Bibliographie & annexes
Présentation
RÉSUMÉ
Cet article traite du règlement européen relatif au système d'intelligence artificielle, l’IA Act. Ce règlement aborde selon une approche par les risques les principes de bonne gestion d'un système d'intelligence artificielle et prévoit des procédures de conformité et de contrôle associées. L'article fournit un ensemble de cas d'usage et de retours d'expérience permettant de faciliter la compréhension et l'intégration de l'IA Act au sein des organisations.
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleAuteur(s)
-
Nicolas DUFOUR : Docteur en gestion, professeur associé, CNAM Lirsa, directeur adjoint des risques d’un groupe diversifié, Antony, France
-
Matthieu BARRIER : Expert en gestion des risques, Paris, France
INTRODUCTION
Cet article aborde la réglementation relative à l'intelligence artificielle (IA) aussi appelée « IA Act ». Il s’agit d’un règlement européen (règlement (UE) 2024/1689) qui vise à établir des règles harmonisées concernant l’utilisation de l’intelligence artificielle. Ce règlement fait suite à une série de textes évoquant le principe d’une régulation de l’IA (réflexions initiées en 2014 en Europe), et ce dans un contexte où certaines solutions fondées sur l’IA peuvent être utilisées de manière détournée (fraudes, cyberattaques) ou dans un contexte pouvant être inapproprié (décisions privatives de droits fondées sur des traitements IA par exemple). Son entrée en vigueur est prévue en 2026 pour les IA à haut risque et il s’agit d’un texte fondé sur l’approche par les risques pour les organismes concevant ou utilisant une IA. Ce texte s’inscrit dans une tendance lourde en Europe consistant en la mise en place de principes de gestion des risques et de contrôle interne pour les organisations définissant ou ayant recours à des solutions d’intelligence artificielle . Son principe est de penser l’organisation associée à l’usage de l’intelligence artificielle afin de protéger les consommateurs et clients d’entreprises, mais aussi les administrés et les salariés des organisations . L’un des principes sous-jacents est simple : la mise en place d’un processus fondé sur l’IA peut présenter des risques, en particulier lorsque certaines IA sont utilisées sans cadre de gouvernance adapté ou sans maîtrise suffisante de leur fonctionnement. Sans sécurisation ou principes de contrôle à la fois de la solution et de son usage par les utilisateurs, des risques élevés pourraient survenir (par exemple des failles de sécurité de l’information liées à l’usage d’IA dans des logiciels de gestion et d’analyse de données, ou des risques de pratiques discriminatoires liés à des processus de recrutement insuffisamment maîtrisés fondés sur l’IA et dont le contrôle des algorithmes échapperait aux utilisateurs) .
L’objet de cet article est donc d’expliciter dans quelle mesure l’IA Act permet ce principe d’autocontrôle et la traçabilité nécessaire associée. Il vise avant tout à illustrer ce que peut être la sécurisation des traitements fondés sur l’IA dans un contexte dans lequel de nombreuses organisations utilisent déjà les solutions d’intelligence artificielle (prédictive, générative par exemple), et ce depuis plusieurs années. L’essor des intelligences artificielles dans de nombreux domaines a rendu incontournable un encadrement des pratiques, et ce avant l’arrivée de scandales réputationnels, voire de crises d’ampleur. L’objectif affiché est une meilleure identification et une meilleure protection des utilisateurs, mais aussi plus largement des individus en Europe au regard de l’usage des systèmes d’intelligence artificielle.
Comme l’évoque un directeur des risques d’une banque rencontré en 2025 par les auteurs : « L’intelligence artificielle, on a encore l’impression que cela est nouveau, mais cela fait des années que nous l’utilisons pour la sécurité des données, ou encore pour repérer les fraudes financières telles que les abus de marché. Il n’est pas possible ni rentable de faire analyser tous les enregistrements de conversation de nos opérateurs de marché par des chargés de conformité. Il y a donc des scénarios, des contrôles et alertes automatiques et un principe d’escalade vers une cellule conformité quand cela nécessite une vraie levée de doute. Le principe est d’aider les opérationnels, de gagner du temps, mais pas de générer des risques inutiles ou de la non-performance. On doit donc regarder les opportunités que cela génère, ne pas avoir peur de s’y mettre et faire preuve de discernement et de capacité de maîtrise dans les usages associés. Cela s’apprend. L’IA Act implique juste une couche d’obligations sur ces principes de bons sens en nous forçant à organiser cela et à tracer un peu mieux ce que l’on fait. »
L’objet de cet article est donc d’aborder à la fois les objectifs et les enjeux clés de l’IA Act, mais aussi de décrire les risques inhérents aux systèmes d’intelligence artificielle, tout en abordant les principes de contrôle et de conformité associés. La déclinaison de ce texte étant à venir et encore récente dans sa compréhension, nous nous sommes appuyés sur différents entretiens et retours d’expérience de premières déclinaisons opérationnelles de dispositifs de contrôle interne relatifs à l’IA Act.
