Règlementation UE sur l’IA : PME doivent agir maintenant

7 Min. de lecture

Le 2 août 2026, les règles à haut risque du règlement IA de l’UE entreront en vigueur. Quiconque utilise l’intelligence artificielle dans le recrutement, l’octroi de crédits ou le contrôle qualité aura besoin, à compter de cette date, d’une documentation technique, d’un système de gestion des risques et d’une supervision humaine. Les sanctions en cas d’infraction : jusqu’à 35 millions d’Euro ou 7 pour cent du chiffre d’affaires annuel mondial. La plupart des PME n’en ont pas encore pris connaissance.

Ce qui se passe le 2 août 2026

Le règlement IA de l’UE est la première loi globale complète sur la régulation de l’intelligence artificielle. Il est entré en vigueur en août 2024, mais les exigences sont mises en place progressivement. Le 2 février 2025, les interdictions sont entrées en vigueur – les systèmes d’IA considérés comme présentant un risque inacceptable sont désormais interdits. Cela concerne notamment le Social Scoring ou les systèmes manipulateurs.

Le 2 août 2025, les obligations de transparence pour les modèles d’IA à usage général (tels que ChatGPT ou Claude) sont entrées en vigueur. Les fournisseurs de ces modèles doivent désormais documenter les données utilisées pour leur formation. Certaines obligations d’étiquetage s’appliquent également.

Voici maintenant l’étape décisive : le 2 août 2026, les règles pour les systèmes d’IA à haut risque entreront en vigueur. C’est l’étape qui touchera le plus durement les PME. Car il ne s’agit pas ici des fournisseurs de grands modèles de langage, mais des entreprises qui utilisent l’IA dans leurs activités.

L’Allemagne a parallèlement mis en place la loi sur la surveillance du marché de l’IA (KI-MIG), qui doit réglementer la structure de surveillance nationale. L’Agence fédérale des réseaux deviendra probablement l’autorité compétente. Mais le processus législatif n’est pas encore terminé. Pour les entreprises, cela ne change rien : le règlement IA est un règlement de l’UE et s’applique directement, avec ou sans loi d’accompagnement allemande. Qui attend Berlin perd du temps.

Qui est concerné – et qui ne l’est pas

L’AI Act distingue quatre niveaux de risque : inacceptable (interdit), élevé (strictement réglementé), limité (obligations de transparence) et minimal (aucune obligation). La catégorie à haut risque est pertinente pour les entreprises de taille moyenne. Et elle est plus large que la plupart des gens ne le pensent.

La classification ne dépend pas de l’entreprise, mais de l’objectif de l’IA. Une entreprise de 50 employés qui utilise l’IA pour présélectionner les candidats est soumise aux mêmes obligations qu’un grand groupe coté au DAX. La taille de l’entreprise ne joue un rôle que dans la rigueur de la documentation, et non dans la question de savoir si les règles s’appliquent.

Les systèmes d’IA à haut risque comprennent notamment : l’IA dans le recrutement et la sélection du personnel (examen des candidats, analyse de CV), l’IA dans l’octroi de crédits et l’évaluation de la solvabilité, l’IA dans le contrôle qualité des produits critiques, l’IA dans les évaluations de risques et d’assurances, et l’IA pour le contrôle d’infrastructures critiques.

Concrètement : si un sous-traitant de taille moyenne utilise l’IA pour le contrôle qualité, il relève de la catégorie à haut risque. Si un cabinet de conseil en ressources humaines utilise un outil d’IA qui présélectionne les candidatures, il relève de la catégorie à haut risque. Si un prestataire de services financiers utilise l’IA pour l’examen de crédit, il relève de la catégorie à haut risque.

Ce qui ne relève pas de la catégorie à haut risque : la génération de texte assistée par l’IA pour le marketing, les chatbots dans le service client (tant qu’aucune décision automatisée n’est prise), l’IA pour l’analyse interne des données sans impact direct sur les personnes. Celui qui utilise ChatGPT pour les e-mails n’a pas à s’inquiéter. Celui qui utilise l’IA pour les décisions en matière de personnel, si.

