Bibliographie & annexes
Présentation
RÉSUMÉ
Cet article traite du règlement européen relatif au système d'intelligence artificielle, l’IA Act. Ce règlement aborde selon une approche par les risques les principes de bonne gestion d'un système d'intelligence artificielle et prévoit des procédures de conformité et de contrôle associées. L'article fournit un ensemble de cas d'usage et de retours d'expérience permettant de faciliter la compréhension et l'intégration de l'IA Act au sein des organisations.
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleAuteur(s)
-
Nicolas DUFOUR : Docteur en gestion, professeur associé, CNAM Lirsa, directeur adjoint des risques d’un groupe diversifié, Antony, France
-
Matthieu BARRIER : Expert en gestion des risques, Paris, France
INTRODUCTION
Cet article aborde la réglementation relative à l'intelligence artificielle (IA) aussi appelée « IA Act ». Il s’agit d’un règlement européen (règlement (UE) 2024/1689) qui vise à établir des règles harmonisées concernant l’utilisation de l’intelligence artificielle. Ce règlement fait suite à une série de textes évoquant le principe d’une régulation de l’IA (réflexions initiées en 2014 en Europe), et ce dans un contexte où certaines solutions fondées sur l’IA peuvent être utilisées de manière détournée (fraudes, cyberattaques) ou dans un contexte pouvant être inapproprié (décisions privatives de droits fondées sur des traitements IA par exemple). Son entrée en vigueur est prévue en 2026 pour les IA à haut risque et il s’agit d’un texte fondé sur l’approche par les risques pour les organismes concevant ou utilisant une IA. Ce texte s’inscrit dans une tendance lourde en Europe consistant en la mise en place de principes de gestion des risques et de contrôle interne pour les organisations définissant ou ayant recours à des solutions d’intelligence artificielle . Son principe est de penser l’organisation associée à l’usage de l’intelligence artificielle afin de protéger les consommateurs et clients d’entreprises, mais aussi les administrés et les salariés des organisations . L’un des principes sous-jacents est simple : la mise en place d’un processus fondé sur l’IA peut présenter des risques, en particulier lorsque certaines IA sont utilisées sans cadre de gouvernance adapté ou sans maîtrise suffisante de leur fonctionnement. Sans sécurisation ou principes de contrôle à la fois de la solution et de son usage par les utilisateurs, des risques élevés pourraient survenir (par exemple des failles de sécurité de l’information liées à l’usage d’IA dans des logiciels de gestion et d’analyse de données, ou des risques de pratiques discriminatoires liés à des processus de recrutement insuffisamment maîtrisés fondés sur l’IA et dont le contrôle des algorithmes échapperait aux utilisateurs) .
L’objet de cet article est donc d’expliciter dans quelle mesure l’IA Act permet ce principe d’autocontrôle et la traçabilité nécessaire associée. Il vise avant tout à illustrer ce que peut être la sécurisation des traitements fondés sur l’IA dans un contexte dans lequel de nombreuses organisations utilisent déjà les solutions d’intelligence artificielle (prédictive, générative par exemple), et ce depuis plusieurs années. L’essor des intelligences artificielles dans de nombreux domaines a rendu incontournable un encadrement des pratiques, et ce avant l’arrivée de scandales réputationnels, voire de crises d’ampleur. L’objectif affiché est une meilleure identification et une meilleure protection des utilisateurs, mais aussi plus largement des individus en Europe au regard de l’usage des systèmes d’intelligence artificielle.
Comme l’évoque un directeur des risques d’une banque rencontré en 2025 par les auteurs : « L’intelligence artificielle, on a encore l’impression que cela est nouveau, mais cela fait des années que nous l’utilisons pour la sécurité des données, ou encore pour repérer les fraudes financières telles que les abus de marché. Il n’est pas possible ni rentable de faire analyser tous les enregistrements de conversation de nos opérateurs de marché par des chargés de conformité. Il y a donc des scénarios, des contrôles et alertes automatiques et un principe d’escalade vers une cellule conformité quand cela nécessite une vraie levée de doute. Le principe est d’aider les opérationnels, de gagner du temps, mais pas de générer des risques inutiles ou de la non-performance. On doit donc regarder les opportunités que cela génère, ne pas avoir peur de s’y mettre et faire preuve de discernement et de capacité de maîtrise dans les usages associés. Cela s’apprend. L’IA Act implique juste une couche d’obligations sur ces principes de bons sens en nous forçant à organiser cela et à tracer un peu mieux ce que l’on fait. »
L’objet de cet article est donc d’aborder à la fois les objectifs et les enjeux clés de l’IA Act, mais aussi de décrire les risques inhérents aux systèmes d’intelligence artificielle, tout en abordant les principes de contrôle et de conformité associés. La déclinaison de ce texte étant à venir et encore récente dans sa compréhension, nous nous sommes appuyés sur différents entretiens et retours d’expérience de premières déclinaisons opérationnelles de dispositifs de contrôle interne relatifs à l’IA Act.
