Règlement sur l’intelligence artificielle : quels points d’attention juridique pour les pouvoirs locaux?

Le règlement sur l’intelligence artificielle n’a cessé de faire parler de lui depuis son adoption (et même avant !) au printemps 2024[1]. Ce ne sont pas moins de 144 pages qui le composent et qui constituent un pas de géant en termes de régulation de cette technologie.

Nous vous proposons d’aborder les points essentiels de ce règlement qui doivent retenir l’attention des pouvoirs locaux[2].

Contexte et objectifs du règlement

Le règlement tend à s’assurer d’un développement d’outils d’IA sûrs, fiables et respectueux des droits fondamentaux, tout en espérant encourager leur expansion, à la manière du RGPD qui promeut la protection des données à caractère personnel, mais aussi leur libre circulation.

Une notion centrale traverse tout le règlement : la notion de système d’IA. Il s’agit d’un « système automatisé qui est conçu pour fonctionner à différents niveaux d’autonomie et peut faire preuve d’une capacité d’adaptation après son déploiement, et qui, pour des objectifs explicites ou implicites, déduit, à partir des entrées qu’il reçoit, la manière de générer des sorties telles que des prédictions, du contenu, des recommandations ou des décisions qui peuvent influencer les environnements physiques ou virtuels »[3].

Cette notion étant définie, nous vous proposons de parcourir le RIA en abordant quelques clés de lecture, le concept de maîtrise de l’IA, la notion et les obligations propres aux systèmes d’IA à haut risque, les sanctions, les interactions avec le RGPD et enfin, les points d’attention pour les pouvoirs publics locaux.

Quelques clés de lecture de ce règlement

1. Le règlement prévoit une classification des systèmes d’intelligence artificielle selon une approche basée sur les risques :

• Les systèmes d’IA qui induisent un risque inacceptable sont purement et simplement interdits parce que ses pratiques sont contraires aux valeurs de l’Union européenne et aux droits fondamentaux : citons à titre exemplatif, l’exploitation des vulnérabilités d’un groupe spécifique, la notation sociale conduisant à un traitement préjudiciable ou défavorable, la catégorisation biométrique en vue d’inférer ou de déduire des informations sensibles ou encore la reconnaissance des émotions sur le lieu de travail, etc.[4]
• Les systèmes d’IA qui induisent un haut risque parce qu’ils sont susceptibles de toucher à la sécurité des personnes et de leurs droits fondamentaux[5] : ces systèmes sont décrits dans les annexes I et III du règlement. Nous reviendrons sur ce point ultérieurement.
• Les systèmes d’IA qui induisent un risque limité, mais qui nécessite une attention particulière en termes de transparence : il s’agit notamment des systèmes interagissant avec des humains (tels que des chatbots), générant du contenu ou manipulant du contenu (deep fakes).
• Enfin, les systèmes d’IA qui ne présentent qu’un risque minimal (par exemple, les filtres antispam) et qui ne sont donc soumis à aucune condition.

Selon le type de risques, le régime, les obligations et les conséquences juridiques diffèrent.

2. Le règlement épingle parmi les modèles d’IA les modèles à usage général pour lesquels le règlement prévoit plusieurs niveaux d’obligations. Le modèle d’IA à usage général est défini comme présentant « une généralité significative et [qui] est capable d’exécuter de manière compétente un large éventail de tâches distinctes, indépendamment de la manière dont le modèle est mis sur le marché, et qui peut être intégré dans une variété de systèmes ou d’applications en aval »[6], par opposition au système d’IA à destination spécifique[7]. Il s’agit par exemple de Chat GPT, Copilot ou Gemini.

Le règlement prévoit des règles spécifiques pour les modèles d’IA à usage général, indépendamment de la classification des systèmes d’IA basée sur le risque et évoquée ci-avant. Ces règles spécifiques diffèrent selon qu’il s’agit d’un modèle d’IA à usage général ou un sous-ensemble identifié comme présentant un risque systémique[8].

3. Le règlement distingue différents rôles : fournisseur, déployeur, fabricant de produit, mandataire, importateur ou distributeur. A priori, seuls deux rôles devraient retenir notre attention : le rôle de déployeur que devrait en principe endosser le pouvoir local qui décide de recourir à un système d’IA et le rôle de fournisseur qui développe ou fait développer un système d’IA ou un modèle d’IA à usage général et le met sur le marché ou le met en service sous son propre nom . Le cas échéant, il n’est pas impossible qu’un pouvoir local (tel qu’une intercommunale) souhaite prendre le rôle de fournisseur et mettre à disposition un système d’IA.