Il existe une zone grise qui concerne de nombreux sous-traitants : les fonctionnalités d’IA intégrées dans les logiciels existants. Si le système CRM donne automatiquement la priorité aux prospects en fonction de leur probabilité d’achat, cela peut être considéré comme un risque limité. Si l’outil RH trie automatiquement les candidats en fonction de leur aptitude, il s’agit d’un risque élevé. La distinction ne réside pas dans l’outil, mais dans l’impact sur les personnes. Tout système qui prend ou influence de manière significative des décisions automatisées concernant des personnes physiques est suspect.

Selon l’étude de la KfW sur l’utilisation de l’IA, 20 % des PME allemandes utilisent déjà l’intelligence artificielle, soit près de 780 000 entreprises. Chez les sous-traitants de plus grande taille employant plus de 50 personnes, cette proportion atteint 36 %. La question n’est pas de savoir si l’AI Act concerne les entreprises de taille moyenne. La question est de savoir combien de ces 780 000 entreprises savent qu’il les concerne.

S’y ajoute un problème structurel : de nombreux sous-traitants perçoivent l’IA comme quelque chose qu’ils « introduiront peut-être un jour ». En réalité, ils utilisent déjà l’IA sans le savoir. Microsoft 365 Copilot, Salesforce Einstein, SAP Business AI, HubSpot Predictive Lead Scoring – tous ces outils utilisent des modèles d’IA en arrière-plan. L’inventaire doit donc commencer par les logiciels utilisés, et non par un document de stratégie sur l’IA.

Les 5 obligations pour les IA à haut risque

Quiconque exploite ou utilise un système d’IA à haut risque doit satisfaire à cinq exigences à compter du 2 août 2026. Aucune d’entre elles n’est facultative.

1. Système de gestion des risques : Un système documenté qui identifie, évalue et minimise les risques liés à l’application de l’IA. Cela ne doit pas nécessairement être un document de 200 pages, mais il doit exister de manière vérifiable. Quels sont les risques liés à l’IA ? Pour qui ? Que se passe-t-il si elle prend une décision erronée ?

2. Qualité des données : Les données d’entraînement et les données d’entrée doivent être documentées et vérifiées pour détecter les biais. Si un outil de recrutement a été entraîné avec des données qui désavantagent certains groupes de population, c’est une violation. La responsabilité incombe à l’exploitant, et non au fournisseur de l’outil.

3. Documentation technique : Une description du système d’IA, de son fonctionnement, de ses limites et de son utilisation prévue. Y compris les indicateurs de performance et les faiblesses connues. C’est ce que la plupart des PME doivent exiger de leurs fournisseurs d’IA.

4. Supervision humaine : Chaque IA à haut risque doit être conçue de manière à ce qu’un humain puisse surveiller, comprendre et, le cas échéant, outrepasser les décisions. Aucun rejet entièrement automatique des candidatures. Aucun blocage automatique des lignes de crédit.

5. Transparence et enregistrement : Les utilisateurs du système d’IA doivent être informés qu’une décision a été prise par une IA. Le système doit tenir des registres permettant une traçabilité. Chaque décision doit être reconstruisable. Pas en temps réel, mais a posteriori, lorsqu’une plainte ou un contrôle est effectué.

Ces cinq obligations peuvent sembler abstraites. Dans la pratique, cela signifie que quiconque achète aujourd’hui un outil de recrutement doté de fonctionnalités d’IA doit demander au fournisseur des informations sur la documentation, les tests de biais et la logique de décision. Quiconque ne le fait pas est responsable en cas de doute. La loi sur l’IA place consciemment la responsabilité sur l’exploitant, et non seulement sur le fournisseur. C’est le point que de nombreuses PME négligent.

Ce que les PME doivent faire concrètement maintenant

117 jours, ce n’est pas beaucoup. Mais la bonne nouvelle, c’est que pour la plupart des PME, l’effort est gérable si elles commencent maintenant. La mauvaise nouvelle : ceux qui attendent jusqu’en juillet auront un problème.

