Archives par mot-clé : IA Act

Gouvernance des autorités pour l’AI Act : multiplier les régulateurs pourrait être contreproductif

Publié le par

La France va se doter – si une loi était adoptée en 2026 – d’une gouvernance sectorielle pour l’IA, pilotée par la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF). Mais la multiplicité des régulateurs pourrait compliquer la tâche des entreprises.

Par Antoine Gravereaux, avocat associé*, FTPA Avocats

La Direction générale des entreprises (DGE), qui dépend du ministère de l’Economie et des Finances, a publié le 9 septembre 2025 un projet de désignation des autorités nationales chargées de la mise en œuvre en France du règlement européen sur l’intelligence artificielle (AI Act). Sous la coordination de la DGE et de la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF), ce projet instaure un schéma décentralisé et sectoriel de gouvernance s’appuyant sur les régulateurs existants en France.

La DGCCRF centralise la coordination
Ce modèle s’inscrit dans le cadre de l’AI Act (1) et des dispositions de son article 70 qui impose la désignation d’autorités nationales de notification et de surveillance du marché dans chaque Etat membre. Cette proposition de gouvernance sectorielle et décentralisée doit être présentée au Parlement sous la forme d’un projet de loi. Il ne sera donc définitif qu’après un vote législatif, très probablement dans le courant du premier semestre 2026. Le schéma retenu par le gouvernement prévoit que la mise en œuvre effective de ce règlement européen sur l’IA sera supervisée par plusieurs autorités compétentes, conformément aux orientations proposées par cet AI Act. Dès lors, les administrations, agences et autorités spécialisées – selon leur secteur d’intervention – auront la charge de contrôler les systèmes d’intelligence artificielle, une fois mis sur le marché ou en service.
La DGCCRF centralisera la coordination opérationnelle entre diverses autorités sectorielles impliquées dans le contrôle des systèmes d’IA. Elle sera ainsi l’interlocuteur principal pour les autorités européennes et facilitera l’échange d’informations et la coopération entre les différents régulateurs nationaux. Elle agira comme un point de contact unique, pour la France auprès des instances européennes, sur les questions liées à la surveillance du marché de l’IA. Ce rôle de coordination s’inscrit dans une organisation bicéphale où la DGCCRF assurera la supervision pratique sur le terrain, tandis que la DGE apportera son soutien à la mise en œuvre de l’AI Act. A ce titre, la DGE jouera un rôle-clé dans l’organisation de la gouvernance nationale de ce règlement européen, notamment en (suite) assurant la représentation française et en veillant à un alignement dans l’application des règles sur tout le territoire national, au sein du Comité européen de l’IA. Cet « AI Board » (2), dont le secrétariat est assuré par le Bureau de l’IA (« AI Office ») de la Commission européenne (3), est une instance qui rassemble les représentants des autorités nationales compétentes pour coordonner l’application – justement harmonisée – du règlement européen « établissant des règles harmonisées concernant l’intelligence artificielle ».
Le souhait du gouvernement français est de permettre une surveillance adaptée, mobilisant les compétences spécifiques de chaque autorité en fonction des usages et risques associés aux systèmes d’IA concernés. Les autorités nationales s’inscriraient ainsi comme des acteurs pivots dans la chaîne de surveillance et de contrôle. En pratique, chaque entreprise ou organisation continuera de s’adresser prioritairement à son régulateur de secteur pour respecter les exigences de l’AI Act. Pour les aspects techniques, l’Agence nationale de la sécurité des systèmes d’information (Anssi) et le Pôle d’expertise de la régulation numérique (PEReN) fourniront un appui transversal aux régulateurs qui bénéficieront d’un « socle mutualisé d’expertises ». Ils pourront ainsi les accompagner dans l’analyse technique, la cybersécurité et l’audit des algorithmes d’IA. La Commission nationale de l’informatique et des libertés (Cnil) et l’Autorité de régulation de la communication audiovisuelle et numérique (Arcom) figurent comme des interlocuteurs majeurs pour les enjeux relatifs à la protection des données et à la régulation des contenus auprès des collectivités publiques. Bercy n’a pas publié le 9 septembre 2025 de rapport complet (4) mais un aperçu du schéma proposé – accompagné d’un graphique (5)) qui identifie le périmètre d’intervention des autorités compétentes selon quatre critères : les pratiques interdites (6), les obligations spécifiques de transparence (7), les systèmes d’IA à haut risque (8), les systèmes d’IA à haut risque (9).

Au titre des pratiques interdites
La DGCCRF et l’Arcom veillent au respect de l’interdiction des systèmes d’IA qui utilisent des techniques subliminales, manipulatrices ou trompeuses, et qui exploitent les vulnérabilités liées à l’âge, au handicap ou à la situation sociale ou économique. La Cnil et la DGCCRF contrôlent le respect de l’interdiction sur les systèmes d’IA dédiés à l’évaluation, la classification ou notation sociale. La Cnil joue un rôle central dans le contrôle des pratiques interdites puisqu’elle est seule chargée du contrôle des autres pratiques interdites : police prédictive, création de bases de données de reconnaissance faciale via moissonnage non ciblé, inférence des émotions sur lieu de travail et établissements d’enseignement, catégorisation biométrique, identification biométrique à distance en temps réel à des fins répressives.

