Acte IA de l'UE — Articles 16 et 73 : croisement entre les règles IA à haut risque et le droit du handicap

Description de l’image : Un document imprimé de l’Acte IA de l’UE avec une superposition transparente de l’arbre d’accessibilité ARIA et un stylo plume posé dessus — le marqueur visuel de l’intersection Acte IA × droit du handicap.

Temps de lecture : 12 minutes

Le Règlement (UE) 2024/1689, communément appelé l’Acte IA de l’UE, a été publié au Journal officiel le 12 juillet 2024, est entré en vigueur le 1er août 2024, et a atteint sa principale date d’applicabilité — lorsque les obligations concernant l’IA à haut risque et l’IA à usage général lient les fournisseurs et les déployeurs à travers le Marché unique — le 2 août 2026. C’est la première loi horizontale complète sur l’IA dans toute grande juridiction, et elle s’ajoute à la pile existante des droits des personnes handicapées, sans la remplacer : l’Acte européen sur l’accessibilité, la Directive sur l’accessibilité des sites web, la Directive sur l’égalité en matière d’emploi 2000/78/CE, et la ratification par l’UE de la Convention des Nations Unies relative aux droits des personnes handicapées (CRPD).

Deux articles font l’essentiel du travail là où l’Acte IA et le droit du handicap se croisent. L’Article 16 fixe les obligations des fournisseurs de modèles d’IA à usage général — la couche des modèles fondamentaux qui alimente la plupart des produits d’IA grand public en 2026. L’Article 73, lu conjointement avec les Articles 8 à 15 et l’Annexe III, fixe les exigences qui lient les fournisseurs et les déployeurs de systèmes d’IA à haut risque. Ce guide est un primer sur la façon dont ces deux articles croisent le droit du handicap dans trois contextes concrets : l’IA utilisée dans l’emploi (outils de présélection de CV, notation automatisée d’entretiens vidéo), l’IA utilisée dans l’éducation (surveillance en ligne des examens, outils d’accessibilité, modélisation des risques étudiants), et l’IA utilisée dans les services essentiels (notation de crédit à la consommation, triage de soins de santé, décisions d’éligibilité aux prestations publiques). Il couvre également la superposition CRPD que les engagements institutionnels de l’UE ajoutent par-dessus, et les obligations documentaires — documentation technique de l’Annexe IV, surveillance post-commercialisation, évaluations de l’impact sur les droits fondamentaux — que les fournisseurs doivent désormais produire.

Ce qu’est l’Acte IA — et comment il est structuré

L’Acte IA est un règlement, et non une directive : il s’applique directement dans chaque État membre sans transposition nationale, et les obligations qu’il impose aux fournisseurs et aux déployeurs sont uniformes sur les 27 marchés nationaux de l’UE plus l’EEE. Son choix architectural central est un cadre de niveaux de risque à quatre niveaux — pratiques interdites (Article 5), systèmes d’IA à haut risque (Articles 6 à 27 et Annexe III), obligations de transparence à risque limité (Article 50), et utilisations à risque minimal non réglementées. Au-dessus des niveaux de risque, un régime distinct — Articles 51 à 56 — régit les modèles d’IA à usage général, avec des obligations plus strictes déclenchées lorsqu’un modèle dépasse le seuil de risque systémique fixé à l’Article 51(2).

Le calendrier d’applicabilité par phases importe car les fournisseurs lisant ceci en 2026 ne font pas face à une seule échéance. Les interdictions de l’Article 5 sur les pratiques à risque inacceptable — notation sociale par les autorités publiques, identification biométrique à distance en temps réel dans les espaces publics sauf pour des usages d’application de la loi étroitement définis, reconnaissance des émotions dans les lieux de travail et les écoles — sont devenues applicables le 2 février 2025, six mois après l’entrée en vigueur. Les obligations d’IA à usage général des Articles 51-56 sont devenues applicables le 2 août 2025. Le régime complet à haut risque, y compris les obligations de surveillance post-commercialisation de l’Article 73, est entré en vigueur le 2 août 2026, avec une extension supplémentaire au 2 août 2027 pour le sous-ensemble de systèmes à haut risque qui sont également des composants de sécurité de produits déjà réglementés par la législation sectorielle de sécurité des produits de l’UE (loi sectorielle Annexe I — dispositifs médicaux, machines, jouets, véhicules).

