Règlement IA à compter d’août 2026 : les systèmes d’IA à haut risque dans les PME

7 min de lecture

Le 2 août 2026, la donne change radicalement : à compter de cette date, toutes les obligations du Règlement européen sur l’intelligence artificielle (AI Act) relatives aux systèmes d’IA à haut risque s’appliqueront pleinement. Cela concerne chaque entreprise qui utilise l’IA pour des décisions en ressources humaines, des évaluations de solvabilité ou des contrôles qualité en production. L’évaluation de conformité prend trois à six mois. Toute entreprise qui n’a pas encore commencé à inventorier ses systèmes d’IA aura bien du mal à respecter ce délai. Par ailleurs, l’obligation de formation prévue à l’article 4 est déjà entrée en vigueur depuis février 2025.

L’essentiel en bref

Chronologie : ce qui entre en vigueur, et quand

Le Règlement IA entre en vigueur progressivement. Certaines obligations sont déjà actives, tandis que les échéances les plus importantes arrivent dans les prochains mois. Pour les entreprises, l’ordre chronologique est déterminant, car chaque étape repose sur la précédente.

Depuis le 2 février 2025, l’article 4 est applicable : il impose aux entreprises de garantir une compétence suffisante en matière d’IA à l’ensemble de leurs employés qui utilisent, développent ou supervisent des systèmes d’IA. Cette obligation ne concerne pas uniquement les départements informatiques, mais aussi les équipes RH qui recourent à des outils de recrutement assistés par l’IA, ou les départements financiers qui travaillent avec des systèmes automatisés de notation.

À noter pour les entreprises déjà engagées dans la mise en œuvre de DORA, de NIS2 et de MiCA : le Règlement IA s’ajoute à ces réglementations. Bien qu’il existe des chevauchements partiels – notamment en matière d’exigences liées à la gestion des risques – , ces textes ne sont pas identiques. Un système d’IA utilisé dans le secteur financier doit donc être conforme à la fois à DORA et au Règlement IA. Les entreprises ayant déjà mis en place un cadre de conformité DORA peuvent réutiliser certaines parties pour répondre aux exigences du Règlement IA, notamment en ce qui concerne la documentation des risques et les structures de gouvernance.

Le 2 août 2025, les obligations de transparence applicables aux modèles généraux d’IA (General Purpose AI) sont entrées en vigueur. Le 2 août 2026 marque la plus importante des étapes : l’application intégrale des dispositions relatives aux systèmes d’IA à haut risque. À compter de cette date, les entreprises exploitant de tels systèmes devront pouvoir présenter une évaluation de conformité exhaustive.

IA à haut risque : quels systèmes sont concernés ?

Le Règlement IA définit, à l’annexe III, huit domaines dans lesquels les systèmes d’IA sont classés comme à haut risque. Trois de ces domaines revêtent une importance particulière pour les PME.

Ne sont pas considérés comme à haut risque : les filtres anti-spam assistés par l’IA, les traductions automatiques, les chatbots sans capacité décisionnelle, les systèmes de recommandation en e-commerce et la plupart des automatisations marketing. Pour ces systèmes, seules s’appliquent les obligations générales de transparence ainsi que l’exigence de formation prévue à l’article 4. Il est essentiel de le savoir, car de nombreuses PME craignent que toute utilisation de l’IA tombe sous le coup des règles strictes applicables aux systèmes à haut risque. Ce n’est pas le cas.

La zone grise concerne les systèmes d’IA qui ne prennent pas de décisions autonomes, mais fournissent des propositions décisionnelles. Un système d’IA qui rejette automatiquement des demandes de crédit constitue clairement un système à haut risque. En revanche, un système qui trie simplement les demandes et les soumet à une décision humaine pourrait ne pas y être soumis. Dans de tels cas, une analyse juridique au cas par cas est recommandée.

