Règlement IA à compter d’août : IA haut risque PME
7 Min. de lecture
Le 2 août 2026 sera une date importante : à partir de ce moment-là, les obligations du règlement IA de l’UE s’appliqueront intégralement aux systèmes d’IA à haut risque. Cela concerne chaque entreprise qui utilise l’IA pour les décisions de personnel, les évaluations de solvabilité ou le contrôle qualité en production. L’évaluation de conformité dure trois à six mois. Ceux qui n’ont pas encore commencé à inventorier leurs systèmes d’IA auront du mal à respecter le délai. Et l’obligation de formation prévue à l’article 4 est déjà en vigueur depuis février 2025.
Les points clés en bref
- Obligations pour les systèmes à haut risque à compter du 2 août 2026 : Toutes les exigences pour les systèmes d’IA à haut risque entreront pleinement en vigueur. Cela concerne : le screening RH, la notation de crédit, les filtres de candidature, les systèmes biométriques (règlement IA de l’UE, annexe III).
- Obligation de compétence en IA déjà en vigueur : Depuis le 2 février 2025, les entreprises doivent s’assurer que leurs employés sont suffisamment formés à l’utilisation des systèmes d’IA (art. 4 du règlement IA).
- Amendes pouvant aller jusqu’à 35 millions d’Euro : Ou 7 % du chiffre d’affaires annuel mondial en cas de pratiques d’IA interdites telles que la notation sociale ou la reconnaissance des émotions sur le lieu de travail (art. 99 du règlement IA).
- La loi sur les mesures et l’innovation en matière d’IA adoptée par le gouvernement fédéral : La loi sur les mesures et l’innovation en matière d’IA crée le cadre juridique national pour la mise en œuvre du règlement IA en Allemagne (février 2026).
- L’évaluation de conformité dure 3 à 6 mois : L’évaluation des risques, la documentation, les processus de test et le système de gestion de la qualité doivent être mis en place. Début au plus tard en mars 2026.
La chronologie : ce qui s’applique et quand
Le règlement IA de l’UE entre en vigueur de manière progressive. Les premières obligations sont déjà actives, les principales échéances arrivent dans les prochains mois. Pour les entreprises, l’ordre est décisif, car chaque étape s’appuie sur la précédente.
Depuis le 2 février 2025, l’article 4 s’applique : l’obligation de garantir une compétence IA suffisante chez tous les employés qui utilisent, développent ou supervisent des systèmes IA. Cela ne concerne pas seulement les départements informatiques, mais aussi les équipes RH qui utilisent le recrutement assisté par IA, ou les départements financiers qui travaillent avec des systèmes de notation automatisés.
Important pour les entreprises qui ont déjà DORA, NIS2 et MiCA à l’ordre du jour : le règlement IA s’ajoute aux autres. Les réglementations se chevauchent en partie, notamment en matière d’exigences de gestion des risques, mais ne sont pas identiques. Un système IA dans le secteur financier doit être conforme à la fois à DORA et au règlement IA. Les entreprises qui ont déjà mis en place un cadre de conformité pour DORA peuvent réutiliser certaines parties pour le règlement IA, notamment en matière de documentation des risques et de structures de gouvernance.
Le 2 août 2025, les obligations de transparence pour les modèles IA généraux (General Purpose AI) sont entrées en vigueur. Le 2 août 2026, la plus grande étape suivra : l’application complète des dispositions pour les systèmes IA à haut risque. À partir de cette date, les entreprises qui utilisent de tels systèmes devront être en mesure de démontrer une évaluation de conformité sans faille.
IA à haut risque : Quels systèmes sont concernés
L’AI Act définit dans l’annexe III huit domaines dans lesquels les systèmes d’IA sont classés comme à haut risque. Trois domaines sont particulièrement pertinents pour les PME.
En revanche, ne sont pas considérés comme à haut risque : les filtres anti-spam basés sur l’IA, les traductions automatisées, les chatbots sans pouvoir de décision, les systèmes de recommandation dans le commerce électronique et la plupart des automatisations marketing. Pour ces systèmes, seules les obligations générales de transparence et les exigences de formation de l’article 4 s’appliquent. Il est important de le savoir, car de nombreux PME craignent que chaque utilisation de l’IA ne relève des règles strictes relatives aux hauts risques. Ce n’est pas le cas.
La zone grise concerne les systèmes d’IA qui ne prennent pas de décisions autonomes, mais fournissent des modèles de décision. Un système d’IA qui rejette automatiquement les demandes de crédit est clairement à haut risque. Un système qui se contente de présélectionner les demandes et de les soumettre à un humain pour décision ne l’est peut-être pas. Dans de tels cas, il est recommandé de procéder à un examen juridique au cas par cas.
