Le Gouvernement a approuvé en Conseil des Ministres le projet de loi pour une utilisation responsable et une gouvernance de l’intelligence artificielle, adaptant le cadre réglementaire espagnol au Règlement Européen sur l’IA. La procédure doit maintenant se poursuivre au Parlement, au Congrès et au Sénat, avant son adoption définitive en tant que loi. Il ne s’agit donc pas d’une réglementation isolée ou d’une initiative nationale isolée : l’Espagne construit les éléments que l’AI Act confie aux États membres, notamment en matière de surveillance, de gouvernance, d’autorisations et de régime répressif.
Le texte envoie un message clair aux entreprises, administrations et fournisseurs technologiques : utiliser l’IA ne sera plus seulement une question de produit ou d’efficacité, mais aussi de conformité, de traçabilité, de supervision humaine et de responsabilité. Les amendes prévues vont de 6 000 euros pour les infractions mineures jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial annuel pour les manquements les plus graves liés à des pratiques prohibées.
Un régime répressif pour donner du mordant à l’AI Act en Espagne
Le Règlement Européen sur l’IA, adopté en 2024, s’applique directement dans toute l’Union européenne, mais nécessite que chaque État membre organise son propre système de contrôle. Le projet espagnol remplit cette fonction : il définit les autorités, la procédure disciplinaire, la coordination entre superviseurs et établit des règles pour les usages particulièrement sensibles, comme l’identification biométrique à distance en temps réel dans les espaces publics.
La réglementation classe les infractions en légères, graves et très graves. Les plus sévères concernent des pratiques interdites par le Règlement européen, telles que certains usages manipulatoires, la notation sociale, la classification biométrique illicite ou l’identification biométrique à distance en temps réel hors cadre autorisé.
| Type d’infraction | Sanction prévue |
|---|---|
| Légère | De 6 000 à 500 000 euros ou de 0,5 % à 1 % du chiffre d’affaires mondial |
| Grave | De 500 001 à 7 500 000 euros ou de 1 % à 2 % |
| Très grave dans les systèmes à haut risque | De 7 500 001 à 15 000 000 euros ou de 2 % à 3 % |
| Très grave en pratiques prohibées | De 7 500 001 à 35 000 000 euros ou de 2 % à 7 % |
Le projet introduit également une règle importante pour les groupes d’entreprises : lorsque la société fautive fait partie d’un groupe, le volume d’affaires pris en compte pour le calcul de la sanction sera celui du groupe dans son ensemble, et non seulement celui de la filiale responsable. Cela vise à empêcher les grandes entreprises d’atténuer l’effet dissuasif des amendes en utilisant des sociétés de moindre ampleur.
Pour les PME et startups, le texte prévoit un traitement plus proportionné. Lorsqu’applicable, l’amende pourra être calculée en prenant en compte soit le montant, soit le pourcentage le plus avantageux. Par ailleurs, en cas d’infractions mineures, l’autorité pourra suspendre la procédure si l’entreprise rectifie la situation et indemnise les dommages causés.
Le secteur public est dans une position différente. Si une entité publique commet une infraction, l’autorité compétente pourra constater l’infraction, mettre en garde l’entité et demander des mesures correctives. Cependant, l’imposition d’amendes administratives sera exclue. Cette exception suscite déjà un débat : certains experts et associations estiment qu’elle pourrait affaiblir l’effet dissuasif lorsque l’utilisation abusive de l’IA émane d’une administration.
AESIA, AEPD et superviseurs sectoriels : qui surveillera quoi ?
L’Agence Espagnole de Surveillance de l’Intelligence Artificielle (AESIA) se consolide comme point de contact unique et comme une des autorités centrales du système. Elle disposera de compétences sur une grande partie des systèmes à haut risque ainsi que sur les manquements liés à la transparence ou aux obligations générales en matière d’IA.
Mais elle ne sera pas seule. Le projet répartit les responsabilités entre plusieurs autorités. L’Agence Espagnole de Protection des Données (AEPD) et les autorités régionales de protection des données superviseront certains usages liés à la biométrie, au respect du droit, à la migration, à l’asile et au contrôle aux frontières. La Banque d’Espagne et la Comisión Nacional del Mercado de Valores (CNMV) s’occuperont des systèmes d’IA liés à la solvabilité et à la notation de crédit. La Direction Générale des Assurances et des Fonds de Pensions sera compétente pour les systèmes utilisés dans l’évaluation des risques et la fixation des tarifs en assurance vie et santé. Le Conseil Général de la Justice et la Commission Électorale Centrale interviendront dans les domaines de la justice et des processus démocratiques.
Cette architecture reflète une réalité complexe : l’IA ne se limite pas à une seule porte d’entrée. Un système de sélection du personnel n’a pas les mêmes risques qu’un système d’octroi de crédit ou d’évaluation de risques en assurance. La gouvernance devra donc être sectorielle, mais coordonnée.
Pour éviter les contradictions, le projet crée une Commission mixte de coordination des autorités de surveillance du marché, présidée par AESIA. Il prévoit aussi des mécanismes d’échange d’informations, des rapports annuels et une assistance technique entre les autorités.
Biométrie, deepfakes et contenus synthétiques
Une des rubriques les plus sensibles concerne l’utilisation de systèmes d’identification biométrique à distance en temps réel dans des espaces publics. Le projet maintient la prohibition générale, mais prévoit des dérogations exceptionnelles pour des usages liés à la garantie du respect du droit. Ces usages devront être limités à des personnes spécifiques, des motifs précis, une zone géographique et une temporalité déterminée, et faire l’objet d’une autorisation judiciaire des tribunaux administratif ou judiciaire.