Transparence et IA à haut risque
La DGCCRF et Arcom contrôlent les systèmes d’IA interagissant directement avec les personnes ou générant des contenus synthétiques et hypertrucages. L’Arcom surveille également les systèmes générant ou manipulant des textes destinés à informer le public sur des questions d’intérêt public. La Cnil contrôle, quant à elle, le respect des obligations de transparence concernant les systèmes de reconnaissance des émotions et de catégorisation biométrique. Les autorités de surveillance du marché compétentes pour les systèmes d’IA à haut risque voient leur périmètre élargi pour le contrôle de l’intégration de l’IA dans ces produits classés « à haut risque » selon l’annexe I du règlement IA. Ainsi, par exemple, la DGCCRF est en charge de veiller à la sécurité des jouets, et avec l’Agence nationale de sécurité du médicament et des produits de santé (ANSM) pour les dispositifs médicaux.
Pour les systèmes d’IA à haut risque relevant de l’annexe III, les Hauts fonctionnaires de défense et de sécurité (HFDS) des ministères économiques, financiers, industriels et écologiques contrôlent les IA liées aux infrastructures critiques. L’Autorité de contrôle prudentiel et de résolution (ACPR) contrôle les IA destinées à être utilisées pour évaluer la solvabilité des personnes physiques, établir les notes de crédit, et évaluer les risques et la tarification en matière d’assurance-vie et d’assurance maladie. Le Conseil d’Etat, la Cour de cassation et la Cour des comptes supervisent, quant à eux, les systèmes d’IA mis en service ou utilisés par les autorités judiciaires à des fins d’administration de la justice. Enfin, la Cnil contrôle les IA dans l’enseignement, la formation professionnelle (avec la DGCCRF), les processus démocratiques (avec l’Arcom), la biométrie, la gestion des ressources humaines, les usages répressifs, la migration, l’asile, ainsi que le contrôle des frontières. Le schéma « DGE-DGCCRF » proposé vise à éviter la création d’une superstructure, tout en valorisant l’expertise existante au sein des autorités déjà en place.
Le gouvernement français mise ainsi sur les autorités déjà opérationnelles, qui disposent chacune d’une expertise fine dans leurs domaines respectifs. Cette gouvernance « IA » devrait permettre d’apporter une proximité sectorielle avec les acteurs régulés, ainsi qu’une meilleure compréhension des pratiques spécifiques pour une régulation adaptée et un contrôle plus efficace. Pour autant, et c’est là que le bât blesse, cette gouvernance morcelée pourrait générer une complexité accrue pour les entreprises multi-secteurs, avec des points de contacts multiples et une articulation parfois difficile entre exigences sectorielles et obligations transversales de l’AI Act. Ainsi, les PME risquent d’être confrontées à une multiplicité d’interlocuteurs et à une compréhension plus complexe des règles applicables. En effet, les sociétés devront entreprendre des démarches spécifiques selon leur secteur d’activité, rajoutant alors des points de complexité dans leur mise en conformité aux exigences de l’AI Act. Cette gouvernance éclatée pourrait également entraîner une charge administrative accrue, des difficultés de compréhension des exigences applicables et un risque d’interprétations divergentes entre autorités.
Si la DGCCRF joue un rôle d’orientation clé, la multiplication des intervenants et la fragmentation normative s’avèrent particulièrement complexes pour les PME, qui disposent souvent de ressources juridiques limitées pour mener des programmes de mise en conformité de leurs pratiques. La multiplicité des organismes implique aussi un risque de dilution des responsabilités, surtout en cas d’incidents ou de litiges impliquant différents aspects de l’IA (par exemple, un système de scoring biométrique utilisé à des fins publicitaires). En l’absence d’un chef de file unique clairement identifié, cette configuration peut retarder la prise de décision ou compliquer la coordination des sanctions.
Le Conseil d’Etat, dans une étude publiée en 2022 intitulée « Intelligence artificielle et action publique : construire la confiance, servir la performance » (10), avait préconisé une transformation profonde de la Cnil en autorité nationale de contrôle responsable de la régulation des systèmes d’IA. Il soulignait que pour garantir la cohérence et la sécurité juridique, il serait préférable d’adosser la gouvernance de l’IA à une autorité unique renforcée, la Cnil étant le choix naturel compte tenu de son expérience reconnue en matière de protection des données personnelles et de régulation numérique. Confronté à la diversité des secteurs d’application de l’IA, cette piste a été écartée. La mise en œuvre de l’AI Act et la gouvernance proposée imposent donc aux entreprises une coordination et une gestion rigoureuse de leurs risques. Elles doivent concilier les exigences spécifiques à chaque secteur d’activité tout en assurant une sécurité juridique dans un environnement réglementaire à la fois complexe et en constante évolution.

Les entreprises attendues au tournant
Face aux enjeux de l’intelligence artificielle, les entreprises et organisation devront mettre en place un pilotage rigoureux de leurs pratiques. A ce titre, elles devront identifier et évaluer les risques liés à leurs systèmes d’IA, documenter leur fonctionnement, assurer la transparence des interactions, mettre en place un contrôle humain et des procédures de gestion des incidents, tout en respectant des échéances progressives jusqu’en 2026 pour assurer leur conformité à l’AI Act. Sinon, gare aux sanctions. @

* Antoine Gravereaux est avocat associé chez FTPA Avocats,
au département « Technologies, Data & Cybersécurité ».

Cloud & AI Development Act : le futur règlement de la Commission européenne veut changer la donne

Publié le par

Pour que l’Union européenne devienne un « continent de l’IA », dans le cadre des objectifs de son Digital Decade à l’horizon 2030, le futur règlement sur « le développement de l’informatique en nuage et de l’IA » devra éviter de renforcer la position dominante du triumvirat Amazon-Microsoft-Google.

Alors qu’un triumvirat de l’informatique en nuage est en train de se renforcer dans l’Union européenne, constitué par les trois Big Tech américaines Amazon avec Amazon Web Services (AWS), Microsoft avec Microsoft Azur et Google avec Google Cloud, la Commission européenne s’apprête à proposer d’ici la fin de l’année 2025 un projet de règlement sur « le développement de l’informatique en nuage et de l’IA ». Ce Cloud & AI Development Act sera ensuite débattu au Parlement européen début 2026. Pour une entrée en application en 2027 ?