L'expertise technique et scientifique de référence
DOI (Digital Object Identifier)
CET ARTICLE SE TROUVE ÉGALEMENT DANS :
Accueil > Ressources documentaires > Technologies de l'information > Sécurité des systèmes d'information > Sécurité des SI : organisation dans l'entreprise et législation > IA Act - Approche méthodologique et cas d’application > Décliner opérationnellement l’IA Act dans une organisation
Accueil > Ressources documentaires > Technologies de l'information > Technologies logicielles Architectures des systèmes > Intelligence artificielle : concepts et méthodes d'apprentissage > IA Act - Approche méthodologique et cas d’application > Décliner opérationnellement l’IA Act dans une organisation
Cet article fait partie de l’offre
Sécurité et gestion des risques
(485 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Des modules pratiques
Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Présentation
Risques liés aux IA et leur prise en compte2. Décliner opérationnellement l’IA Act dans une organisation
Il existe différents types d’IA que sont les IA génératives, les IA prédictives, les IA descriptives, les IA prescriptives, les IA symboliques ou encore les IA hybrides et les IA cognitives.
2.1 Cartographie des IA utilisées (internes et externes)
L’intelligence artificielle générative, ou IA générative, désigne une catégorie de systèmes capables de produire du contenu original (textes, images, vidéos, musiques ou autres médias) en réponse à des requêtes appelées « prompts ». Elle repose sur différentes techniques, dont les plus répandues sont :
-
les GAN (réseaux antagonistes génératifs) : ces systèmes opposent deux réseaux neuronaux : un générateur qui crée du contenu, et un discriminateur qui évalue sa crédibilité. Leur compétition permet d’obtenir des résultats extrêmement réalistes, notamment dans la génération d’images ;
-
les Transformers, particulièrement efficaces dans le traitement du langage. Ces modèles, comme ceux utilisés par ChatGPT, sont capables de comprendre et de générer du texte de manière cohérente et contextuelle.
Certains modèles d’IA générative sont spécialisés dans la création de musique ou d’animations fluides, c’est-à-dire de contenus organisés sous forme de séquences temporelles. Parmi eux, on peut citer Google MusicLM, Riffusion ou AIVA (Artificial Intelligence Virtual Artist) pour la musique, Runway Gen-2 ou DeepMotion pour l’animation.
On observe aujourd’hui le développement de modèles dits « multimodaux » capables de générer ou comprendre plusieurs types de contenus à la fois (textes, images, audios, vidéos). Par exemple, GPT-4o est un modèle multimodal capable d’analyser une image, un tableau ou un document et d’en extraire des informations pertinentes, voire d’en produire de nouveaux à la demande.
-
Développement logiciel : des développeurs bénéficient d’assistants comme GitHub Copilot, qui génèrent...
L'expertise technique et scientifique de référence
Cet article fait partie de l’offre
Sécurité et gestion des risques
(485 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Des modules pratiques
Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Décliner opérationnellement l’IA Act dans une organisation
BIBLIOGRAPHIE
-
(1) - DUFOUR (N.) - La gestion des risques. - Collection Topos, Dunod (2025).
-
(2) - DAVENPORT (T.), REDMAN (T.C.) - Comment associer IA et gestion de processus. Veillez à la synergie entre vos collaborateurs et vos technologies. - Harvard Business Review, p. 43-48 (2025).
-
(3) - RODER (S.) - Guide pratique de l’intelligence artificielle dans l’entreprise. Après ChatGPT : créer de la valeur, augmenter la performance. - Éditions Eyrolles (2024).
-
(4) - TORDEUX-BITKER (M.), MEYER (E.) - Émergence de l’intelligence artificielle (IA) dans la société : adapter l’action publique au service de l’intérêt général. - Rapport du Conseil économique social et environnemental (CESE) (2025).
-
(5) - PESQUEUX (Y.), SOLE (A.), MERIC (J.) - La société du risque, analyse et critique. - Éditions Economica (2009).
-
...
DANS NOS BASES DOCUMENTAIRES
-
Maîtrise des risques cyber – Identification, détection, analyse, traitement et transfert de risque.
-
Gestion de la fraude dans les organisations par le recours à l’intelligence artificielle.
-
Organisation de la SSI en entreprise – Structuration et déploiement.
-
Intelligence artificielle dans le cadre de la transformation numérique.
-
Comprendre les enjeux d’un Système de Management de l’Intelligence Artificielle (SMIA) (2025).
NORMES
-
Technologies de l’information – Intelligence artificielle – Système de management - - 2023
ANNEXES
« IA ACT » : règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle et modifiant les règlements (CE) n° 300/2008, (UE) n° 167/2013, (UE) n° 168/2013, (UE) 2018/858, (UE) 2018/1139 et (UE) 2019/2144 et les directives 2014/90/UE, (UE) 2016/797 et (UE) 2020/1828 (règlement sur l’intelligence artificielle) (texte présentant de l’intérêt pour l’EEE).
Digital Operational Resilience Act (DORA) : règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) 2016/1011.
NIS 2 (Network Information System Directive) : directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) n° 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2).
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).
HAUT DE PAGE
L'expertise technique et scientifique de référence
Cet article fait partie de l’offre
Sécurité et gestion des risques
(485 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Des modules pratiques
Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