Emploi et gestion des ressources humaines : les systèmes d’IA qui examinent les candidatures, évaluent les candidats, préparent les décisions de promotion ou automatisent les évaluations de performance. Une entreprise qui utilise un système de suivi des candidats (ATS) doté d’un module de notation basé sur l’IA exploite très probablement un système à haut risque. Il en va de même pour les outils d’analyse prédictive des effectifs (Workforce Analytics) fondés sur l’IA, lorsqu’ils évaluent la productivité des employés.

Solvabilité et notation : les systèmes d’IA qui évaluent la solvabilité, préparent les décisions de crédit ou calculent les primes d’assurance. Les fintechs et les banques sont évidemment concernées, mais aussi les entreprises industrielles qui recourent à l’IA pour évaluer leurs fournisseurs ou gérer leurs débiteurs.

Composants de sécurité : les systèmes d’IA qui agissent comme composants de sécurité dans des machines, des véhicules ou des dispositifs médicaux. Pour les PME industrielles mettant en œuvre un contrôle qualité ou une maintenance prédictive assistés par l’IA, ce point est particulièrement pertinent, car l’IA peut ici avoir un impact direct sur la sécurité des produits.

Même l’utilisation de ChatGPT, d’outils de traduction automatisée ou de logiciels de recrutement assistés par l’IA relève du champ d’application du règlement.
– Selon la Chambre de commerce et d’industrie (IHK) du Schleswig-Holstein, guide pratique sur le Règlement IA

Ce que l’évaluation de conformité exige concrètement

Les entreprises qui exploitent des systèmes d’IA à haut risque (les « déployeurs », Deployer) devront, à compter d’août 2026, remplir plusieurs obligations. L’étendue de ces obligations dépend du fait que l’entreprise utilise uniquement le système ou qu’elle l’a elle-même développé.

Pour les déployeurs, les obligations fondamentales sont les suivantes :
Premièrement, une gestion des risques : les risques liés au système d’IA doivent être identifiés, évalués et documentés. Cela inclut les risques de biais, les potentiels de discrimination et les conséquences sur les droits des personnes concernées.
Deuxièmement, la documentation technique : les fournisseurs (Provider) doivent la fournir ; les déployeurs doivent la comprendre et la conserver.
Troisièmement, la supervision humaine : il faut garantir que des personnes puissent surveiller les décisions prises par l’IA et intervenir si nécessaire.
Quatrièmement, la transparence vis-à-vis des personnes concernées : les individus soumis à une décision prise par l’IA – par exemple les candidats dans le cadre d’un processus de recrutement – doivent en être informés.

Les développeurs (Provider) de systèmes d’IA à haut risque sont soumis à des exigences plus contraignantes : ils doivent réaliser une évaluation complète de conformité, apposer le marquage CE et inscrire le système dans la base de données européenne. Cette évaluation couvre la qualité des données, les protocoles de test, la robustesse et la cybersécurité. Selon les experts du secteur, cette procédure dure de trois à six mois.

Article 4 : l’obligation de formation, souvent sous-estimée

Alors que les obligations liées aux systèmes à haut risque entreront en vigueur en août 2026, l’article 4 est déjà applicable depuis février 2025. Il oblige tous les fournisseurs et exploitants de systèmes d’IA à garantir une « compétence suffisante en IA » au sein de leur personnel. Cette formulation semble vague, mais elle entraîne des conséquences concrètes.

L’article 4 ne prescrit aucun programme de formation fixe. Il exige toutefois que la formation soit adaptée au contexte d’utilisation de l’IA et au rôle de la personne concernée. Un responsable RH qui utilise un outil de sélection de candidats assisté par l’IA a besoin d’une compréhension différente de celle d’un assistant qui utilise ChatGPT pour rédiger des modèles d’e-mails.

