La législation prévoit une approche à deux niveaux. Les modèles d'IA à "usage général" devront respecter des obligations de transparence, ainsi que les règles européennes en matière de droit d'auteur. Quant aux systèmes considérés comme à "haut risque" – utilisés par exemple dans les infrastructures critiques, l'éducation, les ressources humaines ou le maintien de l'ordre –, ils seront soumis à des exigences plus strictes. Ils devront par exemple prévoir la mise en place d'une analyse d'impact obligatoire sur les droits fondamentaux.
Les images, textes ou vidéos générés artificiellement ("deep fakes") devront être clairement identifiés comme tels. Le texte interdit aussi les systèmes de notation citoyenne ou de surveillance de masse utilisés en Chine, ou encore l'identification biométrique à distance des personnes dans les lieux publics. Sur ce dernier point, les Etats ont toutefois obtenu des exemptions pour certaines missions des forces de l'ordre comme la prévention d'une menace terroriste ou la recherche ciblée de victimes.