IA Act européen : tout comprendre à la première réglementation mondiale de l’IA, avec Merav Griguer, Avocate (Cabinet Franklin) – #Épisode32
L’Intelligence Artificielle progresse à une vitesse vertigineuse, mais qui en fixe les règles ? Alors que la Silicon Valley et la Chine se livrent à une course effrénée à la puissance algorithmique, l’Europe a fait un choix radical : réguler pour protéger. Le 13 mars 2024, le Parlement européen adoptait l’IA Act, la première grande réglementation mondiale de l’intelligence artificielle. Un texte ambitieux qui entre progressivement en vigueur, avec une échéance cruciale le 2 août 2026. Décryptage avec Merav Griguer, avocate spécialiste du droit des technologies.
L’Europe choisit l’éthique face à la course technologique
Pendant que d’autres puissances mondiales privilégient l’innovation sans contraintes, l’Union européenne a décidé de poser les fondations d’une IA éthique et responsable. Cette approche n’est pas neutre : elle traduit une vision politique où les droits fondamentaux et les libertés individuelles ne peuvent être sacrifiés sur l’autel du progrès technologique.
L’IA Act européen repose sur un principe simple mais puissant : l’approche par les risques. Plutôt que de tenter de domestiquer une technologie en constante évolution, le législateur européen a choisi de se concentrer sur les dégâts potentiels que ces systèmes peuvent causer.
Merav Griguer, avocate associée au cabinet Franklin avec près de 20 ans d’expérience dans le droit des technologies, résume parfaitement cet enjeu : « Les enjeux relèvent des droits fondamentaux et des libertés individuelles, à protéger ce que l’on a de plus précieux et qui ne cesse d’être malmené ces derniers temps. »
Qu’est-ce qu’un système d’IA selon l’IA Act ?
Avant toute chose, il faut comprendre où se situe la frontière entre un simple algorithme et un système d’intelligence artificielle. Cette distinction est cruciale car elle détermine quels outils tombent sous le coup du texte.
Merav Griguer explique :
« On faisait de l’IA sans le savoir, avant même que le texte ne soit adopté. La frontière est mince entre les algorithmes simples qui exécutent simplement des ordres et les systèmes d’IA qui ont une capacité supérieure. »
La différence fondamentale ? La capacité de déduction. Contrairement à un algorithme classique qui se contente d’exécuter des instructions prédéfinies, un système d’IA peut déduire des résultats à partir des données et paramètres qu’on lui fournit. Il peut nous surprendre… mais uniquement par déduction, pas par raisonnement créatif.
Cette nuance est essentielle : « L’IA n’est pas dans la capacité de raisonner mais de déduire », précise l’avocate. Une position qui s’oppose aux discours marketing de certains éditeurs qui parlent de « modèles de raisonnement ».
La pyramide des risques : le cœur du dispositif
L’IA Act structure toute sa réglementation autour d’une pyramide à quatre niveaux de risques, chacun associé à des obligations spécifiques :
-
Risques inacceptables : les IA interdites
Au sommet de la pyramide, les systèmes jugés trop dangereux pour les droits fondamentaux sont purement et simplement interdits. Aucune exception, aucune obligation de conformité possible : ces IA ne doivent pas exister sur le territoire européen.
Exemples concrets d’IA interdites :
- Notation sociale à la chinoise : systèmes qui évaluent les citoyens et conditionnent leurs droits en fonction de cette note
- Détection d’émotions dans le recrutement : IA qui analyse les émotions des candidats pour déterminer leur aptitude à un poste
- Systèmes discriminatoires : solutions qui, même sans intention malveillante, ont pour effet de discriminer ou de porter atteinte aux droits fondamentaux
Merav Griguer insiste sur un point crucial : « Il ne faut pas simplement se poser la question de ‘qu’est-ce que j’achète ?’, mais aussi ‘qu’est-ce que ça pourrait faire ?’. Une IA peut ne pas avoir pour objet de discriminer, mais si elle a cet effet, on reste responsable. »
-
Hauts risques : obligations renforcées
Les systèmes à haut risque peuvent être déployés, mais sous conditions strictes. Ils doivent démontrer qu’ils maîtrisent leurs risques et apportent toutes les garanties nécessaires.
Obligations pour les IA à haut risque :
- Documentation exhaustive de la conception et du fonctionnement
- Transparence totale sur les risques identifiés en amont et en aval
- Traçabilité complète des décisions et processus
- Haut niveau de cybersécurité
- Gouvernance renforcée
- Certification : obtenir le « tampon CE » pour pouvoir être mis sur le marché européen
Ces IA se retrouvent notamment dans les ressources humaines, la santé et le secteur bancaire (attribution de crédits).
-
Risques limités : obligations de transparence
Pour les IA à risques limités (ou faibles), les obligations sont principalement centrées sur la transparence et l’information des utilisateurs. Il s’agit de s’assurer que les personnes concernées comprennent qu’elles interagissent avec une IA et connaissent ses limites.
