Règlement (UE) 2024/1689 · Application le 2 août 2026
La conformité à la loi européenne sur l'IA commence au niveau de la couche d'action
La plupart des organisations sécurisent le modèle. La loi européenne sur l'IA exige également de sécuriser ce que le modèle fait à chaque appel d'API, à chaque connexion de serveur MCP, à chaque action d'agent. C'est cette lacune que Salt Security a été conçue pour combler.
Date limite d'application
2 août 2026
Amende maximale
35 M€
ou 7 % du chiffre d'affaires mondial
Signalement d'incidents mettant en jeu la vie ou la sécurité
24 heures
Fenêtre de l'article 73
Autres incidents graves
72 heures
Fenêtre de l'article 73
Résumé de la loi européenne sur l'IA
Qu'est-ce que la loi européenne sur l'IA ?
Le règlement (UE) 2024/1689, connu sous le nom de loi européenne sur l'IA, est le premier cadre juridique complet au monde pour l'intelligence artificielle. Il est entré en vigueur le 1er août 2024 et établit un système de classification des risques à plusieurs niveaux qui impose des obligations de plus en plus strictes aux systèmes d'IA en fonction des dommages potentiels qu'ils peuvent causer.
La loi s'applique aux fournisseurs qui mettent des systèmes d'IA sur le marché de l'UE, aux déployeurs qui exploitent des systèmes d'IA à haut risque au sein de l'UE, et aux organisations de pays tiers dont les résultats d'IA sont utilisés dans l'UE. Les dispositions de l'article 5 relatives aux pratiques interdites sont applicables depuis février 2025. L'ensemble des obligations relatives aux systèmes d'IA à haut risque deviendra applicable le 2 août 2026.
Pour les équipes de sécurité, l'aspect le plus important est l'article 15 : les systèmes d'IA à haut risque doivent être résilients face aux attaques adverses sur l'ensemble de leur couche d'action, et pas seulement au niveau de la sortie du modèle. Cela signifie que les API que vos agents appellent sont concernées.
Catégories de risque de la loi européenne sur l'IA
Un cadre hiérarchisé pour le risque lié à l'IA
La loi européenne sur l'IA classe les systèmes d'IA en quatre niveaux de risque. Vos obligations de conformité dépendent entièrement de la position de vos déploiements d'IA dans cette hiérarchie. Si vous utilisez des agents d'IA dans le recrutement, le crédit, les infrastructures ou l'application de la loi, vous êtes presque certainement soumis aux obligations les plus strictes.
Risque inacceptable
Pratiques interdites
Applications d'IA qui représentent une menace inacceptable pour les droits fondamentaux. Interdites purement et simplement en vertu de l'article 5. En vigueur depuis février 2025.
Risque élevé
Conformité totale requise
Systèmes d'IA listés à l'Annexe III. Soumis à l'ensemble des obligations : gestion des risques, gouvernance des données, documentation technique, journalisation, supervision humaine et résilience en matière de cybersécurité.
Risque limité
Obligations de transparence
Systèmes d'IA avec des obligations de transparence spécifiques, principalement les chatbots et les outils de médias synthétiques. Les utilisateurs doivent être informés qu'ils interagissent avec un système d'IA.
Risque minimal
Codes de conduite volontaires
Systèmes d'IA sans obligations contraignantes en vertu de la loi. Les fournisseurs peuvent adopter volontairement des codes de conduite alignés sur les principes du règlement.
Remarque importante sur le champ d'application
Si vos agents d'IA invoquent des API, y compris des services internes, des plateformes tierces ou des serveurs MCP, cette couche d'action est concernée par les exigences de cybersécurité et de journalisation de la loi. Les considérants 99 et 100 abordent explicitement les architectures multi-agents : dans une chaîne d'agents d'IA, la limite de conformité s'étend à chaque agent qui exécute une fonction à haut risque.
Exigences de conformité de la loi européenne sur l'IA 2026
Obligations article par article
Les dispositions à haut risque entrant en vigueur le 2 août 2026 couvrent la gestion des risques, la gouvernance des données, la journalisation, la transparence, la surveillance humaine, la résilience en matière de cybersécurité et la surveillance post-commercialisation. Vous trouverez ci-dessous les exigences de chaque article et la manière dont le graphe de sécurité agentique de Salt Security assure la couverture.