L'expertise technique et scientifique de référence
DOI (Digital Object Identifier)
CET ARTICLE SE TROUVE ÉGALEMENT DANS :
Accueil > Ressources documentaires > Technologies de l'information > Sécurité des systèmes d'information > Sécurité des SI : organisation dans l'entreprise et législation > IA Act - Approche méthodologique et cas d’application > Glossaire
Accueil > Ressources documentaires > Technologies de l'information > Technologies logicielles Architectures des systèmes > Intelligence artificielle : concepts et méthodes d'apprentissage > IA Act - Approche méthodologique et cas d’application > Glossaire
Cet article fait partie de l’offre
Sécurité et gestion des risques
(485 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Des modules pratiques
Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Présentation
Contenu et enjeux6. Glossaire
Arbres de décision
C’est un algorithme qui prend des décisions comme un questionnaire à choix successifs (exemple : Si l’âge > 30 → alors, regarder l’historique d’achats pour proposer un produit).
Deep Learning
Basés sur le fonctionnement du cerveau, ces réseaux sont composés de « couches » de neurones artificiels. Ils permettent d’analyser des données très complexes (images, voix, textes…) et d’apprendre automatiquement les bons critères (exemple : reconnaître un visage sur une photo ou traduire une phrase automatiquement).
Forêt aléatoire
Ensemble de plusieurs arbres de décision qui votent pour une meilleure réponse. L’avantage de la forêt est qu’elle est plus robuste et génère moins d’erreurs que l’arbre seul.
IA à faible risque
Une IA dite « à risque faible » sera le système ne causant pas de préjudice ou de risques potentiels ou avérés à ses utilisateurs ou aux personnes dont les données sont traitées ou analysées. Elle ne porte ni sur des données sensibles, ni sur des données personnelles, et n’implique pas de risque de non-respect des droits fondamentaux pour les humains.
IA à haut risque
Une IA dite « à haut risque » fait peser une menace potentielle ou avérée en matière de respect des droits fondamentaux pour les humains. Elle peut porter par exemple sur la limitation ou le refus d’accès à des soins. Ce type d’IA nécessite un encadrement strict et des mesures de contrôle relevant généralement de l’interdiction de son utilisation ou de systèmes dérogatoires avec un cadre d’intervention strict et maîtrisé.
IA à risque modéré
Une IA représentant un risque modéré va concerner des situations dans lesquelles les usages pourraient représenter un risque en matière de respect des droits fondamentaux pour les humains. Cela implique pour l’entreprise qui conçoit ou utilise ce type de système d’intelligence artificielle de bien évaluer les risques associés à ces usages ou à sa conception, et de définir des mesures de sécurisation et de conformité proportionnées.
IA générative
Une IA dite « générative » est centrée sur la création de nouveaux contenus et d’idées ainsi que...
L'expertise technique et scientifique de référence
Cet article fait partie de l’offre
Sécurité et gestion des risques
(485 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Des modules pratiques
Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Glossaire
BIBLIOGRAPHIE
-
(1) - DUFOUR (N.) - La gestion des risques. - Collection Topos, Dunod (2025).
-
(2) - DAVENPORT (T.), REDMAN (T.C.) - Comment associer IA et gestion de processus. Veillez à la synergie entre vos collaborateurs et vos technologies. - Harvard Business Review, p. 43-48 (2025).
-
(3) - RODER (S.) - Guide pratique de l’intelligence artificielle dans l’entreprise. Après ChatGPT : créer de la valeur, augmenter la performance. - Éditions Eyrolles (2024).
-
(4) - TORDEUX-BITKER (M.), MEYER (E.) - Émergence de l’intelligence artificielle (IA) dans la société : adapter l’action publique au service de l’intérêt général. - Rapport du Conseil économique social et environnemental (CESE) (2025).
-
(5) - PESQUEUX (Y.), SOLE (A.), MERIC (J.) - La société du risque, analyse et critique. - Éditions Economica (2009).
-
...
DANS NOS BASES DOCUMENTAIRES
-
Maîtrise des risques cyber – Identification, détection, analyse, traitement et transfert de risque.
-
Gestion de la fraude dans les organisations par le recours à l’intelligence artificielle.
-
Organisation de la SSI en entreprise – Structuration et déploiement.
-
Intelligence artificielle dans le cadre de la transformation numérique.
-
Comprendre les enjeux d’un Système de Management de l’Intelligence Artificielle (SMIA) (2025).
NORMES
-
Technologies de l’information – Intelligence artificielle – Système de management - - 2023
ANNEXES
« IA ACT » : règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle et modifiant les règlements (CE) n° 300/2008, (UE) n° 167/2013, (UE) n° 168/2013, (UE) 2018/858, (UE) 2018/1139 et (UE) 2019/2144 et les directives 2014/90/UE, (UE) 2016/797 et (UE) 2020/1828 (règlement sur l’intelligence artificielle) (texte présentant de l’intérêt pour l’EEE).
Digital Operational Resilience Act (DORA) : règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) 2016/1011.
NIS 2 (Network Information System Directive) : directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) n° 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2).
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).
HAUT DE PAGE
L'expertise technique et scientifique de référence
Cet article fait partie de l’offre
Sécurité et gestion des risques
(485 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Des modules pratiques
Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