Triopole américain renforcé dans l’UE
Le temps long réglementaire est loin d’être celui du temps ultra-rapide des technologies. Lorsque le Cloud & AI Development Act (« CAIDA ») entrera en vigueur, d’ici deux ans, la position dominante des trois Big Tech américaines Amazon, Microsoft et Google dans le cloud aura sans aucun doute encore augmentée pour atteindre une part de marché – dans les infrastructures de cloud en Europe – plus importante qu’elle ne l’est déjà actuellement. Le triumvirat tend à devenir un triopole, qui échappe à toute régulation susceptible de favoriser la concurrence dans les Vingt-sept.
Pour l’heure, Amazon, Microsoft et Google viennent d’atteindre les 70 % de parts de marché dans les infrastructures de cloud dans l’Union européenne (UE). Tandis que la part de marché de leurs concurrents d’origine européenne – SAP, Deutsche Telekom, OVHcloud, Telecom Italia, ou encore Orange – se réduit à peau de chagrin, à savoir 15 % environ de part de marché en Europe, contre près de 30 % en 2017, d’après Synergy Research Group (voir graphique ci-dessous). « Pendant que les fournisseurs de cloud américains continuent d’investir des dizaines de milliards d’euros chaque trimestre dans des programmes d’investissement européens, cela représente une pente impossible à gravir pour toutes les entreprises qui souhaitent sérieusement contester leur leadership sur le marché », estime John Dinsdale (photo), analyste en chef de ce cabinet d’étude américain basé à Reno, dans le Nevada, aux Etats-Unis. Et cet ancien analyste en chef de chez Gartner d’ajouter : (suite) « Par conséquent, les fournisseurs de cloud européens se sont principalement installés comme fournisseurs de services à des groupes locaux de clients ayant des besoins locaux spécifiques, travaillant parfois en partenariat avec les grands fournisseurs de cloud américains. Bien que de nombreux fournisseurs de cloud européens continuent de croître, il est peu probable qu’ils fassent beaucoup bouger les lignes en termes de part de marché européenne globale » (1). Les principaux bénéficiaires de la croissance du marché depuis sept ans sont le quasi-triopole Amazon, Microsoft et Google, ces « hyperscaler » capables déployer et gérer des infrastructures de cloud de façon massive, de réparties sur des centaines de datacenters à travers le monde leur puissance informatique dans le nuage, d’offrir des services de calcul, de stockage, d’IA, de réseau et de sécurité à l’échelle planétaire, et de faire évoluer dynamiquement leurs ressources en fonction de la demande grâce à leurs architectures de cloud. AWS, Azur et Google Cloud règnent donc toujours en maîtres, non seulement dans l’Union européenne qu’ils ont colonisée, mais aussi dans le reste du monde.
Alors que le marché mondial des infrastructures de cloud à destination des entreprises approche de la barre des 100 milliards de dollars de chiffre d’affaires rien qu’au deuxième trimestre 2025, toujours d’après Synergy Research Group, pour un total sur un an de 366 milliards de dollars (en hausse annuelle d’environ 25 %), le quasi-triopole s’arroge respectivement 30 % (Amazon), 20 % (Microsoft) et 13 % (Google) de parts de marché mondiale. « Nous prévoyons que la croissance annuelle moyenne au cours des cinq prochaines années restera supérieure à 20 %, a encore indiqué John Dinsdale. Nous pouvons remercier GenAI [intelligence artificielle générative capable de produire du contenu original – texte, image, code, musique, vidéo – à partir de données existantes, ndlr] d’avoir surdimensionné ce qui était déjà un marché important et à forte croissance ».

L’IA et GenAI favorables… au triopole
Au second trimestre 2025, Synergy Research Group a en effet constaté une croissance de 140 % à 180 % des services cloud spécifiques à GenAI, et l’intelligence artificielle (IA) a contribué également à la croissance des services cloud sur un marché plus élargi – de plus en plus d’entreprises et de plateformes grand public adoptant l’IA. « Au-delà des services cloud d’entreprise, constate John Dinsdale, l’IA alimente également l’expansion des revenus d’autres services numériques. Nous constatons une forte croissance à deux chiffres des revenus provenant des médias sociaux et de la recherche en ligne » (2). Si les Etats-Unis restent de loin le plus grand marché du cloud, l’Europe progresse mais ses plus grands marchés nuagiques sont le Royaume-Uni et l’Allemagne, tandis que les grands marchés européens avec les taux de croissance les plus élevés sont l’Irlande, l’Espagne et l’Italie. La France est au ralenti.

Changer de cloud facilement, sans frais
Avec le futur règlement Cloud & AI Development Act, Bruxelles vise à « tripler les capacités des centres de données de l’UE dans les cinq à sept années à venir ». Car, actuellement, l’UE accuse dans ce domaine un retard par rapport aux Etats-Unis et à la Chine. Le CAIDA a pour objectif de lever les barrières qui empêchent le développement de la capacité des centres de données dans les Vingt-sept : difficultés d’accès aux ressources naturelles (énergie, eau, terres), d’obtention d’autorisations (complexités différentes selon les Etats membres), de se fournir en composants technologiques, et de lever des capitaux pour investir. La montée en puissance du quasi-triopole de l’informatique en nuage fait aussi craindre, pour les entreprises et les particuliers, un verrouillage de leurs données par leur fournisseur de cloud.
D’où la question cruciale, à laquelle répond partiellement le Data Act (3) qui est entré en vigueur ce 12 septembre 2025 mais sur laquelle fait l’impasse la consultation (4) de la Commission européenne en vue de proposer un CAIDA : comment faciliter la possibilité de changer de fournisseur cloud et assurer la portabilité des données ? « En mai 2024, la loi visant à sécuriser et réguler l’espace numérique [loi dite SREN] a confié à l’Arcep de nouvelles missions sur le cloud justement pour lever les barrières techniques et commerciales au changement de fournisseur », a rappelé Laure de La Raudière (photo ci-dessus), présidente de l’Arcep, à l’occasion de la conférence Cloudweek Paris qui s’est tenue le 17 septembre 2025. Le régulateur français des télécoms entend exercer son pouvoir d’intervention sur le marché du cloud. « Concernant les barrières commerciales, a-t-elle précisé, nous avons la mission d’encadrer les frais de transfert de données lors d’un changement de fournisseur. […] Ces frais doivent être, selon nous, égaux à zéro, en dehors des prestations complémentaires ou de spécificités demandées par les clients ».
Mais ce n’est pas tout, l’enjeu porte surtout sur les données des clients dans le cloud : « Concernant les barrières techniques, nous avons la mission de préciser les règles et modalités de mise en œuvre des exigences essentielles par les fournisseurs cloud relatives à la portabilité et de l’interopérabilité » (5). Transparence, droit à la portabilité et droit à l’interopérabilité sont aussi des obligations qui s’imposent aux fournisseurs de services cloud (6), dans le cadre européen du Data Act. Mais est-ce suffisant ?

L’Arcep prône une régulation ex-ante
L’Arcep, qui est membre du réseau des régulateurs européens Berec, se prépare de longue date à « réguler les réseaux du futur » (7) et s’apprête à publier une recommandation qui vise à encourager la transparence et la mise en place de bonnes pratiques de documentation et de mise à jour des API (Application Programming Interface, ou interface de programmation d’application). Pour le futur CAIDA, la France suggère surtout à la Commission européenne de prévoir une régulation ex-ante du cloud et de l’IA, où les règles contraignantes sont fixées à l’avance (8). @

Charles de Laubier

AI Act et obligations : ce qui change le 2 août 2025 pour les nouvelles IA à usage général

Publié le par

Le 2 août 2025 marque une étape décisive dans l’application du règlement européen sur l’intelligence artificielle. Les fournisseurs qui mettent sur le marché – à partir de cette date – des modèles d’IA à usage général doivent d’emblée se conformer aux obligations de cet AI Act. Explications.