Légende de la couverture
Contrôle technique direct
Support d'audit et de documentation
Prend en charge un programme SMQ plus large
Article 9 Système de gestion des risques : continu et itératif tout au long du cycle de vie de l'IA
Les systèmes d'IA à haut risque doivent disposer d'un système de gestion des risques documenté qui fonctionne en continu tout au long du développement et de l'exploitation, et non d'une évaluation ponctuelle au moment du déploiement.
La découverte continue AG-SPM construit et maintient automatiquement un inventaire des risques en temps réel de chaque agent IA, connexion de serveur MCP et API. Les nouvelles connexions et les dérives de configuration sont signalées comme des risques émergents en temps réel.
Article 10 · Mis en évidence Article 10 de la loi européenne sur l'IA : gouvernance des données : prévenir l'accès non autorisé et l'empoisonnement des données au moment de l'inférence
L'Article 10 exige que les systèmes d'IA à haut risque mettent en œuvre des pratiques de gouvernance des données qui protègent contre l'accès non autorisé et garantissent l'intégrité des données tout au long du cycle de vie du système, y compris au moment de l'inférence, lorsqu'un agent IA appelle activement des API et traite des données.
La visibilité du flux de données API de Salt offre une observabilité approfondie des données traversant la couche d'action au moment de l'inférence. Les modèles d'accès aux données anormaux et les réponses API malformées susceptibles d'introduire des entrées compromises sont détectés automatiquement.
Article 11 Documentation technique : inventaire complet des interfaces avant la mise sur le marché
Les fournisseurs doivent produire et maintenir une documentation technique décrivant tous les composants, interfaces et capacités du système d'IA avant sa mise sur le marché.
Le graphe de sécurité agentique produit un inventaire continu et exportable de chaque agent IA, serveur MCP et point d'accès API concerné, constituant une contribution directe aux exigences de documentation technique de l'Article 11.
Article 12 · Mis en évidence Article 12 de la loi européenne sur l'IA : tenue des registres : journaux infalsifiables conservés pendant 6 mois minimum
L'Article 12 exige l'enregistrement automatique de tous les événements pertinents pour l'identification des risques et la garantie de la traçabilité. Les journaux doivent être infalsifiables et conservés pendant au moins 6 mois, ou 24 mois pour les systèmes biométriques et d'application de la loi.
La piste d'audit immuable de Salt capture un journal complet et infalsifiable de chaque interaction IA-API : charges utiles des requêtes, données de réponse, synchronisation, contexte d'authentification et indicateurs d'anomalie. Les politiques de rétention sont configurables selon les exigences minimales de l'Article 12.
Article 14 Surveillance humaine : capacité d'arrêter le système et d'intervenir en temps réel
Les systèmes d'IA à haut risque doivent être conçus pour permettre aux opérateurs humains de superviser efficacement leur fonctionnement et d'intervenir ou d'arrêter le système lorsqu'un comportement anormal est détecté.
L'alerte en temps réel AG-DR met en évidence les comportements anormaux des agents avec un contexte complet. Les opérateurs de sécurité peuvent voir exactement quelles API un agent appelle et mettre fin ou mettre en quarantaine les sessions présentant un comportement non autorisé.
Article 15 · Mis en évidence Article 15 de la loi européenne sur l'IA : résilience en matière de cybersécurité : protection contre les attaques adverses, l'empoisonnement des données et l'évasion de modèle
L'Article 15, paragraphe 3, exige une robustesse technique contre les attaques adverses par des tiers non autorisés. L'Article 15, paragraphe 5, énumère des menaces spécifiques : l'empoisonnement des données, les exemples adverses, les attaques de confidentialité et l'évasion de modèle. La protection doit s'étendre aux interfaces par lesquelles les systèmes d'IA interagissent avec le monde, en pratique, les API et les serveurs MCP.