Emploi et gestion du personnel : Systèmes d’IA qui examinent les candidatures, évaluent les candidats, préparent les décisions de promotion ou automatisent les évaluations de performance. Quiconque utilise un ATS (Applicant Tracking System) avec un scoring basé sur l’IA exploite probablement un système à haut risque. Il en va de même pour les analyses de la main-d’œuvre basées sur l’IA qui évaluent la productivité des employés.
Solvabilité et scoring : Systèmes d’IA qui évaluent la solvabilité, préparent les décisions de crédit ou calculent les primes d’assurance. Les entreprises FinTech et les banques sont évidemment concernées, mais les entreprises industrielles qui utilisent l’IA pour l’évaluation des fournisseurs ou la gestion des débiteurs peuvent également relever de cette catégorie.
Composants de sécurité : Systèmes d’IA qui servent de composants de sécurité dans les machines, les véhicules ou les dispositifs médicaux. Pour les PME manufacturières ayant une contrôle qualité ou une maintenance prédictive basée sur l’IA, c’est un sujet pertinent, car l’IA peut avoir des impacts directs sur la sécurité des produits.
Même ceux qui utilisent uniquement ChatGPT, des outils de traduction automatisés ou des logiciels de recrutement basés sur l’IA sont soumis au règlement.
– Selon la Chambre de commerce et d’industrie de Schleswig-Holstein, Guide pour l’AI Act
Ce que l’évaluation de conformité exige concrètement
Les entreprises qui déploient des systèmes d’IA à haut risque (en tant que déployeurs) doivent remplir plusieurs obligations à partir d’août 2026. L’étendue de ces obligations dépend de la question de savoir si l’entreprise utilise le système ou l’a développé elle-même.
Pour les déployeurs, ces obligations clés s’appliquent : premièrement, une gestion des risques : les risques du système d’IA doivent être identifiés, évalués et documentés. Cela comprend les risques de biais, le potentiel de discrimination et les impacts sur les droits des personnes concernées. Deuxièmement, la documentation technique : les fournisseurs doivent la fournir, les déployeurs doivent la comprendre et la conserver. Troisièmement, une supervision humaine : il doit être assuré que les humains surveillent les décisions de l’IA et peuvent intervenir. Quatrièmement, la transparence envers les personnes concernées : les personnes soumises à une décision de l’IA, par exemple les candidats au recrutement, doivent en être informées.
Les développeurs (fournisseurs) de systèmes d’IA à haut risque sont touchés plus durement : ils doivent effectuer une évaluation complète de la conformité, apposer le marquage CE et enregistrer le système dans la base de données de l’UE. L’évaluation comprend la qualité des données, les protocoles de test, la robustesse et la cybersécurité. Selon les experts du secteur, la procédure dure trois à six mois.
Article 4 : L’obligation de formation souvent négligée
Alors que les obligations à haut risque entreront en vigueur en août 2026, l’article 4 est déjà applicable depuis février 2025. Il oblige tous les fournisseurs et exploitants de systèmes d’IA à garantir une « compétence en IA suffisante » parmi leur personnel. Cela peut sembler vague, mais cela a des conséquences concrètes.
L’article 4 ne prescrit pas de programme de formation fixe. Cependant, il exige que la formation soit appropriée en fonction du contexte de l’utilisation de l’IA et du rôle de la personne concernée. Un responsable RH qui utilise un outil de recrutement basé sur l’IA n’a pas besoin de la même compréhension qu’un employé qui utilise ChatGPT pour des modèles d’e-mail.
Il n’y a actuellement pas d’amende directe pour le manque de compétence en IA. Cependant, le risque de responsabilité est réel : si une entreprise n’a manifestement pas dispensé de formations et qu’un système d’IA cause des dommages parce qu’un employé l’a utilisé de manière incorrecte, cela donne lieu à une action en responsabilité civile. Le manque de formation devient la preuve d’un manque de diligence.
Mise en œuvre pragmatique : les entreprises doivent documenter quels systèmes d’IA sont utilisés, qui les utilise et quelles formations ont été dispensées. Un registre interne de l’IA et une preuve de formation sont suffisants pour commencer. La Haufe-Akademie et la Chambre de commerce et d’industrie (IHK) proposent déjà des formations certifiées spécialement conçues pour l’article 4.