L’autorisation doit être donnée dans un délai maximum de 48 heures. En cas d’urgence, le procédé peut commencer avant l’autorisation, mais si celle-ci est refusée, il doit être immédiatement interrompu et les données collectées doivent être détruites. La réglementation prévoit aussi que les données de personnes autres que celles explicitement autorisées soient supprimées sans délai excessif.
Un autre point clé concerne le contenu généré ou modifié par IA. Les fournisseurs devront informer lorsque quelqu’un interagit avec un système d’IA et marquer clairement les résultats synthétiques (audio, image, vidéo ou texte) pour permettre leur identification comme artificiels. Les responsables de déploiement auront aussi des obligations de transparence lors de l’utilisation de systèmes de reconnaissance d’émotions, de catégorisation biométrique ou de création de contenus pouvant constituer des deepfakes.
Cela aura un impact direct dans les médias, la publicité, le divertissement, les réseaux sociaux, les campagnes électorales, les ressources humaines, la finance, l’assurance et le service client. La question ne sera plus simplement de savoir si un contenu a été créé avec de l’IA, mais si celui-ci est correctement identifié, documenté et contrôlé lorsque ses implications peuvent toucher des droits ou induire en erreur.
Ce que les entreprises doivent déjà faire
Le projet est encore en cours de discussion au Parlement, mais attendre la publication au Journal Officiel serait une erreur pour toute organisation utilisant déjà l’IA dans des processus critiques. La préparation commence par une étape simple : recenser quels systèmes d’IA sont en usage, qui les a implantés, qui en assure la supervision, quels sont les données utilisées, quelles décisions soutiennent et quels sont leurs fournisseurs.
La majorité des entreprises n’a pas besoin d’une structure bureaucratique excessive, mais d’un système de contrôle raisonnable. Un inventaire interne, une classification des risques, une documentation minimale, une revue contractuelle et une formation des équipes suffisent pour éviter des problèmes majeurs. L’IA utilisée pour rédiger des e-mails internes ne présente pas les mêmes risques qu’un système de sélection de candidats ou de calcul de primes d’assurance ou d’accès à des services essentiels.
| Champ de conformité | Mesure pratique |
|---|---|
| Inventaire | Recenser les systèmes d’IA utilisés, développés ou intégrés |
| Risque | Classer chaque système selon le Règlement Européen sur l’IA |
| Transparence | Informer lors d’interactions avec l’IA ou la présence de contenu synthétique |
| Supervision humaine | Définir responsables avec formation, autorité et capacité d’intervention |
| Traçabilité | Conserver les enregistrements, la documentation technique et les preuves |
| Fournisseurs | Revoir contrats, instructions, responsabilités et garanties |
| Données | Évaluer la qualité, la pertinence, la représentativité et la protection des données |
| Impact | Réaliser des évaluations si des droits fondamentaux sont en jeu |
| Formation | Former techniquement, juridiquement et au management en IA |
La régulation n’interdit pas l’innovation. Elle élève simplement le niveau de vigilance lorsque l’IA peut impacter les droits, la sécurité, l’emploi, l’éducation, les services essentiels ou l’information publique. Le risque pour beaucoup d’organisations ne sera pas d’utiliser l’IA, mais de l’utiliser sans connaître précisément où, comment et avec quels contrôles.
Le projet prévoit aussi des mesures provisoires strictes. En cas de risques pour la sécurité, la santé ou les droits fondamentaux, l’autorité pourra interdire la commercialisation du système, le retirer, émettre des avertissements publics, alerter les utilisateurs ou même le détruire ou le désactiver. En infractions graves ou incidents majeurs, des mesures telles que la suppression du système ou sa déconnexion pourront être imposées.
Pour les conseils d’administration, le message est clair : l’IA devient un enjeu stratégique de gestion des risques. Il ne suffit plus que le service technique teste ou que le département contracte des solutions intégrant de l’IA. La direction doit connaître quels systèmes sont utilisés, quels risques ils comportent, et quelles preuves attestent du respect des règles.
L’Espagne ne crée pas un cadre parallèle à l’Europe : elle adapte le Règlement de l’IA à la réalité administrative et répressive nationale. La procédure parlementaire pourra introduire des modifications, mais la trajectoire est tracée. L’IA n’évoluera plus dans une zone grise. Désormais, celui qui la déploie devra pouvoir expliquer ce qu’il fait, pourquoi, qui la supervise et ce qui se passe si elle échoue.
Questions fréquentes
La Loi sur l’IA est-elle déjà en vigueur ?
Non. Le Conseil des Ministres a approuvé le projet, mais il doit encore être examiné au Parlement, validé, promulgué et publié au Bulletin Officiel (BOE).
Quelle sera la sanction maximale en cas de mauvaise utilisation de l’IA ?
Pour les infractions les plus graves liées à des pratiques prohibées, la peine peut atteindre 35 millions d’euros ou 7 % du chiffre d’affaires mondial annuel, si cette somme est supérieure.
Quel rôle jouera l’AESIA ?
L’Agence Espagnole de Surveillance de l’Intelligence Artificielle sera le point de contact unique et une autorité centrale pour la supervision, la coordination et la surveillance de l’IA en Espagne.
Que doivent faire dès maintenant les entreprises ?
Inventorier leurs systèmes d’IA, classer les risques, examiner les fournisseurs, documenter les décisions, former les équipes, assurer la supervision humaine et coordonner leur conformité avec le RGPD, la cybersécurité, la propriété intellectuelle et la réglementation sectorielle.
Source : Digital