AI Act : Guide Complet pour les Entreprises en Espagne — Obligations, Délais et Sanctions au titre du Règlement UE sur l'IA

Le règlement européen sur l'IA (AI Act) est en vigueur. Découvrez si votre entreprise est concernée, quelles obligations s'appliquent selon le niveau de risque, et quelles sont les sanctions en cas de non-conformité.

Évaluer le niveau de risque de mes systèmes d'IA

Le problème

Le Règlement (UE) 2024/1689, connu sous le nom d'AI Act, est entré en vigueur le 1er août 2024 et s'applique progressivement selon le niveau de risque des systèmes d'IA. Les pratiques d'IA interdites sont applicables depuis le 2 février 2025. Les obligations relatives aux systèmes d'IA à haut risque s'appliquent à partir du 2 août 2026. Les obligations relatives aux modèles d'IA à usage général (GPAI) sont en vigueur depuis août 2025. Le problème auquel font face la plupart des entreprises en Espagne est triple : elles ne savent pas si leurs systèmes d'IA entrent dans le champ d'application du règlement, elles ne savent pas comment classifier le niveau de risque des systèmes qu'elles utilisent ou déploient, et elles ne connaissent pas les obligations pratiques qui leur incombent. Une mauvaise classification du risque peut signifier soit ignorer des obligations critiques, soit faire face à des amendes pouvant atteindre 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour les violations les plus graves. L'AI Act ne concerne pas uniquement les entreprises qui développent des systèmes d'IA. Il concerne toutes les entreprises qui déploient des systèmes d'IA tiers dans des processus critiques — recrutement, scoring de crédit, gestion d'infrastructures critiques — et celles qui utilisent des systèmes d'IA pour prendre ou soutenir des décisions ayant un impact significatif sur les individus. Le champ d'application est considérablement plus large que ce que la plupart des entreprises supposent.

Notre solution

BMC propose un service de conformité AI Act qui part de la situation actuelle de votre entreprise. Nous commençons par un inventaire des systèmes d'IA et une classification des risques selon les critères du règlement, nous procédons ensuite à une analyse des lacunes par rapport aux obligations applicables, et nous développons le cadre de gouvernance de l'IA dont l'entreprise a besoin pour une conformité durable. Notre équipe interdisciplinaire combine des juristes spécialisés dans la réglementation technologique et la protection des données avec des experts en gouvernance de l'IA qui comprennent à la fois la dimension technique — comment fonctionnent les systèmes d'IA, comment ils sont documentés, comment ils sont audités — et la dimension juridique — quelles obligations impose le règlement, comment démontrer la conformité, quels registres doivent être maintenus. Nous intégrons la conformité AI Act avec le RGPD (les systèmes d'IA traitant des données personnelles génèrent des obligations au titre des deux cadres), avec les normes harmonisées que la Commission européenne est en train d'élaborer, et avec les cadres internationaux de gouvernance de l'IA tels que le NIST AI RMF.

Processus

Comment nous procédons

Inventaire et classification des systèmes d'IA

Nous identifions tous les systèmes d'IA que l'entreprise développe, déploie ou utilise dans ses processus et les classifions selon les quatre niveaux de risque de l'AI Act : inacceptable (interdit), haut risque, risque limité et risque minimal. La classification détermine les obligations applicables à chaque système et leur degré d'urgence.

Analyse des lacunes de conformité

Pour chaque système d'IA à haut risque identifié, nous évaluons la conformité avec les obligations du règlement : données d'entraînement et données d'entrée, documentation technique, transparence et explicabilité, supervision humaine, précision et robustesse, cybersécurité du système, journalisation des événements et auditabilité.

Feuille de route de conformité

Nous élaborons une feuille de route priorisée pour atteindre la conformité : documentation technique des systèmes, évaluation de la conformité, enregistrement dans la base de données européenne des systèmes d'IA à haut risque, mise en place des contrôles de supervision humaine, et adaptation des contrats avec les fournisseurs d'IA.

Cadre de gouvernance de l'IA

Nous mettons en place le cadre organisationnel de gouvernance de l'IA : politique d'utilisation de l'IA, processus d'évaluation des nouveaux systèmes avant déploiement, rôles et responsabilités (y compris, le cas échéant, le rôle d'AI Officer), formation du personnel, et mécanismes de suivi et de révision périodiques du cadre.