KI-MIG : Ce que la loi allemande de mise en œuvre réglemente
Le gouvernement fédéral a adopté en février 2026 la loi sur les mesures et l’innovation en matière d’IA (KI-MIG) en tant que loi nationale de mise en œuvre de l’AI Act. Cette loi réglemente la surveillance du marché et définit les autorités compétentes.
Pour les PME, la KI-MIG prévoit une importante facilité : les PME et les start-ups devraient pouvoir bénéficier de formes simplifiées de documentation technique. L’objectif est de maintenir la charge administrative à un niveau gérable sans abaisser les normes de sécurité. La mise en œuvre concrète de ces facilités sera précisée par l’autorité de surveillance du marché compétente.
Ces facilités concernent notamment l’étendue de la documentation technique et les exigences en matière de tests. Les PME doivent respecter les mêmes normes de sécurité, mais peuvent utiliser des procédures de vérification moins contraignantes.
La surveillance du marché commence officiellement le 2 août 2026. À partir de cette date, les autorités nationales seront habilitées à effectuer des contrôles et à imposer des sanctions. Dans la pratique, l’autorité interviendra probablement de manière consultative dans les premiers mois avant de recourir aux amendes. Cependant, il ne faut pas compter sur cela.
Amendes : Ce qui menace vraiment
L’AI Act fonctionne avec un régime de sanctions à trois niveaux. Le maximum de 35 millions d’Euro ou 7 pour cent du chiffre d’affaires annuel mondial s’applique à l’utilisation de pratiques d’IA interdites, telles que le Social Scoring ou les systèmes d’IA manipulateurs. Pour les violations des obligations à haut risque, des amendes pouvant aller jusqu’à 15 millions d’Euro ou 3 pour cent du chiffre d’affaires sont prévues. Pour les informations incorrectes ou trompeuses fournies aux autorités, des amendes pouvant aller jusqu’à 7,5 millions d’Euro ou 1 pour cent sont prévues.
Pour les PME, l’AI Act prévoit une application proportionnelle. Les amendes sont fonction du chiffre d’affaires et de la gravité de l’infraction. Une entreprise de taille moyenne avec un chiffre d’affaires de 20 millions d’Euro risque donc jusqu’à 600.000 Euro en cas de violations à haut risque. Cela ne met pas en danger l’existence de l’entreprise, mais c’est une somme douloureuse.
Les efforts de conformité sont également pertinents : les experts du secteur estiment les coûts de conformité pour les IA à haut risque entre 10 et 20 pour cent des investissements en IA. Dans la pratique, cela signifie des coûts supplémentaires annuels à cinq chiffres, principalement dus à la documentation, à l’évaluation des risques et aux structures de gouvernance.
Cinq étapes d’ici août 2026
Le temps restant est limité, mais suffisant si les entreprises commencent maintenant. Voici cinq étapes qui jettent les bases de la conformité à la loi sur l’IA.
1. Créer un inventaire de l’IA. Quels systèmes d’IA sont utilisés dans l’entreprise ? Cela comprend non seulement les modèles développés en interne, mais également les solutions achetées : systèmes ATS avec scoring IA, chatbots dans le service client, maintenance prédictive en production, vérification automatisée des factures. De nombreuses entreprises sous-estiment le nombre de leurs points de contact avec l’IA.
Un exemple : une entreprise de construction mécanique de 200 employés utilise trois applications d’IA. Premièrement, un chatbot dans le service client basé sur ChatGPT. Ce n’est pas un système à haut risque, mais cela nécessite une formation Article 4 pour l’équipe de support. Deuxièmement, un système de maintenance prédictive qui calcule les probabilités de défaillance des composants de machines. Cela pourrait être considéré comme un composant de sécurité à haut risque et nécessite un examen détaillé. Troisièmement, un outil de gestion des candidatures assisté par IA qui trie les CV. Cas clair de haut risque, évaluation complète de la conformité requise.
2. Effectuer une évaluation des risques. Pour chaque système dans l’inventaire, vérifiez : tombe-t-il sous l’une des huit catégories à haut risque de l’annexe III ? La plupart des applications d’IA dans les PME ne sont pas à haut risque. Mais celles qui le sont nécessitent un effort de documentation considérable.
3. Organiser une formation Article 4. Si aucune formation documentée à l’IA n’a eu lieu jusqu’à présent : organisez-la maintenant. Un atelier d’une demi-journée pour les équipes concernées suffit comme point de départ. La documentation est importante : qui a été formé à quels systèmes d’IA et quand.
