L'EU AI Act est le premier cadre juridique européen sur l'intelligence artificielle. Il s'applique par paliers entre 2025 et 2027, selon l'usage de l'IA et non la taille de l'entreprise. Pour une PME belge, l'enjeu n'est pas de tout traiter d'un coup, mais de savoir ce qui la concerne, et quand [1][3].
Qu'est-ce que l'EU AI Act et qui est concerné en Belgique ?
L'EU AI Act, formellement le règlement (UE) 2024/1689, est entré en vigueur le 1er août 2024. C'est un règlement européen : il s'applique directement en Belgique, sans transposition nationale, exactement comme le RGPD [1][2]. Son approche est fondée sur le risque : plus un système d'IA peut porter atteinte à la santé, à la sécurité ou aux droits fondamentaux, plus ses obligations sont lourdes.
Un point désoriente souvent les dirigeants : le texte ne vise pas une catégorie d'entreprises, mais des rôles. Vous pouvez être « fournisseur » si vous développez ou faites développer un système d'IA sous votre marque, ou « déployeur » si vous utilisez un tel système dans le cadre professionnel. La grande majorité des PME belges sont d'abord des déployeurs : elles utilisent un chatbot, un outil de tri de CV, un assistant de rédaction ou un logiciel de scoring fourni par un tiers.
Cette distinction change tout, parce que les obligations diffèrent selon le rôle. Le règlement prévoit d'ailleurs des mesures d'accompagnement pour les petites et moyennes structures, afin que la charge de conformité reste proportionnée [2]. Le réflexe utile n'est donc pas de paniquer, mais de cartographier : quels systèmes d'IA sont réellement en service chez vous, et à quel titre.
Quel est le calendrier d'application de l'EU AI Act ?
Le règlement ne s'applique pas d'un bloc. Il suit un calendrier échelonné, ce qui laisse le temps de s'organiser à condition de connaître les échéances. Voici les paliers principaux, tels qu'ils figurent dans le calendrier officiel de mise en œuvre [3].
| Date | Ce qui s'applique | Impact typique pour une PME |
|---|---|---|
| 1er août 2024 | Entrée en vigueur du règlement | Aucune obligation immédiate |
| 2 février 2025 | Pratiques interdites et maîtrise de l'IA | Cesser tout usage prohibé ; former les équipes |
| 2 août 2025 | IA à usage général, gouvernance et sanctions | Vérifier ses fournisseurs de modèles d'IA |
| 2 août 2026 | Essentiel des règles, dont l'IA à haut risque (annexe III) et la transparence | Cœur des obligations pour la plupart des cas |
| 2 août 2027 | Haut risque lié aux produits réglementés (article 6, §1) | Concerne surtout l'IA intégrée à des produits certifiés |
En clair, deux échéances sont déjà passées et engagent votre PME dès aujourd'hui : l'interdiction des pratiques prohibées et l'obligation de maîtrise de l'IA depuis février 2025, puis le régime de l'IA à usage général depuis août 2025 [3]. L'échéance la plus structurante pour la suite est le 2 août 2026, qui active l'essentiel du dispositif, notamment pour les systèmes à haut risque et les obligations de transparence.
Cette logique de paliers rappelle celle de la directive NIS2 en cybersécurité : un cadre européen, une application progressive, et un risque réel à sous-estimer le délai de préparation. Anticiper reste moins coûteux que se mettre en conformité dans l'urgence.
Quelles pratiques d'IA sont interdites depuis février 2025 ?
Depuis le 2 février 2025, un socle de pratiques d'IA est purement et simplement interdit dans l'Union, quel que soit le secteur [3][4]. Ce sont les usages jugés contraires aux valeurs et aux droits fondamentaux européens. Une PME n'en déploie que rarement, mais mieux vaut vérifier qu'aucun outil en service n'en relève.