35 M€

Amende maximale (ou 7 % du CA mondial) pour les pratiques d'IA interdites

Août 2026

Date d'application des obligations pour les systèmes d'IA à haut risque

3 niveaux de risque

Catégories déterminant les obligations de conformité de chaque entreprise

Téléchargez notre guide

Télécharger notre outil d'auto-évaluation AI Act : classifiez le niveau de risque de vos systèmes d'IA en 15 minutes

L’AI Act : le premier cadre juridique mondial basé sur les risques pour l’IA

Le Règlement (UE) 2024/1689 sur l’intelligence artificielle, en vigueur depuis le 1er août 2024, est le premier cadre juridique complet au monde pour l’intelligence artificielle. Contrairement aux approches sectorielles antérieures, l’AI Act adopte une perspective horizontale fondée sur les risques : plus le risque potentiel d’un système d’IA pour les droits fondamentaux, la santé et la sécurité est élevé, plus les obligations imposées à ceux qui le développent ou le déploient sont importantes.

Le règlement est directement applicable dans tous les États membres de l’UE sans nécessiter de transposition nationale, ce qui signifie que ses obligations s’appliquent également en Espagne, indépendamment de l’adoption d’une législation nationale d’application. La seule exception pertinente concerne les pleins pouvoirs d’exécution de l’autorité nationale de surveillance (AESIA), qui nécessitent un cadre législatif national.

Calendrier d’application de l’AI Act : ce qui est déjà obligatoire

L’AI Act ne s’applique pas d’un seul coup. Il entre en vigueur de manière échelonnée, ce qu’il est important de comprendre :

1er août 2024 — Entrée en vigueur : Le règlement est du droit positif. Les acteurs doivent commencer à se préparer.

2 février 2025 — Interdictions : Les pratiques d’IA inacceptables — manipulation subliminale, notation sociale, reconnaissance des émotions sur le lieu de travail et dans l’enseignement, identification biométrique en temps réel sans exceptions — sont interdites à compter de cette date. Toute entreprise exploitant ces systèmes aurait dû les arrêter.

2 août 2025 — GPAI : Les modèles d’IA à usage général ont des obligations de documentation, de transparence et de droit d’auteur à compter de cette date.

2 août 2026 — Systèmes à haut risque (Annexe III) : Les systèmes d’IA à haut risque mis sur le marché à compter de cette date doivent respecter toutes les obligations du Chapitre III avant leur déploiement.

2 août 2027 — Systèmes à haut risque intégrés (Annexe I) : Les systèmes d’IA à haut risque qui sont des composants de produits déjà réglementés par d’autres directives de l’UE (machines, dispositifs médicaux, produits aéronautiques) disposent d’une année supplémentaire pour s’adapter.

Les quatre niveaux de risque et leurs implications pratiques

L’AI Act classe les systèmes d’IA en quatre catégories de risque, chacune avec un régime d’obligations différent :

Risque inacceptable (interdit) : Systèmes interdits car portant une atteinte inacceptable aux droits fondamentaux. Aucune entreprise ne peut les exploiter. Si un processus interne utilise des techniques de ce type, il aurait dû être modifié avant février 2025.

Haut risque : Systèmes ayant un impact potentiel significatif sur les individus dans des domaines critiques. Les plus réglementés : documentation technique obligatoire, évaluation de la conformité, enregistrement européen, supervision humaine obligatoire. Le catalogue de l’Annexe III comprend des situations que de nombreuses entreprises de secteurs non technologiques n’ont peut-être pas identifiées comme de l’« IA à haut risque » — comme les outils de tri de CV ou les systèmes de scoring de crédit.

Risque limité : Systèmes qui interagissent avec des personnes — chatbots, contenus générés par l’IA — avec des obligations de transparence : les utilisateurs doivent savoir qu’ils interagissent avec l’IA, que le contenu est généré par l’IA, ou que leur image ou leur voix a été manipulée par l’IA (deepfakes).

Risque minimal : La grande majorité des applications d’IA — filtres anti-spam, recommandations de contenu, outils de productivité IA — relèvent de cette catégorie. Elles n’ont pas d’obligations spécifiques au titre de l’AI Act.

