Bibliographie & annexes
Présentation
RÉSUMÉ
Cet article traite du règlement européen relatif au système d'intelligence artificielle, l’IA Act. Ce règlement aborde selon une approche par les risques les principes de bonne gestion d'un système d'intelligence artificielle et prévoit des procédures de conformité et de contrôle associées. L'article fournit un ensemble de cas d'usage et de retours d'expérience permettant de faciliter la compréhension et l'intégration de l'IA Act au sein des organisations.
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleAuteur(s)
-
Nicolas DUFOUR : Docteur en gestion, professeur associé, CNAM Lirsa, directeur adjoint des risques d’un groupe diversifié, Antony, France
-
Matthieu BARRIER : Expert en gestion des risques, Paris, France
INTRODUCTION
Cet article aborde la réglementation relative à l'intelligence artificielle (IA) aussi appelée « IA Act ». Il s’agit d’un règlement européen (règlement (UE) 2024/1689) qui vise à établir des règles harmonisées concernant l’utilisation de l’intelligence artificielle. Ce règlement fait suite à une série de textes évoquant le principe d’une régulation de l’IA (réflexions initiées en 2014 en Europe), et ce dans un contexte où certaines solutions fondées sur l’IA peuvent être utilisées de manière détournée (fraudes, cyberattaques) ou dans un contexte pouvant être inapproprié (décisions privatives de droits fondées sur des traitements IA par exemple). Son entrée en vigueur est prévue en 2026 pour les IA à haut risque et il s’agit d’un texte fondé sur l’approche par les risques pour les organismes concevant ou utilisant une IA. Ce texte s’inscrit dans une tendance lourde en Europe consistant en la mise en place de principes de gestion des risques et de contrôle interne pour les organisations définissant ou ayant recours à des solutions d’intelligence artificielle . Son principe est de penser l’organisation associée à l’usage de l’intelligence artificielle afin de protéger les consommateurs et clients d’entreprises, mais aussi les administrés et les salariés des organisations . L’un des principes sous-jacents est simple : la mise en place d’un processus fondé sur l’IA peut présenter des risques, en particulier lorsque certaines IA sont utilisées sans cadre de gouvernance adapté ou sans maîtrise suffisante de leur fonctionnement. Sans sécurisation ou principes de contrôle à la fois de la solution et de son usage par les utilisateurs, des risques élevés pourraient survenir (par exemple des failles de sécurité de l’information liées à l’usage d’IA dans des logiciels de gestion et d’analyse de données, ou des risques de pratiques discriminatoires liés à des processus de recrutement insuffisamment maîtrisés fondés sur l’IA et dont le contrôle des algorithmes échapperait aux utilisateurs) .
L’objet de cet article est donc d’expliciter dans quelle mesure l’IA Act permet ce principe d’autocontrôle et la traçabilité nécessaire associée. Il vise avant tout à illustrer ce que peut être la sécurisation des traitements fondés sur l’IA dans un contexte dans lequel de nombreuses organisations utilisent déjà les solutions d’intelligence artificielle (prédictive, générative par exemple), et ce depuis plusieurs années. L’essor des intelligences artificielles dans de nombreux domaines a rendu incontournable un encadrement des pratiques, et ce avant l’arrivée de scandales réputationnels, voire de crises d’ampleur. L’objectif affiché est une meilleure identification et une meilleure protection des utilisateurs, mais aussi plus largement des individus en Europe au regard de l’usage des systèmes d’intelligence artificielle.
Comme l’évoque un directeur des risques d’une banque rencontré en 2025 par les auteurs : « L’intelligence artificielle, on a encore l’impression que cela est nouveau, mais cela fait des années que nous l’utilisons pour la sécurité des données, ou encore pour repérer les fraudes financières telles que les abus de marché. Il n’est pas possible ni rentable de faire analyser tous les enregistrements de conversation de nos opérateurs de marché par des chargés de conformité. Il y a donc des scénarios, des contrôles et alertes automatiques et un principe d’escalade vers une cellule conformité quand cela nécessite une vraie levée de doute. Le principe est d’aider les opérationnels, de gagner du temps, mais pas de générer des risques inutiles ou de la non-performance. On doit donc regarder les opportunités que cela génère, ne pas avoir peur de s’y mettre et faire preuve de discernement et de capacité de maîtrise dans les usages associés. Cela s’apprend. L’IA Act implique juste une couche d’obligations sur ces principes de bons sens en nous forçant à organiser cela et à tracer un peu mieux ce que l’on fait. »
L’objet de cet article est donc d’aborder à la fois les objectifs et les enjeux clés de l’IA Act, mais aussi de décrire les risques inhérents aux systèmes d’intelligence artificielle, tout en abordant les principes de contrôle et de conformité associés. La déclinaison de ce texte étant à venir et encore récente dans sa compréhension, nous nous sommes appuyés sur différents entretiens et retours d’expérience de premières déclinaisons opérationnelles de dispositifs de contrôle interne relatifs à l’IA Act.