Parmi les pratiques prohibées par l'article 5 du règlement figurent notamment :
- la manipulation comportementale exploitant les vulnérabilités d'une personne pour altérer significativement ses décisions ;
- la notation sociale des individus fondée sur leur comportement ou leurs caractéristiques personnelles ;
- certaines formes de reconnaissance des émotions sur le lieu de travail ;
- le moissonnage non ciblé d'images faciales pour constituer des bases de reconnaissance.
La liste complète et sa formulation exacte relèvent du texte lui-même, et son interprétation évolue [4]. Le bon réflexe pour une PME est de passer en revue ses outils RH, marketing et de surveillance : ce sont les domaines où un usage a priori anodin peut basculer dans une catégorie sensible. En cas de doute sur un cas précis, l'avis d'un juriste spécialisé ou d'un accompagnement technique évite une erreur d'appréciation coûteuse.
Ces interdictions s'accompagnent, depuis la même date, d'une obligation de maîtrise de l'IA (article 4) : les personnes qui exploitent ou déploient des systèmes d'IA doivent disposer d'un niveau de compréhension suffisant de leur fonctionnement et de leurs limites [3]. Pour une PME, cela se traduit concrètement par une sensibilisation des équipes concernées, proportionnée aux systèmes réellement utilisés.
Votre PME utilise-t-elle un système d'IA à haut risque ?
C'est la question qui détermine l'essentiel de votre charge de conformité. Le règlement classe certains usages comme « à haut risque » lorsqu'ils touchent des domaines sensibles : recrutement et gestion du personnel, accès à des services essentiels, évaluation de la solvabilité, infrastructures critiques, éducation, ou certains dispositifs de sécurité [2][6]. Un outil qui trie automatiquement des candidatures ou qui évalue des demandes de crédit peut ainsi entrer dans cette catégorie.
Les quatre niveaux de risque du règlement se lisent comme une échelle :
- Risque inacceptable : pratiques interdites (voir section précédente).
- Haut risque : obligations strictes de gestion des risques, qualité des données, documentation, journalisation et supervision humaine.
- Risque limité : obligations de transparence (informer l'utilisateur qu'il interagit avec une IA).
- Risque minimal : la majorité des usages courants, sans obligation spécifique.
Pour la plupart des PME, la vérité rassurante est que leurs usages quotidiens relèvent du risque minimal ou limité. Mais un seul système à haut risque suffit à déclencher des obligations lourdes, applicables pour l'essentiel à partir du 2 août 2026 [3]. D'où l'importance d'un inventaire honnête plutôt que d'une présomption. Chez ITOPS.be, nous abordons ce diagnostic comme un cadrage préalable (Blueprint) : identifier les systèmes, qualifier leur niveau de risque, puis prioriser les actions avant d'engager la mise en œuvre.
Quelles obligations pour l'IA à usage général et la transparence ?
Depuis le 2 août 2025, les modèles d'IA à usage général, ceux qui alimentent la plupart des assistants génératifs, sont soumis à des obligations propres, portées principalement par leurs fournisseurs [3]. Pour une PME utilisatrice, l'impact est indirect mais réel : il s'agit de s'assurer que les fournisseurs des outils d'IA que vous intégrez respectent bien leurs propres obligations, notamment en matière de documentation technique et de transparence.
À partir du 2 août 2026, les obligations de transparence de l'article 50 montent en puissance [3][7]. Concrètement, un utilisateur doit être informé lorsqu'il interagit avec une IA (un chatbot, par exemple), et les contenus générés ou manipulés par IA, dont les hypertrucages (deepfakes), doivent être identifiables comme tels. Pour une PME qui déploie un agent conversationnel sur son site ou qui produit des visuels assistés par IA, ces règles imposent un affichage clair et honnête.
Ces exigences ne vivent pas en vase clos. Elles se combinent avec le RGPD dès que des données personnelles sont en jeu. L'Autorité de protection des données rappelle que la conformité RGPD reste pleinement obligatoire aux côtés de l'EU AI Act, les deux régimes s'appliquant en parallèle et non l'un à la place de l'autre [5]. Une PME belge doit donc raisonner sur les deux plans à la fois : licéité du traitement de données d'un côté, conformité du système d'IA de l'autre.
