Règlementation UE sur l’IA : 4 mois avant la date limite principale – ce que les PME doivent régler maintenant

Ce qui se passera le 2 août 2026

Le Règlement européen sur l’intelligence artificielle (IA) est la première législation mondiale complète visant à réguler l’intelligence artificielle. Il est entré en vigueur en août 2024, mais ses exigences seront mises en œuvre progressivement. Le 2 février 2025, les interdictions sont entrées en vigueur – les systèmes d’IA jugés comme présentant un risque inacceptable sont désormais interdits. Cela concerne par exemple le social scoring ou les systèmes manipulatoires.

Le 2 août 2025, les obligations de transparence pour les modèles d’IA à usage général (comme ChatGPT ou Claude) sont devenues effectives. Les fournisseurs de ces modèles doivent désormais documenter les données utilisées pour l’entraînement. Certaines obligations d’étiquetage s’appliquent également.

Voici l’étape cruciale : le 2 août 2026, les règles pour les systèmes d’IA à haut risque entreront en vigueur. C’est l’étape qui affectera le plus les petites et moyennes entreprises. Car il ne s’agit pas des fournisseurs de grands modèles linguistiques, mais des entreprises qui utilisent l’IA dans leurs opérations commerciales.

En parallèle, l’Allemagne a mis en place la loi sur la surveillance du marché de l’IA (KI-MIG), qui vise à réguler la structure nationale de supervision. La Bundesnetzagentur (l’Agence fédérale des réseaux) devrait être l’autorité compétente. Mais le processus législatif n’est pas encore achevé. Pour les entreprises, cela ne change rien : le Règlement européen sur l’IA est une ordonnance de l’Union européenne et s’applique directement, avec ou sans loi allemande complémentaire. Attendre Berlin, c’est perdre du temps.

Qui est concerné – et qui ne l’est pas

Le Règlement sur l’intelligence artificielle (IA) distingue quatre niveaux de risque : inacceptable (interdit), élevé (strictement réglementé), limité (obligation de transparence) et minimal (aucune obligation). La catégorie à risque élevé est celle qui concerne les PME. Et elle est plus large que ce que la plupart des gens s’attendent.

La classification ne dépend pas de l’entreprise, mais de l’usage de l’IA. Une entreprise de 50 personnes qui utilise l’IA pour le tri des candidats est soumise aux mêmes obligations qu’un grand groupe coté au DAX. La taille de l’entreprise ne joue un rôle que dans la rigueur de la documentation, pas dans la question de savoir si les règles s’appliquent.

Les systèmes d’IA à risque élevé incluent, entre autres : l’IA dans le recrutement et la sélection du personnel (tri des candidats, analyse des CV), l’IA dans l’octroi de crédit et l’évaluation de la solvabilité, l’IA dans le contrôle de qualité des produits critiques, l’IA dans les évaluations d’assurance et de risque, et l’IA pour la gestion des infrastructures critiques.

Concrètement : si un fabricant de taille moyenne utilise l’IA pour le contrôle de qualité, il relève du risque élevé. Si une société de conseil en recrutement utilise un outil d’IA pour trier les candidatures, elle relève du risque élevé. Si un prestataire de services financiers utilise l’IA pour l’évaluation de crédit, il relève du risque élevé.

Ce qui ne relève pas du risque élevé : la génération de texte assistée par l’IA pour le marketing, les chatbots dans le service client (tant qu’aucune décision automatisée n’est prise), l’IA pour l’analyse interne des données sans impact direct sur les personnes. Celui qui utilise ChatGPT pour rédiger des e-mails n’a pas à s’inquiéter. Celui qui utilise l’IA pour les décisions de personnel, si.