La dimension protection des données : AI Act et RGPD ensemble

Les systèmes d’IA à haut risque traitant des données personnelles déclenchent des obligations au titre de l’AI Act et du RGPD simultanément. Le point d’intersection le plus important est l’Analyse d’Impact relative à la Protection des Données (AIPD) que le RGPD requiert pour les traitements de données personnelles à haut risque.

Selon les orientations de l’AEPD et du Comité européen de la protection des données, l’AIPD d’un système d’IA à haut risque devrait être intégrée à l’évaluation de la conformité AI Act. Cela signifie qu’il ne faut pas mener deux évaluations séparées, mais un processus intégré qui traite à la fois les risques pour les droits et libertés des individus (RGPD) et les risques liés à la sécurité et au fonctionnement du système d’IA (AI Act).

Nos équipes protection des données et conformité AI Act travaillent conjointement pour développer ce processus d’évaluation intégré pour les clients dont les systèmes d’IA à haut risque traitent des données personnelles.

FAQ

Questions fréquentes

Quelles entreprises sont concernées par l'AI Act ?

L'AI Act concerne quatre catégories d'acteurs : (1) les fournisseurs qui développent des systèmes d'IA et les mettent sur le marché de l'UE ; (2) les déployeurs qui utilisent des systèmes d'IA tiers dans leurs activités professionnelles ; (3) les importateurs de systèmes d'IA développés hors de l'UE ; et (4) les distributeurs de systèmes d'IA. Le point essentiel est que l'AI Act ne concerne pas uniquement les entreprises technologiques qui développent de l'IA : il concerne toute entreprise qui déploie des systèmes d'IA dans ses processus — y compris des outils de tri de CV, des systèmes de scoring de crédit, des chatbots orientés clients ou des outils d'analyse prédictive — lorsque ces systèmes ont un degré d'autonomie et produisent des résultats qui influencent des décisions importantes.

Que sont les systèmes d'IA à haut risque et quelles sont leurs obligations ?

L'Annexe III de l'AI Act liste les systèmes d'IA considérés par défaut comme à haut risque : systèmes biométriques, systèmes de gestion d'infrastructures critiques, systèmes éducatifs déterminant l'accès ou les résultats, systèmes d'emploi (recrutement, évaluation des performances, gestion de la main-d'œuvre), systèmes de services publics et privés essentiels (scoring de crédit, évaluation des assurances), systèmes de maintien de l'ordre, systèmes d'administration de la justice, et processus démocratiques. Les obligations pour ces systèmes comprennent : la mise en place d'un système de gestion des risques, la garantie de la qualité des données d'entraînement, la production d'une documentation technique, la garantie d'une supervision humaine, le respect de niveaux définis de précision et de robustesse, et l'enregistrement du système dans la base de données de l'UE avant déploiement.

Quelles pratiques d'IA sont interdites depuis février 2025 ?

Depuis le 2 février 2025, les systèmes d'IA suivants sont interdits dans l'UE : les techniques subliminales ou manipulatrices visant à influencer le comportement humain à l'insu de la personne ; les techniques exploitant les vulnérabilités de groupes spécifiques (âge, handicap) ; les systèmes de notation sociale par les autorités publiques ; l'identification biométrique à distance en temps réel dans les espaces publics (avec de rares exceptions pour les forces de l'ordre) ; les systèmes de reconnaissance des émotions sur le lieu de travail et dans les établissements d'enseignement ; la catégorisation biométrique visant à déduire des caractéristiques sensibles (race, orientation sexuelle, religion, opinions politiques) ; et les systèmes d'IA utilisés pour la prédiction criminelle sur la base du profilage individuel.

Que sont les modèles d'IA à usage général (GPAI) et quelles sont leurs obligations ?

Les modèles d'IA à usage général (GPAI) sont des modèles d'IA — tels que les grands modèles de langage (LLM) — capables d'effectuer une grande variété de tâches différentes. Leurs obligations sont applicables depuis août 2025 et comprennent : la préparation et la mise à jour d'une documentation technique, la fourniture d'informations aux fournisseurs intégrant le modèle dans leurs systèmes, le respect de la politique européenne en matière de droit d'auteur, et la publication d'un résumé des données d'entraînement utilisées. Pour les GPAI présentant un risque systémique (les modèles les plus puissants, actuellement définis comme dépassant 10^25 FLOPs de calcul d'entraînement), des obligations supplémentaires s'appliquent : évaluation contradictoire, notification des incidents graves à la Commission européenne, sécurisation du modèle et déclaration de la consommation énergétique.