L’application est partagée. Les autorités nationales de surveillance du marché — désignées par chaque État membre et répertoriées dans un registre public tenu par le Bureau de l’IA — gèrent l’application de l’IA à haut risque sur le terrain. Le Bureau de l’IA, établi au sein de la DG CNECT de la Commission européenne, dispose d’une compétence exclusive pour l’application de l’IA à usage général en vertu de l’Article 88. Les amendes administratives maximales atteignent 35 millions d’euros ou 7 % du chiffre d’affaires annuel mondial pour les violations des interdictions de l’Article 5, 15 millions d’euros ou 3 % pour les violations de la plupart des autres obligations des opérateurs, y compris les obligations des Articles 16 et 73 couvertes dans ce guide, et 7,5 millions d’euros ou 1 % pour la fourniture d’informations incorrectes ou trompeuses aux autorités.

Article 16 — ce que les fournisseurs d’IA à usage général doivent faire

L’Article 16 est la disposition opérationnelle pour la couche des modèles fondamentaux. Il s’applique aux fournisseurs de modèles d’IA à usage général — définis à l’Article 3(63) comme des modèles d’IA entraînés sur une grande quantité de données par auto-supervision à grande échelle, affichant une généralité significative, capables d’exécuter avec compétence un large éventail de tâches distinctes. Les grands modèles de langage qui alimentent les chatbots, les modèles multimodaux image-et-texte utilisés dans l’analyse de documents, les modèles de parole qui servent de plus en plus d’intermédiaires aux outils d’accessibilité : tous sont des modèles d’IA à usage général au sens de l’Acte IA, et leurs fournisseurs portent la pile de l’Article 16.

Les obligations de l’Article 16 se divisent en trois blocs. Premièrement, la documentation technique : les fournisseurs doivent préparer et tenir à jour un dossier technique couvrant l’entraînement, les tests et l’évaluation du modèle, incluant les sources de données d’entraînement à un niveau général, la consommation d’énergie de l’entraînement, les référentiels d’évaluation utilisés, et les limitations connues. L’Annexe XI précise le contenu minimal. Deuxièmement, les divulgations d’informations aux déployeurs en aval : les fournisseurs doivent mettre à disposition des entreprises qui intègrent le modèle dans leurs propres systèmes suffisamment d’informations sur les capacités, les limitations, l’utilisation prévue et les risques connus du modèle pour que l’opérateur en aval puisse respecter ses propres obligations au titre de l’Acte IA. Troisièmement, le droit d’auteur et la provenance du contenu : les fournisseurs doivent mettre en place une politique de conformité avec le droit d’auteur de l’UE, incluant l’opt-out pour la fouille de textes et de données de l’Article 4(3) en vertu de la Directive (UE) 2019/790, et publier un résumé suffisamment détaillé du corpus de données d’entraînement.

L’angle du handicap sur l’Article 16 est double. Premièrement, la divulgation des limitations requise en vertu de l’Annexe XI Section 1(2)(c) couvre explicitement les biais connus et les écarts de performance inéquitables — et les écarts de performance pertinents pour l’accessibilité relèvent pleinement de cette exigence. Un modèle de reconnaissance vocale qui performe sensiblement moins bien sur la parole dysarthrique, un modèle de sous-titrage d’images qui identifie mal les utilisateurs de fauteuils roulants ou d’aides à la mobilité, un modèle de langue des signes qui échoue sur les variantes régionales : chacun est une limitation connue que le fournisseur doit communiquer aux déployeurs en aval. Deuxièmement, les fournisseurs de modèles atteignant le seuil de risque systémique de l’Article 51(2) (actuellement fixé à un calcul d’entraînement dépassant 10^25 FLOPs) portent les obligations supplémentaires de l’Article 55 en matière de tests adversariaux, de signalement d’incidents, de mesures de cybersécurité, et d’évaluation des modèles par rapport aux catégories de risques systémiques — incluant les impacts sur les droits fondamentaux, que le règlement renvoie explicitement à la Charte des droits fondamentaux et à la CRPD.

Article 73 — systèmes d’IA à haut risque et le régime post-commercialisation

L’Article 73 s’inscrit dans la Section 3 du Chapitre III, la section qui régit les systèmes d’IA à haut risque déjà mis sur le marché. Il exige que les fournisseurs d’IA à haut risque établissent un système de surveillance post-commercialisation, proportionné à la nature du système et aux risques qu’il présente, qui recueille, documente et analyse activement et systématiquement des données sur les performances du système d’IA tout au long de sa durée de vie. La surveillance doit évaluer en continu la conformité avec les exigences énoncées aux Articles 8 à 15, avec une documentation conservée disponible pendant au moins dix ans.

