Réglementation & gouvernance de l'IA
L'IA industrielle entre dans l'ère réglementée. L'EU AI Act (Règlement UE 2024/1689) classe chaque système par niveau de risque et impose des obligations chiffrées et datées ; ISO/IEC 42001 fournit le système de management pour s'y conformer. Pour un ingénieur, trois questions concrètes : mon système est-il « à haut risque » ? quelles obligations par article ? et puis-je mettre de l'IA dans une fonction de sécurité ?
Les textes qui comptent
Règlement (UE) 2024/1689
Premier cadre complet, par niveau de risque. Publié au JOUE le 12/07/2024, en vigueur le 01/08/2024. Approche produit : obligations chez le fournisseur (provider) et le déployeur (deployer).
Système de management de l'IA (AIMS)
Publiée en 2023, certifiable. Structure de haut niveau commune à ISO 9001/27001 (clauses 4-10) + Annexe A : 38 contrôles. Le « comment » pratique de la conformité.
Risque & analyse d'impact
23894 : gestion du risque IA, alignée sur ISO 31000. 42005 : analyse d'impact des systèmes d'IA. 5338 : cycle de vie. 22989 : vocabulaire de référence.
Cadre volontaire américain
Quatre fonctions — Gouverner, Cartographier, Mesurer, Gérer. Non contraignant mais largement adopté ; pont pratique vers l'EU AI Act pour les groupes internationaux.
Le calendrier d'application
Le règlement n'arrive pas d'un bloc : les obligations s'activent par étapes. La date qui concerne le plus l'industrie est août 2027 — celle des composants de sécurité de machines.
| Date | Ce qui devient applicable |
|---|---|
| 01 août 2024 | Entrée en vigueur du règlement. |
| 02 févr. 2025 | Pratiques interdites applicables + obligation de littératie IA du personnel. |
| 02 août 2025 | Modèles à usage général (GPAI), gouvernance, autorités notifiantes, régime de sanctions. |
| 02 août 2026 | Application générale : systèmes à haut risque de l'Annexe III + obligations de transparence. |
| 02 août 2027 | Haut risque « composant de sécurité » de produits réglementés (Annexe I : machines, dispositifs médicaux…). |
La pyramide de risque — où atterrit l'IA industrielle
| Niveau | Exemples industriels | Obligations |
|---|---|---|
| Inacceptable | Notation sociale, manipulation subliminale, reconnaissance des émotions sur le lieu de travail. | Interdit. La reconnaissance d'émotions des opérateurs est proscrite (hors sécurité/médical). |
| Élevé | IA composant de sécurité d'une machine (Règl. Machines 2023/1230) ; gestion d'infrastructures critiques (énergie, eau, gaz). | Obligations fortes (art. 8-15), QMS, évaluation de conformité, marquage CE, enregistrement base UE. |
| Limité | Chatbots, copilots, IA générative produisant texte/image. | Transparence : informer l'utilisateur qu'il interagit avec une IA, marquer les contenus générés. |
| Minimal | Maintenance prédictive, vision qualité, optimisation de procédé — la majorité des cas industriels. | Aucune obligation spécifique. Bonnes pratiques (ISO 42001) recommandées. |
À retenir : l'immense majorité des usages industriels (prédictif, vision, optimisation) est à risque minimal. C'est l'IA qui agit sur une fonction de sécurité ou pilote une infrastructure critique qui bascule en haut risque et déclenche le marquage CE.
Système à haut risque : les obligations, par article
| Article | Obligation | En clair |
|---|---|---|
| Art. 9 | Gestion des risques | Processus continu sur tout le cycle de vie : identification, estimation, mesures de réduction, risques résiduels acceptables. |
| Art. 10 | Données & gouvernance | Jeux d'entraînement/validation/test pertinents, représentatifs, aussi exempts d'erreurs que possible ; détection et atténuation des biais. |
| Art. 11 | Documentation technique | Dossier complet (Annexe IV) démontrant la conformité, tenu à jour avant la mise sur le marché. |
| Art. 12 | Journalisation | Enregistrement automatique des événements (logs) sur la durée de vie pour la traçabilité et le suivi post-marché. |
| Art. 13 | Transparence | Instructions d'utilisation claires pour le déployeur : capacités, limites, performances attendues, supervision requise. |
| Art. 14 | Supervision humaine | Conception permettant à un humain de comprendre, surveiller, intervenir et arrêter (« stop button »). |
| Art. 15 | Exactitude, robustesse, cyber | Niveau d'exactitude déclaré, résilience aux erreurs et aux attaques (data poisoning, adversarial), redondance. |
S'ajoutent : système de management de la qualité (art. 17), évaluation de conformité (art. 43), déclaration UE et marquage CE (art. 47-48), enregistrement dans la base de données UE (art. 49). Côté déployeur : usage conforme aux instructions, supervision, conservation des journaux, et analyse d'impact sur les droits fondamentaux (FRIA, art. 27) pour certains.
