Article 2 — Champ d'application (règlement IA de l'UE)

Article 2 du règlement (UE) 2024/1689 — Champ d'application. Texte officiel, interprétation pratique, obligations clés et implications pour la conformité.

Résumé du texte officiel

L'article 2 du règlement (UE) 2024/1689 définit le champ d'application matériel et territorial du règlement IA de l'UE. Il établit quels acteurs, systèmes et circonstances relèvent du champ d'application du règlement.

Ratione personae, le règlement s'applique à : (1) les fournisseurs qui mettent des systèmes d'IA sur le marché de l'Union ou qui les mettent en service dans l'UE, quel que soit leur lieu d'établissement ; (2) les déployeurs de systèmes d'IA qui sont établis ou situés dans l'UE ; (3) les fournisseurs et déployeurs établis dans des pays tiers lorsque les résultats produits par le système d'IA sont utilisés dans l'Union ; (4) les importateurs et distributeurs de systèmes d'IA ; et (5) les fabricants de produits qui placent des systèmes d'IA en tant que composants de sécurité de produits réglementés sur le marché de l'Union.

L'article 2 précise en outre que le règlement ne s'applique pas aux systèmes d'IA développés ou utilisés exclusivement à des fins militaires, de sécurité nationale ou de défense, ni aux systèmes d'IA utilisés par des autorités publiques de pays tiers ou des organisations internationales dans le cadre d'accords internationaux sur la coopération en matière répressive et judiciaire. Les systèmes d'IA qui n'ont pas encore été mis sur le marché et sont encore en phase de recherche et développement, avant d'être mis à disposition des utilisateurs, sont également hors champ d'application.

Lorsqu'un déployeur ou un fournisseur est établi en dehors de l'UE mais que les résultats du système d'IA sont utilisés dans l'UE, le règlement s'applique néanmoins, établissant une portée extraterritoriale forte comparable au modèle du RGPD.

Ce que cela signifie en pratique

L'article 2 détermine si votre organisation doit se conformer au règlement IA de l'UE — c'est la question seuil que chaque équipe juridique et de conformité doit se poser avant d'évaluer toute obligation.

Pour les entreprises établies dans l'UE, l'analyse est simple : si vous développez, déployez, importez, distribuez ou intégrez des systèmes d'IA dans des produits ou services disponibles dans l'UE, vous êtes dans le champ d'application. Cela inclut les fournisseurs SaaS proposant des fonctionnalités alimentées par l'IA, les entreprises déployant des outils d'IA dans les RH, le crédit ou les soins de santé, et les fabricants intégrant l'IA dans des produits physiques soumis à la législation existante de l'UE en matière de sécurité des produits.

Pour les entreprises non établies dans l'UE, le test décisif est de savoir si les résultats du système d'IA atteignent ou affectent des personnes ou des entités dans l'UE. Une entreprise américaine fournissant un outil de présélection de candidatures par IA utilisé par des filiales européennes de multinationales, par exemple, est dans le champ d'application même si l'entreprise elle-même n'a aucune présence dans l'UE. Ces fournisseurs doivent désigner un représentant autorisé dans l'Union.

En pratique, les équipes de conformité doivent d'abord cartographier chaque système d'IA en cours d'utilisation ou de développement, puis appliquer les critères de l'article 2 à chacun d'eux. Les systèmes utilisés exclusivement pour la R&D interne — non déployés auprès des utilisateurs finaux — peuvent être documentés comme hors champ d'application, mais ce statut doit être activement maintenu et réexaminé lors du déploiement. Les exclusions militaires et de sécurité nationale sont étroites et ne doivent pas être supposées s'appliquer aux systèmes à double usage ou aux outils répressifs sans examen juridique approfondi.

Les fournisseurs de modèles open source bénéficient d'obligations allégées mais restent dans le champ d'application pour les pratiques interdites et les classifications à haut risque.

