La surveillance de l’IA en Allemagne a maintenant une adresse
6 Min. de lecture
Le 11 juin 2026, le Bundestag a adopté la loi IA-MÜG. Une question restée en suspens depuis le printemps est ainsi tranchée : qui supervise en Allemagne le règlement européen sur l’IA (EU AI Act) ? La réponse est la Bundesnetzagentur. Pour les PME, il s’agit de la première adresse fiable depuis que l’AI Act commence à imposer des obligations.
Les points clés en bref
- Le Bundestag a donné son accord : Avec la loi sur la surveillance du marché de l’IA et la promotion de l’innovation (IA-MÜG), l’Allemagne définit la supervision nationale de l’EU AI Act. En avril, cette instance était encore en construction.
- Une adresse centrale, de nombreux acteurs connus : La Bundesnetzagentur coordonne, tandis que les autorités sectorielles comme la BaFin conservent leurs compétences. Pour les entreprises, l’interlocuteur habituel reste le même.
- La date butoir est fixée : À partir du 2 août 2026, les obligations pour les systèmes d’IA à haut risque entrent en vigueur. Quiconque utilise l’IA doit savoir d’ici là dans quelle catégorie se classe son application.
Lié :L’EU AI Act s’applique depuis le 6 avril 2026 : ce que les équipes tech des PME doivent clarifier d’ici août / L’IA fantôme dans les PME : ce que révèle son utilisation clandestine
Ce que décide la loi IA-MÜG
Une loi intitulée *Loi sur la surveillance du marché de l’IA et la promotion de l’innovation* sonne comme la bureaucratie qu’elle cherche justement à éviter. Son contenu est plus sobre et plus important pour la pratique. Le IA-MÜG détermine qui, en Allemagne, contrôle le respect des exigences de l’EU AI Act par les entreprises. Cette question était restée longtemps sans réponse.
En avril, la situation était différente. À l’époque, quiconque voulait savoir à qui s’adresser n’obtenait pas de réponse claire. L’autorité compétente était annoncée, mais pas encore mise en place. C’est précisément ce que décrit l’article L’EU AI Act s’applique depuis le 6 avril 2026 : ce que les équipes tech des PME doivent clarifier d’ici août. Avec la décision du Bundestag du 11 juin, l’annonce est devenue une loi adoptée, qui doit désormais passer au Bundesrat. Cela ne change rien aux obligations elles-mêmes, mais tout à la question de savoir qui les fait respecter.
Qui est désormais responsable de quoi
La Bundesnetzagentur devient le point central de coordination, l’autorité de surveillance du marché et l’organisme notifiant. Cela peut donner l’impression d’une instance unique et centralisée, mais la structure est délibérément différente. L’autorité coordonne, sans tout contrôler elle-même. Les autorités sectorielles existantes conservent leurs domaines, comme la BaFin pour le secteur financier.
Pour les entreprises, ce modèle est la bonne nouvelle dans cette affaire. Celles qui avaient jusqu’ici affaire à la BaFin continueront à traiter avec elle. En coulisses, la Bundesnetzagentur veille à ce que l’interprétation reste uniforme et que chaque autorité ne lise pas l’AI Act à sa manière. Cela s’appelle le *One-Stop-Shop*. En pratique, cela signifie que l’interlocuteur habituel reste le même.
Quatre points qu’une PME doit clarifier dès maintenant
Le vrai travail se situe au sein même de l’entreprise. Quatre éléments détermineront si le 2 août deviendra un rendez-vous de routine ou une course contre la montre.
- Quelle IA utilisons-nous réellement ? Ce n’est pas la liste officielle qui compte, mais l’usage effectif. Les outils déployés par les équipes sans validation tombent tout de même sous le coup de la réglementation. Un inventaire honnête s’impose comme première étape, sans quoi on supervise une liste plutôt que la réalité.
- Dans quelle classe de risque se situe notre utilisation ? Le AI Act distingue les applications selon leur niveau de risque. La plupart des usages en PME ne relèvent pas du haut risque, mais il faut le savoir plutôt que le supposer. Cette classification détermine l’effort à fournir.
