Les niveaux de risque de l'AI Act européen, expliqués sans jargon juridique
L’AI Act européen ne traite pas toutes les IA de la même façon, et c’est justement ce que la plupart des explications passent sous silence. Ce n’est pas un règlement unique qui s’applique uniformément à chaque système d’IA — c’est un mécanisme de tri. Tout système d’IA utilisé dans l’UE ou l’affectant est classé dans l’un des quatre niveaux de risque, et ce niveau détermine si vous êtes face à une interdiction pure et simple, une montagne de démarches de conformité, une simple obligation de divulgation, ou rien du tout. Un article précédent ici détaillait les règles d’étiquetage et de divulgation de l’article 50 — l’obligation précise de signaler qu’il s’agit d’IA. Celui-ci porte sur la structure plus large dans laquelle s’inscrivent ces règles : le système de niveaux lui-même, et l’endroit où atterrissent le plus probablement les outils que les créateurs ordinaires utilisent réellement.
Les quatre niveaux, en clair
Risque inacceptable signifie interdiction pure et simple — non réglementé, non taxé, non étiqueté, tout simplement illégal à construire ou déployer dans l’UE, peu importe qui vous êtes ou le soin que vous y mettez. Risque élevé signifie légal mais fortement encadré — évaluations de conformité, documentation technique, supervision humaine, enregistrement dans une base de données européenne, tout l’arsenal. Risque limité signifie légal avec une condition de transparence — vous devez divulguer ce qui se passe, mais sans autorisation préalable ni service de conformité dédié. Risque minimal signifie aucune obligation spécifique à l’IA — vous restez soumis au droit ordinaire comme le RGPD et la protection des consommateurs, mais l’AI Act lui-même n’a rien à vous dire. L’essentiel de l’usage quotidien de l’IA générative par les créateurs individuels se situe dans les deux niveaux du bas. Les niveaux qui devraient vraiment vous préoccuper sont les deux du haut, et le plus souvent pour des raisons précises et identifiables, pas pour « l’IA en général ».
Risque inacceptable : la courte liste de ce qui est tout simplement interdit
L’article 5 énumère huit catégories de pratiques d’IA que l’UE considère incompatibles avec les droits fondamentaux, point final — aucune version du « mais on l’a divulgué » ne rend ces pratiques légales. Il s’agit de : l’IA qui manipule les personnes de façon subliminale ou abusive en causant un préjudice réel ; l’IA qui exploite les vulnérabilités des enfants, des personnes en situation de handicap ou des personnes en difficulté économique ; les systèmes de notation sociale qui classent les gens selon leur comportement puis les pénalisent pour cela ; les outils de police prédictive qui désignent quelqu’un comme criminel potentiel sur la seule base d’un profilage, sans preuve d’un acte réel ; l’extraction massive et non ciblée d’images issues d’internet ou de vidéosurveillance pour constituer des bases de reconnaissance faciale ; la déduction des émotions des personnes sur le lieu de travail ou dans les établissements scolaires ; la catégorisation des personnes selon des traits biométriques sensibles comme l’origine ou l’orientation sexuelle ; et l’identification biométrique en temps réel de personnes dans l’espace public par les forces de l’ordre, avec des exceptions étroites. Ces interdictions sont applicables depuis le 2 février 2025, et il n’existe aucune clause de maintien des droits acquis — peu importe que votre système soit antérieur à la loi.
Un ajout plus récent, directement pertinent pour les créateurs, est arrivé via le paquet de simplification « Digital Omnibus » de l’UE, finalisé en juin-juillet 2026 : les systèmes d’IA spécifiquement conçus pour générer ou modifier des images intimes non consenties d’une personne réelle identifiable — les applications dites « nudifier » et autres outils de permutation de visage destinés à produire du contenu sexuel d’une personne sans son consentement — sont désormais explicitement interdits purement et simplement, l’interdiction entrant en vigueur le 2 décembre 2026. Cela relève du même niveau que les pratiques ci-dessus, pas du niveau étiquetage-et-divulgation : aucune divulgation, aucun filigrane, aucune vérification d’âge, aucun processus de consentement ne rend cela légal. Si l’unique finalité d’un outil est de générer ce type de contenu non autorisé, peu importe comment le résultat est étiqueté — le simple fait de le construire ou de l’exploiter constitue l’infraction. Les sanctions pour violation de l’article 5 sont les plus lourdes du texte : jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial annuel, le montant le plus élevé étant retenu.