Seulement certains fournisseurs de systèmes d’IA à usage général – souvent désignés par le sigle GPAI pour General-Purpose AI – ouvrent à partir du 2 août 2025 le bal des obligations prévues par le règlement européen sur l’intelligence artificielle – appelé aussi AI Act (1) et adopté le 13 juin 2024. Car cette échéance-là ne concerne pas toutes les « GPAI », mais uniquement celles mises sur le marché à partir de ce 2 août 2025. Le Bureau de l’IA (AI Office), créé par le AI Act, rattaché à la Commission européenne (2) et dirigé par Lucilla Sioli (photo), joue un rôle central.

Nouveaux entrants GPAI pénalisés ?
Aussi curieux que cela puisse paraître, les ChatGPT (OpenAI), Gemini (Google), Claude (Anthropic), Llama (Meta), Le Chat (Mistral AI) ou encore Perplexity (Perplexity AI) – pour n’en citer que quelques-uns parmi une bonne dizaine d’IA génératives déjà existantes et disponibles dans les Vingt-sept – ne sont pas encore concernés puisque leurs IA génératives respectives à usage général ont été lancées sur le marché avant le 2 août 2025. Pour celles-ci, elles bénéficient d’un délai de deux ans supplémentaires – soit d’ici le 2 août 2027 – pour se conformer aux obligations de l’AI Act.
Ainsi, contrairement aux nouvelles GPAI qui vont faire leur entrée sur le marché européen, les IA « historiques » bénéficient en quelque sorte d’un répit non négligeable. Pendant que les IA « nouvelles entrantes » doivent sans délai se soumettre aux obligations qui peuvent s’avérer lourdes : documentation technique, informations aux intégrateurs, résumé public des données d’entraînement, politique de respect du droit d’auteur, désignation d’un représentant officiel dans l’UE si le fournisseur est situé hors de l’UE, … Edition Multimédi@ se demande dans ces conditions si (suite) les ChatGPT, Gemini et autres Llama ne bénéficient pas d’un avantage compétitif sur les nouveaux entrants. Avec cet « avantage temporaire », d’ici le 2 août 2027 et non dès le 2 août 2025, les anciens GPAI peuvent continuer à opérer légalement sans être immédiatement conformes aux nouvelles exigences. Cela leur évite en outre des coûts immédiats de mise en conformité. Et ils bénéficient d’une position dominante ou d’une base de millions voire de dizaines de millions d’utilisateurs et qu’ils peuvent continuer à exploiter. Dans l’UE, ChatGPT en a plus de 40 millions, Gemini plus de 35 millions, Claude plus de 15 millions, Le Chat plus de 10 millions, ou encore Perplexity plus de 5 millions. Cette différenciation entre les acteurs de l’IA déjà en place et les nouveaux concurrents est-elle justifiée ? La distinction est fondée sur un principe de progressivité souvent utilisé en droit européen pour les technologies émergentes. Cela évite de pénaliser les pionniers qui ont lancé leurs modèles avant la publication du règlement. Cela permet aussi d’assurer la continuité d’usage des technologies en cours d’adoption par les citoyens, entreprises et administrations. Cela encourage enfin les éditeurs historiques à coopérer volontairement avec la Commission européenne, notamment via le code de bonnes pratiques GPAI publié le 10 juillet et déjà signé par OpenAI et Mistral AI – la liste sera publié le 1er août (3) – mais pas par Meta (4).
Ainsi, ce délai supplémentaire de deux ans ne serait pas une faveur, mais plutôt un équilibre entre faisabilité et équité réglementaire. Le véritable enjeu, à moyen terme, sera la vitesse à laquelle les modèles préexistants se mettront en conformité – et leur capacité à rester compétitifs face à de nouveaux entrants « 100 % AI Act-ready ». Car les nouveaux entrants GPAI, même s’ils doivent être immédiatement conformes, peuvent intégrer les obligations dès la conception, ce qui est plus simple que de reconfigurer un système existant. Les GPAI plus anciens s’exposent, eux, à des risques de réputation s’ils ne progressent pas assez vite vers la conformité : certains acheteurs publics ou entreprises européennes pourraient préférer les fournisseurs de GPAI déjà conformes, même nouveaux, pour éviter des risques juridiques.

Qu’est-ce qu’une IA « à usage général » ?
Tout est une question de définition pour faire le distinguo entre les IA qui sont « à usage général » et les IA qui ne le sont pas (5). « La notion de modèles d’IA à usage général devrait être clairement définie et distincte de la notion de systèmes d’IA afin de garantir la sécurité juridique, souligne l’AI Act. La définition devrait se fonder sur les principales caractéristiques fonctionnelles d’un modèle d’IA à usage général, en particulier la généralité et la capacité d’exécuter de manière compétente un large éventail de tâches distinctes. Ces modèles sont généralement entraînés avec de grandes quantités de données, au moyen de diverses méthodes, telles que l’apprentissage auto-supervisé, non supervisé ou par renforcement » (6). Et le règlement européen de préciser : « Les grands modèles d’IA génératifs sont un exemple typique d’un modèle d’IA à usage général, étant donné qu’ils permettent la production flexible de contenus, tels que du texte, de l’audio, des images ou de la vidéo, qui peuvent aisément s’adapter à un large éventail de tâches distinctes » (7). Le code de bonnes pratiques pour l’IA à usage général (General-Purpose AI Code of Practice), élaboré par des experts indépendants dans le cadre d’un processus multipartite, est présenté comme « un outil volontaire ».