Aucune amende spécifique n’est prévue actuellement pour le défaut de formation en IA. Le risque de responsabilité demeure néanmoins réel : si une entreprise ne peut pas prouver qu’elle a organisé des formations et qu’un dommage survient du fait d’une mauvaise utilisation du système d’IA par un employé, une action en responsabilité civile peut être engagée. L’absence de formation constituera alors la preuve d’un manquement à l’obligation de diligence.

Mise en œuvre pragmatique : les entreprises devraient documenter quels systèmes d’IA sont utilisés, qui les utilise et quelles formations ont été dispensées. Un registre interne des systèmes d’IA et une attestation de formation constituent un bon point de départ. La Haufe-Akademie et les chambres de commerce et d’industrie (IHK) proposent déjà des formats de formation certifiés spécifiquement conçus pour répondre aux exigences de l’article 4.

KI-MIG : ce que prévoit la loi allemande de transposition

En février 2026, le Conseil des ministres fédéral a adopté la loi allemande sur les mesures et l’innovation en matière d’IA (KI-Maßnahmen- und Innovationsgesetz, KI-MIG) en tant que loi nationale de transposition du Règlement IA. Cette loi régit la surveillance du marché et désigne les autorités compétentes.

Pour les PME, le KI-MIG contient une disposition importante facilitant la mise en conformité : les petites et moyennes entreprises (PME) et les startups pourront bénéficier de formes simplifiées de documentation technique. L’objectif est de maintenir la charge administrative à un niveau raisonnable, sans pour autant affaiblir les normes de sécurité. La mise en œuvre concrète de ces facilités sera précisée par l’autorité nationale chargée de la surveillance du marché.

Ces facilités portent notamment sur l’étendue de la documentation technique et les exigences en matière de tests. Les PME doivent respecter les mêmes normes de sécurité, mais peuvent recourir à des procédures de justification moins complexes.

La surveillance du marché commence officiellement le 2 août 2026. À compter de cette date, les autorités nationales seront habilitées à effectuer des contrôles et à prononcer des sanctions. En pratique, durant les premiers mois, l’autorité devrait vraisemblablement adopter une approche consultative avant de recourir aux amendes. Toutefois, personne ne devrait compter sur cette indulgence initiale.

Amendes : ce qui est réellement à craindre

Le Règlement IA prévoit un régime de sanctions à trois niveaux. Le montant maximal de 35 millions d’euros ou 7 % du chiffre d’affaires annuel mondial s’applique aux pratiques interdites liées à l’IA, telles que le social scoring ou les systèmes d’IA manipulatoires. En cas de non-respect des obligations applicables aux systèmes à haut risque, l’amende peut atteindre jusqu’à 15 millions d’euros ou 3 % du chiffre d’affaires. Enfin, pour des informations erronées ou trompeuses fournies aux autorités, l’amende peut aller jusqu’à 7,5 millions d’euros ou 1 % du chiffre d’affaires.

Le Règlement IA prévoit une application proportionnée des amendes pour les PME. Le montant des sanctions dépend du chiffre d’affaires et de la gravité de l’infraction. Ainsi, une PME réalisant un chiffre d’affaires de 20 millions d’euros risque, en cas d’infraction liée à un système à haut risque, une amende allant jusqu’à 600 000 euros. Ce montant n’est pas menaçant pour son existence, mais il constitue néanmoins une sanction pénalisante.

Le coût de la conformité est également à prendre en compte : les experts du secteur estiment que les dépenses liées à la conformité des systèmes d’IA à haut risque représentent de 10 à 20 % des investissements consacrés à l’IA. En pratique, cela signifie des coûts supplémentaires annuels à cinq chiffres, principalement liés à la documentation, à l’évaluation des risques et aux structures de gouvernance.

Cinq étapes à accomplir d’ici août 2026

Le temps restant est court, mais suffisant si les entreprises agissent dès maintenant. Voici cinq étapes fondamentales pour poser les bases de la conformité au Règlement IA.

