La réglementation européenne sur l'IA repose sur une prémisse trompeusement simple : les règles doivent être proportionnées au risque de l'application, pas à l'ingéniosité de la technologie. Un filtre anti-spam et un système qui trie des candidatures utilisent des modèles voisins, mais les enjeux diffèrent radicalement — et la loi les traite différemment.
Les niveaux de risque
En résumé, le cadre classe les systèmes par paliers. Un petit ensemble d'usages jugés à risque inacceptable est interdit. Une catégorie plus large dite « à haut risque » — recrutement, crédit, infrastructures critiques, certains usages médicaux et biométriques — est autorisée mais soumise à des obligations : gestion des risques, gouvernance des données, documentation, supervision humaine, transparence et exigences de précision. La plupart des applications courantes relèvent de paliers plus légers, surtout des devoirs de transparence : prévenir l'utilisateur qu'il interagit avec une IA, ou signaler un contenu synthétique.
Pour les concepteurs, le changement concret tient à la documentation et au processus. Les systèmes à haut risque exigent la traçabilité que les industries régulées connaissent déjà : quelles données ont entraîné le modèle, comment il a été testé, quelles sont ses limites connues, et comment un humain peut le contrôler ou le neutraliser.
Pourquoi cela dépasse l'Europe
Comme pour les précédentes règles numériques de l'UE, l'effet pratique déborde des frontières du bloc. Les entreprises trouvent souvent plus simple de se conformer à la norme la plus stricte qu'elles doivent respecter quelque part et de l'appliquer partout. Quoi qu'on pense des détails, l'approche par le risque devient une référence dans le débat mondial sur la gouvernance de l'IA en 2026.
Ceci est une information générale, pas un conseil juridique ; les obligations dépendent de votre cas d'usage et de votre juridiction.