Règlement IA UE : 4 mois avant deadline, PME doivent vérifier
min de lecture
Le 2 août 2026, la majeure partie du règlement IA de l’UE entrera en vigueur. À compter de cette date, les systèmes d’intelligence artificielle à haut risque devront respecter des obligations de transparence, faire l’objet d’évaluations de conformité et satisfaire à des exigences documentaires strictes. Cela concerne non seulement les fournisseurs d’IA, mais aussi toutes les entreprises qui déploient des solutions d’IA – par exemple dans le recrutement, l’octroi de crédits ou le contrôle qualité. L’Allemagne a déjà manqué la date limite de transposition nationale. Le projet de loi sur la surveillance du marché de l’IA (KI-MIG) est encore en cours d’élaboration au sein du processus législatif. Pour les PME, cela signifie : quatre mois avant la date butoir, aucune loi nationale adoptée, et pourtant une obligation d’agir immédiate.
L’essentiel en bref
- Le 2 août 2026 entreront en vigueur les dispositions centrales du règlement IA de l’UE : obligations applicables aux systèmes d’IA à haut risque, règles de transparence et mécanismes de mise en œuvre.
- L’Allemagne n’a pas respecté le délai de transposition nationale. La loi allemande sur la surveillance du marché de l’IA et la promotion de l’innovation (KI-MIG) est toujours en cours d’adoption.
- Sont concernés non seulement les fournisseurs d’IA, mais aussi toutes les entreprises qui utilisent des systèmes d’IA dans des domaines à haut risque : ressources humaines, octroi de crédits, composants de sécurité.
Ce qui entre en vigueur le 2 août
Le règlement IA de l’UE est entré en vigueur en août 2024 et sera mis en œuvre progressivement. La première étape – l’obligation de compétence en matière d’IA et l’interdiction de certaines pratiques liées à l’IA – s’applique depuis février 2025. La deuxième étape est entrée en vigueur en août 2025 et concerne les fournisseurs de modèles d’IA à usage général (General-Purpose-AI). La troisième étape, la plus vaste, suivra le 2 août 2026 : les règles relatives aux systèmes d’IA à haut risque énumérés à l’annexe III deviendront applicables.
Concrètement, cela signifie que les systèmes d’IA déployés dans des domaines tels que la sélection du personnel, l’évaluation de la solvabilité, la justice pénale ou les infrastructures critiques devront, à compter d’août 2026, faire l’objet d’une évaluation de conformité. Ils devront être accompagnés d’une documentation technique, d’un système de gestion des risques, d’une supervision humaine et d’une transparence vis-à-vis des personnes concernées.
Qui est concerné dans les PME ?
Le règlement IA distingue clairement entre fournisseurs, opérateurs (« deployers ») et distributeurs de systèmes d’IA. Pour les PME, c’est le rôle d’opérateur qui est décisif : toute entreprise qui déploie un système d’IA à haut risque assume des obligations spécifiques. Les cas d’usage les plus fréquents dans les PME sont les suivants :
Recrutement : Le tri automatisé de CV ou la présélection automatisée à l’aide d’outils basés sur l’IA relèvent de l’annexe III. Toute entreprise utilisant des solutions telles que HireVue, Personio AI ou des outils similaires doit vérifier si ces systèmes sont classés comme à haut risque. La qualité des données utilisées pour l’entraînement devient ainsi une question centrale de conformité.
Octroi de crédits : L’évaluation automatisée de la solvabilité ou les décisions de crédit prises entièrement par IA exigent une transparence vis-à-vis des personnes concernées ainsi qu’une supervision humaine documentée.
Contrôle qualité : Les systèmes d’IA agissant comme composants de sécurité dans des produits réglementés (dispositifs médicaux, machines, jouets) seront soumis, à compter d’août 2027, à des exigences supplémentaires.
Allemagne : retard dans la transposition
L’Allemagne n’a pas respecté le délai de transposition nationale. Le projet de loi du ministère fédéral de la Transformation numérique, intitulé « Loi allemande sur la surveillance du marché de l’IA et la promotion de l’innovation » (KI-MIG), daté de septembre 2025, se trouve actuellement dans le processus législatif, après avoir fait l’objet d’une consultation avec les Länder et les associations professionnelles. La Bundesnetzagentur (BNetzA) est désignée comme autorité centrale chargée de la surveillance du marché.