Quelles sont les sanctions prévues par l'AI Act ?

L'AI Act établit trois niveaux de sanctions : (1) jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial (le montant le plus élevé) pour le non-respect des pratiques d'IA interdites inacceptables ; (2) jusqu'à 15 millions d'euros ou 3 % pour le non-respect des autres obligations du règlement ; (3) jusqu'à 7,5 millions d'euros ou 1,5 % pour la fourniture d'informations incorrectes, incomplètes ou trompeuses aux autorités. Pour les PME et les startups, le règlement exige que les sanctions soient calculées en tenant compte de leur impact proportionnel. Les autorités nationales de surveillance pourront accéder aux systèmes, aux données et à la documentation des entreprises.

Quel est le lien entre l'AI Act et le RGPD ?

L'AI Act et le RGPD sont des cadres complémentaires qui s'appliquent simultanément lorsqu'un système d'IA traite des données personnelles. Le RGPD reste le cadre de référence pour la protection des données personnelles. L'AI Act ajoute une couche de réglementation régissant le système d'IA lui-même, indépendamment du fait qu'il traite ou non des données personnelles. En pratique, de nombreux systèmes d'IA à haut risque reposent aussi fortement sur des données personnelles (recrutement, scoring de crédit), ce qui génère des obligations au titre des deux cadres : évaluation de la conformité AI Act + AIPD RGPD, documentation technique AI Act + registre des activités de traitement RGPD, supervision humaine AI Act + droits des personnes concernées RGPD. Les DPO existants devraient étendre leur fonction pour couvrir la dimension AI Act.

Quel rôle jouent le Bureau européen de l'IA et l'AESIA espagnole dans la conformité ?

Le Bureau de l'IA de la Commission européenne est l'autorité de surveillance des modèles GPAI et joue un rôle de coordination au niveau de l'UE. En Espagne, l'Agence espagnole de surveillance de l'intelligence artificielle (AESIA), créée en 2024, est l'autorité nationale de surveillance pour l'AI Act. L'AESIA supervisera la conformité des fournisseurs et des déployeurs établis en Espagne, enquêtera sur les incidents et les plaintes, et appliquera les sanctions prévues par le règlement. L'AESIA collabore avec l'AEPD (autorité espagnole de protection des données) dans les cas où l'AI Act et le RGPD se chevauchent.

Que doit faire mon entreprise si elle utilise des outils d'IA tiers comme ChatGPT, Copilot ou des solutions SaaS intégrant l'IA ?

Si votre entreprise utilise des outils d'IA tiers dans ses processus, elle a le statut de déployeur au titre de l'AI Act. Vos obligations en tant que déployeur comprennent : (1) utiliser le système d'IA conformément aux instructions du fournisseur ; (2) veiller à ce que le personnel qui l'utilise ait une formation adéquate ; (3) conserver les journaux d'activité lorsque le système le requiert ; et (4) mettre en œuvre une supervision humaine. Si l'outil d'IA est utilisé dans un contexte à haut risque au sens de l'Annexe III — par exemple si vous utilisez un système d'IA pour évaluer des candidatures ou pour des décisions de crédit — les obligations sont plus contraignantes même si vous n'avez pas développé le système vous-même. Nous recommandons d'auditer les cas d'usage d'IA spécifiques de votre entreprise et de classifier leur niveau de risque.

Services associés

Hub Nis2 Cybersecurity Compliance 50 Employees Hub Csrd Sustainability

Voir tous les services dans ce domaine

Faites le premier pas

Demandez une consultation sans engagement et découvrez ce que nous pouvons faire pour votre entreprise.

Consultation gratuite

Conseil

Évaluation et analyse

Transformation

Gouvernance et transmission

Stratégie fiscale

Conformité

Régimes spéciaux

Patrimoine et contentieux

Droit commercial et des sociétés

Procédures collectives et restructuration

Social et conformité

Contentieux et résolution

Cybersécurité

Données et IA

Finance et reporting

Services sociétaires

Croissance

Risques et résilience

Articles et analyses

Rapports et livres blancs

Outils

Industries