1. Établir un inventaire des systèmes d’IA. Quels systèmes d’IA sont utilisés dans l’entreprise ? Cela inclut non seulement les modèles développés en interne, mais aussi les solutions achetées : systèmes de suivi des candidats (ATS) dotés d’un module de notation basé sur l’IA, chatbots en service client, maintenance prédictive en production, vérification automatisée des factures. De nombreuses entreprises sous-estiment le nombre de leurs points de contact avec l’IA.

Exemple : une entreprise de construction mécanique de 200 salariés utilise trois applications d’IA. Premièrement, un chatbot en service client basé sur ChatGPT. Il ne s’agit pas d’un système à haut risque, mais il nécessite toutefois une formation selon l’article 4 pour l’équipe support. Deuxièmement, un système de maintenance prédictive qui calcule la probabilité de panne des composants de machines. Celui-ci pourrait relever de la catégorie « composant de sécurité » et donc être classé à haut risque, ce qui implique une analyse détaillée. Troisièmement, un outil de gestion des candidats assisté par l’IA qui trie automatiquement les CV. Il s’agit clairement d’un système à haut risque, soumis à une évaluation complète de conformité.

2. Procéder à l’évaluation des risques. Pour chaque système figurant dans l’inventaire, vérifier s’il relève de l’une des huit catégories à haut risque définies à l’annexe III. La plupart des applications d’IA utilisées dans les PME ne sont pas à haut risque. Mais celles qui le sont exigent un effort documentaire substantiel.

3. Mettre en œuvre la formation prévue à l’article 4. Si aucune formation documentée sur l’IA n’a encore été dispensée, il convient de la rattraper immédiatement. Un atelier d’une demi-journée destiné aux équipes concernées constitue un bon point de départ. L’essentiel est la documentation : qui a été formé, quand, et sur quels systèmes d’IA.

4. Clarifier les exigences applicables aux fournisseurs. Pour les systèmes à haut risque fournis par des tiers : exiger du fournisseur la documentation technique, la déclaration de conformité et le marquage CE. Si le fournisseur est incapable de les fournir, cela constitue un signal d’alerte.

5. Définir les responsabilités. Qui, dans l’entreprise, est chargé(e) de la conformité à la réglementation IA ? Dans les PME plus importantes, il peut s’agir d’un correspondant IA dédié ; dans les plus petites entreprises, le délégué à la protection des données ou le service juridique peuvent assumer cette fonction. L’essentiel est qu’une personne soit clairement désignée comme responsable.

Parallèlement à ces actions : ne pas considérer le Règlement IA comme un projet isolé de conformité, mais comme un volet d’une gouvernance IA globale. Les entreprises qui mettent aujourd’hui en place une gouvernance IA rigoureuse tireront profit non seulement de la conformité légale, mais aussi d’une meilleure gestion des risques et d’une confiance accrue de la part de leurs clients et partenaires commerciaux. L’investissement se justifie d’autant plus que l’utilisation de l’IA augmente dans la plupart des PME.

Conclusion

Le Règlement IA de l’UE est la première réglementation mondiale globale sur l’intelligence artificielle. Pour les PME, il ne constitue pas une raison de paniquer, mais un impératif d’action clair. L’obligation de formation prévue à l’article 4 est déjà en vigueur. Les obligations liées aux systèmes à haut risque entreront en vigueur dans cinq mois. Toute entreprise qui n’a pas encore procédé à l’inventaire de ses systèmes d’IA doit commencer immédiatement.

La bonne nouvelle : la plupart des applications d’IA utilisées dans les PME ne relèvent pas de la catégorie « à haut risque ». L’utilisation de ChatGPT en marketing, les outils de traduction ou les automatisations simples sont généralement sans risque. En revanche, toute entreprise qui recourt à l’IA pour des décisions en ressources humaines, des notations ou des processus critiques pour la sécurité doit agir sans délai. Cinq mois peuvent sembler longs, mais trois à six mois pour une évaluation de conformité constituent un délai très serré.

Questions fréquentes

Source de l’image : Adam B. / Pexels