4. Le règlement prévoit que les Etats membres de l’Union européenne doivent créer des « bacs à sable réglementaires » pour pouvoir tester et développer des outils d’IA en toute sécurité, sous surveillance réglementaire[11].

5. A l’instar du RGPD, le règlement prévoit des mécanismes de supervision et de contrôle pour garantir le respect de ses règles. Ce contrôle s’opérera à deux niveaux : au niveau européen via le Comité européen de l’IA[12] et au niveau de chaque Etat membre, une autorité de surveillance du marché[13]. En Belgique, la ou les autorités de surveillance n’ont pas encore été identifiées.

6. Toujours à l’instar du RGPD, le ou les législateur(s) belge(s) devront implémenter en droit belge ce règlement, ce qui n’a pas encore été fait à ce stade. Le cadre juridique belge n’est donc, à l’heure d’écrire ces lignes, pas complet.

7. Le règlement prévoit une entrée en application progressive s’étalant de 2025 à 2027[14]. Le règlement a été publié au Journal officiel de l’Union européen le 12 juillet 2024, entrant en vigueur le 1er août 2024. Sa mise en application est étalée dans le temps :

• Dès le 2 février 2025 :
  • Interdiction relative aux systèmes d’IA présentant des risques inacceptables[15] ;
  • Définitions et principe de maîtrise de l’IA[16].
• Dès le 2 août 2025 :
  • Sanctions prévues à l’article 99 du RIA[17] ;
  • Application des règles pour les modèles d’IA à usage général ;
  • Nomination des autorités compétentes au niveau des États membres[18].
• Dès le 2 août 2026 :
  • Application des règles relatives aux systèmes d’IA à haut risque de l'annexe III ;
  • Mise en œuvre par les autorités des États membres d’au moins un bac à sable réglementaire[19] ;
  • Obligation de transparence des autorités publiques en cas d’usage de système d’IA interagissant avec des personnes physiques[20].
• Dès le 2 août 2027 : application des règles relatives aux systèmes d'IA à haut risque de l'annexe I[21].

Maîtrise de l’IA

L’article 4 du règlement impose à tout déployeur (et à tout fournisseur) la maîtrise de l’IA : « Les fournisseurs et les déployeurs de systèmes d’IA prennent des mesures pour garantir, dans toute la mesure du possible, un niveau suffisant de maîtrise de l’IA pour leur personnel et les autres personnes s’occupant du fonctionnement et de l’utilisation des systèmes d’IA pour leur compte, en prenant en considération leurs connaissances techniques, leur expérience, leur éducation et leur formation, ainsi que le contexte dans lequel les systèmes d’IA sont destinés à être utilisés, et en tenant compte des personnes ou des groupes de personnes à l’égard desquels les systèmes d’IA sont destinés à être utilisés ».

La notion de maîtrise de l’IA est définie à l’article 33, 56) du règlement comme suit : « les compétences, les connaissances et la compréhension qui permettent aux fournisseurs, aux déployeurs et aux personnes concernées, compte tenu de leurs droits et obligations respectifs dans le contexte du présent règlement, de procéder à un déploiement des systèmes d’IA en toute connaissance de cause, ainsi que de prendre conscience des possibilités et des risques que comporte l’IA, ainsi que des préjudices potentiels qu’elle peut causer ».

On le voit, cette notion ne possède pas des contours précis. Dans le cadre du Pacte sur l’IA, la Commission européenne a mis en place un « living repository » pour soutenir la maîtrise de l’IA et qui consiste en un recueil de bonnes pratiques[22].

Systèmes à haut risque

1. Notion de systèmes d’IA à haut risque

Les systèmes à haut risque sont définis selon deux méthodes.

La première méthode de définition des systèmes à haut risque tient au fait que le système d’IA est un produit ou un composant d’un produit soumis à évaluation et donc à réglementation spécifique parce que le produit ou le composant peut causer un risque en lui-même. Ces systèmes sont donc définis par renvoi à d’autres réglementations spécifiques. Seule une lecture attentive de l’annexe I, sections A et B permet de vérifier si l’on tombe dans la qualification de système d’IA à haut risque. Et les pouvoirs locaux pourraient être concernés lorsqu’un système d’IA est destiné à être utilisé comme produit ou comme composant de sécurité d’un produit listé à l’annexe I, par exemple : téléphériques, véhicules à moteur et remorques, véhicules agricoles et forestiers.