- Qui est responsable en interne ? Tant que la conformité IA n’est attribuée à personne, elle incombe en dernier ressort à la direction. Désigner une personne référente avec un mandat clair coûte moins cher qu’un cas de responsabilité.
- La documentation est-elle en ordre ? Quiconque achète des systèmes d’IA doit exiger les attestations de conformité des fournisseurs. Les demander dès maintenant est plus simple qu’à la veille d’un contrôle.
Aucun de ces points ne nécessite un grand projet. Ils réclament simplement une heure d’honnêteté sur ce qui se passe réellement dans l’entreprise.
Ce que le régulateur propose aux PME
Le IA-MIG intègre, outre les règles de surveillance, une mission d’innovation explicite pour la Bundesnetzagentur. Il prévoit un guichet unique d’assistance en IA comme point d’entrée accessible, conçu avant tout pour les petites entreprises et les start-ups. Un laboratoire réel doit également voir le jour, permettant de tester des applications d’IA dans un cadre juridiquement sécurisé avant leur mise sur le marché.
« Nous ne créons pas une administration supplémentaire avec une bureaucratie pléthorique. »
Karsten Wildberger, ministre fédéral du Numérique et de la Modernisation de l’État
Le sérieux de la démarche n’en est pas pour autant atténué. Le AI Act prévoit des amendes pouvant atteindre 35 millions d’Euro ou 7 % du chiffre d’affaires annuel mondial pour les pratiques interdites, et des montants moindres pour les autres infractions. Ces chiffres restent théoriques pour une PME et le resteront généralement en pratique. Plus préoccupant est le risque de préjudice réputationnel si une IA utilisée enfreint manifestement les règles. C’est précisément ce que permet d’éviter le travail préparatoire serein évoqué précédemment.
L’efficacité de ce dispositif d’accompagnement ne se révélera qu’en situation réelle. Le guichet unique deviendra-t-il plus qu’une simple FAQ ? Cela dépendra de la capacité à répondre concrètement lorsqu’une PME appellera. L’idée est bonne : une autorité qui conseille donne aux entreprises une raison de la solliciter tôt. Pour les PME, ce point de contact constitue ainsi la partie la plus intéressante de la loi.
Foire aux questions
Qu’est-ce que la loi IA-MIG exactement ?
La loi sur la surveillance du marché de l’IA et la promotion de l’innovation (IA-MIG) est la loi allemande d’application de l’AI Act de l’UE. Elle désigne les autorités de surveillance compétentes et réglemente la surveillance du marché des systèmes d’IA en Allemagne.
À qui une PME doit-elle s’adresser pour des questions liées à l’IA ?
La Bundesnetzagentur est l’interlocuteur central et propose un service d’assistance dédié aux petites entreprises. Dans les secteurs réglementés, l’autorité sectorielle existante reste compétente, comme la BaFin pour le secteur financier.
À partir de quand les obligations s’appliquent-elles ?
L’AI Act de l’UE deviendra applicable le 2 août 2026 pour les systèmes d’IA à haut risque. Les pratiques interdites sont déjà en vigueur depuis février 2025, tandis que les règles pour les modèles d’IA généraux s’appliquent depuis août 2025.
Mon utilisation de l’IA est-elle automatiquement considérée comme à haut risque ?
Dans la plupart des cas pour les PME, ce n’est pas le cas. Le haut risque concerne des domaines clairement définis, comme la sélection du personnel ou les infrastructures critiques. Il est toutefois recommandé de documenter cette classification plutôt que de la supposer.
Qu’apporte le laboratoire réel de la Bundesnetzagentur ?
Le laboratoire réel permet de tester des applications d’IA dans un cadre juridiquement sécurisé avant leur mise en production. Cela réduit le risque de développer une solution qui ne serait pas conforme ultérieurement.
Suggestions de lecture de la rédaction
- 95 % des pilotes d’IA ne servent à rien, 5 % si
- Ce que la vague de faillites exige des PME
- Open Banking pour les PME : ce qui est déjà possible avant la PSD3
Plus d’articles du réseau MBF Media
À partir de quand le compte à rebours des délais de déclaration commence-t-il vraiment ?
Source de l’image : générée par IA (juin 2026)
