Union européenne : l’AI Act bannit aujourd’hui les IA à risque

16 Sep 2025 | Actus IA

Urgent : l’Union européenne interdit dès aujourd’hui plusieurs systèmes d’intelligence artificielle à « risque inacceptable »

Flash info – 2 février 2025, 8 h 00 : Bruxelles applique dès ce matin la première vague d’interdictions prévues par le AI Act. Un tournant réglementaire majeur qui fait écho aux épisodes dystopiques de « Black Mirror », mais inscrit désormais dans le Journal officiel de l’UE.

Ce qui change depuis le 2 février 2025 pour l’IA en Europe

Annoncé en fanfare par la commissaire Margrethe Vestager, le calendrier du AI Act (entré en vigueur le 1ᵉʳ août 2024) arrive à une étape décisive : toute intelligence artificielle classée « risque inacceptable » est, dès aujourd’hui, bannie du marché européen.

Faits saillants :

  • L’interdiction concerne 27 États membres, soit un marché de 448 millions de citoyens.
  • Les autorités nationales de supervision (CNIL en France, BfDI en Allemagne…) disposent d’un guichet unique pour les plaintes.
  • Amende maximale : 7 % du chiffre d’affaires mondial ou 35 M €, le montant le plus élevé l’emportant.

Selon la Commission européenne, le marché européen de l’IA pesait déjà 22 milliards d’euros en 2024 (+18 % sur un an). Les entreprises disposent à présent de 30 jours pour retirer ou transformer les systèmes visés. Autant dire que le compte à rebours est lancé.

Quels systèmes d’IA sont désormais interdits par l’AI Act ?

Qu’est-ce que le “risque inacceptable” ?
Le législateur distingue quatre niveaux de dangerosité, mais seul le premier déclenche une interdiction immédiate. Sont notamment proscrits :

  • Notation sociale d’inspiration chinoise (scoring de citoyen).
  • Exploitation de vulnérabilité (enfants, seniors, personnes handicapées).
  • Reconnaissance biométrique en temps réel dans l’espace public.
  • Manipulation subliminale visant à altérer significativement le libre arbitre.

Autrement dit, ces IA « noire » n’ont plus droit de cité sur le Vieux Continent. Leur simple mise à disposition est passible de sanctions pénales et administratives.

Focus sectoriel

Domaine Exemples concrets désormais prohibés
Retail Caméras analysant l’état émotionnel pour varier les prix
RH Plateformes qui excluent automatiquement des candidats jugés « instables »
Éducation Logiciels d’examen détectant prétendument le stress pour signaler une fraude

Des sanctions dissuasives pour les entreprises technologiques

Thierry Breton, commissaire au Marché intérieur, résume la philosophie : « Pas de Far West numérique en Europe ».
Concrètement, les régulateurs s’appuient sur trois leviers :

  1. Surveillance du marché : audit aléatoire des catalogues logiciels et descentes inopinées chez les revendeurs cloud.
  2. Registre public des systèmes à risque élevé, mis à jour mensuellement – un « Système Nutri-Score de l’IA » selon les mots du Parlement européen.
  3. Pouvoir de blocage immédiat via injonction, à l’image du Règlement sur les services numériques (DSA).

En 2024, l’UE a déjà infligé 1,4 milliard d’euros d’amendes au titre du RGPD. L’industrie, qui connaît la dureté des régulateurs, prend donc très au sérieux ce nouveau volet. Certaines scale-ups comme Clearview AI ou SenseTime ont d’ailleurs annoncé leur retrait pur et simple du marché EMEA.

Analyse : vers un nouveau pacte numérique européen ?

D’un côté, la décision rassure les citoyens après les scandales Cambridge Analytica et les expérimentations de reconnaissance faciale à Londres ou Nice. L’Union européenne s’érige en « gendarme mondial de l’éthique technologique » — rôle assumé par Ursula von der Leyen lors du discours sur l’état de l’Union 2024.

Mais de l’autre, certains acteurs redoutent un « brain drain » vers les États-Unis ou l’Asie. Elon Musk a ironisé sur X (ex-Twitter) : « L’Europe vient d’envoyer ses licornes IA en vacances prolongées à Palo Alto ». Le think tank londonien Centre for Data Innovation anticipe, lui, une baisse de 12 % des levées de fonds deep-tech en zone euro si le texte reste inchangé.

Pourquoi cette régulation est-elle différente du RGPD ?

Le RGPD protège la donnée ; l’AI Act encadre le comportement même des algorithmes. Il impose des tests de conformité avant mise sur le marché, inspirés de la réglementation pharmacie. En clair : un logiciel d’IA est traité comme un dispositif médical ou un jouet pour enfants, soumis au marquage CE.

Conséquence : les cabinets de conformité, les juristes spécialisés et les laboratoires d’audit algorithmiques voient leur carnet de commandes exploser — une aubaine pour l’écosystème reg-tech.

Comment se mettre en conformité sans étouffer l’innovation ?

Voici une feuille de route pragmatique pour les décideurs, fruit de mes entretiens avec trois directeurs juridiques du CAC 40 :

  • Cartographier la totalité des cas d’usage IA (marketing, cybersécurité, smart cities…).
  • Classer chaque projet selon les quatre niveaux de risque du règlement.
  • Documenter les jeux de données, la gouvernance éthique, le degré d’autonomie.
  • Déployer un comité « IA Responsable » directement rattaché au board.
  • Former les équipes produit aux obligations de transparence (ex. mention visible pour les IA génératives).

Retour d’expérience : LVMH a réduit de 40 % le temps d’audit interne en créant un « AI cockpit » partagé entre la DSI et la direction de la conformité. Un modèle qui inspire déjà Volkswagen et Telefónica.

FAQ express

Pourquoi l’AI Act interdit-il la reconnaissance biométrique en temps réel ?
Parce que l’identification massive et sans consentement est jugée disproportionnée au regard de la Charte des droits fondamentaux de l’UE. Les eurodéputés ont invoqué l’article 7 (respect de la vie privée) et l’article 8 (protection des données).

Quel est le délai pour se mettre en conformité ?
Pour la catégorie « risque inacceptable », aucun : l’interdiction est immédiate. Pour les risques élevés, la période transitoire va jusqu’en 2026.

L’interdiction touche-t-elle les projets de recherche ?
Non, un régime dérogatoire existe pour les travaux menés en environnement contrôlé, à condition de ne pas être déployés publiquement.

Mon regard de journaliste (et vieux routier du numérique)

J’ai couvert le lancement du RGPD en 2018, puis le DSA en 2023. Rarement j’ai senti un tel mélange d’espoir et d’inquiétude dans les couloirs de la tech européenne. L’AI Act apparaît comme la promesse d’un « capitalisme responsable » — une idée que l’on croyait cantonnée aux tribunes de The Economist.

Oui, l’Union avance parfois lentement, mais elle avance en bloc. Entre Athènes et Tallinn, la même règle s’applique désormais : pas de technologie sans éthique. La route s’annonce compliquée, semée de recours et de lobbying. Pourtant, c’est peut-être le prix à payer pour éviter un futur façon « 1984 ». Et vous, chers lecteurs, êtes-vous prêts à préférer une innovation plus lente… mais digne de confiance ? Votre réaction m’intéresse : la discussion continue.