La protection contre les menaces comportementales établit des bases de référence basées sur l'IA pour chaque agent et interaction API. L'analyse du trafic Est-Ouest surveille le trafic API latéral entre les agents et les serveurs MCP, identifiant les schémas d'injection de prompts et les accès non autorisés aux données.
Article 72 et 73 Surveillance post-commercialisation et déclaration obligatoire des incidents dans les 24 à 72 heures
L'Article 72 exige un système de surveillance établi et documenté dès le premier jour de déploiement. L'Article 73 impose la déclaration des incidents : 24 heures pour les risques pour la vie/la sécurité, 72 heures pour les autres incidents graves, 15 jours pour les dysfonctionnements.
La surveillance continue de Salt est une mise en œuvre directe de l'Article 72. Chaque référence comportementale et détection d'anomalie est un point de données de surveillance post-commercialisation. La détection comportementale identifie les incidents dès qu'ils se produisent, ce qui est la condition préalable pour respecter les exigences de délai de l'Article 73.
Article 17 Système de gestion de la qualité couvrant la gouvernance des données, la journalisation et la cybersécurité
Les fournisseurs doivent mettre en œuvre un système de gestion de la qualité documenté couvrant les pratiques de gouvernance des données, l'infrastructure de journalisation, la surveillance post-commercialisation et les contrôles de cybersécurité.
Salt fournit la surveillance de la cybersécurité, la journalisation et les preuves de posture qu'un SGC exige. Salt est la couche de contrôle technique dont les sorties alimentent la documentation SGC du fournisseur et les processus d'amélioration continue.
Le fossé de conformité que la plupart des organisations ignorent
Les outils traditionnels ne couvrent que la moitié du tableau
L'investissement en sécurité IA des entreprises est concentré au niveau de la couche modèle. Ces contrôles sont nécessaires. Mais l'Article 15 est explicite : la protection doit s'étendre aux actions qu'un système d'IA entreprend, et pas seulement aux sorties qu'il génère.
Outils de sécurité IA traditionnels
Garde-fous pour une IA responsable, filtrage des sorties, tests d'intrusion pour LLM, gouvernance des modèles.
- Visibilité de la sortie du modèle
- Surveillance des invites/réponses
- Pas de visibilité des actions API
- Pas de surveillance des serveurs MCP
- Pas d'infrastructure de journalisation Article 12
Outils de sécurité API traditionnels
Surveillance des passerelles API, analyse du trafic, application de l'authentification.
- Visibilité du trafic API
- Contexte d'authentification
- Pas de contexte d'agent IA
- Pas de base de référence comportementale par agent
- Pas de posture de sécurité agentique
Salt Security : conçu spécifiquement pour combler le fossé révélé par la loi européenne sur l'IA
Le Graphe de sécurité agentique de Salt Security opère sur les trois couches couvertes par le champ d'application de la Loi : la couche LLM/modèle, la couche serveur MCP et la couche API. C'est la seule plateforme qui offre un plan de contrôle unifié combinant le contexte de sécurité API avec la compréhension des agents IA, comblant ainsi le fossé de conformité que les outils traditionnels laissent ouvert.
AG-SPM
Posture et documentation. Découvre chaque agent IA, serveur MCP et point d'accès API. Inventaire continu des interfaces pour les Art. 9, 11 et 13.
AG-DR
Détection et réponse. Détection comportementale en temps réel au niveau de la couche d'action. Permet la supervision de l'Art. 14 et fait remonter les incidents pour les Art. 20 et 73.
Graphe de sécurité agentique
Registre de conformité continu. La journalisation infalsifiable de chaque interaction IA-API satisfait à l'Art. 12. La surveillance continue constitue la preuve des Art. 15 et 72 que les autorités de surveillance attendent.
Questions courantes
Loi sur l'IA de l'UE : questions fréquemment posées
Qu'est-ce que la loi sur l'IA de l'UE et s'applique-t-elle à mon organisation ?
La loi sur l'IA de l'UE (Règlement (UE) 2024/1689) est la première réglementation complète sur l'IA au monde. Elle s'applique à toute organisation qui met des systèmes d'IA sur le marché de l'UE, exploite des systèmes d'IA à haut risque au sein de l'UE, ou dont les résultats d'IA sont utilisés dans l'UE, y compris les entreprises non-UE. Si vous utilisez l'IA dans le recrutement, le crédit, les infrastructures, la biométrie ou l'application de la loi, vous êtes presque certainement concerné.