Bonnes pratiques et lignes directrices
Ce code est censé aider les acteurs du marché à se conformer aux obligations de l’AI Act pour les modèles d’IA à usage général. Publié le 10 juillet (8) et en cours d’évaluation par l’AI Office, il sera approuvé par les Etats membres et la Commission européenne d’ici fin juillet ou début août. « En outre, le code sera complété par des lignes directrices, qui [devaient être] publiées également en juillet par la Commission européenne, sur les concepts-clés liés aux modèles d’IA à usage général », avait précisé Bruxelles. Le code de bonnes pratiques pour GPAI comporte trois chapitres : transparence, droit d’auteur, sûreté et sécurité :
Transparence. Ce chapitre (9) propose un modèle de formulaire de documentation convivial qui permet aux fournisseurs de documenter facilement les informations nécessaires pour se conformer à l’obligation imposée par l’AI Act aux fournisseurs de modèles, afin de garantir une transparence suffisante.
Droit d’auteur. Ce chapitre (10) sur le droit d’auteur offre aux fournisseurs des solutions pratiques pour satisfaire à l’obligation de la législation sur l’IA de mettre en place une politique de conformité avec la législation de l’UE sur le droit d’auteur. « Les chapitres sur la transparence et le droit d’auteur offrent à tous les fournisseurs de modèles d’IA à usage général un moyen de démontrer le respect de leurs obligations au titre de l’article 53 de la législation sur l’IA », indique la Commission européenne. En clair, ces fournisseurs de modèles d’IA à usage général doivent tenir à jour la documentation technique du modèle GPAI, y compris sur son processus d’entraînement et d’essai, ainsi que les résultats de son évaluation. Cette documentation, devant contenir « au minimum » les informations énoncées à l’annexe XI de l’AI Act (11), doit être à disposition « sur demande » de l’AI Office et des autorités nationales compétentes (par exemple en France, la Cnil, l’Arcom ou encore l’Anssi). Ces mêmes fournisseurs de GPAI doivent aussi tenir à jour, et mettre à disposition, des informations et de la documentation à l’intention des fournisseurs de systèmes d’IA qui envisagent d’intégrer le modèle d’IA à usage général dans leurs systèmes d’IA. Ces informations doivent leur permettre d’avoir une bonne compréhension des capacités et des limites du modèle d’IA à usage général et de se conformer aux obligations, tout en contenant « au minimum » les éléments énoncés à l’annexe XII de l’AI Act.
Ces mêmes fournisseurs de GPAI doivent en outre mettent en place une politique visant à se conformer au droit d’auteur et aux droits voisins, et notamment à identifier et à respecter, y compris avec des technologies, une réservation de droits exprimée conformément à la directive « Droit d’auteur et droits voisins dans le marché unique numérique » (12). Enfin ces mêmes fournisseurs de GPAI mettent à la disposition du public un résumé suffisamment détaillé du contenu utilisé pour entraîner le modèle d’IA à usage général, conformément à un modèle fourni par le Bureau de l’IA.
Sûreté et sécurité. Ce chapitre (13) sur la sûreté et la sécurité décrit des pratiques concrètes de pointe en matière de gestion des risques systémiques, c’est-à-dire des risques découlant des modèles les plus avancés. Les fournisseurs peuvent s’y référer pour se conformer aux obligations prévues par la législation sur l’IA pour les fournisseurs de modèles d’IA à usage général présentant un risque systémique. « Les chapitres sur la sûreté et la sécurité ne concernent que le petit nombre de fournisseurs des modèles les plus avancés, ceux qui sont soumis aux obligations de la législation sur l’IA pour les fournisseurs de modèles d’IA à usage général présentant un risque systémique en vertu de l’article 55 de la législation sur l’IA », précise la Commission européenne. En clair, les fournisseurs de modèles d’IA à usage général présentant un « risque systémique » – ayant des capacités à fort impact, ou lorsque la quantité cumulée de calcul utilisée pour son entraînement, mesurée en opérations en virgule flottante, est supérieure à 1025 – doivent : effectuer une évaluation des modèles sur la base de protocoles et d’outils normalisés reflétant l’état de la technique (14) ; évaluer et atténuer les risques systémiques éventuels au niveau de l’UE, y compris leurs origines ; suivre, documenter et communiquer sans retard injustifié au Bureau de l’IA – et, le cas échéant, aux autorités nationales compétentes – les informations pertinentes concernant les incidents graves ainsi que les éventuelles mesures correctives pour y remédier ; garantir un niveau approprié de protection en matière de cybersécurité pour le modèle GPAI présentant un risque systémique et l’infrastructure physique du modèle.

Trois types de sanctions en cas d’infraction
En cas de violation des interdictions strictes comme la manipulation cognitive ou le scoring social, le fournisseur de modèle GPAI s’expose à une amende pouvant aller jusqu’à 35 millions d’euros (ou jusqu’à 7 % de son chiffre d’affaires annuel mondial total). En cas de non-respect des obligations générales (transparence, documentation, droit d’auteur, …), 15 millions d’euros (ou jusqu’à 3 % de son chiffre d’affaires). Et en cas d’informations trompeuses ou incomplètes fournies aux autorités : 7,5 millions d’euros (ou jusqu’à 1 % de son chiffre d’affaires). @

Charles de Laubier

AI Act, DSA, MiCA, … Superposition réglementaire : le casse-tête européen pour les projets innovants

Publié le par

L’ambition européenne pour un « marché unique numérique » a généré un véritable labyrinthe de textes réglementaires que nul n’est censé ignorer, pas même les start-up et les fintech, sauf à devenir hors-la-loi. Mais à ce patchwork s’ajoute le manque de coordination entre autorités compétentes.

Par Arnaud Touati, avocat associé, et Mathilde Enouf, juriste, Hashtag Avocats

L’Union européenne a une ambition manifeste : réguler de manière exemplaire la transition numérique. Du règlement sur l’intelligence artificielle (AI Act) aux directives concernant les services numériques (DSA/DMA), en passant par la régulation des actifs numériques (MiCA) et la résilience opérationnelle du secteur financier (DORA), le législateur européen ne cesse d’introduire des normes structurantes. Chacun de ces textes, pris séparément, a pour objectif de pallier une carence. Ensemble, ils constituent un écosystème réglementaire complexe, parfois dépourvu de cohérence, souvent difficile à appliquer.