Il existe une zone grise qui concerne de nombreux PME : les fonctions d’IA intégrées dans des logiciels existants. Si le système CRM priorise automatiquement les leads en fonction de la probabilité d’achat, cela peut relever du risque limité. Si l’outil RH trie automatiquement les candidats en fonction de leur adéquation, c’est du risque élevé. La distinction ne se fait pas dans l’outil, mais dans l’impact sur les personnes. Chaque système qui prend ou influence de manière significative des décisions automatisées concernant des personnes physiques est suspect.

Selon l’étude KfW sur l’utilisation de l’IA, 20 % des PME allemandes utilisent déjà l’intelligence artificielle. Soit près de 780 000 entreprises. Chez les PME de plus grande taille, avec plus de 50 employés, ce taux atteint 36 %. La question n’est pas de savoir si le Règlement sur l’IA concerne les PME. La question est de savoir combien, parmi les 780 000, savent qu’il les concerne.

S’ajoute à cela un problème structurel : de nombreux PME perçoivent l’IA comme quelque chose qu’elles « pourraient peut-être introduire un jour ». En réalité, elles utilisent déjà l’IA sans le savoir. Microsoft 365 Copilot, Salesforce Einstein, SAP Business AI, HubSpot Predictive Lead Scoring – tous ces outils utilisent des modèles d’IA en arrière-plan. L’inventaire doit donc commencer par le logiciel utilisé, et non par un document de stratégie IA.

Les 5 obligations pour les systèmes d’IA à haut risque

Toute entreprise exploitant ou utilisant un système d’IA à haut risque devra, à compter du 2 août 2026, respecter cinq exigences. Aucune d’entre elles n’est facultative.

1. Système de gestion des risques : Un système documenté qui identifie, évalue et minimise les risques liés à l’application de l’IA. Il n’est pas nécessaire qu’il s’agisse d’un document de 200 pages, mais il doit exister et être vérifiable. Quels risques l’IA présente-t-elle ? Pour qui ? Que se passe-t-il si elle prend une mauvaise décision ?

2. Qualité des données : Les données d’entraînement et les données d’entrée doivent être documentées et vérifiées pour détecter les biais. Si un outil de recrutement a été formé avec des données qui désavantagent certains groupes de population, cela constitue une violation. La responsabilité incombe à l’exploitant, et non au fournisseur de l’outil.

3. Documentation technique : Une description du système d’IA, de son fonctionnement, de ses limites et de son utilisation prévue. Cela inclut les indicateurs de performance et les faiblesses connues. C’est ce que la plupart des entreprises de taille moyenne doivent exiger de leurs fournisseurs d’IA.

4. Surveillance humaine : Chaque système d’IA à haut risque doit être conçu de manière à ce qu’une personne puisse surveiller, comprendre et, le cas échéant, annuler les décisions prises par l’IA. Pas de rejet automatique des candidatures. Pas de blocage automatique des lignes de crédit.

5. Transparence et enregistrement : Les utilisateurs du système d’IA doivent être informés qu’une décision est prise par une IA. Le système doit conserver des journaux permettant un suivi. Chaque décision doit être reconstructible. Pas en temps réel, mais a posteriori, en cas de plainte ou de vérification.

Ces cinq obligations peuvent sembler abstraites. En pratique, elles signifient que toute entreprise achetant aujourd’hui un outil de recrutement avec fonctionnalité d’IA doit demander au fournisseur la documentation, les tests de biais et la logique de décision. Sinon, elle pourrait être tenue responsable. Le Règlement sur l’intelligence artificielle (AI Act) place délibérément la responsabilité sur l’exploitant, et non seulement sur le fournisseur. C’est un point que de nombreuses entreprises de taille moyenne négligent.

Ce que les PME doivent faire concrètement maintenant

117 jours, ce n’est pas beaucoup. Mais la bonne nouvelle : pour la plupart des PME, l’effort est gérable si elles commencent maintenant. La mauvaise nouvelle : celles qui attendent jusqu’en juillet auront un problème.

