableaux de bord personnalisés pour suivre l’engagement des équipes ;
  • Recrutement & Gestion des talents : Rédaction automatisée de descriptions de poste, résumés intelligents de CV, recommandation des meilleurs profils candidats et accélération du processus de recrutement grâce à l’IA – tout en garantissant la supervision humaine requise par l’AI Act ;
  • Gestion opérationnelle : Planification automatisée des équipes avec suggestions intelligentes basées sur l’historique et les contraintes, définition simplifiée des règles de gestion du temps et publication rapide des plannings ;
  • Gestion financière : Scan mobile des justificatifs de dépenses, extraction automatique des données par reconnaissance optique (OCR), affectation automatique aux règles et centres de coûts, et rappels pour la soumission dans les délais ;
  • Analyses & Rapports : Réponses instantanées à vos questions sur les données RH en quelques secondes, génération automatique de rapports avec insights clés, analyses précises qui détectent les tendances que vous n’auriez peut-être pas remarquées.

Factorial One ne se contente pas de répondre à vos questions : il co-crée avec vous. L’agent IA s’appuie exclusivement sur les données réelles de votre entreprise pour fournir des réponses fiables et pertinentes, sans jamais inventer d’informations. Vos données restent chez Factorial, ne sont jamais partagées avec des tiers, et chaque utilisateur dispose d’autorisations personnalisées pour un contrôle total.

En choisissant Factorial AI, les équipes RH profitent des avantages de l’intelligence artificielle sans s’exposer aux risques juridiques. Toutes les fonctionnalités sont développées en conformité avec le règlement européen, assurant la protection des données à caractère personnel, la transparence des algorithmes et le respect des droits fondamentaux des salariés et candidats.

En conclusion

L’Artificial Intelligence Act représente une évolution majeure dans l’encadrement de l’IA en Europe et dans le monde. Adopté en 2024 et désormais en application progressive, ce règlement établit des standards de sécurité, de transparence et de protection des droits fondamentaux qui s’imposent à toutes les entreprises opérant sur le marché européen.

Pour les professionnels des ressources humaines, la conformité à l’AI Act n’est plus une option mais une obligation légale dont le non-respect peut entraîner des sanctions financières significatives. En s’appuyant sur des solutions comme Factorial AI, conçues nativement pour respecter ces exigences, les entreprises peuvent tirer pleinement parti de l’intelligence artificielle tout en garantissant une utilisation responsable et conforme de ces technologies.

FAQ

Qu’est-ce qu’un modèle d’IA à usage général (GPAI) ?

Un modèle d’IA à usage général (GPAI) est défini à l’article 3 du présent règlement comme un modèle d’intelligence artificielle entraîné à l’aide d’un grand nombre de données utilisant l’apprentissage automatique à grande échelle.

Ces modèles présentent une capacité de généralité significative et sont capables d’exécuter de manière compétente un large éventail de tâches distinctes. Les modèles génératifs comme ChatGPT ou Claude relèvent de cette catégorie. Ils peuvent être intégrés dans une variété de systèmes ou d’applications en aval, à l’exception des modèles utilisés pour des activités de recherche, de développement ou de prototypage avant leur mise sur le marché.

Quel est le rôle du Bureau de l’IA (AI Office) ?

Le Bureau européen de l’IA (AI Office), établi au sein de la Commission européenne, joue un rôle central dans la mise en œuvre et l’application de l’AI Act. Opérationnel depuis le 2 août 2025, cet organe est chargé de superviser les modèles GPAI présentant un risque systémique, de coordonner l’action des États membres, de soutenir le développement de codes de bonnes pratiques et de publier des lignes directrices pour faciliter la mise en conformité des entreprises. Le Bureau travaille conformément aux dispositions du règlement et en collaboration avec le Comité européen de l’IA.

Qui est considéré comme « déployeur » selon l’AI Act ?

Selon l’article 3 du règlement, un déployeur est une personne physique ou morale, une autorité publique, une agence ou un autre organe qui utilise un système d’IA sous sa propre autorité, sauf dans le cadre d’une activité personnelle non professionnelle.

Le déployeur a des obligations spécifiques, notamment en matière de surveillance humaine, d’information des utilisateurs et de coopération avec les autorités compétentes. Dans le secteur RH, l’entreprise qui utilise un logiciel de tri de CV est considérée comme déployeur.

Quelles sont les autorités compétentes chargées de la surveillance du marché ?

Chaque État membre doit désigner ou établir au moins une autorité nationale compétente chargée de la surveillance du marché et de l’application de l’AI Act sur son territoire. En France, la CNIL joue ce rôle de contrôleur pour les aspects liés à la protection de la vie privée et au traitement des données à caractère personnel.

Ces autorités ont pour mission d’effectuer des évaluations de la conformité, de désigner des organismes notifiés et de coordonner leurs travaux au niveau national et européen. Elles travaillent en vertu du présent règlement et disposent de pouvoirs d’enquête et de sanction.

Qu’est-ce qu’un système d’IA « à haut risque » ?

Les systèmes d’IA à haut risque sont listés dans les annexes I et III du règlement. Ils concernent les applications présentant un risque significatif pour la santé, la sécurité ou les droits fondamentaux des personnes.

L’annexe III inclut notamment les systèmes d’IA utilisés pour l’emploi (recrutement, évaluation), l’éducation, les infrastructures critiques, l’application de la loi ou l’identification biométrique à distance en temps réel. Ces systèmes sont soumis à des obligations strictes avant leur mise en œuvre, incluant une évaluation de conformité, un système de gestion des risques et un marquage CE.

Beatrice Roulleau
Béatrice est senior content manager chez Factorial. Sa principale mission : vous inviter à venir, vous donner envie de rester et vous inciter à revenir. Elle a commencé son aventure dans les ressources humaines il y a environ 6 ans et ça continue ! Comme une voiture tout-terrain, elle raffole du hors-piste et n'hésite pas à se frotter à d'autres univers (elle était à une époque une commerciale acharnée qui négociait la vente de formations professionnelles).

Articles Similaires