La seconde méthode de définition des systèmes à haut risque n’est pas axée autour d’une réglementation particulière, mais autour d’une destination qui est de nature à causer des risques. Citons à titre exemplatif, dans l’annexe III les systèmes d’IA touchant à l’emploi, à la gestion de la main-d’œuvre, voire à l’accès et au droit aux services publics et prestations sociales, ou encore au domaine répressif, sauf s’ils n’induisent pas de risques significatifs de préjudice pour la santé, la sécurité ou les droits fondamentaux des personnes ni de profilage[23]. De manière succincte, cette exception vise à exclure les systèmes d’IA qui font une tâche tout à fait accessoire (tâche préparatoire, tâche procédurale étroite ou améliorer le résultat d’une activité humaine préalablement réalisée).

Selon la définition retenue du système d’IA à haut risque (annexe I ou annexe III), nous avons vu que la mise en application des règles différera dans le temps[24].

2. Obligations liées aux systèmes d’IA à haut risque

Le règlement inscrit à charge du fournisseur différentes obligations (gestion des risques, information, transparence, cybersécurité, etc.) qui concernent indirectement les déployeurs[25].

En outre, il prévoit des obligations incombant spécifiquement aux déployeurs de systèmes d’IA à haut risque :

• Les déployeurs de systèmes d’IA à haut risque prennent des mesures techniques et organisationnelles appropriées afin de garantir qu’ils utilisent ces systèmes conformément aux notices d’utilisation accompagnant les systèmes[26] ;
• Les déployeurs confient le contrôle humain à des personnes physiques qui disposent des compétences, de la formation et de l’autorité nécessaires ainsi que du soutien nécessaire[27] ;
• Pour autant que le déployeur exerce un contrôle sur les données d’entrée, il veille à ce que ces dernières soient pertinentes et suffisamment représentatives au regard de la destination du système d’IA à haut risque[28].
• Lorsque les déployeurs ont des raisons de considérer que l’utilisation du système d’IA à haut risque conforme à la notice d’utilisation pourrait conduire à ce que le système d’IA présente un certain type de risque, ils en informent, sans retard injustifié, le fournisseur ainsi que l’autorité de surveillance du marché concernée, et suspendent l’utilisation de ce système[29].
• Le règlement impose aux employeurs qui déploient des outils d’IA à haut risque plusieurs obligations :
  • D’une part l’employeur confie le contrôle humain à des personnes physiques qui disposent des compétences, de la formation, de l’autorité et du soutien nécessaires[30] ;
  • D’autre part, avant de mettre en service ou d’utiliser un système d’IA à haut risque sur le lieu de travail, l’employeur qui déploie un tel système doit informer les représentants des travailleurs et les travailleurs concernés[31].

Le fournisseur de système d’IA se voit lui aussi imposer des obligations, dont celle d’enregistrement, dans certains cas[32]. Le bon respect de cet enregistrement pourrait faire l’objet d’une vérification par le déployeur, autorité publique, qui souhaiterait disposer de ce système.

Par ailleurs, le règlement impose aux autorités publiques, aux institutions, organes ou organismes de l’Union ou des personnes qui agissent en leur nom de s’enregistrer dans une base de données tenue par l’Union européenne avant de mettre en service ou d’utiliser un système d’IA à haut risque énuméré dans l’annexe III (sauf ceux du point 2)[33].

Obligations de transparence pour les déployeurs de certains systèmes d’IA

L’article 50 du règlement impose ceci : « Les fournisseurs veillent à ce que les systèmes d’IA destinés à interagir directement avec des personnes physiques soient conçus et développés de manière que les personnes physiques concernées soient informées qu’elles interagissent avec un système d’IA, sauf si cela ressort clairement du point de vue d’une personne physique normalement informée et raisonnablement attentive et avisée, compte tenu des circonstances et du contexte d’utilisation »[34].

Le paragraphe suivant du même article poursuit : « Les fournisseurs de systèmes d’IA, y compris de systèmes d’IA à usage général, qui génèrent des contenus de synthèse de type audio, image, vidéo ou texte, veillent à ce que les sorties des systèmes d’IA soient marquées dans un format lisible par machine et identifiables comme ayant été générées ou manipulées par une IA ».