L’Article 73 doit être lu conjointement avec les exigences substantielles des Articles 8-15, car la surveillance post-commercialisation est le mécanisme par lequel la conformité avec ces exigences est démontrée dans le temps. L’Article 9 impose un système de gestion des risques. L’Article 10 régit les données et la gouvernance des données — exigeant spécifiquement que les jeux de données d’entraînement, de validation et de test soient pertinents, suffisamment représentatifs, exempts d’erreurs et complets au regard de la finalité prévue, avec une attention explicite au « cadre géographique, contextuel, comportemental ou fonctionnel spécifique » dans lequel le système sera utilisé. L’Article 11 et l’Annexe IV exigent la documentation technique ; l’Article 12 exige une journalisation automatique des événements ; l’Article 13 exige la transparence et l’information pour les déployeurs ; l’Article 14 exige des mesures de supervision humaine intégrées dans le système ; l’Article 15 exige une précision, une robustesse et une cybersécurité proportionnées à la finalité prévue. L’Article 26 ajoute ensuite des obligations du côté du déployeur — l’opérateur qui met réellement le système en service.

Ce qui rend un système « à haut risque » est défini à l’Article 6 et à l’Annexe III. La liste de l’Annexe III nomme huit catégories de cas d’utilisation — biométrie ; infrastructure critique ; éducation et formation professionnelle ; emploi et gestion des travailleurs ; accès aux services privés et publics essentiels ; application de la loi ; migration, asile et contrôle aux frontières ; administration de la justice et processus démocratiques — et au sein de chaque catégorie, énumère les cas d’utilisation spécifiques qui déclenchent la classification à haut risque. La liste de l’Annexe III est non exhaustive dans le concept mais contraignante en droit : un système d’IA utilisé à l’une des fins énumérées est à haut risque en vertu du règlement, indépendamment de la manière dont le fournisseur le commercialise.

Là où les Articles 16 et 73 croisent le droit du handicap

Trois points d’intersection dominent le paysage pratique de la conformité en 2026 : l’IA dans l’emploi, l’IA dans l’éducation, et l’IA dans les services essentiels. Chacun s’inscrit dans une catégorie à haut risque de l’Annexe III, et chacun porte une obligation directe en vertu du droit européen existant contre la discrimination par le handicap que l’Acte IA opérationnalise désormais.

Emploi — présélection de CV, notation d’entretiens vidéo, surveillance de la productivité

La Section 4 de l’Annexe III capture les systèmes d’IA utilisés pour le recrutement, la sélection, l’attribution des tâches, l’évaluation des performances et les décisions de licenciement. Les outils de présélection de CV qui classent les candidats par rapport aux descriptions de poste, les plateformes d’entretien vidéo automatisées qui notent les réponses des candidats sur leurs expressions faciales, leurs schémas de discours et leur choix de mots, les outils de surveillance de la productivité qui signalent des travailleurs pour une intervention managériale sur la base de données de frappe ou de temps passé à l’écran : tous sont à haut risque de l’Annexe III en vertu de la Section 4. L’obligation de gestion des risques de l’Article 9 et l’obligation de gouvernance des données de l’Article 10 imposent aux fournisseurs d’identifier et d’atténuer les risques d’impact disparate au stade de l’entraînement du modèle. La Directive sur l’égalité en matière d’emploi 2000/78/CE, en vigueur depuis 2003, interdit déjà la discrimination directe et indirecte fondée sur le handicap dans le recrutement et l’emploi ; l’Acte IA exige désormais que la machinerie technique derrière cette interdiction soit vérifiable à travers le dossier technique de l’Annexe IV et la surveillance post-commercialisation de l’Article 73.

L’obligation d’atténuation des biais est explicite. L’Article 10(2)(g) exige que les fournisseurs examinent les choix de conception des données d’entraînement pour détecter les « biais possibles susceptibles d’affecter la santé et la sécurité des personnes, d’avoir un impact négatif sur les droits fondamentaux ou de conduire à des discriminations interdites par le droit de l’Union ». Une fois qu’un impact disparate lié au handicap est identifié — un modèle d’entretien vidéo qui pénalise systématiquement les candidats avec des troubles de la parole, un modèle d’analyse RH qui classe mal les schémas de travail des employés avec des déficiences cognitives ou des maladies chroniques — l’Article 10(2)(h) exige des « mesures appropriées pour détecter, prévenir et atténuer » ces biais. Le travail d’atténuation doit être documenté dans le dossier de l’Annexe IV et évalué en continu à travers le système de surveillance post-commercialisation de l’Article 73.