4. Clarifier les exigences des fournisseurs. Pour les systèmes à haut risque fournis par des prestataires externes : exigez du fournisseur la documentation technique, la déclaration de conformité et le marquage CE. Si le fournisseur ne peut pas les fournir, c’est un signal d’alarme.
5. Définir les responsabilités. Qui est responsable de la conformité à l’IA dans l’entreprise ? Dans les grandes PME, cela peut être un responsable IA dédié, dans les petites entreprises, le responsable de la protection des données ou le service juridique. L’essentiel est qu’une personne porte la responsabilité.
Parallèlement : ne considérez pas la loi sur l’IA comme un projet de conformité isolé, mais comme une partie d’une gouvernance de l’IA plus large. Les entreprises qui mettent en place dès maintenant une gouvernance de l’IA propre profitent non seulement de la conformité juridique, mais également d’une meilleure gestion des risques et d’une confiance accrue chez les clients et les partenaires commerciaux. L’effort s’amortit à mesure que l’utilisation de l’IA dans l’entreprise augmente, ce qui est le cas pour la plupart des PME.
Conclusion
La loi sur l’IA de l’UE est la première réglementation globale de l’IA au monde. Pour les PME, ce n’est pas une raison de paniquer, mais un ordre d’action clair. L’obligation de formation selon l’article 4 est déjà en vigueur. Les obligations pour les systèmes à haut risque arrivent dans cinq mois. Ceux qui n’ont pas encore inventorié leurs systèmes d’IA devraient commencer maintenant.
La bonne nouvelle : la plupart des applications d’IA dans les PME ne relèvent pas de la catégorie à haut risque. ChatGPT dans le marketing, les outils de traduction ou les automatisations simples ne sont généralement pas critiques. Mais ceux qui utilisent l’IA pour les décisions de personnel, le scoring ou les processus de sécurité doivent agir. Cinq mois semblent beaucoup, mais trois à six mois pour une évaluation de la conformité sont une estimation serrée.
Foire aux questions
L’AI Act s’applique-t-il également aux petites entreprises ?
Oui. L’AI Act s’applique indépendamment de la taille de l’entreprise à toutes les organisations qui développent, proposent ou utilisent des systèmes d’IA. Toutefois, pour les PME, la loi prévoit des obligations de documentation simplifiées et des amendes proportionnelles.
ChatGPT est-il un système d’IA à haut risque ?
ChatGPT lui-même n’est pas un système à haut risque, mais un modèle d’IA à usage général. Il devient à haut risque lorsqu’il est utilisé comme composant dans un cas d’application à haut risque, par exemple comme base pour une présélection automatisée des candidats dans le recrutement.
Combien coûte la conformité à l’AI Act pour les PME ?
Les experts du secteur estiment les coûts de conformité pour les systèmes d’IA à haut risque entre 10 et 20 pour cent des investissements en IA. Dans la pratique, cela signifie des coûts supplémentaires annuels dans la fourchette moyenne à cinq chiffres, principalement pour la documentation, l’évaluation des risques et la gouvernance.
Que se passe-t-il si je ne remplis pas l’obligation de formation de l’article 4 ?
Il n’y a actuellement pas d’amende directe pour le manque de formation en compétences en IA. Cependant, il existe des risques de responsabilité civile : si une formation insuffisante entraîne des dommages dus à une utilisation incorrecte de l’IA, l’entreprise peut être tenue responsable d’un manque de diligence.
Comment savoir si mon système d’IA est à haut risque ?
Vérifiez l’annexe III de l’AI Act : elle énumère huit domaines, notamment la gestion du personnel, la solvabilité, la poursuite pénale et les infrastructures critiques. Si votre système d’IA est utilisé dans l’un de ces domaines et influence des décisions importantes, il est probablement à haut risque. La Chambre de commerce et d’industrie propose des consultations initiales gratuites.
Qu’est-ce que la loi sur les mesures et l’innovation en matière d’IA (KI-MIG) ?
La loi sur les mesures et l’innovation en matière d’IA est la loi nationale allemande de mise en œuvre de l’AI Act de l’UE. Elle a été adoptée en février 2026 par le gouvernement fédéral et réglemente la surveillance du marché, désigne les autorités compétentes et précise les sanctions pour le marché allemand.
Conseils de lecture de la rédaction
Plus du réseau MBF Media
- cloudmagazin – Cloud, SaaS et infrastructure IT pour les décideurs
- Digital Chiefs – Leadership, transformation et perspectives C-Level
- SecurityToday – Cybersécurité, conformité et protection des données
Source de l’image de titre : Adam B. / Pexels