Enfin, « les déployeurs d’un système d’IA qui génère ou manipule des textes publiés dans le but d’informer le public sur des questions d’intérêt public indiquent que le texte a été généré ou manipulé par une IA »[35].

Cette information doit être fournie aux personnes physiques concernées dès la première interaction ou exposition, et ce, de manière claire et reconnaissable[36].

Sanctions

L’article 99 du règlement prévoit que les Etats membres déterminent les sanctions et autres mesures d’exécution, sans préjudice du fait que le règlement prévoit des sanctions pour non-respect de l’interdiction des systèmes d’IA interdits[37] ou de certaines dispositions spécifiques. Nous devons pointer la sanction[38] prévue par le règlement pour le non-respect des obligations incombant aux déployeurs en cas d’usage de systèmes d’IA à haut risque[39] ou en matière de transparence[40]. Le règlement prévoit pour les Etats membres de déterminer dans quelle mesure ces amendes administratives s’imposent ou non aux autorités publiques et aux organismes publics[41]. A l’heure d’écrire ces lignes, la loi implémentant le règlement n’a pas encore été adoptée de sorte qu’il n’est pas connu si ni dans quelle mesure les pouvoirs locaux seraient visés par ces sanctions.

Interactions avec le RGPD

Les systèmes d’IA se nourrissant des données, ils ingurgitent presque nécessairement, mais pas systématiquement des données à caractère personnel et doivent donc être conformes au RGPD. Le RGPD est donc pleinement applicable aux traitements de données à caractère personnel nécessités notamment par l’entraînement (pour le fournisseur d’IA) ou par l’utilisation (le déploiement) d’un système d’IA (pour le déployeur). Les autorités veillant au respect du RGPD restent pleinement compétentes y compris pour les outils d’IA[42].

Il y a donc des points de croisement entre le RIA et le RGPD,[43] mais aussi des points d’encouragement mutuel. Ainsi, le RGPD que le RIA sont similaires en ce qu’ils prévoient tous deux des mesures de transparence, mais aussi des exigences de documentation. Ils se renforcent donc mutuellement[44].

Les réflexes habituels du RGPD restent donc de mise lorsqu’il s’agit de déployer un système d’IA : concerter et impliquer le délégué à la protection des données, identifier les données nécessaires et la base de licéité, démontrer la nécessité de recourir au système d’IA et le cas échéant, procéder à une analyse d’impact, documenter, reporter les éléments au registre des activités de traitement, garantir la transparence à l’égard des personnes concernées, encadrer le sort des données à caractère personnel (spécialement interdire l’entraînement du système d’IA avec les données propres du pouvoir local), etc.

Quelques points d’attention en tant que pouvoir public local

Sans prétendre à l’exhaustivité, nous avons souhaité apporter un éclairage sur des points jugés importants pour les pouvoirs publics locaux qui souhaiteraient se lancer dans un projet d’IA.

1. De manière générale : la transparence et la maîtrise de l’IA

Si un pouvoir local a recours à un système d’IA, il doit être transparent. Le RIA n’impose pas d’obligation générale de transparence à l’encontre du déployeur, sauf dans des cas spécifiques. Cela étant, il nous semble que la transparence est de mise pour un pouvoir public et qu’il s’agit donc de mettre en place une politique d’IA diffusable envers les usagers des services publics locaux, mais aussi envers les utilisateurs internes.

Le pouvoir public local a également l’obligation de prendre les mesures nécessaires à garantir un nouveau suffisant de maîtrise de l’IA par son personnel et toutes les personnes qui, pour lui, s’occupent du fonctionnement et de l’utilisation des systèmes de l’IA. Cette obligation de « maîtrise de l’IA » est entrée en application depuis le 5 février 2025[45]. Et dès ce 2 août 2025, les sanctions pourraient théoriquement être envisageables.

Pour rappel, cette maîtrise de l’IA se comprend au regard des connaissances techniques, de l’expérience, de l’éducation et de la formation du pouvoir local ainsi que du contexte dans lequel le système d’IA est destiné à être utilisé et les personnes ou groupes de personnes auxquels l’utilisation de l’IA est destinée[46].

Sont ainsi apparues diverses chartes relatives à l’usage de l’IA dont on peut s’inspirer[47].