Accumulation de textes sans réelle coordination
Pour les initiatives novatrices, en particulier les start-up et les fintech, cette accumulation de normes peut rapidement devenir complexe. Cela est d’autant plus vrai que les normes et directives techniques ne cessent de croître, changeant constamment le champ de la conformité sans perspective de stabilité à moyen terme ni durabilité juridique. Actuellement, le cadre réglementaire en Europe se fonde sur plusieurs éléments-clés. L’AI Act (1) met en place une catégorisation des systèmes d’intelligence artificielle basée sur leur niveau de risque, imposant des exigences rigoureuses aux systèmes considérés comme étant « à haut risque ». Le DSA (2) et le DMA (3) ont pour objectif de réguler les grandes plateformes numériques tout en offrant une protection accrue aux utilisateurs. MiCA (4) régule la création de jetons et l’offre de services liés aux crypto-actifs. DORA (5) impose des normes rigoureuses de cybersécurité dans le domaine financier. De nombreux intervenants de l’écosystème sont également soumis aux règles (suite) anti-blanchiment. On peut également trouver d’autres documents transversaux, sectoriels ou techniques. Cela constitue un millefeuille réglementaire complexe où les obligations s’accumulent sans véritable coordination, engendrant des superpositions et parfois même des contradictions. Chaque texte s’appuie sur ses propres définitions, logiques, et fait appel à diverses autorités de supervision, sans qu’il y ait une articulation claire entre elles. Une start-up œuvrant dans divers secteurs tels que les actifs numériques et l’intelligence artificielle se voit donc confrontée à des chronologies disparates, des seuils de déclenchement discordants et des demandes de documentation non-uniformes. Ce fractionnement rend les procédures de conformité beaucoup plus lourdes et entrave l’aptitude à innover dans un environnement juridique stable.
Les stablecoins sous MiCA, règlement européen sur les marchés de cryptoactifs, et PSD2, directive européenne sur les services de paiement (6), constituent un cas emblématique. Les jetons de monnaie électronique en eux-mêmes (ou EMT, pour Electronic Money Token, ou E-Money Token), appelés aussi « stablecoins monodevise » (adossés à une monnaie officielle comme l’euro), démontrent les conséquences néfastes que peut engendrer une superposition de la réglementation. Selon MiCA, ces tokens sont considérés comme de la monnaie électronique. Cependant, les transactions de transfert associées peuvent aussi être soumises à la directive PSD2, avec toutes les obligations qui en découlent. Ainsi, un même acteur est soumis à une double contrainte réglementaire : il doit se procurer à la fois une licence en tant que fournisseur de services sur actifs numériques (CASP (7), ou PSCA (8) en français) conformément au règlement MiCA, et une autorisation pour l’établissement de paiement selon PSD2. Ces deux régimes nécessitent des procédures d’approbation différentes, possèdent des critères de capital propre superflus, imposent des responsabilités divergentes et soulèvent des questions concernant la classification juridique de certaines actions, telles que les transferts internes à un utilisateur ou les mouvements vers des portefeuilles autogérés. Malgré les mises en garde des syndicats professionnels, la réaction de certaines autorités de régulation en Europe demeure pour l’instant insuffisante, bien que nos autorités françaises fassent un travail remarquable sur le sujet.

DORA, une usine à conformité pour la finance
Si aucune action n’est entreprise, de nombreux intervenants pourraient abandonner les services de transfert d’EMT, ce qui va à l’encontre des objectifs de MiCA, lequel vise précisément à promouvoir l’adoption de ces actifs numériques. Concernant cette fois le règlement sur la résilience opérationnelle numérique, également connu sous le nom de DORA, il est entré en vigueur à partir de janvier 2025. Il impose aux institutions financières un cadre global de gestion des risques associés aux technologies de l’information. Cela englobe l’élaboration d’un plan de gestion du risque « TIC » (9), l’alerte en cas d’incidents majeurs, la conduite de tests de résilience numérique, ainsi que la nécessité de maintenir un registre précis des contrats avec les fournisseurs de services informatiques tiers. Bien que ces initiatives visent à renforcer la sécurité systémique, leur application s’avère très complexe pour les petites entités. De nombreuses start-up et fintech manquent des ressources et des compétences internes nécessaires pour répondre à ces exigences. La notion de proportionnalité stipulée dans le règlement est fréquemment comprise de façon restrictive et demeure floue quant à ses modalités d’application pratiques.

AI Act : flous techniques, complexité procédurale
La réglementation sur l’intelligence artificielle ajoute une couche additionnelle. L’AI Act impose des exigences strictes aux systèmes classés comme « à haut risque » : documentation technique, supervision humaine, qualité des données, transparence et inscription obligatoire dans une base de données européenne. Il est possible que les sanctions aillent jusqu’à 7 % du chiffre d’affaires à l’échelle mondiale. L’instauration de « bacs à sable réglementaires » est bien prévue, mais leur réalisation prend du temps. Entretemps, les initiatives doivent naviguer entre les réglementations existantes dans leur domaine respectif (santé, automobile, services publics, …) et les exigences récentes imposées par la réglementation sur l’IA, sans aucune coordination entre les autorités compétentes. La définition même de ces systèmes pose problème : IA intégrée, IA générative, open source, … aucune de ces classifications n’est précisément définie, ce qui rend les stratégies de conformité floues. Le dilemme du guichet unique demeure aussi sans solution : une entreprise concevant une IA employée dans divers contextes doit composer avec autant d’autorités qu’il y a de domaines d’application.
Quant aux DSA et DMA, s’ils ciblent prioritairement les grandes plateformes, ces règlements affectent également les plus petits acteurs par ricochet sur l’ensemble de l’écosystème. Une start-up qui propose une solution technique à un acteur qualifié de « gatekeeper » (contrôleur d’accès), se retrouve indirectement soumise à des exigences de conformité étendues : traçabilité, documentation, obligations de transparence, et compatibilité renforcée au RGPD, le règlement général sur la protection des données (10).
Ces obligations s’appliquent même lorsque la start-up ne traite pas directement de données personnelles ou de contenus modérés, mais fournit simplement un service technique – API (Application Programming Interface), infrastructure, algorithmes de recommandation – utilisé en aval par une plateforme réglementée. L’effet est immédiat : elle doit produire des audits, garantir l’interopérabilité, prouver l’absence de pratiques déloyales, et documenter ses choix techniques, parfois en plusieurs langues, à destination des autorités nationales de différents Etats membres. Sans pouvoir de négociation, et sans accès aux ressources de conformité des grands groupes, ces petites structures se retrouvent piégées dans une logique de compliance excessive. Ce n’est plus l’activité elle-même qui génère du risque, mais la simple appartenance à une chaîne de valeur numérique réglementée. Cette situation crée une inégalité de traitement qui freine l’innovation, décourage la prise de risque, et oriente les jeunes pousses vers des marchés plus permissifs. Les investisseurs, eux aussi, deviennent frileux à l’idée d’accompagner des projets exposés à une telle incertitude juridique. Quant aux avocats et aux directions juridiques internes, ils doivent souvent interpréter à l’aveugle des règlements conçus pour des géants du numérique, mais appliqués sans nuance à des entités de dix salariés.
L’approche globale attendue pour tous ces documents devait être celle de la cohérence, de la confiance et de l’indépendance numérique. Toutefois, l’accumulation non-synchronisée de ces réglementations conduit à une situation contradictoire : des normes conçues pour sécuriser les initiatives numériques génèrent l’effet opposé.
La disparité des parties prenantes, les interprétations différentes, les retards d’approbation inconsistants et l’absence de moyens de simplification pour les petites entités rendent le paysage réglementaire de l’Union européenne ardu à déchiffrer. On constate également une instabilité des lignes directrices, qui changent parfois sans consultation préalable ni soutien. Les responsables de la régulation ont également du mal à répondre aux demandes, ce qui prolonge l’incertitude pour les intervenants. Cette complexité induit une réticence à l’innovation, un transfert des projets vers des juridictions plus laxistes, et une constante incertitude juridique. L’Europe dispose à la fois d’expertise et de vision. Cependant, elle a du mal à concilier ses aspirations avec les conditions réelles sur le terrain. Il est crucial de réévaluer la régulation en se basant sur des principes opérationnels : établissement de guichets sectoriels unifiés, standardisation des délais d’autorisation, définition claire des situations de double régulation, application effective du principe de proportionnalité, avancée rapide des mécanismes de bac à sable.