Risque élevé : légal, mais la charge de conformité est bien réelle
Le statut de risque élevé s’applique aux systèmes d’IA utilisés dans des domaines sensibles précis, énumérés à l’annexe III — emploi et gestion du personnel, éducation et évaluation dans la formation professionnelle, accès à des services essentiels comme l’évaluation de solvabilité, migration et contrôle aux frontières, application de la loi, administration de la justice, ainsi qu’identification ou catégorisation biométrique en dehors des usages déjà interdits ci-dessus. En tant que créateur ou petit studio, vous ne construisez sans doute pas ces systèmes vous-même — mais vous pourriez les utiliser sans vous en rendre compte. Un outil d’IA qui présélectionne des candidats en analysant leurs entretiens vidéo, une plateforme adtech qui lit les images d’une webcam pour déduire la réaction émotionnelle du public face à un contenu, ou un système biométrique qui trie des personnes selon des caractéristiques protégées pour un projet client relèveraient tous de cette catégorie. Ces systèmes exigent des évaluations de conformité avant mise sur le marché, une documentation technique, des mécanismes de supervision humaine et un enregistrement dans une base de données à l’échelle de l’UE — une charge de conformité conçue pour des entreprises dotées d’équipes juridiques et techniques, pas pour le projet de week-end d’un créateur solo.
Le calendrier concret a nettement bougé en 2026. Les obligations pour ces systèmes de l’annexe III devaient initialement s’appliquer à partir du 2 août 2026, en même temps que le reste du texte — mais l’accord Digital Omnibus conclu par les négociateurs européens le 7 mai 2026, formellement approuvé par le Parlement et le Conseil jusqu’en juin, a repoussé cette date au 2 décembre 2027. L’IA à haut risque intégrée à des produits déjà réglementés — comme les composants de sécurité IA dans des dispositifs médicaux ou des machines — bénéficie d’un délai encore plus long, jusqu’au 2 août 2028. Si votre activité ne touche pas à ces domaines sensibles, ce report reste globalement un bruit de fond — mais c’est de loin le changement pratique le plus important apporté à l’AI Act en 2026, et il montre que l’UE se donne une vraie marge de manœuvre plutôt qu’une échéance couperet.
Risque limité : là où la transparence constitue toute l’obligation
C’est le niveau qui concerne le plus directement les créateurs de contenu ordinaires, et c’est là que vit l’article 50. Si vous déployez un chatbot, vous devez indiquer clairement que l’utilisateur parle à une machine. Si vous générez ou manipulez un contenu image, audio ou vidéo assez réaliste pour passer pour authentique — une démonstration produit synthétique, une vidéo façon reportage narrée par IA, un enregistrement manipulé d’un événement réel —, vous devez divulguer qu’il s’agit d’un contenu généré ou modifié artificiellement, clairement et au moment même où quelqu’un le rencontre. Si vous déployez un système de reconnaissance d’émotions ou de catégorisation biométrique en dehors des contextes interdits ou à haut risque évoqués plus haut, vous devez en informer les personnes concernées. Rien de tout cela n’exige d’autorisation préalable, d’évaluation de conformité ou d’enregistrement dans une base de données — cela exige simplement de dire la vérité aux gens sur ce qu’ils regardent, au moment même où ils le regardent. Ces obligations sont devenues applicables dans toute l’UE le 2 août 2026, en même temps que la Commission obtenait le pouvoir formel d’enquêter et de sanctionner.