-
Risques minimes : documentation légère
Au bas de la pyramide, les IA à risques minimes n’ont que peu d’obligations : maintenir une documentation minimale permettant de justifier qu’elles sont bien catégorisées dans la bonne hiérarchie des risques.
Transparence des modèles de fondation : un sujet encore embryonnaire
Les grands modèles de langage (comme ChatGPT, Claude, ou Gemini) ont été « raccrochés » au texte en fin de discussion, alors que la technologie évoluait à toute vitesse pendant les débats parlementaires.
Ces modèles systémiques ont des obligations spécifiques :
- Informer sur leurs risques de cybersécurité
- Déclarer leur impact environnemental
- Fournir des informations sur les données utilisées pour l’entraînement
- Assurer la transparence sur leur fonctionnement
Mais comme le souligne Merav Griguer, « le sujet est embryonnaire ». La transparence écologique notamment reste largement insuffisante, et les chercheurs se plaignent du manque de coopération des grands éditeurs.
Un point important : la recherche scientifique est exemptée de ces obligations, à condition qu’elle soit réellement destinée à des fins exclusives de recherche et développement, et non à une exploitation commerciale déguisée.
Propriété intellectuelle : le grand oublié ?
C’est l’un des sujets les plus brûlants pour les créateurs : leurs œuvres ont nourri les modèles d’IA, qui génèrent aujourd’hui des revenus commerciaux considérables. Mais eux ne sont pas rétribués ni même correctement attribués.
L’IA Act a-t-il résolu ce problème ? Pas vraiment. Merav Griguer est directe : « On les a effleurés, selon moi, parce qu’on demande à ces modèles de faire preuve de transparence sur l’origine des données. Mais cette transparence est unilatérale, au bon vouloir, à géométrie variable de ceux qui ont cette obligation. »
Pourquoi ce flou ? Un consensus européen n’a pu être trouvé sur ce sujet complexe. La balle est donc renvoyée à la jurisprudence nationale et européenne, qui devra trancher au cas par cas.
Le risque ? Un déséquilibre entre les parties, où les titulaires de droits d’auteur sont affaiblis dans leur capacité à apporter la preuve de l’utilisation de leurs œuvres. « Il faudrait établir sur le terrain du droit d’auteur une présomption en défaveur des acteurs de l’IA », suggère l’avocate.
Geste citoyen : Donner à Wikipédia, dont les contenus ont massivement nourri les modèles d’IA sans compensation, est devenu une pratique recommandée pour qui utilise ces systèmes.
Feuille de route pour les entreprises : que faire avant août 2026 ?
Le 2 août 2026 approche. Si vous êtes une PME, un grand groupe, ou un responsable data et IA dans une entreprise, voici la todo list en 3 étapes recommandée par Merav Griguer :
-
Étape 1 : Gouvernance de l’IA
Désigner un « IA champion » au sein de l’organisation. Cette personne (ou cette équipe selon la taille de l’entreprise) sera responsable du déploiement quotidien et durable des actions de conformité.
Sans chef de projet identifié, le projet échoue. C’est aussi simple que cela.
-
Étape 2 : Cartographie des systèmes d’IA
Identifier et isoler tous les systèmes d’IA utilisés dans l’organisation pour les analyser un par un.
La bonne nouvelle ? Pas besoin d’être un expert technique. L’approche par les risques permet de se poser deux questions simples :
- Quel est l’objectif de cette IA ?
- Quel effet peut-elle avoir ?
Les réponses à ces questions permettent de déterminer si on est face à une IA inacceptable (à arrêter immédiatement), à haut risque (obligations renforcées), à risque limité ou minime.
Question subsidiaire complexe : Si on découvre qu’on utilise une IA interdite, que fait-on de tous les résultats qu’elle a générés ? Les détruire peut signifier supprimer une partie de l’activité de l’entreprise…
-
Étape 3 : Documentation et gestion des risques
Une fois la cartographie établie, mettre en place :
- La documentation complète des systèmes à haut risque
- La traçabilité des décisions
- Les processus de gestion et de remédiation des risques
- La cybersécurité adaptée
Le texte laisse une marge de manœuvre importante sur la façon de gérer ces obligations, ce qui est à la fois une liberté et une responsabilité.
-
Sanctions : jusqu’à 7% du chiffre d’affaires mondial
L’IA Act n’est pas qu’un vœu pieux. Comme le RGPD avant lui, il prévoit des amendes graduées pouvant atteindre 7% du chiffre d’affaires annuel mondial.
Faut-il s’attendre à des contrôles immédiats ? Merav Griguer, forte de son expérience sur le RGPD, nuance : « On voit qu’il y a une certaine tolérance dans la mise en œuvre. Mais une fois que le feu vert sera lancé, ça va faire très, très mal. »
L’histoire du RGPD montre que les régulateurs prennent le temps de la pédagogie… mais qu’une fois les contrôles lancés, les sanctions exemplaires tombent, même si d’autres acteurs commettent les mêmes infractions sans être inquiétés.
En France, c’est la CNIL qui supervisera l’application de l’IA Act, en collaboration avec d’autres autorités compte tenu de la complexité transverse du sujet.