Éducation — surveillance d’examens, outils d’accessibilité, prédiction des risques

La Section 3 de l’Annexe III couvre l’IA utilisée pour déterminer l’accès à l’éducation, évaluer les résultats d’apprentissage, évaluer le niveau d’éducation approprié, et surveiller les étudiants lors des examens. Les systèmes de surveillance en ligne des examens qui signalent les comportements lors des épreuves sont explicitement nommés dans les considérants. L’intersection avec le droit du handicap y est particulièrement forte : un modèle de surveillance entraîné sur un comportement de base neurotypique signalera systématiquement de manière excessive les étudiants ayant un TDAH, des troubles des tics, ou de l’anxiété — et les moins de quinze pour cent des étudiants d’enseignement supérieur présentant des déficiences documentées (Eurostat 2024) portent l’impact disparate. L’interdiction de l’Article 5(1)(f) sur la reconnaissance des émotions dans les établissements d’enseignement supprime déjà une classe de modèles du marché légal ; ce qui reste est la couche plus large de surveillance et de prédiction des risques qui opère sous la Section 3 de l’Annexe III comme étant à haut risque.

Les outils d’accessibilité se situent de l’autre côté de la même frontière. Le sous-titrage piloté par l’IA, la parole vers texte pour les cours, la génération automatique de textes alternatifs, et la remédiation de documents assistée par IA ne sont pas eux-mêmes des usages de l’Annexe III — ce sont des services d’accessibilité. Mais lorsqu’un établissement d’enseignement les procure, les obligations de transparence et de divulgation d’informations de l’Acte IA (Article 13, Article 50) se superposent à l’exigence préexistante de déclaration d’accessibilité de la Directive sur l’accessibilité des sites web. Un établissement scolaire déployant un outil de sous-titrage IA doit publier ce que l’outil peut et ne peut pas faire, y compris ses lacunes de précision connues pour les accents, les dialectes régionaux et le contenu en langue des signes.

Services essentiels — notation de crédit, triage de soins de santé, éligibilité aux prestations

La Section 5 de l’Annexe III couvre l’IA utilisée pour évaluer les scores de crédit ou la solvabilité, pour évaluer les risques dans la tarification des assurances vie et santé, pour évaluer l’éligibilité aux prestations et services publics essentiels, et pour répartir les priorités dans les interventions d’urgence. Chacun de ces usages croise le droit du handicap à un point différent. Les modèles de notation de crédit qui utilisent la volatilité des revenus ou les schémas de dépenses liés aux soins de santé comme variables peuvent encoder un impact disparate lié au handicap ; l’IA de triage de soins de santé qui classe les patients pour le traitement peut reproduire le même biais ajusté à la qualité de vie que les défenseurs des personnes handicapées ont contesté en justice pendant deux décennies ; l’automatisation de l’éligibilité aux prestations dans le contexte de la sécurité sociale — la décision SyRI des Pays-Bas et les affaires algorithmiques PIP et Universal Credit au Royaume-Uni constituent le corpus contemporain de référence — relève désormais clairement de la Section 5 de l’Annexe III lorsqu’elle est utilisée par des organismes publics de l’UE.

L’Article 27 de l’Acte IA ajoute une obligation d’évaluation de l’impact sur les droits fondamentaux du côté du déployeur pour les systèmes à haut risque de l’Annexe III utilisés par les organismes publics et certains opérateurs privés. L’EIFR couvre les catégories de personnes physiques susceptibles d’être affectées, les risques spécifiques de préjudice, les mesures de supervision humaine mises en place, et les voies de recours pour les personnes concernées. Le handicap n’est pas nommé à l’Article 27, mais l’interdiction de discrimination de l’Article 21 de la Charte des droits fondamentaux — auquel l’Article 27 renvoie — couvre explicitement le handicap, et l’Article 26 de la Charte reconnaît le droit des personnes handicapées à l’intégration et à la participation. L’EIFR est l’endroit où l’impact sur le handicap doit être évalué avant le déploiement, et non lors d’un audit rétrospectif.

La superposition CRPD

L’Union européenne est partie à la Convention des Nations Unies relative aux droits des personnes handicapées en son propre nom — le premier traité international de droits de l’homme que l’UE a rejoint en tant qu’organisation d’intégration régionale — et la CRPD lie donc les institutions de l’UE, y compris dans leur interprétation de l’Acte IA. L’Article 9 de la CRPD oblige les parties à assurer l’accès des personnes handicapées à l’information et aux communications, y compris aux technologies de l’information et des communications, sur la base de l’égalité avec les autres. L’Article 5 les oblige à interdire toute discrimination fondée sur le handicap et à garantir une protection juridique égale et effective.