IA & sécurité fonctionnelle : la vraie question
Peut-on mettre un modèle d'apprentissage dans une fonction instrumentée de sécurité (SIF) ? Aujourd'hui, non — pas directement. IEC 61508 et IEC 61511 reposent sur le déterminisme, la couverture de test et l'absence démontrable de défauts systématiques : autant de propriétés qu'un réseau de neurones entraîné ne fournit pas. La pratique éprouvée garde l'IA hors de la boucle de sécurité : elle conseille, alerte, optimise — mais le SIS qui déclenche l'arrêt d'urgence reste déterministe, câblé ou logique certifiée, indépendant du modèle.
Le sujet n'est pas figé : ISO/IEC TR 5469 (« Functional safety and AI systems ») cartographie comment et où l'IA peut intervenir selon son rôle. Et le lien réglementaire est direct — un logiciel qui assure une fonction de sécurité d'une machine, IA comprise, est un composant de sécurité au sens du Règlement Machines (UE) 2023/1230 (applicable le 20/01/2027), ce qui le classe « haut risque » dans l'EU AI Act : double conformité.
Que faire en pratique
- Tenir un registre IA — inventaire des modèles déployés, usage, données, fournisseur, niveau de risque. On ne gouverne que ce qu'on connaît.
- Classer chaque système — le risque détermine tout le reste ; documenter la décision de classification (minimal / limité / haut).
- Documenter données & modèles — model cards, fiches de jeux de données, versionnage : origine, représentativité, biais, performances et limites.
- Garantir la supervision humaine — un humain doit pouvoir comprendre, surveiller et reprendre la main. L'IA assiste, elle ne décide pas seule d'un acte de sécurité.
- Journaliser & surveiller en post-marché — journaux d'événements, suivi de la dérive, signalement des incidents graves : exigence transverse EU AI Act / ISO 42001 / NIST.
ISO/IEC 42001 : un système de management, pas un classeur
42001 reprend la structure de haut niveau d'ISO 9001 et 27001 (clauses 4 à 10 : contexte, leadership, planification, support, fonctionnement, évaluation, amélioration) et y ajoute une Annexe A de 38 contrôles propres à l'IA — politique, rôles, ressources, analyse d'impact, gestion des données, cycle de vie, information des parties intéressées, fournisseurs tiers. Qui exploite déjà un SMQ ou un SMSI reconnaîtra la logique du PDCA. La conformité EU AI Act, elle, fournit l'obligation légale ; 42001 fournit la méthode auditable et certifiable pour l'atteindre — épaulée par ISO/IEC 23894 (risque), 42005 (analyse d'impact) et 5338 (cycle de vie).
Sanctions
| Infraction | Amende maximale (le plus élevé) |
|---|---|
| Pratiques interdites | jusqu'à 35 M€ ou 7 % du CA mondial |
| Manquement aux autres obligations | jusqu'à 15 M€ ou 3 % |
| Informations inexactes aux autorités | jusqu'à 7,5 M€ ou 1 % |
Pour les PME et start-up, c'est le montant le plus faible des deux (somme fixe ou pourcentage) qui s'applique.
Normes harmonisées & présomption de conformité
Comme pour le marquage CE classique, respecter une norme harmonisée donnera présomption de conformité à l'EU AI Act. C'est le comité CEN-CENELEC JTC 21 qui élabore ces normes (sur mandat de la Commission), en s'appuyant largement sur les travaux ISO/IEC SC 42. Pour l'ingénieur, la stratégie est claire : suivre ISO/IEC 42001 et sa famille aujourd'hui, c'est préparer la conformité harmonisée de demain.