Comment mettre votre PME en conformité, étape par étape ?
La bonne nouvelle est qu'une démarche méthodique suffit pour la plupart des PME. Il ne s'agit pas de tout traiter en même temps, mais de suivre un ordre logique qui reflète le calendrier réglementaire.
- Inventorier vos systèmes d'IA : recensez chaque outil utilisant de l'IA, votre rôle (fournisseur ou déployeur) et sa finalité. Sans cette cartographie, aucune obligation ne peut être qualifiée correctement.
- Qualifier le niveau de risque : classez chaque système selon les quatre niveaux. Écartez d'abord tout usage relevant des pratiques interdites [4].
- Traiter d'abord l'urgent : vérifiez la conformité aux obligations déjà applicables (pratiques interdites et maîtrise de l'IA depuis février 2025, IA à usage général depuis août 2025) [3].
- Préparer l'échéance d'août 2026 : pour tout système à haut risque ou soumis à transparence, documentez, encadrez et planifiez les mesures nécessaires avant la date d'application.
- Articuler avec le RGPD : pour chaque système traitant des données personnelles, alignez la démarche AI Act sur vos obligations RGPD existantes [5].
Ce séquencement s'inscrit naturellement dans notre approche en deux temps : un cadrage (Blueprint) qui clarifie ce qui vous concerne, suivi d'une mise en œuvre (Build) qui traduit le diagnostic en mesures concrètes. Pour situer cette gouvernance de l'IA dans une stratégie plus large, notre guide sur l'IA pour PME et ses cas d'usage concrets montre comment conformité et valeur métier avancent de pair.
Un dernier repère de prudence : les modalités précises, les seuils et les guides d'application de l'EU AI Act continuent d'être publiés et affinés par les autorités européennes et belges. Traitez ce cadre comme un chantier vivant, à suivre dans le temps, plutôt que comme une case à cocher une fois pour toutes. Vérifiez toujours l'état du droit en vigueur auprès des sources officielles avant une décision engageante.
Questions fréquentes
L'EU AI Act s'applique-t-il à une petite PME belge ?
Oui, le règlement s'applique selon l'usage de l'IA, pas selon la taille de l'entreprise. Une PME qui déploie ou utilise un système d'IA relève de ses obligations, avec un régime allégé prévu pour les petites structures sur certaines démarches [1][2].
Quelles sont les dates clés de l'EU AI Act à retenir ?
Les pratiques interdites et la maîtrise de l'IA s'appliquent depuis le 2 février 2025, les obligations sur l'IA à usage général depuis le 2 août 2025, et l'essentiel des règles sur les systèmes à haut risque à partir du 2 août 2026 [3].
Une PME risque-t-elle des sanctions si elle n'est pas conforme ?
Le règlement prévoit des amendes administratives, dont les plafonds les plus élevés visent les pratiques interdites. Les montants tiennent compte de la taille de l'entreprise, mais la non-conformité reste un risque à qualifier au cas par cas [1].
L'EU AI Act remplace-t-il le RGPD pour les PME ?
Non. Les deux textes coexistent : le RGPD encadre les données personnelles, l'EU AI Act encadre les systèmes d'IA. L'Autorité de protection des données rappelle que la conformité RGPD reste obligatoire en parallèle [5].
Sources et Références
- EUR-Lex : Règlement (UE) 2024/1689 établissant des règles harmonisées concernant l'intelligence artificielle (AI Act)
- Commission européenne : Cadre réglementaire européen sur l'intelligence artificielle
- AI Act : Calendrier de mise en œuvre par paliers
- AI Act : Article 5, pratiques interdites en matière d'IA
- Autorité de protection des données : Intelligence artificielle et protection des données
- AI Act : Article 6, règles de classification des systèmes à haut risque
- AI Act : Article 50, obligations de transparence