Obligations clés

Détermination du champ d'application : Les organisations doivent déterminer positivement si elles relèvent de l'une des catégories d'acteurs définies (fournisseur, déployeur, importateur, distributeur ou fabricant de produit) avant d'évaluer quel niveau d'obligations leur est applicable.
Conformité extraterritoriale : Les fournisseurs non établis dans l'UE dont les résultats des systèmes d'IA sont utilisés dans l'Union doivent se conformer au règlement et désigner un représentant autorisé établi dans l'UE.
Clarté des rôles : Lorsque la même organisation agit simultanément en tant que fournisseur et déployeur, les deux ensembles d'obligations s'appliquent cumulativement ; les organisations doivent documenter et gérer chaque rôle séparément.
Documentation des limites de la R&D : Les organisations s'appuyant sur l'exemption de recherche et développement doivent conserver des documents clairs démontrant que le système n'a pas été mis sur le marché ou mis en service, et doivent réévaluer le champ d'application à chaque étape du développement.
Interprétation restrictive des exclusions : Les exclusions militaires, de sécurité nationale et de défense doivent être appliquées strictement ; les systèmes d'IA à double usage ou ceux utilisés dans des contextes généraux d'application de la loi ne sont pas automatiquement éligibles à l'exclusion.
Désignation du représentant autorisé : Les fournisseurs de pays tiers dans le champ d'application doivent formellement désigner et documenter un représentant autorisé dans l'UE dans le cadre de leur infrastructure de conformité.

Relation avec d'autres articles

L'article 2 est le point d'entrée de l'ensemble du cadre réglementaire et doit être lu conjointement avec plusieurs dispositions fondamentales. L'article 3 (Définitions) est essentiel pour interpréter les termes clés utilisés à l'article 2, notamment les définitions de « système d'IA », « fournisseur » et « déployeur », qui déterminent le champ d'application. L'article 5 (Pratiques d'IA interdites) s'applique à tous les acteurs dans le champ d'application, quel que soit le niveau de risque, ce qui fait de la détermination correcte du champ d'application en vertu de l'article 2 une condition préalable à l'évaluation des obligations les plus sérieuses. L'article 6 (Classification des systèmes d'IA à haut risque) et l'article 51 (Classification des modèles GPAI) ne deviennent pertinents qu'une fois le champ d'application de l'article 2 confirmé. Pour les organisations s'appuyant sur la voie des fournisseurs de pays tiers, l'article 2 est directement lié à l'article 25 (Obligations des importateurs) et à l'article 26 (Obligations des distributeurs). La portée extraterritoriale établie à l'article 2 reflète la logique de l'article 3 du RGPD, et les autorités de régulation ont confirmé que ces dispositions devaient être lues de manière cohérente.

Calendrier de conformité

L'article 2 est entré en vigueur le 1er août 2024, vingt jours après la publication du règlement au Journal officiel de l'UE. Toutefois, ses obligations pratiques s'activent selon le calendrier d'application progressif du règlement :

2 février 2025 : Le champ d'application de l'article 2 s'applique pleinement aux pratiques d'IA interdites au titre de l'article 5 — les organisations doivent avoir achevé leur détermination du champ d'application à cette date pour évaluer si l'un de leurs systèmes relève de catégories interdites.
2 août 2025 : Le champ d'application s'applique aux fournisseurs de modèles d'IA à usage général (GPAI) au titre du titre VIII (articles 51 à 56), y compris les évaluations des risques systémiques et les obligations de transparence.
2 août 2026 : Les obligations pour les institutions et organes de l'UE utilisant des systèmes d'IA en vertu de l'article 2, paragraphe 1, point h), deviennent applicables.
2 décembre 2026 : Le champ d'application de l'article 2 s'applique aux systèmes d'IA à haut risque énumérés à l'annexe I (composants de sécurité de produits réglementés).
2 août 2027 : Application complète aux systèmes d'IA à haut risque énumérés à l'annexe III (applications à haut risque autonomes dans des domaines tels que l'emploi, l'éducation, les infrastructures critiques et l'application de la loi).

Les organisations devraient considérer août 2024 comme la date à partir de laquelle les exercices de cartographie du champ d'application auraient dû commencer, chaque échéance ultérieure déclenchant un flux de travail de conformité correspondant.

