Le Bureau de l'IA de l'UE, établi au sein de la Commission européenne, est le principal organe de niveau européen chargé de superviser les modèles GPAI et de coordonner l'application de l'EU AI Act. Cette page explique son mandat, ses pouvoirs d'enquête, son autorité en matière de sanctions, et son interaction avec les autorités nationales de surveillance du marché.
Qu'est-ce que le Bureau de l'IA de l'UE ?
Le Bureau de l'IA de l'UE (officiellement : Office for Artificial Intelligence) est l'organe de niveau européen établi au sein de la Commission européenne pour superviser la mise en œuvre et l'application de l'EU AI Act — avec un mandat spécifique couvrant les modèles IA à usage général (GPAI).
Contrairement aux agences de l'UE traditionnelles (comme l'ENISA ou l'ABE), le Bureau de l'IA n'est pas une autorité réglementaire indépendante. Il est structuré comme un office administratif au sein de la Direction générale des réseaux de communication, du contenu et des technologies (DG CONNECT). Cette structure lui donne un accès direct aux ressources de la Commission et à la définition de l'agenda, mais signifie également que ses décisions d'application sont techniquement des décisions de la Commission soumises au contrôle juridictionnel de l'UE.
Le Bureau de l'IA a été créé tôt — formellement établi en février 2024, plusieurs mois avant la publication de l'AI Act au Journal officiel (juillet 2024) et son entrée en vigueur (août 2024). Cet établissement précoce était délibéré : la réglementation des GPAI est urgente compte tenu du rythme de développement des modèles de fondation, et la Commission voulait que l'infrastructure d'application soit prête avant que les obligations les plus urgentes n'entrent en vigueur.
Base juridique et mandat
La base juridique du Bureau de l'IA de l'UE est le Chapitre VIII de l'EU AI Act (Art. 64–68), complété par la décision de la Commission du 24 janvier 2024 qui l'a formellement établi.
Son mandat principal couvre trois domaines :
1. Supervision des modèles GPAI (application directe)
Le Bureau de l'IA dispose d'une compétence exclusive au niveau européen pour superviser les fournisseurs de modèles IA à usage général. Cela inclut :
- La surveillance de la conformité aux obligations du Chapitre V (transparence, documentation technique, conformité au droit d'auteur, rapports sur l'efficacité énergétique pour les modèles à risque systémique)
- La demande et l'examen de la documentation technique des fournisseurs GPAI
- La conduite d'évaluations des modèles GPAI — y compris des tests d'adversarial et des exercices de red-teaming — pour évaluer les capacités et les risques systémiques
- L'émission d'alertes lorsqu'un modèle GPAI présente un risque systémique
- L'imposition d'amendes et de mesures correctives
2. Coordination transfrontalière (systèmes IA à haut risque)
Pour les systèmes IA à haut risque, l'application est principalement nationale. Mais le Bureau de l'IA joue un rôle de coordination clé :
- Facilitation des échanges d'informations entre les autorités nationales de surveillance du marché (ASM)
- Traitement des cas où un système IA à haut risque non-conforme circule dans plusieurs États membres
- Fourniture d'expertise technique et d'orientation aux autorités nationales
- Demande d'enquêtes conjointes lorsque l'impact transfrontalier est significatif
3. Soutien scientifique et technique
Le Bureau de l'IA dispose d'un Comité consultatif scientifique composé d'experts IA indépendants (Art. 68). Ce comité fournit :
- Des évaluations techniques des capacités et des risques des modèles GPAI
- Des conseils sur les seuils de classification (ex. le seuil de calcul pour les modèles GPAI à risque systémique)
- Des contributions au développement de normes, codes de conduite et méthodologies d'évaluation
Pouvoirs d'enquête et d'application
Le Bureau de l'IA dispose de pouvoirs d'enquête significatifs sur les fournisseurs de modèles GPAI, notamment :
Demandes d'information
Le Bureau de l'IA peut demander à tout fournisseur GPAI toute information qu'il juge nécessaire à ses tâches de supervision (Art. 91). Les fournisseurs doivent répondre dans le délai fixé par le Bureau. Le défaut de fourniture d'information, ou la fourniture d'informations fausses ou trompeuses, constitue lui-même une infraction sanctionnable.
Évaluations et tests
Le Bureau de l'IA peut demander à un fournisseur GPAI de soumettre son modèle à évaluation, notamment :
- Des évaluations de capacités (identification de capacités dangereuses telles que l'assistance CBRN, la facilitation de cyberattaques, ou la manipulation à grande échelle)
- Des évaluations de sécurité et d'alignement
- Des tests adversariaux / red-teaming
Le Bureau peut mener lui-même des évaluations, ou les confier à des tiers qualifiés ou à des autorités nationales. L'AI Act exige que les fournisseurs de GPAI avec des modèles à risque systémique fournissent un accès à leurs modèles à des fins d'évaluation.