Risque minimal : là où vit réellement la majeure partie de l’usage créatif de l’IA
Une illustration de fond générée par IA pour une vidéo, une narration en voix clonée, une miniature assistée par IA, un rendu texte-vers-image pour un moodboard, un outil d’écriture IA qui rédige un plan de script — rien de tout cela ne déclenche d’obligation spécifique au titre de l’AI Act. Ce n’est pas interdit, ce n’est pas à haut risque, et tant que le résultat n’est pas assez réaliste pour être confondu avec des images réelles d’un événement ou d’une personne réels, cela ne déclenche même pas l’obligation de divulgation de l’article 50. Vous restez soumis aux règles ordinaires — droit d’auteur, droit à l’image, conditions des plateformes, RGPD si vous traitez des données personnelles —, mais l’AI Act lui-même reste largement silencieux ici. C’est en réalité, en volume, la catégorie la plus importante : l’essentiel de l’usage de l’IA générative pour le divertissement, le marketing et le travail créatif relève du risque minimal, et le texte a été délibérément conçu pour ne pas ralentir cet usage.
Un axe distinct : les modèles d’IA eux-mêmes
Un dernier point à connaître, parce qu’il explique pourquoi un outil que vous utilisez peut mentionner « conformité à l’AI Act » dans ses conditions d’utilisation alors même que votre propre usage relève du risque minimal : les modèles d’IA à usage général — les grands modèles de fondation qui font tourner la plupart des outils génératifs grand public — suivent un régime de conformité distinct, visant les entreprises qui construisent les modèles, pas les personnes qui utilisent des applications construites dessus. Ces obligations s’appliquent aux fournisseurs de modèles depuis le 2 août 2025, et le pouvoir de la Commission de réellement les faire appliquer et de sanctionner s’est activé le 2 août 2026. Les modèles entraînés avec plus d’environ 10^25 opérations en virgule flottante sont présumés présenter un « risque systémique » et font l’objet d’obligations supplémentaires — évaluation des risques, suivi des incidents, exigences de cybersécurité, notification au Bureau de l’IA de l’UE dans les deux semaines suivant le franchissement de ce seuil. C’est une charge pour la poignée d’entreprises qui construisent des modèles de pointe, pratiquement invisible pour quelqu’un qui utilise un produit fini.
En résumé : où se situe réellement votre flux de travail ?
Pour l’immense majorité des personnes qui créent du contenu avec l’IA, la carte honnête ressemble à ceci : le travail de génération et d’édition courant relève du risque minimal et n’est pas touché par le texte ; un contenu assez réaliste pour être confondu avec quelque chose de réel déclenche une obligation de divulgation à risque limité au titre de l’article 50, pas une interdiction ni une procédure de conformité ; utiliser l’IA pour le recrutement, l’évaluation de crédit, le tri biométrique ou des décisions similaires dans des domaines sensibles vous fait entrer en territoire à haut risque avec de vraies démarches, même si l’application de ce niveau ne mordra qu’à partir de décembre 2027 ; et la seule chose réellement interdite d’emblée est une liste courte et précise — pratiques manipulatrices et abusives, certains usages biométriques et de notation sociale, et, ajout le plus récent, les outils spécifiquement conçus pour générer des images intimes non consenties de personnes réelles. Le système n’est pas conçu pour compliquer l’usage créatif ordinaire de l’IA. Il vise à rendre illégal un petit nombre de préjudices précis, à rendre responsable un ensemble un peu plus large d’usages sensibles, et à rendre transparent — plutôt que restreint — tout le reste.
La situation réglementaire évolue vite, et les éléments ci-dessus reflètent des informations publiques disponibles à la mi-juillet 2026 — vérifiez les exigences en vigueur avant de prendre des décisions qui en dépendent. Cet article constitue une information générale, pas un conseil juridique ; pour tout enjeu réel, consultez un avocat inscrit au barreau de votre juridiction.