2. En tant d’employeur[48]

Comme indiqué ci-avant, le pouvoir local qui déploie un système d’IA est tenu de respecter le principe de maîtrise de l’IA. Ce principe induit l’obligation générale pour lui en tant qu’employeur d’informer de manière générale sur l’IA et l’usage qui peut en être fait ou non au sein du pouvoir local. De plus, faut-il rappeler que certains systèmes d’IA sont parfois déjà disponibles parmi les outils mis à disposition des employés et qu’à défaut d’interdiction quant à ces systèmes, l’employeur a l’obligation de former son personnel de manière spécifique à ces outils.

Par ailleurs, les obligations spécifiques au déploiement de systèmes d’IA à haut risque qui s’appliquent aux employeurs et explicités ci-dessus entreront en application ultérieurement selon le type de système d’IA à haut risque[49].

3. En tant que pouvoir adjudicateur

Dans les documents de marché, par lesquels les pouvoirs adjudicateurs locaux commanderaient des outils d’IA ou des biens ou services qui incluraient de l’IA, les pouvoirs publics locaux seraient bien avisés de prévoir des dispositions spécifiques à l’IA.

Sans prétendre à l’exhaustivité, nous songeons notamment aux exigences explicitées ci-après. Il conviendra de les ranger selon le cas en critère(s) de sélection, en critère(s) d’attribution, en critère(s) de régularité ou en condition(s) d’exécution à différents éléments de documentation. A ce stade de la réflexion, ce sont surtout les prescriptions techniques touchant aux conditions d’exécution et à la régularité qui seront impactées. Le cas échéant, selon la prospection du marché qui serait opérée, le pouvoir adjudicateur pourrait prévoir en critère de sélection certaines normes ISO utiles en matière de protection des données à caractère personnel ou en cybersécurité.

A propos des systèmes d’IA à haut risque plus spécifiquement, le pouvoir adjudicateur devrait se doter du pouvoir de vérification du bon respect des obligations imposées par le règlement au fournisseur de système d’IA, soit au titre de condition de régularité de l’offre soit comme condition d’exécution du marché soit encore les deux :

• Fixation des conditions et limites d’usage de l’IA ;
• Documentation relative aux systèmes à haut risque à charge du fournisseur de systèmes d’IA avant la mise en service ou sur le marché et la mise à jour de cette documentation[50] ;
• Enregistrement automatique des événements (journaux) tout au long de la durée de vie de système pour les systèmes d’IA à haut risque[51] ;
• Fourniture d’une notice d’utilisation contenant toute une série d’informations[52] ;
• Système de gestion des risques[53] ;
• Robustesse et cybersécurité intégrées[54] ;
• Mise à disposition des informations nécessaires à l’analyse d’impact préalable que devrait effectuer le déployeur de système d’IA[55] ;
• Description des mesures de cybersécurité ;
• Réalisation d’audit de sécurité ;
• Vérification du bon enregistrement du fournisseur de son système d’IA[56].

A propos des systèmes d’IA à usage général, l’article 53 du règlement impose aux fournisseurs de tenir et de mettre à jour une documentation technique du modèle et certaines informations[57], ce qui pourra être répercuté comme condition d’exécution dans les documents de marché.

Notons que l’obligation de transparence des fournisseurs de systèmes d’IA destinés à interagir directement avec des personnes physiques et consistant à informer les personnes physiques de ce système d’IA, doit être répercutée par le déployeur dans les documents de marché.

Enfin, les aspects liés aux droits d’auteurs tant pour l’input que pour l’output du système d’IA devront être réglés avec précaution[58].

4. En tant que responsable du respect du RGPD (points d’attention des délégués à la protection des données)

Deux points d’attention nous semblent devoir être mis en exergue.

D’une part, il faut s’assurer que la relation entre le pouvoir local, déployeur du système d’IA, et le fournisseur du système d’IA est suffisamment encadrée par le biais des documents de marché et de l’offre de l’adjudicataire, et ce, afin de protéger les données à caractère personnel lorsqu’il en est question. Le fournisseur devrait a priori être considéré comme sous-traitant des données à caractère personnel, au sens du RGPD, ce qui impose un encadrement juridique au sens de son article 28[59].