Étape 1 : état des lieux (1-2 semaines). Quels systèmes d’IA l’entreprise utilise-t-elle ? Pas seulement les systèmes évidents comme ChatGPT, mais aussi l’IA intégrée dans les logiciels existants. De nombreux systèmes ERP, outils CRM et plateformes RH ont désormais des fonctionnalités d’IA intégrées, sans que les utilisateurs en soient conscients. Ceux qui ont déjà un partenaire de services gérés peuvent déléguer cet état des lieux.

Étape 2 : évaluation des risques (1 semaine). Pour chaque système d’IA identifié : est-ce un système à haut risque ? La Commission européenne a prévu une base de données pour enregistrer les systèmes à haut risque. En cas de doute : si l’IA prend des décisions concernant des personnes ou les influence, il s’agit probablement d’un système à haut risque.

Étape 3 : mise en place de la documentation (2-4 semaines). Mettre en œuvre les cinq obligations pour les systèmes à haut risque. Cela commence par les fournisseurs : demandez une documentation technique. Posez des questions sur les tests de biais. Exigez une explication de la logique de décision. Si le fournisseur ne peut pas fournir cela, c’est un signal d’alarme.

Étape 4 : mise en place d’une supervision humaine. Désigner une personne responsable pour chaque système à haut risque, qui surveille les décisions de l’IA et intervient en cas de doute. Cela ne doit pas nécessairement être un nouveau poste à temps plein. Dans une entreprise de 100 personnes, il suffit souvent que le responsable de la protection des données assume ce rôle en plus.

Étape 5 : adaptation des processus. Les candidats doivent être informés si l’IA est impliquée dans la présélection. Les clients doivent savoir si une IA évalue leur solvabilité. Ces obligations d’information peuvent être intégrées dans les processus existants, mais nécessitent une adaptation de la communication. Ceux qui ont déjà des processus d’information conformes au RGPD peuvent s’appuyer sur ceux-ci. L’AI Act étend l’obligation d’information, mais ne la remplace pas.

Étape 6 : responsabiliser les fournisseurs. La plupart des PME ne développent pas leurs propres systèmes d’IA. Elles les achètent ou les louent. L’AI Act donne aux exploitants le droit d’exiger du fournisseur la documentation technique, les tests de biais et les déclarations de conformité. Ceux qui concluent un nouveau contrat d’IA devraient inclure ces exigences dans les clauses contractuelles. Ceux qui ont des contrats existants devraient vérifier si le fournisseur peut fournir cela. Sinon, il y a un besoin d’action avant août.

La mise en œuvre de NIS2 a montré ce qui se passe lorsque les PME sous-estiment la réglementation : précipitation peu avant la date limite, consultants trop chers et lacunes dans la documentation. Avec l’AI Act, il y a encore du temps. Mais pas beaucoup.

Un mot sur les coûts : la Commission européenne estime l’effort initial de conformité pour les PME à 6 000 à 7 000 Euro par système d’IA à haut risque. Cela semble gérable. Comparé aux amendes possibles, c’est également le cas. Mais cela suppose que l’état des lieux montre quels systèmes sont concernés. Sans cette première étape, il est impossible d’évaluer de manière réaliste l’effort et les coûts. La plupart des PME ne échouent pas en raison de leur budget, mais en raison du manque de vue d’ensemble sur leur propre paysage d’IA. Ceux qui ont effectué l’état des lieux constateront dans de nombreux cas que seuls un ou deux systèmes relèvent réellement du haut risque. L’effort est alors maîtrisable. L’incertitude est due à l’ignorance, et non à la réglementation elle-même. L’AI Act ne punit pas l’utilisation de l’IA. Il punit l’utilisation non contrôlée de l’IA dans des domaines où les personnes sont concernées. C’est une différence importante que le législateur a choisie consciemment.

„Les PME profitent de règles de conformité simplifiées. Les obligations s’appliquent néanmoins – seule la documentation peut être plus légère.“
– AI Act de l’UE, considérant 145 (facilitations pour les PME)

Foire aux questions

Source de la une : Pexels / Cytonn Photography (px:955394)