norppa.io
Guides

Guide règlement IA · 11 min

Le règlement européen sur l'IA : niveaux de risque, calendrier et obligations des déployeurs (article 26)

Le règlement européen sur l'IA est la première loi complète au monde sur l'intelligence artificielle. Il classe les systèmes d'IA par niveau de risque et place la plupart des obligations lourdes sur les systèmes à haut risque, mais il impose aussi des obligations concrètes aux organisations qui utilisent l'IA, pas seulement à celles qui la construisent. Il est déjà en vigueur et s'applique par étapes jusqu'en 2027. Ce guide explique les niveaux de risque, les dates qui comptent, les obligations des déployeurs au titre de l'article 26, et ce que cela signifie quand vous achetez ou déployez de l'IA dans votre chaîne d'approvisionnement.

Points clés

  • Le règlement IA (règlement (UE) 2024/1689) classe l'IA par risque : interdit, haut risque, limité (transparence) et minimal.
  • Dates échelonnées : en vigueur le 1er août 2024 ; pratiques interdites à partir du 2 février 2025 ; IA à usage général à partir du 2 août 2025 ; haut risque et la plupart des obligations à partir du 2 août 2026.
  • Si vous utilisez un système d'IA à haut risque, vous êtes un « déployeur » avec vos propres obligations au titre de l'article 26 (supervision humaine, surveillance, journaux et plus) même si le fournisseur porte l'essentiel des obligations côté conception.

Ce qu'est le règlement IA

Le règlement IA (règlement (UE) 2024/1689) est un règlement fondé sur le risque, de type produit, pour les systèmes d'IA mis sur le marché de l'UE ou dont les résultats sont utilisés dans l'UE. Étant un règlement, il s'applique directement dans tous les États membres. Il répartit les obligations le long de la chaîne de valeur : principalement aux fournisseurs (qui développent l'IA) et aux déployeurs (qui l'utilisent sous leur propre autorité), avec des rôles plus légers pour les importateurs et distributeurs.

Plutôt que de réglementer « l'IA » de façon uniforme, il trie les systèmes en niveaux de risque et module les obligations en conséquence : une poignée de pratiques sont purement interdites, un ensemble défini d'usages à haut risque portent des exigences lourdes, certains systèmes n'exigent que de la transparence, et la grande majorité (l'IA à risque minimal) n'en porte pratiquement aucune.

Où sont les obligations

Pratiques interdites (prohibées), systèmes à haut risque (les obligations lourdes : p. ex. IA utilisée dans l'emploi, le crédit, les infrastructures critiques ou la biométrie) et systèmes à risque limité exigeant de la transparence (p. ex. indiquer aux utilisateurs qu'ils interagissent avec une IA ou qu'un contenu est généré par IA).

Risque minimal (la plupart des IA)

La grande majorité des systèmes d'IA (filtres anti-spam, moteurs de recommandation, la plupart des outils de productivité) relèvent du risque minimal et ne portent aucune obligation spécifique au titre du règlement, au-delà de codes volontaires et d'une attente générale de maîtrise de l'IA.

Le calendrier

Le règlement s'applique par étapes. Les dates qui structurent la planification :

1er août 2024

Entré en vigueur. Le compte à rebours commence ; les obligations entrent en vigueur par étapes à partir d'ici.

2 fév. 2025

Les pratiques interdites s'appliquent : l'IA à « risque inacceptable » (p. ex. notation sociale, certains usages manipulateurs ou de catégorisation biométrique) est prohibée. Les obligations de maîtrise de l'IA commencent aussi.

2 août 2025

Les obligations pour les modèles d'IA à usage général (GPAI) commencent, de même que les structures de gouvernance et les autorités nationales compétentes.

2 août 2026

L'événement principal : les obligations pour les systèmes à haut risque (y compris les obligations des déployeurs au titre de l'article 26) s'appliquent.

2 août 2027

Échéance prolongée pour l'IA à haut risque qui est un composant de sécurité de produits déjà régis par d'autres textes de l'UE (annexe I).

