Le compte à rebours d'août

2 août 2026. C’est la date à laquelle les dispositions de la Loi sur l’IA de l’UE concernant les systèmes IA à haut risque entrent pleinement en vigueur. Pas les dispositions sur les modèles GPAI et les règles de gouvernance — celles-ci s’appliquent depuis le 2 août 2025. Pas les pratiques interdites — celles-ci ont pris effet en février 2025. Les dispositions sur le haut risque. Celles qui mordent.

Cinq mois à partir d’aujourd’hui.

Ceci n’est pas un énième article « ce que la Loi sur l’IA de l’UE signifie pour votre entreprise ». Le marché en a produit des milliers. Ils sont abstraits, exhaustifs et opérationnellement inutiles — conçus pour démontrer la familiarité de l’auteur avec la réglementation, pas pour aider une entreprise à se préparer à la conformité.

Ceci est un décorticage précis, article par article, de ce qu’une entreprise déployant des systèmes IA doit avoir en place au 2 août 2026. C’est écrit pour des entreprises de 50 à 500 employés qui ont déployé ou déploient des systèmes IA pouvant relever de la classification à haut risque. On part du principe que vous n’avez pas commencé à vous préparer. Cinq mois suffisent — si vous commencez maintenant.

Votre système est-il à haut risque ?

L’article 6 définit les systèmes IA à haut risque en deux catégories :

Catégorie 1 (Article 6(1)) : Systèmes IA qui sont des composants de sécurité de produits, ou qui sont eux-mêmes des produits, couverts par la législation d’harmonisation de l’UE listée à l’annexe I. Cela inclut les machines, les dispositifs médicaux, les jouets, les équipements radio, l’aviation civile, les véhicules, les équipements marins, les systèmes ferroviaires, et d’autres. Si votre système IA est intégré dans ou agit comme composant de sécurité d’un produit couvert par ces directives, il est à haut risque par défaut.

Catégorie 2 (Article 6(2) et annexe III) : Systèmes IA utilisés dans des domaines à haut risque spécifiques listés à l’annexe III. Les huit domaines sont :

1. Identification et catégorisation biométriques. Systèmes d’identification biométrique à distance, reconnaissance des émotions, catégorisation biométrique.
2. Gestion et exploitation d’infrastructures critiques. Systèmes IA utilisés comme composants de sécurité dans la gestion du trafic routier, de l’approvisionnement en eau, gaz, chauffage et électricité.
3. Éducation et formation professionnelle. Systèmes IA qui déterminent l’accès à l’éducation, évaluent les résultats d’apprentissage, surveillent les comportements interdits pendant les examens.
4. Emploi, gestion des travailleurs et accès au travail indépendant. Systèmes IA pour le tri de recrutement, le ciblage des offres d’emploi, les décisions d’embauche, l’allocation des tâches, le suivi et l’évaluation de la performance des travailleurs, et les décisions de promotion ou de licenciement.
5. Accès aux services privés et publics essentiels. Évaluation du crédit, tarification d’assurance, éligibilité aux prestations sociales, dispatch des services d’urgence.
6. Répression. Évaluations individuelles des risques, détection de mensonges, évaluation des preuves, profilage.
7. Migration, asile et contrôle aux frontières. Évaluations des risques, vérification des documents, traitement des demandes.
8. Administration de la justice et processus démocratiques. Systèmes IA qui assistent dans la recherche juridique, l’analyse de dossiers ou la détermination des peines.

Pour une PME européenne de 50 à 500 employés, les classifications à haut risque les plus courantes sont : l’emploi (tout outil IA utilisé dans le recrutement, l’évaluation de performance ou la gestion des effectifs) et les services essentiels (tout outil IA utilisé dans les décisions de crédit, les évaluations d’assurance ou l’éligibilité aux prestations).

La classification ne porte pas sur le modèle. Elle porte sur le cas d’usage. Le même modèle de langage qui génère du contenu marketing (risque minimal) devient à haut risque quand il évalue des candidatures. Le modèle n’a pas changé. Le cas d’usage a changé. Les obligations suivent.

L’exception de l’article 6(3) : Les systèmes IA listés à l’annexe III peuvent être exclus de la classification à haut risque s’ils ne posent pas de « risque significatif d’atteinte » à la santé, la sécurité ou les droits fondamentaux. L’entreprise doit documenter pourquoi l’exception s’applique. En cas de doute, classez en haut risque. Le coût de la surclassification est la conformité. Le coût de la sous-classification est la mise en application.