D’autre part, lorsque le système est à haut risque sur les droits fondamentaux et qu’il est visé à l’annexe III, le règlement impose ainsi la réalisation d’une analyse d’impact non par le fournisseur du système, mais bien par le déployeur lorsque celui-ci est un organisme de droit public ou une entité privée fournissant des services publics[60]. La CNIL résume parfaitement la situation comme suit : « L’obligation de mener une analyse d’impact sur la protection des données (AIPD) prévue par le RGPD, complète parfaitement ces exigences du RIA. En effet, l’AIPD sera présumée requise de la part du fournisseur et du déployeur de systèmes d’IA à haut risque, mais elle pourra surtout utilement se nourrir des documentations exigées par le RIA (article 26). Le RIA prévoit d’ailleurs que le déployeur puisse s’appuyer sur l’AIPD déjà réalisée par le fournisseur pour mener son analyse d’impact sur les droits fondamentaux (article 27). L’objectif commun étant de permettre de prendre toutes les mesures nécessaires pour limiter les risques pour la santé, la sécurité et les droits fondamentaux des personnes susceptibles d’être affectées par le système d’IA, ces analyses peuvent même être rassemblées sous la forme d’un document unique pour éviter un formalisme trop contraignant »[61].

5. En tant que responsable IT

Quelques points d’attention concernent le responsable IT :

• Transparence : elle pourrait devoir passer notamment par le site internet du pouvoir local ; ainsi, par exemple, si le pouvoir local compte proposer un chatbot sur son site internet, il faudra veiller à informer les utilisateurs du chatbot.
• Au stade de la passation du marché public, le responsable IT sera sollicité afin de décrire de manière précise les spécifications techniques, les fonctionnalités attendues, les limites admises et les utilisations interdites. Il vérifiera la compatibilité des offres par rapport à ces spécifications techniques. Des audits de sécurité peuvent être prévus et leurs conséquences réglées. Il en est de même pour les non-conformités constatées en cours d’exécution, de même que leurs conséquences.
• Cybersécurité : à nouveau, l’intervention d’un responsable IT sera indispensable afin de prévoir les mesures de cybersécurité, elles aussi nécessaires en cas de recours à un système d’IA.

En guise de conclusion : notre association, aux côtés de ses membres pour les formations et pour un modèle de charte

Outre le replay de deux webinaires, notre association vous propose des formations en IA générative pour vous permettre d’y voir plus clair et de démarrer vos projets en systèmes d’IA :

• Les replays de nos webinaires sur l’IA
  • L’intelligence artificielle et les pouvoirs locaux – opportunités, enjeux et impacts potentiels - 8 avril 2024
  • La digitalisation et l’IA dans les métiers des ressources humaines" - 12 décembre 2024
• Nos formations en IA générative
  • L’intelligence artificielle : un outil pour gagner en efficacité
  • L'intelligence artificielle générative au service des tâches communicationnelles
  • L'intelligence artificielle générative au service des tâches administratives[62].

En outre, un modèle de charte d’IA devrait bientôt être proposé à nos membres.

[1] Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle et modifiant les règlements (CE) n° 300/2008, (UE) n° 167/2013, (UE) n° 168/2013, (UE) 2018/858, (UE) 2018/1139 et (UE) 2019/2144 et les directives 2014/90/UE, (UE) 2016/797 et (UE) 2020/1828 (règlement sur l’intelligence artificielle), J.O.U.E., 12.7.2025 ; ci-après, le RIA.

[2] Nos propos sont largement inspirés des sources suivantes : https://www.cnil.fr/fr/entree-en-vigueur-du-reglement-europeen-sur-lia-les-premieres-questions-reponses-de-la-cnil,  https://economie.fgov.be/fr/themes/line/intelligence-artificielle/reglement-sur-lintelligence et la FAQ du SPF Economie : https://economie.fgov.be/fr/themes/line/intelligence-artificielle/foire-aux-questions-concernant.

[3] RIA, art. 3, 1).

[4] RIA, art. 5.

[5] RIA, art. 6, §§ 1 et 2.

[6] RIA, art. 3, 63).

[7] RIA, art. 3, 12).

[8] Voy. RIA, chapitre V.

[9] Déployeur : « personne physique ou morale, une autorité publique, une agence ou un autre organisme utilisant sous sa propre autorité un système d’IA sauf lorsque ce système est utilisé dans le cadre d’une activité personnelle à caractère non professionnel » (RIA, art. 3, 4)).

[10] RIA, art. 3, 3).

[11] RIA, art. 3, 55) : « cadre contrôlé mis en place par une autorité compétente qui offre aux fournisseurs ou fournisseurs potentiels de systèmes d’IA la possibilité de développer, d’entraîner, de valider et de tester, lorsqu’il y a lieu en conditions réelles, un système d’IA innovant, selon un plan du bac à sable pour une durée limitée sous surveillance réglementaire » ; RIA, art. 57.