Ce que les déployeurs doivent faire (article 26)

Si vous utilisez un système d'IA à haut risque sous votre propre autorité, l'article 26 vous impose des obligations opérationnelles. En résumé, un déployeur doit :

  • Utiliser le système conformément à la notice d'utilisation du fournisseur.
  • Confier la supervision humaine à des personnes compétentes, formées et dotées des ressources nécessaires, capables d'intervenir ou de neutraliser son fonctionnement.
  • Surveiller le fonctionnement du système, et suspendre l'utilisation et informer le fournisseur et les autorités lorsqu'il présente un risque ou qu'un incident grave survient.
  • Conserver les journaux générés automatiquement pendant une durée appropriée : au moins six mois, sauf si une autre loi exige davantage.
  • Veiller à ce que les données d'entrée soient pertinentes et suffisamment représentatives au regard de la finalité, dans la mesure où vous les contrôlez.
  • Informer les travailleurs et leurs représentants avant de mettre en service un système à haut risque sur le lieu de travail, et informer les personnes soumises à ses décisions.
  • Réaliser une analyse d'impact sur les droits fondamentaux lorsque requis (art. 27), et coopérer avec les autorités compétentes.

Comment il s'articule avec NIS2 et le RGPD

Le règlement IA ne remplace pas vos autres obligations. Il s'y ajoute. Un système d'IA qui traite des données personnelles reste régi par le RGPD (et peut nécessiter une analyse d'impact relative à la protection des données en plus de celle sur les droits fondamentaux prévue par le règlement IA). Un système d'IA intégré à l'exploitation de vos services essentiels relève toujours des obligations de sécurité et de notification de NIS2. Les trois se recoupent au lieu de se substituer.

Pour les achats, cette convergence est le point pratique. Lorsque vous intégrez un système d'IA dans votre chaîne d'approvisionnement, vous héritez des obligations de déployeur (art. 26) et devez connaître la posture de conformité du fournisseur : conformité, notice d'utilisation, journalisation, classe de risque du système. C'est la même diligence fournisseurs que NIS2 vous demande déjà de bâtir, orientée vers l'IA.

La classification des systèmes d'IA (en particulier la frontière du haut risque et les règles GPAI) est détaillée et propre à chaque cas, et des actes d'exécution et des normes arrivent encore. Confirmez la classe d'un système donné et votre rôle avec un conseil qualifié et le texte officiel.

Ce que cela signifie pour vous

Vos obligations dépendent de votre rôle vis-à-vis du système :

Un fournisseur (vous développez ou modifiez substantiellement un système d'IA)

Vous portez les obligations côté conception : gestion des risques, gouvernance des données, documentation technique, évaluation de la conformité et marquage CE pour les systèmes à haut risque. Largement à partir du 2 août 2026.

Un déployeur (vous utilisez l'IA sous votre propre autorité)

L'article 26 s'applique aux systèmes à haut risque : supervision humaine, surveillance, journaux, information des travailleurs et analyse d'impact sur les droits fondamentaux lorsque requise. Construisez-le dès maintenant pour l'échéance du 2 août 2026.

Un importateur ou distributeur

Vous ne pouvez mettre à disposition que des systèmes à haut risque conformes, devez vérifier la conformité et le marquage CE du fournisseur, et devez agir lorsque vous apprenez qu'un système n'est pas conforme.

Un acheteur qui acquiert de l'IA pour sa chaîne d'approvisionnement

Vous êtes généralement le déployeur. Exigez la notice du fournisseur, la classe de risque, le statut de conformité et la capacité de journalisation, et traitez les fournisseurs d'IA dans le cadre de votre diligence fournisseurs NIS2.

Sources : Règlement (UE) 2024/1689 (règlement IA) et les pages de la Commission européenne sur le règlement IA. Dates, niveaux et rôles reflètent le règlement publié ; confirmez la classification d'un système donné avec un conseil qualifié.

Comment norppa.io aide

norppa.io ne rendra pas un système d'IA conforme au règlement IA (c'est le rôle du fournisseur et du déployeur) mais il vous donne une visibilité sur l'exposition à l'IA dans votre chaîne d'approvisionnement, là où commence la diligence du déployeur. Son analyse fait ressortir les points d'accès de services d'IA, les API de modèles et d'inférence exposées et les interfaces liées à l'IA (y compris les points d'accès Model Context Protocol) sur la surface d'attaque de vos fournisseurs.

Les questionnaires d'auto-évaluation captent ce qu'aucune analyse externe ne voit (quels systèmes d'IA un fournisseur déploie, leur classe de risque, leur statut de conformité et les dispositifs de supervision humaine) et chaque réponse est confrontée au profil technique en direct, prête pour votre dossier fournisseur. C'est la même approche continue et étayée qu'attend NIS2, étendue à l'IA qu'exploitent vos fournisseurs.