Les cinq exigences — article par article

Si votre système est à haut risque, cinq ensembles d’exigences s’appliquent. Les voici, avec des actions opérationnelles spécifiques pour chacun.

Exigence 1 : Système de gestion des risques (Article 9)

Vous devez avoir un système de gestion des risques documenté qui identifie, analyse, évalue et atténue les risques de votre système IA. Ce n’est pas une évaluation des risques ponctuelle. C’est un « processus itératif continu » qui s’exécute tout au long du cycle de vie du système.

Ce que cela signifie en pratique :

Avant le 2 août : Documentez les risques connus de votre système IA. Pas des risques IA génériques. Les risques spécifiques de votre système. Que se passe-t-il quand il se trompe ? Qui est affecté ? Avec quelle gravité ? Quelles catégories d’erreur sont les plus probables ? (La fiche modèle — sur laquelle j’ai écrit — est votre source principale pour les risques au niveau du modèle.)

Créez un registre des risques qui associe chaque risque identifié à une mesure d’atténuation. L’atténuation doit être spécifique : « Nous effectuons un examen manuel de toutes les décisions automatisées qui affectent l’emploi individuel » est une atténuation. « Nous surveillons le système pour les risques » n’en est pas une.

Établissez un processus de mise à jour du registre des risques quand le système change, quand le cas d’usage s’élargit, ou quand un nouveau risque est identifié en production. Le processus doit préciser qui est responsable, à quelle fréquence le registre est réexaminé, et ce qui déclenche un examen ponctuel.

Effort estimé : 2 à 3 semaines de travail dédié pour un déploiement PME typique. Une personne, à temps partiel, avec une expertise métier dans le domaine d’application du système IA.

Exigence 2 : Gouvernance des données (Article 10)

Les jeux de données d’entraînement, de validation et de test doivent répondre aux critères de qualité spécifiés dans la réglementation. Les données doivent être « pertinentes, suffisamment représentatives et, dans la mesure du possible, exemptes d’erreurs et complètes ». Vous devez documenter les caractéristiques des données, leur source, le processus de collecte et toutes les opérations de prétraitement.

Ce que cela signifie en pratique :

Si vous avez fine-tuné le modèle : Documentez le jeu de données de fine-tuning. Quelles données ont été utilisées ? D’où viennent-elles ? Quels contrôles de qualité ont été appliqués ? Des caractéristiques protégées (âge, sexe, ethnicité, handicap) étaient-elles présentes dans les données ? Si oui, comment ont-elles été traitées ? Y avait-il des biais connus dans les données ? Si oui, quelles atténuations ont été appliquées ?

Si vous utilisez un modèle pré-entraîné via API : La fiche modèle et la documentation des données du fournisseur contribuent à cette exigence, mais vous restez responsable des données que votre système traite. Documentez les données qui entrent dans votre système : données clients, données opérationnelles, les documents dans votre pipeline RAG. Les mêmes critères de qualité s’appliquent.

Si vous n’avez pas cette documentation : Commencez à la construire maintenant. L’effort est une documentation rétrospective de décisions déjà prises. C’est fastidieux. Ce n’est pas complexe. Un stagiaire avec un modèle et un accès à l’équipe data peut produire 80 % de la documentation requise en deux semaines.

Effort estimé : 1 à 2 semaines pour un système utilisant un modèle pré-entraîné via API. 3 à 4 semaines pour un système avec un fine-tuning personnalisé.

Exigence 3 : Documentation technique (Article 11 et annexe IV)

Vous devez produire une documentation technique avant que le système ne soit mis sur le marché ou mis en service. L’annexe IV spécifie le contenu en détail :

• Description générale du système IA et de sa finalité prévue
• Description détaillée des éléments du système IA et de son processus de développement
• Informations détaillées sur le suivi, le fonctionnement et le contrôle du système
• Description du système de gestion des risques
• Description des modifications apportées au système tout au long de son cycle de vie
• Liste des normes harmonisées appliquées
• Description des mesures mises en place pour garantir la conformité du système aux exigences pertinentes

Ce que cela signifie en pratique :

C’est un exercice de documentation. Le système existe déjà (ou est en cours de construction). La documentation technique décrit ce qui existe. Le principe clé : rédigez-la de sorte qu’un évaluateur technique compétent puisse comprendre ce que fait le système, comment il le fait, quels risques il pose et quels contrôles sont en place.