Dilemmes juridiques inédits
L’IA soulève des questions juridiques nouvelles, mais aussi des mises à jour de problématiques bien connues.
-
Qui est responsable en cas d’erreur ?
Scénario 1 : Un agent IA gère votre service client et promet par erreur un remboursement à un client.
Scénario 2 : Un système IA interagit avec des patients et donne un conseil médical erroné.
Qui paie ? L’entreprise qui a conçu l’IA ? Celle qui l’a entraînée ? Celle qui l’a déployée ?
« Le postulat de départ, c’est que ce n’est pas très clair », reconnaît Merav Griguer. « C’est un millefeuille de responsabilités. Tout le monde est responsable et peut voir sa responsabilité mise en jeu, et tout le monde aura des arguments pour renvoyer la responsabilité de l’autre côté. »
Une chose est certaine : les assurances vont devoir se développer pour couvrir ces nouveaux risques.
Pour le consommateur ayant reçu une promesse erronée d’une IA ? La jurisprudence existante s’appliquera : « Une fois que la promesse a été donnée, elle doit être tenue. »
-
Transparence vs secret des affaires
L’IA Act exige de la transparence sur les algorithmes. Mais les entreprises protègent légitimement leurs secrets de fabrication par la propriété intellectuelle et le secret des affaires. Comment concilier ces exigences contradictoires ?
Merav Griguer rappelle que cette obligation existe déjà avec le RGPD : « Il faut une intervention humaine. Une décision ne peut pas être prise de manière seule et autonome par des outils technologiques. »
L’exemple d’Affelnet et Parcoursup est révélateur : ces algorithmes de l’Éducation nationale prennent des décisions sur l’avenir de mineurs, mais lorsque l’avocate a demandé la transparence algorithmique, elle s’est heurtée à un « très beau silence ».
« Si déjà, au niveau gouvernemental, il faut vraiment transpirer pour obtenir de la transparence, j’ose imaginer qu’on l’atteindra pas dans le secteur privé », conclut-elle avec lucidité.
L’Europe face à la dérégulation américaine
En juillet 2025, Donald Trump faisait voter un moratoire de 10 ans sur la régulation de l’IA aux États-Unis, dans le cadre de sa vague de dérégulation tous azimuts.
L’Europe doit-elle se réjouir d’avoir un cadre réglementaire, même imparfait, ou est-elle à contre-courant d’une ère où il faut laisser l’innovation se déployer librement ?
La réponse de Merav Griguer est sans appel :
« L’Europe donne un élan très fort. C’est un signal fort. L’Europe est un éclaireur. »
Elle rappelle que sur la protection de la vie privée avec le RGPD, l’Europe a été entendue par les États-Unis. « Heureusement que les États-Unis, ce n’est pas que Donald Trump. On sera entendu, comme on l’a été sur la protection des données personnelles. »
La philosophie européenne n’est pas de freiner l’innovation, mais de la guider selon des valeurs éthiques claires. Et cette approche commence à rayonner à l’international.
Ce que révèle l’IA Act sur les valeurs européennes
Au-delà des aspects techniques et juridiques, l’IA Act est un manifeste politique. Il répond à une question simple : quelle société voulons-nous ?
Les lignes rouges européennes sont claires :
- Pas de notation sociale comme en Chine
- Pas de discrimination algorithmique systémique
- Pas de surveillance généralisée sans contrôle
- Protection absolue des droits fondamentaux et des libertés individuelles
Comme le résume Merav Griguer : « C’est les frontières de l’éthique qu’on définit. Qu’est-ce qu’on veut chez nous, chez soi, au quotidien ? »
Cette approche contraste radicalement avec la course à la puissance brute qui caractérise d’autres régions du monde.
Un embryon de régulation prometteur
L’IA Act européen est imparfait, incomplet, embryonnaire. Mais c’est précisément son statut d’embryon qui en fait la force : il peut grandir, évoluer, s’adapter.
Comment faire grandir cette régulation ?
- Par la jurisprudence : les tribunaux nationaux et la Cour de Justice de l’Union européenne vont préciser, affiner, durcir certaines dispositions
- Par la pratique : seuls les usages réels révèlent les risques et dérapages imprévus
- Par la vigilance citoyenne : associations, défenseurs des droits, et citoyens informés
- Par l’exemplarité : l’Europe doit montrer que régulation et innovation peuvent coexister
Comme l’affirme Merav Griguer avec conviction : « On a été capables des Lumières, capables d’éclairer le monde. C’est ce qu’on doit continuer à promouvoir. »
L’IA Act n’est pas un frein à l’innovation. C’est un phare dans une période d’incertitude technologique majeure. Un phare qui dit : oui à l’intelligence artificielle, mais pas à n’importe quel prix. Pas au détriment de ce qui fait notre humanité.
Vous avez des questions sur cet épisode ?
Vous voulez nous soumettre une idée d’épisode, d’invité ?
Écrivez-nous à changement@converteo.com
Changement d’époque en cours est un podcast réalisé par Converteo.
L’émission est présentée par Laurent Nicolas-Guennoc.