Voyez l'exposition à l'IA de vos fournisseurs

Voyez un rapport fournisseur d'exemple (constats, preuves et correspondance des articles) en environ deux minutes.

Voir le rapport d'exemple
Voir le tableau de bord exemple

Guides associés

Comment se conformer à NIS2 : une feuille de route étape par étape

Les étapes de la conformité NIS2 dans l'ordre : confirmer le champ, s'enregistrer, responsabilité de la direction (art. 20), les mesures de l'art. 21(2), sécurité de la chaîne d'approvisionnement, notification d'incidents (art. 23) et assurance continue et démontrée.

Qui est concerné par NIS2 ? Entités essentielles et importantes, secteurs et seuils de taille

Déterminez si NIS2 s'applique à vous : les deux catégories, les secteurs des annexes I/II, les seuils de taille, les exceptions indépendantes de la taille et comment la chaîne d'approvisionnement vous implique même sans désignation.

NIS2 et les exigences sur la chaîne d'approvisionnement. Ce que cela signifie en pratique

NIS2 oblige les entités essentielles et importantes à évaluer les risques cyber de leur chaîne d'approvisionnement. Hiérarchisation des fournisseurs, risque de 4e partie, notification Art. 23 et ce que les auditeurs recherchent.

Évaluation des cyber-risques fournisseurs : ce que le monitoring NIS2 automatisé vérifie

Toutes les catégories de contrôle expliquées : ransomware, fuites dark web, TLS/DNSSEC, sécurité des cookies, CVE/EPSS, sanctions, listes noires MX et SAQ. Cycle de vie des constatations et cartographie NIS2.

NIS2 Art. 21(2) : liste de contrôle sécurité pour fournisseurs

Liste de contrôle pour les équipes achats et sécurité : quoi demander, quels justificatifs collecter et comment réagir quand un fournisseur est en défaut. Inclut des propositions de documents probants.

Questionnaire fournisseur NIS2 (SAQ) : quoi demander, comment le noter, et un modèle gratuit

Quoi demander aux fournisseurs au titre de l'art. 21(2)(d), comment noter les réponses et réagir aux lacunes, pourquoi l'auto-déclaration doit être vérifiée, et un modèle gratuit.

Notification d'incident NIS2 : les délais de 24 et 72 heures expliqués

Ce qui constitue un incident important, le calendrier de l'article 23 (alerte à 24 h, notification à 72 h, rapport final à un mois) et quand l'incident d'un fournisseur devient votre obligation.

NIS2 et la responsabilité de la direction : ce que les conseils et dirigeants doivent savoir

Ce que NIS2 attend de l'organe de direction : devoirs d'approbation et de supervision, responsabilité personnelle (art. 20), formation, indicateurs de reporting et sanctions de l'art. 34.

ISO 27001 et NIS2 : ce que votre SMSI couvre déjà, et les écarts qui restent

Si vous détenez l'ISO 27001 : ce qui se reporte sur NIS2 et ce qui ne le fait pas (notification légale, responsabilité de la direction, enregistrement et assurance continue) et comment combler l'écart.

NIS2 vs DORA : différences, recouvrements et lequel s'applique à vous

En quoi les deux régimes UE diffèrent et se recoupent, pourquoi DORA est lex specialis pour les entités financières, lequel s'applique à vous, et ce que les deux impliquent pour le risque tiers.

RGPD vs NIS2 : recoupements, différences et quand un incident déclenche les deux

En quoi RGPD et NIS2 diffèrent et se recoupent, quand un incident déclenche les deux (RGPD art. 33 72 h à l'autorité de protection des données vs NIS2 art. 23 24 h/72 h/un mois au CSIRT), la coopération de l'art. 35 et l'absence de double amende, et ce que les deux impliquent pour la diligence fournisseurs.

Le règlement européen sur la cyberrésilience (CRA) : champ, calendrier et ce qu'il signifie pour votre chaîne d'approvisionnement

Ce qu'exige le CRA, ses dates échelonnées (en vigueur 2024, signalement sept. 2026, conformité totale déc. 2027), qui est concerné et pourquoi le pur SaaS souvent non, comment il complète NIS2, et ce qu'il signifie pour les achats et la diligence fournisseurs.