L’AI Act adopte une approche fondée sur le risque : plus un système d’IA présente de risques pour la santé, la sécurité ou les droits fondamentaux des personnes, plus les obligations légales auxquelles il doit se conformer sont strictes. Cette logique graduée constitue le socle du nouveau cadre européen de confiance pour l’IA.
Pour rendre ces obligations opérationnelles, le règlement combine deux niveaux complémentaires.
- D’un côté, le règlement européen sur l’IA (AI Act) définit les exigences essentielles auxquelles doivent se conformer les systèmes d’IA, notamment en matière de sécurité et de qualité.
- De l’autre, il renvoie à des spécifications et règles techniques, les normes harmonisées, qui détaillent la mise en œuvre concrète de ces exigences et, lorsque c’est possible, traduisent certains concepts qualitatifs (par exemple l’exactitude) en critères mesurables.
L’articulation entre exigences réglementaires et normes harmonisées constitue ainsi le mécanisme central permettant aux acteurs de démontrer leur conformité aux obligations de l’AI Act.
Que désignent les normes harmonisées ?
Selon l’article 2 §1 c) du règlement (UE) no 1025/2012, les normes harmonisées désignent les normes européennes adoptées sur la base d’une demande formulée par la Commission pour l’application de la législation d’harmonisation de l’Union. La mise en œuvre de l’AI Act repose donc nécessairement sur l’élaboration de telles normes.
Actuellement en cours d’élaboration, elles joueront un rôle clé dans la mise en œuvre de l’AI Act. Elles définiront notamment :
- Comment identifier et gérer les risques liés à l’IA
- Comment mettre en place et faire fonctionner un système de gestion de la qualité efficace
- Comment mesurer l’exactitude et d’autres performances pertinentes des systèmes d’IA
- Comment garantir que les systèmes d’IA restent dignes de confiance tout au long de leur cycle de vie.
En assurant une application harmonisée des exigences dans l’ensemble de l’Union européenne, ces normes visent à garantir que les systèmes d’IA soient conçus et utilisés selon des standards communs de sécurité, de fiabilité et de confiance, quel que soit leur lieu de déploiement. Elles constituent ainsi un levier essentiel pour faciliter la démonstration de conformité à l’AI Act et sécuriser les acteurs économiques dans un environnement réglementaire en pleine structuration.
Les phases d’élaboration des normes européennes pour l’IA
De manière générale, l’élaboration de normes européennes pour l’IA s’articule autour des étapes suivantes :
1. Demande de normalisation de la Commission européenne
Le processus commence à la suite d’une demande de normalisation émise par la Commission européenne, dans laquelle celle-ci définit ce que les normes doivent couvrir. Dans le cas de l’AI Act, cette demande porte notamment sur les obligations applicables aux systèmes d’IA à haut risque. Elle est ensuite envoyée aux ESO (European Standardization Organizations) : CEN, CENELEC et ETSI.
2. Élaboration d’un projet de norme
Après l’avis favorable sur la demande de normalisation, les travaux de rédaction peuvent débuter.
Pour les normes concernant l’AI Act, ces travaux sont menés au sein du CEN et du CENELEC, dans le Joint Technical Committee JTC 21, organisé en cinq groupes de travail (WG). Un projet de norme est confié à l’un de ces groupes, au sein duquel des experts techniques issus des organismes nationaux de normalisation (NSB, par exemple AFNOR en France ou DIN en Allemagne), ainsi que d’autres parties prenantes, rédigent le texte.
Sous la responsabilité d’un Project Leader, les travaux sont conduits selon une approche fondée sur le consensus ; au cours de cette phase, les experts peuvent également se référer à des normes internationales existantes, telles que les normes ISO/IEC, afin de soutenir et d’orienter les travaux.
Un Working Draft du projet circule ensuite au moins une fois pour information et avis, les commentaires reçus étant ensuite discutés et résolus au sein du groupe de travail avant l’envoi du texte en enquête publique.
3. Enquête publique
Lorsqu’un projet est jugé suffisamment abouti et qu’il répond à la demande de normalisation, il est transmis aux organismes nationaux de normalisation (NSB) pour la phase dite d’enquête publique. Pendant cette étape, les NSB organisent une consultation nationale, procèdent à un vote et transmettent des commentaires détaillés recueillis auprès de leurs parties prenantes.