Europe : repenser l’architecture de la régulation
Cela nécessite également d’intensifier la communication entre les instances nationales et européennes, de fournir des modèles de conformité aisément modifiables, et d’établir une direction stratégique de la transition réglementaire par secteur. Les intervenants économiques requièrent de la clarté, de la constance et la possibilité de prévoir. Sans ce remodelage méthodologique, les projets les plus prometteurs risquent de ne plus voir le jour en Europe. Et la régulation, supposée fournir un atout stratégique, se transformera en obstacle persistant à la compétitivité du Continent. Sans parler de la souveraineté numérique européenne qui, face à tant de complexités juridiques, risque de rester un vœu pieu. @

L’AI Act devra limiter les risques élevés de l’IA pour les droits humains, sans freiner l’innovation

Publié le par

L’émergence fulgurante et extraordinaire de l’intelligence artificielle (IA) soulève aussi des préoccupations légitimes. Sur l’AI Act, un accord entre les Etats membres tarde avant un vote des eurodéputés, alors que 2024 va marquer la fin de la mandature de l’actuelle Commission européenne.

Par Arnaud Touati, avocat associé, Nathan Benzacken, avocat, et Célia Moumine, juriste, Hashtag Avocats.

Il y a près de trois ans, le 21 avril 2021, la Commission européenne a proposé un règlement visant à établir des règles harmonisées concernant l’intelligence artificielle (IA). Ce règlement européen, appelé AI Act, a fait l’objet, le 9 décembre 2023 lors des trilogues (1), d’un accord provisoire. Mais des Etats européens, dont la France, ont joué les prolongations dans des réunions techniques (2). La dernière version consolidée (3) de ce texte législatif sur l’IA a été remise le 21 janvier aux Etats membres sans savoir s’ils se mettront d’accord entre eux début février, avant un vote incertain au Parlement européen (4).

Contours de l’IA : éléments et précisions
Cette proposition de cadre harmonisé a pour objectif de : veiller à ce que les systèmes d’IA mis sur le marché dans l’Union européenne (UE) soient sûrs et respectent la législation en matière de droits fondamentaux et les valeurs de l’UE ; garantir la sécurité juridique pour faciliter les investissements et l’innovation dans le domaine de l’IA ; renforcer la gouvernance et l’application effective de la législation en matière de droits fondamentaux et des exigences de sécurité applicables aux systèmes d’IA; et faciliter le développement d’un marché unique pour les applications d’IA, sûres et dignes de confiance et empêcher la fragmentation du marché (5). Pour résumer, cette règlementation vise à interdire certaines pratiques, définir des exigences pour les systèmes d’IA « à haut risque »et des règles de transparence, tout en visant à minimiser les risques de discrimination et à assurer la conformité avec les droits fondamentaux et la législation existante. Il reste encore au futur AI Act à être formellement adopté par le Parlement et le Conseil européens pour entrer en vigueur.

L’accord provisoire prévoit que l’AI Act devrait s’appliquer deux ans après son entrée en vigueur, avec des exceptions pour certaines dispositions. Afin de pouvoir saisir l’ampleur des mesures réglementaires, il faut tout d’abord définir ce qu’est réellement l’IA.
La proposition de texte actuelle, tel qu’amendé par le Parlement européen le 14 juin 2023 en première lecture par 499 voix pour, 28 contre et 93 abstentions (6), contient la définition suivante d’un « système d’intelligence artificielle », à savoir « un système automatisé qui est conçu pour fonctionner à différents niveaux d’autonomie et qui peut, pour des objectifs explicites ou implicites, générer des résultats tels que des prédictions, des recommandations ou des décisions qui influencent les environnements physiques ou virtuels ». Dans cette définition amendée, il n’est plus fait référence à l’annexe I contenant une liste de formes d’IA, annexe I contenue dans la proposition initiale de la Commission européenne. En effet un amendement n°708 a supprimé cette annexe I qui contenait trois types d’IA :
« (a) Approches d’apprentissage automatique, y compris d’apprentissage supervisé, non supervisé et par renforcement, utilisant une grande variété de méthodes, y compris l’apprentissage profond ». Ces techniques permettent aux systèmes d’IA d’apprendre de l’expérience, de reconnaître des modèles et de prendre des décisions intelligentes.
« (b) Approches fondées sur la logique et les connaissances, y compris la représentation des connaissances, la programmation inductive (logique), les bases de connaissances, les moteurs d’inférence (7) et de déduction, le raisonnement (symbolique) et les systèmes experts ». Les approches d’intelligence artificielle basées sur la logique et les connaissances organisent des données complexes en structures logiques, permettant un raisonnement précis par des systèmes d’IA.
« (c) Approches statistiques, estimation bayésienne, méthodes de recherche et d’optimisation ». Ces approches permettant l’analyse et l’interprétation précises de données complexes. Ces techniques sont utiles pour identifier des tendances, faire des prédictions, et résoudre des problèmes complexes dans divers secteurs, comme la finance, la logistique et la recherche scientifique.
Face au potentiel de l’IA d’impacter les droits fondamentaux, l’UE vise à réguler son usage viaun marché de confiance, tout en préservant le dynamisme de l’innovation dans ce secteur. Pour atteindre ces objectifs, l’AI Act énonce des dispositions spécifiques applicables aux acteurs de l’IA. Ces dispositions s’articulent autour de deux axes principaux : la gestion des risques et la responsabilité des acteurs.