Le document n’a pas besoin d’être beau. Il doit être précis, complet et maintenu. Un document vivant mis à jour quand le système change est conforme. Un document soigné qui était exact il y a six mois et n’a pas été mis à jour ne l’est pas.

Effort estimé : 3 à 4 semaines pour la documentation initiale. Maintenance continue : 2 à 4 heures par mois.

Exigence 4 : Tenue de registres et journalisation (Article 12)

Le système IA doit enregistrer automatiquement les événements pertinents pour l’identification des risques et la facilitation de la surveillance post-commercialisation. Les journaux doivent inclure : la période de chaque utilisation, la base de données de référence par rapport à laquelle les données d’entrée ont été vérifiées, les données d’entrée pour lesquelles la recherche a conduit à une correspondance, et l’identification des personnes physiques impliquées dans la vérification des résultats.

Ce que cela signifie en pratique :

Votre système IA doit produire des pistes d’audit. Chaque décision que le système prend (ou recommande) doit être journalisée avec suffisamment de détails pour reconstituer la décision après coup. Le journal doit inclure : l’entrée, la sortie, l’horodatage et l’identité de tout examinateur humain.

Pour une PME déployant un service client IA ou un outil de tri RH, cela signifie implémenter une journalisation structurée dans la couche applicative. L’effort d’ingénierie est modeste — la plupart des frameworks modernes de déploiement IA supportent la journalisation structurée. Le coût de stockage est proportionnel au volume : un système traitant 500 décisions par jour génère environ 15 Mo de journaux structurés par mois à une verbosité modérée.

Effort estimé : 1 à 2 semaines d’ingénierie pour l’implémentation. Coût continu minimal.

Exigence 5 : Supervision humaine (Article 14)

J’ai consacré un article complet à ce sujet (« L’erreur à 500 000 € »). En résumé : le système doit être conçu pour être effectivement supervisé par des personnes physiques. La supervision doit être effective — évaluation indépendante, autorité pratique de dérogation, temps suffisant et variation démontrée des résultats.

Ce que cela signifie en pratique :

Construisez l’interface d’examen. Concevez le flux de travail. Formez les examinateurs. Surveillez les taux de dérogation. Tout cela doit être en place avant le 2 août.

Effort estimé : 3 à 5 semaines pour le développement de l’interface, la conception du flux et la formation des examinateurs.

L’évaluation de la conformité

Les articles 16 à 22 définissent les obligations des fournisseurs de systèmes IA à haut risque — les exigences qu’une entreprise doit satisfaire pour démontrer que son système IA à haut risque est conforme.

Pour la plupart des déploiements PME (ceux non couverts par la législation d’harmonisation spécifique de l’UE de l’annexe I), l’évaluation de la conformité est une évaluation interne au titre de l’article 43(2). Vous n’avez pas besoin d’un auditeur externe. Vous n’avez pas besoin d’un organisme notifié. Vous évaluez votre propre conformité sur la base des exigences des articles 8 à 15, documentez l’évaluation et délivrez une déclaration UE de conformité (Article 47).

C’est important : pour la plupart des cas d’usage PME, la conformité est auto-évaluée. La réglementation fait confiance au déployeur pour évaluer sa propre conformité — à condition que l’évaluation soit documentée, que la documentation soit maintenue, et que le système fasse l’objet d’une surveillance post-commercialisation.

La déclaration de conformité est un document d’une page qui stipule : ce système IA, utilisé à cette fin, satisfait aux exigences de la Loi sur l’IA de l’UE. Il référence la documentation technique, le système de gestion des risques et le système de gestion de la qualité.

La déclaration doit être conservée dix ans après la mise sur le marché du système IA.

L’exigence d’enregistrement

L’article 49 exige que les systèmes IA à haut risque soient enregistrés dans la base de données de l’UE pour les systèmes IA autonomes à haut risque (établie au titre de l’article 71) avant d’être mis sur le marché ou mis en service.

L’enregistrement est électronique, via un portail géré par le Bureau de l’IA. Les informations requises sont : le nom et les coordonnées du fournisseur, une description de la finalité prévue, le statut du système IA (sur le marché, retiré, rappelé), une description de la manière dont le système est mis à disposition, et la déclaration UE de conformité.