Le considérant 56 de l’Acte IA nomme explicitement la CRPD comme faisant partie de l’ancrage en matière de droits fondamentaux du règlement, et les orientations interprétatives du Bureau de l’IA — publiées tout au long de 2025 et 2026 sous la forme de documents Q&R et d’actes délégués de la Commission — ont à plusieurs reprises cité la CRPD dans le contexte des obligations d’accessibilité par conception en vertu de l’Article 16 de l’Acte IA (accessibilité de l’information) et de la dimension de l’impact sur le handicap des évaluations d’impact sur les droits fondamentaux de l’Article 27. L’implication pratique : lorsqu’une autorité de surveillance du marché audite un système à haut risque de l’Annexe III pour un impact disparate lié au handicap, elle audite par rapport aux normes de gouvernance des données et de gestion des risques de l’Acte IA interprétées à la lumière des engagements de non-discrimination et d’accessibilité de la CRPD. Un fournisseur arguant que son modèle performe « bien en moyenne » sans traiter les performances sur les sous-groupes pertinents pour le handicap argumente contre le cadre interprétatif propre du règlement.

Implications pratiques pour les fournisseurs et les déployeurs

Pour les fournisseurs de systèmes d’IA à haut risque et de modèles d’IA à usage général, l’architecture de conformité en 2026 comporte quatre composants essentiels. Premièrement, le dossier de gouvernance des données requis par l’Article 10 — un registre structuré des sources de données d’entraînement, de l’analyse de représentativité, des biais identifiés y compris ceux liés au handicap, et des étapes d’atténuation appliquées. Deuxièmement, la documentation technique de l’Annexe IV — spécifications de conception, architecture du système, finalité prévue, limitations connues, instructions pour le déployeur, métriques de performance par sous-groupes démographiques et de handicap lorsque les données existent. Troisièmement, le système de surveillance post-commercialisation en vertu de l’Article 73 — journalisation des incidents, canaux de réclamation, évaluation continue des performances, revalidation périodique par rapport au plan de gestion des risques initial. Quatrièmement, le cas échéant, l’évaluation de l’impact sur les droits fondamentaux en vertu de l’Article 27 pour les déployeurs dans le secteur public et quasi-public.

Les signaux précoces d’application provenant des neuf premiers mois d’applicabilité complète (à partir d’août 2026) sont limités mais directionnellement clairs. Le Bureau de l’IA a ouvert des demandes d’informations contre trois fournisseurs nommés de modèles d’IA à usage général pour des motifs de transparence et de résumé des droits d’auteur. Les autorités nationales de surveillance du marché aux Pays-Bas, en Allemagne et en France ont publié des documents d’orientation préliminaires sur l’IA d’emploi de la Section 4 de l’Annexe III, les trois mentionnant explicitement les tests d’impact disparate lié au handicap comme une attente documentaire. Aucune sanction administrative finale n’a encore été émise en vertu de l’Article 99 — la courbe d’application sous le RGPD a pris environ 18 mois pour produire ses premières amendes significatives, et l’Acte IA suit une trajectoire comparable. Le signal pour les fournisseurs est que le régime documentaire est le régime : un fournisseur qui ne peut pas présenter son dossier de l’Annexe IV, son travail de gouvernance des données de l’Article 10, et sa surveillance post-commercialisation de l’Article 73 sur demande est du mauvais côté du règlement, qu’une amende ait été émise ou non.

Pour la communauté des droits des personnes handicapées, l’Acte IA ne remplace pas les protections contre la discrimination en vertu de la Directive 2000/78/CE, les exigences d’accessibilité en vertu de l’Acte européen sur l’accessibilité, ni les critères de marchés publics en vertu d’EN 301 549 — il s’y ajoute et leur confère une architecture de documentation et de surveillance dont les instruments existants étaient dépourvus. La prochaine vague d’application, attendue pour 2027 et 2028, sera celle où l’interaction entre les obligations procédurales de l’Acte IA et la doctrine substantielle existante contre la discrimination par le handicap produira la jurisprudence définissant concrètement ce que l’atténuation des biais signifie en pratique. Ce guide est la carte du terrain ; les affaires en dessineront les courbes de niveau.