Les experts travaillant sur le projet examinent ces retours, proposent des modifications du texte et tentent de résoudre les remarques, y compris lorsque les positions des différents pays divergent, en recherchant un consensus.
4. Vote formel
Une fois les révisions effectuées, le projet mis à jour est soumis au vote formel des NSB.
Un vote positif entraîne l’approbation de la norme au niveau européen, seules de légères corrections éditoriales restant alors possibles. En cas de vote négatif, des actions correctives seront nécessaires en fonction des retours.
5. Publication par le CEN/CENELEC
Lorsque le vote formel est positif, la norme est publiée par le CEN/CENELEC. La version finale est alors mise à disposition, généralement via les boutiques en ligne des organismes nationaux de normalisation (NSB).
6. Évaluation de la Commission et citation au Journal officiel
Dans la dernière phase, la Commission européenne procède à l’évaluation de la norme publiée.
Elle vérifie qu’elle respecte bien les exigences de l’AI Act et qu’elle est conforme à la demande de normalisation.
Si cette évaluation est positive, la Commission adopte un acte d’exécution et cite la norme au Journal officiel de l’Union européenne (JOUE).
À partir de ce moment, la norme devient une norme harmonisée. Son utilisation et son respect offrent une présomption de conformité aux exigences légales correspondantes, ce qui facilite grandement la démonstration de conformité à l’AI Act.
Les normes harmonisées en cours de développement
Voici un panorama des normes harmonisées en cours de développement dans le cadre de l’AI Act :
| Articles de l’AI Act concernés | Norme correspondante |
| Article 17.1 ; Article 11.1 ; Article 72 | prEN 18286 Système de management de la qualité pour le règlement européen sur l’IA |
| Article 9 | prEN 18228 Gestion des risques liés à l’IA |
| Article 10 | prEN 18284Qualité et gouvernance des ensembles de données dans l’IA |
| Article 10.2(f-g) | prEN 18283 Concepts, mesures et exigences pour la gestion des biais dans les systèmes d’IA |
| Article 12-14 | prEN 18229-1 Cadre de fiabilité de l’IA – Partie 1 : Journalisation, transparence et contrôle humaine |
| Article 15 | prEN 18229-2 Cadre de fiabilité de l’IA – Partie 2 : Exactitude et robustesse |
| Article 15 | prEN 18282 Spécifications de cybersécurité pour les systèmes d’IA |
| Article 43 | prEN 18285 Cadre d’évaluation de la conformité de l’IA |
Etat d’avancement des normes
Initialement prévues pour 2025, ces normes accusent désormais un retard par rapport au calendrier de l’AI Act et leur publication est repoussée au cours de l’année 2026.
- La norme QMS reste la norme la plus avancée. Sa publication est envisagée d’ici le 3ᵉ trimestre 2026. Pour rappel, elle est encore au stade d’enquête publique, ouverte depuis le 30 octobre pour une durée de 12 semaines.
- La norme cybersécurité, qui aurait déjà dû être en enquête publique, doit être retravaillée après l’avis négatif de la Commission européenne, car le projet ne fournit pas de spécifications techniques suffisamment claires et opérationnelles au regard de l’article 15.
- Les autres normes devraient entrer en phase d’enquête publique à partir de février 2026, pour une publication visée vers la fin de l’année 2026. S’agissant des normes relatives aux données, elles ne devraient atteindre ce stade qu’au milieu de l’année 2026, leur publication étant alors probablement attendue pour le 2ᵉ trimestre 2027.
- Il est à noter que la publication d’une norme par le CEN/CENELEC ne signifie pas automatiquement sa citation au Journal officiel de l’Union européenne. Cette dernière peut intervenir plusieurs semaines, voire plusieurs mois, plus tard. Ce n’est qu’à partir de ce moment-là que la norme confère une présomption de conformité pour les exigences légales qu’elle couvre.
- En complément de ces normes harmonisées, une norme en cours de développement, « Aperçu et architecture des normes à l’appui du règlement sur l’IA », fournit une vue d’ensemble structurée de celles-ci.
🚀 Passez à l’action dès maintenant
L’AI Act s’applique avant même la publication des normes harmonisées: anticiper leur contenu est essentiel pour éviter des refontes coûteuses et sécuriser votre conformité.
Nous accompagnons les acteurs de l’IA dans la mise en conformité AI Act, la structuration des systèmes de management de la qualité, la gestion des risques et des données, et la préparation des audits et évaluations de conformité.