Pour les PME, ce retard signifie concrètement : il n’existe encore aucune autorité nationale habilitée à effectuer des évaluations de conformité ou à gérer des « sandbox » réglementaires. Parallèlement, le règlement IA de l’UE s’applique directement en tant que règlement européen – ses obligations entreront donc en vigueur le 2 août 2026, indépendamment de l’adoption ou non de la loi nationale allemande.
« Le règlement IA s’applique directement en tant que règlement de l’UE – indépendamment du fait que l’Allemagne adopte ou non sa loi nationale dans les délais impartis. Attendre n’est pas une option. Toute entreprise exploitant, à compter d’août 2026, un système d’IA à haut risque devra être conforme. »
– Évaluation rédactionnelle de mybusinessfuture
Ce qu’il faut faire dès maintenant
Quatre étapes à accomplir dans les quatre prochains mois.
Premièrement : établir un inventaire des systèmes d’IA. Quels systèmes d’IA sont actuellement déployés ? Lesquels relèvent de l’annexe III (haut risque) ? Il arrive souvent que les services métiers ignorent que leurs outils reposent sur l’IA – un outil de présélection dans les RH ou un module d’analyse prédictive intégré à un ERP peuvent très bien être concernés.
Deuxièmement : contacter les fournisseurs. L’évaluation de conformité incombe principalement au fournisseur, et non à l’opérateur. Toutefois, l’opérateur doit s’assurer que le fournisseur remplit bien ses obligations. Concrètement : le système porte-t-il le marquage CE ? Existe-t-il une documentation technique ? Des informations sur la fonctionnalité du système sont-elles disponibles ?
Troisièmement : mettre en place une supervision humaine. Pour chaque cas d’usage à haut risque, il faut définir clairement qui supervise les décisions prises par l’IA et qui peut, le cas échéant, intervenir manuellement. Il s’agit d’une tâche organisationnelle, et non technique.
Quatrièmement : renforcer la compétence en IA. L’obligation de « littératie IA » (AI Literacy) est entrée en vigueur dès février 2025. Chaque entreprise doit garantir que ses collaborateurs travaillant avec des systèmes d’IA soient suffisamment formés.
Questions fréquentes
Le règlement IA concerne-t-il aussi les très petites entreprises ?
Oui. Le règlement IA ne prévoit aucune exemption fondée sur la taille de l’entreprise pour les opérateurs. Toute entreprise qui déploie un système d’IA à haut risque assume des obligations d’opérateur. Toutefois, les PME bénéficient de procédures simplifiées et devraient bénéficier d’un accès prioritaire aux « sandbox » réglementaires prévues.
Quelles sanctions en cas de non-conformité ?
Les amendes sont graduées :
En cas de violation des pratiques interdites liées à l’IA : jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires annuel mondial ;
En cas de violation des exigences applicables aux systèmes à haut risque : jusqu’à 15 millions d’euros ou 3 % du chiffre d’affaires annuel mondial ;
En cas de déclarations mensongères adressées aux autorités : jusqu’à 7,5 millions d’euros ou 1,5 % du chiffre d’affaires annuel mondial.
Des plafonds inférieurs s’appliquent aux PME.
Dois-je désactiver mon outil d’IA si je ne suis pas conforme à temps ?
Pas automatiquement. Toutefois, à compter d’août 2026, les autorités de surveillance du marché pourront interdire l’utilisation de systèmes d’IA non conformes. Recommandation pragmatique : démarrer dès aujourd’hui l’inventaire, exiger des fournisseurs qu’ils remplissent leurs obligations et constituer la documentation requise. Une entreprise ayant engagé ce processus sera nettement mieux placée lors d’un contrôle qu’une entreprise n’ayant rien entrepris.
Suggestions de lecture de la rédaction
Source de l’image : Pexels / RDNE Stock project (px:7821937)