L'expertise technique et scientifique de référence
DOI (Digital Object Identifier)
CET ARTICLE SE TROUVE ÉGALEMENT DANS :
Accueil > Ressources documentaires > Environnement - Sécurité > Sécurité et gestion des risques > Sécurité des systèmes industriels > IA Act - Approche méthodologique et cas d’application > Contenu et enjeux
Accueil > Ressources documentaires > Technologies de l'information > Technologies logicielles Architectures des systèmes > Intelligence artificielle : concepts et méthodes d'apprentissage > IA Act - Approche méthodologique et cas d’application > Contenu et enjeux
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(80 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Des modules pratiques
Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Présentation
Décliner opérationnellement l’IA Act dans une organisation1. Contenu et enjeux
Cette section distingue différents types d’IA et des usages associés variés, ainsi que les grands principes et principales obligations applicables au regard de l’IA Act.
1.1 Types d’IA pris en compte dans l’IA Act
Il existe différents types d’usage de l’IA dont la prise en compte doit être assurée dans le cadre de l’IA Act. Cela peut concerner des usages tels que l’analyse des produits et services, le développement de solutions applicatives informatiques, la tarification des services et produits, la gestion des risques (sécurité des systèmes d’information, gestion de la fraude) [SE 2 505]. Il existe également des IA relatives à l’automatisation des opérations ou encore à la formation des collaborateurs (génération de supports, réalisation et diffusion de formations en e-learning, analyse de conformité et veille juridique et conformité (Legal Tech), gestion des stocks et de la chaîne logistique (optimisation des flux et analyse prédictive).
HAUT DE PAGE1.2 Grands principes de l’IA Act
L’IA Act est une réglementation entrée en vigueur au 1er août 2024 qui a eu pour conséquences l’interdiction de certains systèmes d’IA sur le marché européen dès le 2 février 2025. En mai 2025 ont été publiés des codes de pratiques pour les systèmes d’IA à usage général. Depuis août 2025, des sanctions sont applicables aux systèmes d’IA à risque inacceptable (les risques les plus élevés). Les systèmes d’IA à haut risque devront respecter les dispositions de l’article 50 du règlement à compter d’août 2026. Enfin, en août 2027, les règles de l’IA Act pour les applications à risque élevé seront applicables (jouets, radio, équipements, dispositifs médicaux de diagnostic). L’article...
L'expertise technique et scientifique de référence
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(80 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Des modules pratiques
Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Contenu et enjeux
BIBLIOGRAPHIE
-
(1) - DUFOUR (N.) - La gestion des risques. - Collection Topos, Dunod (2025).
-
(2) - DAVENPORT (T.), REDMAN (T.C.) - Comment associer IA et gestion de processus. Veillez à la synergie entre vos collaborateurs et vos technologies. - Harvard Business Review, p. 43-48 (2025).
-
(3) - RODER (S.) - Guide pratique de l’intelligence artificielle dans l’entreprise. Après ChatGPT : créer de la valeur, augmenter la performance. - Éditions Eyrolles (2024).
-
(4) - TORDEUX-BITKER (M.), MEYER (E.) - Émergence de l’intelligence artificielle (IA) dans la société : adapter l’action publique au service de l’intérêt général. - Rapport du Conseil économique social et environnemental (CESE) (2025).
-
(5) - PESQUEUX (Y.), SOLE (A.), MERIC (J.) - La société du risque, analyse et critique. - Éditions Economica (2009).
-
...
DANS NOS BASES DOCUMENTAIRES
-
Maîtrise des risques cyber – Identification, détection, analyse, traitement et transfert de risque.
-
Gestion de la fraude dans les organisations par le recours à l’intelligence artificielle.
-
Organisation de la SSI en entreprise – Structuration et déploiement.
-
Intelligence artificielle dans le cadre de la transformation numérique.
-
Comprendre les enjeux d’un Système de Management de l’Intelligence Artificielle (SMIA) (2025).
NORMES
-
Technologies de l’information – Intelligence artificielle – Système de management - - 2023
ANNEXES
« IA ACT » : règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle et modifiant les règlements (CE) n° 300/2008, (UE) n° 167/2013, (UE) n° 168/2013, (UE) 2018/858, (UE) 2018/1139 et (UE) 2019/2144 et les directives 2014/90/UE, (UE) 2016/797 et (UE) 2020/1828 (règlement sur l’intelligence artificielle) (texte présentant de l’intérêt pour l’EEE).
Digital Operational Resilience Act (DORA) : règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) 2016/1011.
NIS 2 (Network Information System Directive) : directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) n° 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2).
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).
HAUT DE PAGE
L'expertise technique et scientifique de référence
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(80 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Des modules pratiques
Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