Étape 1 : Bilan (1-2 semaines). Quels systèmes d’intelligence artificielle (IA) l’entreprise utilise-t-elle ? Pas seulement les évidents comme ChatGPT, mais aussi l’IA intégrée dans les logiciels existants. De nombreux systèmes ERP, outils CRM et plateformes RH ont désormais des fonctionnalités d’IA intégrées, sans que les utilisateurs en soient conscients. Ceux qui ont déjà un partenaire de services gérés peuvent déléguer ce bilan.

Étape 2 : Évaluation des risques (1 semaine). Pour chaque système d’IA identifié : est-il à haut risque ? La Commission européenne a prévu une base de données pour enregistrer les systèmes à haut risque. En cas de doute : si l’IA prend ou influence des décisions concernant des personnes, elle est probablement à haut risque.

Étape 3 : Construire la documentation (2-4 semaines). Pour les systèmes à haut risque, mettre en œuvre les cinq obligations. Cela commence avec les fournisseurs : demandez la documentation technique. Interrogez-vous sur les tests de biais. Exigez une explication de la logique décisionnelle. Si le fournisseur ne peut pas fournir cela, c’est un signal d’alerte.

Étape 4 : Établir une supervision humaine. Désigner une personne responsable pour chaque système à haut risque afin de surveiller les décisions de l’IA et d’intervenir en cas de besoin. Ce n’est pas nécessairement un nouveau poste à temps plein. Dans une entreprise de 100 personnes, il suffit souvent que le délégué à la protection des données assume ce rôle en plus.

Étape 5 : Adapter les processus. Les candidats doivent être informés si une IA est impliquée dans la présélection. Les clients doivent savoir si une IA évalue leur solvabilité. Ces obligations d’information peuvent être intégrées dans les processus existants, mais nécessitent une adaptation de la communication. Ceux qui ont déjà des processus d’information conformes au RGPD peuvent s’appuyer dessus. Le Règlement sur l’IA étend les obligations d’information, mais ne les remplace pas.

Étape 6 : Engager les fournisseurs. La plupart des PME ne développent pas elles-mêmes leurs systèmes d’IA. Elles les achètent ou les louent. Le Règlement sur l’IA donne aux exploitants le droit d’exiger des fournisseurs la documentation technique, les tests de biais et les déclarations de conformité. Ceux qui concluent un nouveau contrat d’IA devraient inclure ces exigences dans les clauses contractuelles. Ceux qui ont des contrats existants devraient vérifier si le fournisseur peut fournir ces éléments. Si ce n’est pas le cas, une action est nécessaire avant août.

La mise en œuvre de la NIS2 a montré ce qui se passe lorsque les PME sous-estiment la réglementation : précipitation juste avant la date limite, consultants surévalués et lacunes dans la documentation. Avec le Règlement sur l’IA, il reste encore du temps. Mais pas beaucoup.

Un mot sur les coûts : la Commission européenne estime le coût initial de conformité pour les PME à 6 000 à 7 000 euros par système d’IA à haut risque. Cela semble gérable. Comparé aux sanctions possibles, cela l’est aussi. Mais cela suppose que le bilan montre quels systèmes sont concernés. Sans cette première étape, ni les efforts ni les coûts ne peuvent être réalistement estimés. La plupart des PME échouent non pas à cause du budget, mais à cause du manque de visibilité sur leur propre paysage d’IA. Ceux qui ont réalisé le bilan constateront souvent que seuls un ou deux systèmes relèvent réellement du haut risque. L’effort est alors maîtrisable. L’incertitude naît de l’ignorance, pas de la réglementation elle-même. Le Règlement sur l’IA ne sanctionne pas l’utilisation de l’IA. Il sanctionne l’utilisation non contrôlée de l’IA dans des domaines où les personnes sont concernées. C’est une différence importante que le législateur a choisie délibérément.

Questions fréquentes

Source de l’image de titre: Pexels / Cytonn Photography (px:955394)