Inspections sur site
Pour les modèles GPAI à risque systémique, le Bureau de l'IA peut effectuer des inspections sur site dans les installations du fournisseur, avec l'assistance des autorités nationales de l'État membre concerné. Un préavis est généralement requis, sauf si le Bureau dispose de motifs spécifiques de croire que le préavis nuirait à l'enquête.
Mesures provisoires
En cas de risque urgent, le Bureau de l'IA peut imposer des mesures provisoires d'urgence pour prévenir un préjudice grave et irréparable. Ces mesures doivent être proportionnées et sont soumises à réexamen.
Amendes
Les amendes sont structurées en trois niveaux :
| Violation | Amende maximale |
|---|---|
| Non-conformité aux obligations GPAI (Chapitre V) | 15M€ ou 3% du chiffre d'affaires mondial annuel |
| Fourniture d'informations incorrectes/incomplètes | 7,5M€ ou 1,5% du chiffre d'affaires mondial annuel |
| Non-conformité aux obligations GPAI à risque systémique | 30M€ ou 6% du chiffre d'affaires mondial annuel |
| Violations générales applicables à toutes les entités | 35M€ ou 7,5% (pratiques interdites) |
Pour les PME et les startups, le montant le plus faible entre le montant fixe et le pourcentage de chiffre d'affaires s'applique. Le Bureau de l'IA doit tenir compte de la nature, de la gravité, de la durée et des conséquences de l'infraction, ainsi que du niveau de coopération démontré par le fournisseur.
Le Code de conduite GPAI
Un instrument clé du Bureau de l'IA est le Code de conduite GPAI — un instrument technique volontaire développé à travers un processus multipartite qui traduit les obligations du Chapitre V de l'AI Act en orientations concrètes de mise en œuvre.
Le processus du Code de conduite a débuté en octobre 2024, avec le Bureau de l'IA convoquant des groupes de travail de fournisseurs GPAI, de chercheurs académiques, d'organisations de la société civile et d'autorités nationales. Il couvre :
- Les obligations de transparence pour les fournisseurs GPAI (résumés des données d'entraînement, documentation des capacités)
- Les procédures de conformité au droit d'auteur
- Les méthodologies d'évaluation des modèles pour l'évaluation des risques systémiques
- Les normes de sécurité pour les modèles GPAI à risque systémique
Le respect du Code de conduite crée une présomption de conformité avec les obligations correspondantes du Chapitre V. C'est un avantage significatif : les fournisseurs qui suivent le Code peuvent s'en prévaloir dans les procédures d'application plutôt que de devoir démontrer la conformité à partir de zéro.
Le Comité IA
Le Comité IA (Art. 65) opère en parallèle avec le Bureau de l'IA. Il est composé de :
- Un représentant par État membre de l'UE (autorités de supervision nationales)
- Un représentant du Contrôleur européen de la protection des données (CEPD)
- Un représentant de la Commission (président sans droit de vote)
Les fonctions du Comité IA comprennent :
- L'émission d'avis et de recommandations au Bureau de l'IA et à la Commission
- La coordination des approches de supervision nationales
- Les conseils sur la classification des systèmes et modèles IA
- La contribution au développement de normes et de méthodologies d'évaluation
Le Comité est un organe consultatif et de coordination — il n'a pas d'autorité d'application directe. Cependant, ses avis ont un poids significatif et le Bureau de l'IA est censé en tenir compte.
Autorités nationales de surveillance du marché
Pour les systèmes IA à haut risque (et non les modèles GPAI), les autorités nationales de surveillance du marché (ASM) sont les principaux organes d'application. Chaque État membre doit désigner au moins une ASM responsable de l'application de l'AI Act sur son territoire.
Les ASM ont le pouvoir de :
- Conduire des activités de surveillance du marché
- Demander la documentation technique et les journaux d'accès aux fournisseurs et déployeurs
- Ordonner des mesures correctives (retrait, rappel, restriction d'accès au marché)
- Imposer des amendes au titre de la législation nationale de mise en œuvre
Le Bureau de l'IA coordonne avec les ASM par l'intermédiaire du Comité IA et à travers une coopération bilatérale, mais ne les dirige pas. Les États membres sont responsables du financement et de la montée en puissance de leurs ASM.
Implications pratiques pour les fournisseurs GPAI
Si vous développez ou déployez un modèle IA à usage général accessible sur le marché européen, le Bureau de l'IA de l'UE est votre principal interlocuteur réglementaire. Concrètement, cela signifie :
-
Enregistrez et documentez de manière proactive — le Bureau de l'IA attend des fournisseurs qu'ils aient la documentation technique prête avant d'être sollicités. S'affairer à préparer la documentation après une demande n'est pas une bonne posture de conformité.