[12] RIA, art. 65 et 66.

[13] RIA, art. 70.

[14] RIA, art. 113.

[15] RIA, art. 5.

[16] RIA, art. 3 et 4.

[17] Voyez infra.

[18] RIA, art 70.

[19] RIA, art. 57.

[20] Conformément à l’art. 50 du RIA ; voyez infra.

[21] RIA, art. 26, § 1^er.

[22] https://digital-strategy.ec.europa.eu/en/library/living-repository-foster-learning-and-exchange-ai-literacy.

[23] RIA, art. 6, § 3.

[24] Voy. supra.

[25] Voy. infra.

[26] RIA, art. 26, § 1^er.

[27] RIA, art. 26, § 2.

[28] RIA, art. 26, § 4.

[29] RIA, art. 26, § 5.

[30] RIA, art. 26, § 2.

[31] RIA, art. 26, § 7.

[32] RIA, art. 49.

[33] RIA, art. 49, § 3.

[34] RIA, art. 50, § 1^er.

[35] RIA, art. 50, § 4, al. 2.

[36] RIA, art. 50, § 5.

[37] RIA, art. 99.

[38] Amende administrative pouvant aller jusqu’à 15 millions d’euro ou s’il s’agit d’une entreprise, jusqu’à 3 % de son chiffre d’affaires annuel mondial de l’exercice précédent.

[39] Voyez supra.

[40] Voyez supra.

[41] RIA, art. 99, § 8.

[42] Le lecteur intéressé consultera utilement la brochure d’informations éditée par l’Autorité de Protection des Données : https://www.autoriteprotectiondonnees.be/publications/brochure-d-information-sur-les-systemes-d-intelligence-artificielle-et-le-rgpd.pdf

[43] Le lecteur intéressé consultera utilement les explications de la CNIL à ce propos : https://www.cnil.fr/fr/entree-en-vigueur-du-reglement-europeen-sur-lia-les-premieres-questions-reponses-de-la-cnil.

[44] RIA, art. 26, § 9 à propos de l’analyse d’impact issue du RGPD.

[45] RIA, art. 113, al. 3, a).

[46] RIA, art. 4.

[47] Voyez celle du Forem présentée dans le CPAS+ : J. Duchêne, « Une charte pour cadrer les utilisations de l’IA – L’exemple du Forem », CPAS+, Avril 2025, p. et s. ; voyez également : https://www.bruxellesformation.brussels/nos-missions-nos-valeurs/notre-charte-ia/#:~:text=Pr%C3%A9ambule%20%3A%20l'intelligence%20artificielle%20peut,des%20d%C3%A9cisions%2C%20etc.); il peut être intéressant de s’inspirer du milieu universitaire qui a édité des chartes IA : https://www.uclouvain.be/fr/system/files?file=uclouvain_assetmanager/groups/cms-editors-p1/portail/reglement/Consignes-ChatGPT-version-etudiante.pdf; https://www.student.uliege.be/cms/c_19230399/fr/faq-student-charte-uliege-d-utilisation-des-intelligences-artificielles-generatives-dans-les-travaux-universitaires; https://web.umons.ac.be/app/uploads/sites/34/2024/05/CharteIA-UMONS.pdf.

[48] Voyez : https://www.groups.be/fr/hr-news/ai-act-quels-impacts-pour-les-employeurs#:~:text=Il%20est%20%C3%A0%20noter%20que,sont%20applicables%20pour%20les%20fournisseurs.

[49] RIA, art. 113, al. 2.

[50] RIA, art. 11, § 1^er.

[51] RIA, art. 12.

[52] RIA, art. 13.

[53] RIA, art. 9.

[54] RIA, art. 9.

[55] RIA, art. 27.

[56] RIA, art. 49.

[57] RIA, art. 53.

[58] AR RGE 14.1.2013, art. 19 et s.

[59] Voyez notre modèle de clauses de sous-traitance : https://www.uvcw.be/marches-publics/modeles/art-8239

[60] RIA, art. 27.

[61] https://www.cnil.fr/fr/entree-en-vigueur-du-reglement-europeen-sur-lia-les-premieres-questions-reponses-de-la-cnil

[62] Pour aller plus loin : https://bosa.belgium.be/fr/AI4Belgium/AI4GOV