Quelles sont les exigences de conformité de la loi sur l'IA de l'UE pour 2026 ?
Les principales obligations entrant en vigueur le 2 août 2026 comprennent : un système de gestion continue des risques (Art. 9), une gouvernance des données avec des protections au moment de l'inférence (Art. 10), une documentation technique complète (Art. 11), une journalisation infalsifiable conservée pendant 6 mois minimum (Art. 12), la transparence pour les déployeurs (Art. 13), une capacité de surveillance humaine (Art. 14), la résilience en matière de cybersécurité (Art. 15), un système de gestion de la qualité (Art. 17), et une surveillance post-commercialisation dès le premier jour de déploiement (Art. 72).
Que requiert spécifiquement l'article 15 de la loi sur l'IA de l'UE ?
L'article 15 exige que les systèmes d'IA à haut risque soient conçus et développés pour atteindre un niveau approprié de résilience en matière de cybersécurité. L'article 15, paragraphe 5, énumère les types d'attaques spécifiques contre lesquels il faut se prémunir : l'empoisonnement des données, les exemples adversariaux ciblant le comportement du modèle, les attaques de confidentialité et l'évasion de modèle. Ces menaces ciblent principalement les interfaces par lesquelles les systèmes d'IA interagissent avec des sources de données et des services externes, en pratique, les API et les serveurs MCP.
Que requiert l'article 10 de la loi sur l'IA de l'UE en matière de gouvernance des données ?
L'article 10 établit les exigences en matière de gouvernance des données pour les systèmes d'IA à haut risque, y compris des pratiques visant à prévenir l'accès non autorisé, à protéger l'intégrité des données et à garantir que les données d'entraînement, de validation et de test sont gérées de manière appropriée. Les obligations de gouvernance des données s'étendent sur l'ensemble du cycle de vie de l'IA, y compris au moment de l'inférence, lorsque les agents d'IA accèdent et traitent activement des données via des appels d'API.
Que requiert l'article 12 de la loi sur l'IA de l'UE en matière de tenue de registres ?
L'article 12 exige que les systèmes d'IA à haut risque génèrent automatiquement des journaux permettant la traçabilité et l'identification des risques. Les journaux doivent être infalsifiables. La durée de conservation minimale est de 6 mois pour la plupart des systèmes à haut risque, et de 24 mois pour les systèmes d'identification biométrique et d'application de la loi. L'obligation de journalisation couvre à la fois les systèmes des fournisseurs et les journaux opérationnels des déployeurs.
Les agents d'IA qui invoquent des API sont-ils concernés par la loi sur l'IA de l'UE ?
Oui. Si un agent d'IA appelle des API, y compris des microservices internes, des plateformes tierces ou des serveurs MCP, cette couche d'action relève des exigences de cybersécurité (Art. 15) et de journalisation (Art. 12) de la loi. Dans les architectures multi-agents, les considérants 99 et 100 indiquent que chaque agent de la chaîne exécutant une fonction à haut risque est concerné. La limite de conformité s'étend à l'ensemble de la couche d'action, et pas seulement au modèle lui-même.
Chaque mois de retard est un mois de données de surveillance que vous n'aurez pas
La date d'application du 2 août 2026 est fixée
Le graphe de sécurité agentique de Salt Security peut être déployé en quelques jours et commence à constituer votre dossier de conformité continu dès le premier jour.
Avertissement : Le Règlement (UE) 2024/1689 (Loi sur l'IA de l'UE) est entré en vigueur le 1er août 2024. Les dispositions relatives aux systèmes d'IA à haut risque s'appliquent à partir du 2 août 2026. Les dispositions relatives aux modèles d'IA à usage général (GPAI) se sont appliquées à partir du 2 août 2025. Cette page est fournie à titre informatif et ne constitue pas un avis juridique. Les organisations devraient consulter un conseiller juridique européen qualifié concernant leurs obligations de conformité spécifiques.