Risque, de « limité » à « inacceptable »
Ainsi, cette proposition de règles établit des obligations pour les fournisseurs et les utilisateurs en fonction du niveau de risque lié à l’IA. Concernant la gestion des risques, sont définis des niveaux de risque pour les systèmes d’IA, classés de « limité » à « inacceptable ». Ce classement établit des obligations proportionnées en fonction du niveau de risque associé.
Risque inacceptable. Les systèmes d’IA à risque inacceptable sont des systèmes considérés comme une menace pour les personnes et seront interdits. Par exemple, la proposition de règlement interdit les pratiques suivantes : les systèmes d’IA destinés à évaluer ou à établir un classement de la fiabilité de personnes en fonction de leur comportement social ou de caractéristiques personnelles et pouvant entraîner un traitement préjudiciable de personnes, dans certains contextes, injustifié ou disproportionné (score social) ; ou la manipulation cognitivo-comportementale de personnes ou de groupes vulnérables spécifiques, par exemple, des jouets activés par la voix qui encouragent à des comportements.

Droits des individus et IA éthique
Risque élevé. Les systèmes d’IA qui ont un impact négatif sur la santé, la sécurité, les droits fondamentaux ou l’environnement (8) seront considérés comme à haut risque et seront divisés en deux catégories (systèmes d’IA utilisés dans des produits tels que jouets, voitures, etc.) et systèmes d’IA relevant de domaines spécifiques qui devront être enregistrés dans une base de données de l’UE (aide à l’interprétation juridique, la gestion de la migration, de l’asile et du contrôle des frontières, etc.). L’annexe III de la proposition de règlement donne une liste des systèmes d’IA à haut risque. Une analyse d’impact sera obligatoire sur les droits fondamentaux, également applicable au secteur bancaire et des assurances. Les citoyens auront le droit de recevoir des explications sur les décisions basées sur des systèmes d’IA à haut risque ayant une incidence sur leurs droits.
Risque limité. Les systèmes d’IA à risque limité doivent respecter des exigences de transparence minimales qui permettraient aux utilisateurs de prendre des décisions éclairées. Ainsi, les utilisateurs doivent être informés lorsqu’ils interagissent avec l’IA. Cela inclut les systèmes d’IA qui génèrent ou manipulent du contenu image, audio ou vidéo (comme les deepfakes). Par exemple, l’IA générative, telle que ChatGPT, devrait se conformer aux exigences de transparence : indiquer que le contenu a été généré par l’IA, concevoir le modèle pour l’empêcher de générer du contenu illégal, publier des résumés des données protégées par le droit d’auteur utilisées pour la formation. Les modèles d’IA à usage général à fort impact susceptibles de présenter un risque systémique, tels que le modèle d’IA plus avancé GPT-4, et bientôt GPT-5, devraient faire l’objet d’évaluations approfondies et signaler tout incident grave à la Commission européenne. Les droits individuels, eux, sont au cœur de la régulation sur l’IA. L’AI Act accorde une attention particulière aux droits des individus, qui s’articulent autour de quatre axes, afin de garantir une utilisation éthique et respectueuse de l’intelligence artificielle :
Le droit à la transparence et à l’information vise à assurer que les individus comprennent comment les systèmes d’IA prennent des décisions les concernant.
Le droit à la non-discrimination vise à protéger les individus contre les décisions automatisées basées sur des critères discriminatoires tels que la race, le genre, l’origine ethnique, la religion ou d’autres caractéristiques protégées. Les systèmes d’IA ne doivent pas conduire à des discriminations injustes ou à des disparités injustifiées.
Le droit à la sécurité et à la santé souligne l’importance de protéger les individus contre les risques inhérents aux systèmes d’IA. Les entreprises qui développent, mettent sur le marché ou utilisent des systèmes d’IA doivent garantir que ces technologies n’entraînent pas de préjudices physiques ou psychologiques aux individus.
La protection des données personnelles et de la vie privée. Dans la continuité du RGPD, les entreprises doivent ainsi garantir la confidentialité des données personnelles traitées par les systèmes d’IA. Cela implique une transparence totale sur les données collectées, les finalités du traitement et les mécanismes permettant aux individus de contrôler l’utilisation de leurs informations personnelles.
Les entreprises devront instaurer et suivre un processus itératif de gestion des risques, mettre en place des procédures de gouvernance des données, et garantir la robustesse, l’exactitude, ainsi que la cybersécurité. Les entreprises pourront compter sur les autorités européennes de standardisation qui élaboreront des normes techniques harmonisées pour faciliter la démonstration de la conformité des systèmes d’IA. Les autorités nationales compétentes auront la possibilité de créer des « bacs à sable réglementaires », offrant ainsi un cadre contrôlé pour évaluer les technologies innovantes sur une période déterminée.
Ces regulatory sandboxes reposent sur un plan d’essai visant à garantir la conformité des systèmes et à faciliter l’accès aux marchés auxquels les PME et les start-ups auront une priorité. Avant même la mise sur le marché des systèmes d’IA, les Etats membres devront désigner des « autorités notifiantes ». Cellesci sont désignées afin de superviser le processus de certification des organismes d’évaluation de la conformité. Ces organismes notifiés auront la tâche de vérifier la conformité des systèmes d’IA à haut risque.

« Cnil » européennes, futures gendarmes de l’IA
Il ne faut pas confondre ces entités avec les autorités nationales de contrôle, qui auront la tâche, après la mise en service des systèmes d’IA, de surveiller l’utilisation des systèmes et de s’assurer qu’ils respectent les normes établies par l’AI Act. En France, la Cnil (9) est pressentie. Le règlement comprend également la création du Comité européen de l’IA. Celui-ci sera composé d’un représentant par Etat membre et son rôle sera de conseiller et d’assister la Commission européenne ainsi que les Etats membres dans la mise en œuvre du règlement. L’AI Act prévoit également des mécanismes rigoureux pour garantir la conformité et sanctionner financièrement (10) d’éventuels manquements. @