Calendrier officiel de conformité AI Act

Mis à jour le 2026-06-23 · Sources : Règlement (UE) 2024/1689 et Digital Omnibus AI 2026.

Obligation	S'applique à	Date initiale	Nouvelle date	Statut	Compte à rebours	Base légale
Pratiques interdites (Art. 5)	Tous les fournisseurs et déployeurs	2 février 2025	2 février 2025	active	—	AI Act Art. 5
Règles GPAI (chapitre 5)	Fournisseurs de modèles GPAI	2 août 2025	2 août 2025	active	—	AI Act Art. 51-56
IA à haut risque — Annexe III (autonomes)	Fournisseurs de systèmes autonomes Annexe III	2 août 2026	2 décembre 2027	deferred	—	Omnibus AI 2026 Art. 6(2)
IA à haut risque — Annexe I (embarquée)	Systèmes IA embarqués dans produits réglementés Annexe I	2 août 2026	2 août 2028	deferred	—	Omnibus AI 2026 Art. 6(1)
Marquage contenu IA (transparence)	Fournisseurs de systèmes GPAI génératifs	2 août 2025	2 août 2025	active	—	AI Act Art. 50(2)
Bacs à sable réglementaires	Autorités nationales compétentes	2 août 2026	2 août 2026	active	—	AI Act Art. 57

⬇ Télécharger JSON · CC BY 4.0

Convergence AI Act – DORA – NIS2

Votre organisation est-elle soumise à la fois à l'AI Act et à DORA ? Les deux règlements se croisent sur la résilience opérationnelle des systèmes d'IA financiers. Notre site jumeau regulation-dora.eu couvre DORA en profondeur.

Explorer regulation-dora.eu ↗

Questions fréquentes

À qui s'applique le règlement IA de l'UE ?

Le règlement IA de l'UE s'applique aux fournisseurs qui mettent des systèmes d'IA sur le marché de l'UE ou qui les mettent en service dans l'UE, quel que soit le lieu d'établissement du fournisseur. Il couvre également les déployeurs qui exploitent des systèmes d'IA au sein de l'UE, les importateurs et distributeurs de systèmes d'IA, ainsi que les fabricants de produits incorporant des systèmes d'IA. Les fournisseurs non établis dans l'UE sont couverts si les résultats produits par leur système d'IA sont utilisés dans l'UE.

Le règlement IA de l'UE s'applique-t-il aux systèmes d'IA développés et utilisés en dehors de l'UE ?

En règle générale, non — mais il existe une exception importante. Si un système d'IA est développé en dehors de l'UE mais que ses résultats sont utilisés dans l'UE, le règlement peut néanmoins s'appliquer. Les fournisseurs établis dans des pays tiers doivent désigner un représentant autorisé dans l'UE si leurs systèmes sont mis à disposition sur le marché de l'UE.

Existe-t-il des organisations ou des usages exclus du champ d'application de l'article 2 ?

Oui. L'article 2 exclut explicitement les systèmes d'IA utilisés exclusivement à des fins militaires, de sécurité nationale ou de défense, ainsi que les systèmes d'IA utilisés uniquement à des fins de recherche et développement n'ayant pas encore été mis sur le marché. Les autorités publiques de pays tiers et les organisations internationales sont également exclues lorsqu'elles agissent dans le cadre de coopérations internationales en matière d'application de la loi.

L'article 2 couvre-t-il les modèles d'IA open source ?

Les systèmes d'IA open source sont partiellement dans le champ d'application. Si les fournisseurs de systèmes d'IA libres et open source bénéficient d'obligations allégées dans certains domaines, ils ne sont pas totalement exemptés — notamment lorsque le système relève de catégories interdites ou à haut risque, ou lorsqu'il s'agit de modèles d'IA à usage général présentant un risque systémique significatif.

Restez informé des évolutions AI Act

Recevez les alertes compliance quand les délais ou obligations changent.

Pas de spam. Désabonnement en un clic.