-
Engagez-vous avec le Code de conduite — la participation au processus du Code de conduite GPAI, et l'adoption de ses dispositions, crée une présomption de conformité et démontre la bonne foi envers le Bureau de l'IA.
-
Connaissez votre statut de risque systémique — le seuil actuel pour la classification à risque systémique est un calcul d'entraînement dépassant 10^25 FLOPs. Si votre modèle est proche de ce seuil ou le dépasse, engagez-vous proactivement avec le Bureau de l'IA concernant les obligations d'évaluation.
-
Préparez-vous aux évaluations — si vous développez un modèle GPAI à risque systémique, vous devez être en mesure de fournir un accès au modèle à des fins d'évaluation. Cela nécessite une infrastructure technique pour un accès API contrôlé, une coopération aux tests adversariaux, et une documentation des résultats de red-teaming.
-
Surveillez les alertes et avis — le Bureau de l'IA publie des orientations, alertes et avis sur son site web. Ce ne sont pas des réglementations contraignantes, mais ils signalent les priorités d'application et les positions interprétatives qui façonneront les enquêtes.
Calendrier officiel de conformité AI Act
Mis à jour le · Sources : Règlement (UE) 2024/1689 et Digital Omnibus AI 2026.
| Obligation | S'applique à | Date initiale | Nouvelle date | Statut | Compte à rebours | Base légale |
|---|---|---|---|---|---|---|
| Pratiques interdites (Art. 5) | Tous les fournisseurs et déployeurs | active | — | AI Act Art. 5 | ||
| Règles GPAI (chapitre 5) | Fournisseurs de modèles GPAI | active | — | AI Act Art. 51-56 | ||
| IA à haut risque — Annexe III (autonomes) | Fournisseurs de systèmes autonomes Annexe III | deferred | — | Omnibus AI 2026 Art. 6(2) | ||
| IA à haut risque — Annexe I (embarquée) | Systèmes IA embarqués dans produits réglementés Annexe I | deferred | — | Omnibus AI 2026 Art. 6(1) | ||
| Marquage contenu IA (transparence) | Fournisseurs de systèmes GPAI génératifs | active | — | AI Act Art. 50(2) | ||
| Bacs à sable réglementaires | Autorités nationales compétentes | active | — | AI Act Art. 57 |
⬇ Télécharger JSON · CC BY 4.0
Convergence AI Act – DORA – NIS2
Votre organisation est-elle soumise à la fois à l'AI Act et à DORA ? Les deux règlements se croisent sur la résilience opérationnelle des systèmes d'IA financiers. Notre site jumeau regulation-dora.eu couvre DORA en profondeur.
Explorer regulation-dora.eu ↗Questions fréquentes
Le Bureau de l'IA de l'UE est un office au sein de la Commission européenne, établi en vertu de l'Art. 64 de l'EU AI Act. Ce n'est pas une agence réglementaire indépendante — il opère sous l'autorité de la Commission. Il est dirigé par un Directeur et dispose d'un effectif d'environ 140 fonctionnaires. Il a été formellement établi en février 2024, avant l'entrée en vigueur de l'AI Act, et a commencé ses opérations complètes en août 2024.
Le Bureau de l'IA dispose d'une autorité de surveillance et d'application directe sur les fournisseurs de modèles GPAI (modèles IA à usage général tels que les grands modèles de langage). Pour les systèmes IA à haut risque et les autres systèmes IA couverts par l'AI Act, la responsabilité principale d'application incombe aux autorités nationales de surveillance du marché, et non au Bureau de l'IA. Le Bureau coordonne avec les autorités nationales et traite les problèmes systémiques transfrontaliers.
Le Bureau de l'IA peut imposer des amendes aux fournisseurs de modèles GPAI pour : non-conformité aux obligations du Chapitre V (jusqu'à 15 millions d'euros ou 3% du chiffre d'affaires mondial annuel, selon le montant le plus élevé) ; fourniture d'informations incorrectes ou trompeuses au Bureau (jusqu'à 7,5 millions d'euros ou 1,5% du chiffre d'affaires mondial annuel) ; pour les modèles GPAI à risque systémique, des obligations supplémentaires peuvent entraîner des amendes allant jusqu'à 30 millions d'euros ou 6% du chiffre d'affaires mondial annuel.
Le Comité IA (Art. 65) est l'organe consultatif de haut niveau composé de représentants des autorités de supervision nationales de tous les États membres de l'UE. Il conseille la Commission et le Bureau de l'IA, coordonne les approches de supervision nationales, et émet des avis et recommandations. Le Bureau de l'IA met en œuvre ; le Comité conseille et coordonne.
Restez informé des évolutions AI Act
Recevez les alertes compliance quand les délais ou obligations changent.
Pas de spam. Désabonnement en un clic.