L'EU AI Act utilise un cadre basé sur les risques. Risque inacceptable (interdit) : scoring social, surveillance biométrique en temps réel dans l'espace public (avec exceptions). Risque élevé (exigences strictes) : l'IA dans le recrutement, l'éducation, les forces de l'ordre, les infrastructures critiques — ceux-ci nécessitent des évaluations de conformité, une gouvernance des données, une supervision humaine et de la documentation. Risque limité (obligations de transparence) : les chatbots doivent révéler qu'ils sont de l'IA, les deepfakes doivent être étiquetés. Risque minimal (aucune exigence) : filtres anti-spam, IA dans les jeux vidéo.
L'EU AI Act aborde spécifiquement les modèles de fondation (appelés « modèles d'IA à usage général »). Les fournisseurs doivent publier des résumés de données d'entraînement, se conformer au droit d'auteur et mettre en place des évaluations de sécurité. Les modèles jugés poser un « risque systémique » (grosso modo : les modèles de pointe avec des budgets de calcul importants) font face à des obligations supplémentaires incluant des tests adversariaux, des signalements d'incidents et des mesures de cybersécurité. Cela affecte directement des entreprises comme Anthropic, OpenAI, Google et Meta.
La réglementation de l'IA se développe de manière inégale dans le monde. L'UE mène avec une législation complète. Les États-Unis s'appuient sur des décrets, les cadres du NIST et des agences sectorielles (FDA pour l'IA médicale, FTC pour la protection du consommateur). La Chine exige la transparence algorithmique, l'étiquetage du contenu et l'approbation gouvernementale pour l'IA générative accessible au public. Ce patchwork crée des défis de conformité pour les entreprises d'IA mondiales qui doivent naviguer des règles différentes selon les marchés.