"Le EU AI Act s'applique à toutes les entreprises utilisant de l'IA." C'est vrai. Mais dans la pratique, tout le monde n'a pas les mêmes obligations - et surtout pas aux mêmes dates. Voici une grille de lecture concrète, avec des exemples réels, pour savoir exactement ce qui vous concerne avant le 2 août 2026.
La question centrale : est-ce un "système d'IA" au sens du règlement ?
Avant même de parler de niveau de risque, il faut savoir si votre outil entre dans la définition légale d'un "système d'IA". Le EU AI Act définit un système d'IA comme :
Un système basé sur une machine, conçu pour fonctionner avec différents niveaux d'autonomie, capable de générer des sorties telles que des prédictions, des recommandations, des décisions ou du contenu influençant des environnements physiques ou virtuels.
En clair : si votre outil prédit, recommande, décide ou génère du contenu - il est probablement un système IA au sens du règlement. Les logiciels purement basés sur des règles fixes (sans apprentissage automatique ni modèle probabiliste) sont généralement exclus.
Les 4 catégories : ce qui change pour chacune
Pratiques interdites - en vigueur depuis le 2 février 2025
Ces usages sont bannis, sans délai ni report possible.
Exemples concrets :
- Un système qui manipule subliminalement les décisions d'achat d'un utilisateur (techniques de dark patterns poussées à l'IA)
- Un outil de scoring social qui évalue les citoyens sur la base de leur comportement global
- Un système de reconnaissance faciale en temps réel dans un espace public à des fins de surveillance (sauf exceptions très encadrées)
- Des outils exploitant les vulnérabilités psychologiques d'utilisateurs pour influencer leur comportement
Pour les PME : ce périmètre est rarement un sujet direct. Mais vérifiez vos outils marketing et de personnalisation avancée.
Systèmes à haut risque (Annexe III) - deadline reportée au 2 décembre 2027*
Ce sont les systèmes les plus encadrés. L'Annexe III liste 8 domaines précis. Si votre outil entre dans l'un de ces domaines, les obligations sont substantielles : évaluation des risques, documentation technique, supervision humaine obligatoire, enregistrement dans la base EU.
Les cas les plus fréquents pour les PME :
| Outil | Haut risque ? | Pourquoi |
|---|---|---|
| Logiciel de tri de CV / ATS avec scoring IA | Oui | Annexe III - Emploi et gestion des travailleurs |
| Outil de scoring de crédit ou d'éligibilité financière | Oui | Annexe III - Accès aux services financiers essentiels |
| Système d'évaluation des élèves / étudiants | Oui | Annexe III - Éducation et formation professionnelle |
| Outil d'aide au diagnostic médical | Oui | Annexe III - Soins de santé |
| CRM avec scoring de lead basique | Non | Pas de décision impactant des droits fondamentaux |
| Outil de génération de contenu marketing | Non | Risque limité (transparence uniquement) |
| Chatbot de service client | Non | Risque limité (transparence uniquement) |
* Si le Digital Omnibus est formellement adopté avant août 2026. Dans le cas contraire, la deadline reste le 2 août 2026.
Risque limité - obligation de transparence au 2 août 2026 (ferme)
C'est la catégorie la plus courante pour les PME. Elle concerne tous les systèmes en contact avec des utilisateurs qui génèrent du contenu ou simulent une interaction humaine.
Obligation principale : informer l'utilisateur qu'il interagit avec une IA.
Chatbot de service client
Votre site web a un assistant virtuel ? Vous devez indiquer clairement à l'utilisateur qu'il parle à une IA. Un simple message d'introduction suffit dans la plupart des cas : "Bonjour, je suis un assistant virtuel..."
Contenu généré par IA
Si vous utilisez de l'IA pour générer des articles, des emails, des descriptions produit ou tout autre contenu destiné au public, vous devez indiquer que ce contenu a été produit ou assisté par une IA. Les modalités exactes dépendent du type de contenu.
Deepfakes et contenus synthétiques
Images, vidéos ou audio manipulés ou générés par IA : obligation de marquage. C'est le domaine du Code of Practice en cours de finalisation (attendu juin 2026).
Risque minimal - pas d'obligation spécifique au 2 août 2026
La grande majorité des outils IA du quotidien entrent dans cette catégorie. Aucune obligation réglementaire spécifique ne s'applique au 2 août 2026.
Exemples :
- Filtre anti-spam de votre messagerie
- Correcteur orthographique et grammatical (Grammarly, LanguageTool...)
- Outil de traduction automatique (DeepL, Google Translate)
- Recommandations de contenu sur les plateformes
- Outils d'optimisation SEO basés sur l'IA
- Outils de planification et de productivité (IA dans Notion, Slack...)
L'obligation transversale : la formation AI literacy
Quelle que soit votre catégorie de risque, une obligation s'applique à toutes les entreprises dès le 2 août 2026 : la formation à l'IA (AI literacy) pour les collaborateurs qui utilisent ou supervisent des systèmes IA.
Cette obligation ne requiert pas une formation certifiante complexe. Elle signifie que vos équipes doivent comprendre :
- Ce que fait l'IA qu'elles utilisent
- Ses limites et ses biais potentiels
- Quand et comment exercer leur jugement humain
Un document interne, une session de sensibilisation, ou une note de procédure peuvent constituer un premier pas conforme.
Le cas particulier des outils SaaS que vous utilisez
Une question revient souvent : "Mon outil SaaS utilise de l'IA. Suis-je responsable ?"
La réponse est : partiellement. Le fournisseur du SaaS est responsable de la conformité du système IA en tant que fournisseur. Mais vous, en tant que déployeur, avez des obligations propres :
- Vérifier que les systèmes haut risque que vous utilisez sont conformes
- Informer vos utilisateurs finaux de l'utilisation de l'IA
- Maintenir une supervision humaine sur les décisions importantes
- Conserver les logs d'utilisation si requis
En pratique : demandez à vos fournisseurs SaaS leur documentation de conformité AI Act. Les bons fournisseurs l'ont déjà préparée ou sont en train de la préparer.
Récapitulatif : ce qui vous concerne au 2 août 2026
| Situation | Obligation au 2 août 2026 |
|---|---|
| Vous utilisez un chatbot | Indiquer que c'est une IA |
| Vous générez du contenu avec l'IA | Indiquer l'assistance de l'IA |
| Vous avez des collaborateurs utilisant l'IA | Formation AI literacy |
| Vous utilisez un outil de tri de CV automatisé | Conformité haut risque (délai potentiel jusqu'en déc. 2027) |
| Vous utilisez un filtre spam | Rien de spécifique |
| Vous utilisez DeepL ou un traducteur | Rien de spécifique |
Pas sûr de la catégorie de vos outils ? AiCompliBot analyse vos systèmes IA en 5 minutes et vous donne vos obligations exactes - gratuitement.