L’enregistrement n’est pas un mécanisme de filtrage. C’est un mécanisme de transparence. La base de données est publique. Enregistrer votre système démontre une intention de conformité. Ne pas enregistrer un système à haut risque opérationnel est en soi une violation.

Le calendrier

Cinq mois. Voici un calendrier réaliste pour une PME qui n’a pas commencé à se préparer :

Mois 1-2 (mars-avril 2026) : Classification des risques. Déterminer si vos systèmes IA sont à haut risque au titre de l’article 6 et de l’annexe III. Inventorier tous les systèmes IA en usage dans l’entreprise — y compris les outils adoptés par des équipes individuelles sans supervision informatique centralisée. Commencer la documentation de gestion des risques (Article 9) et de gouvernance des données (Article 10) pour tout système classé à haut risque.

Mois 3 (mai 2026) : Documentation technique. Produire la documentation technique de l’annexe IV pour chaque système à haut risque. Implémenter la journalisation structurée (Article 12) si ce n’est pas déjà fait. Commencer le développement de l’interface et du flux de supervision humaine (Article 14).

Mois 4 (juin 2026) : Mise en œuvre de la supervision humaine. Terminer l’interface d’examen, former les examinateurs, établir le flux de travail. Commencer l’évaluation interne de la conformité. Identifier les lacunes et y remédier.

Mois 5 (juillet 2026) : Finalisation de l’évaluation de la conformité. Délivrer la déclaration UE de conformité. Enregistrer les systèmes à haut risque dans la base de données de l’UE. Établir le processus de surveillance post-commercialisation. Tout documenter.

2 août 2026 : Dispositions pleinement en vigueur. Vos systèmes sont conformes, enregistrés et surveillés — ou ils ne le sont pas, et vous opérez en violation.

Le système de gestion de la qualité

L’article 17 exige des fournisseurs de systèmes IA à haut risque qu’ils mettent en œuvre un système de gestion de la qualité. Cette exigence est souvent négligée dans les articles de compte à rebours parce qu’elle semble générique. Elle ne l’est pas.

Le système de gestion de la qualité doit inclure : les politiques et procédures pour la mise en œuvre des exigences de la Loi sur l’IA, les techniques et procédures pour la conception, le contrôle de conception et la vérification de conception du système IA à haut risque, les techniques et procédures pour son développement, le contrôle qualité et l’assurance qualité, les procédures d’examen, de test et de validation à mener avant, pendant et après le développement du système, et les procédures de gestion des données.

Pour une PME, le système de gestion de la qualité n’a pas besoin d’être certifié ISO 9001. Il doit être documenté, mis en œuvre et maintenu. Un système de gestion de la qualité pratique pour un déploiement IA en PME est un document de 10 à 15 pages qui précise : qui est responsable de quoi, comment les modifications du système sont contrôlées, comment le système est testé avant les mises à jour, comment les incidents post-commercialisation sont signalés et investigués, et comment la documentation est maintenue à jour.

Le document prend environ une semaine à produire. Il doit exister avant le 2 août. Il doit être suivi après le 2 août. L’écart entre avoir le document et suivre le document est l’écart que les actions de mise en application ciblent.

Le cadre de sanctions

L’article 99 définit les sanctions en cas de non-conformité :

• Violations des pratiques IA interdites (Article 5) : jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires annuel mondial.
• Violations des exigences de haut risque (Articles 8-15) : jusqu’à 15 millions d’euros ou 3 % du chiffre d’affaires annuel mondial.
• Fourniture d’informations inexactes aux régulateurs : jusqu’à 7,5 millions d’euros ou 1 % du chiffre d’affaires annuel mondial.

Pour les PME, la réglementation prévoit des sanctions proportionnelles — les amendes sont calculées en fonction de la taille de l’entreprise et de la gravité de la violation. Mais « proportionnel » n’est pas « négligeable ». Une amende de 3 % du chiffre d’affaires pour une entreprise de 10 millions d’euros de chiffre d’affaires annuel fait 300 000 €. Pour beaucoup de PME, c’est existentiel.

La réglementation prévoit aussi des mesures de mise en application non financières : ordres de retrait des systèmes IA du marché, ordres de modification des systèmes IA, et déclarations publiques identifiant les entreprises non conformes et leurs systèmes.

La position

Cinq mois suffisent pour se conformer. Cinq mois ne suffisent pas pour procrastiner, former un groupe de travail, commander une mission de conseil, et ensuite se conformer.

La réglementation est précise. Les exigences sont énumérables. L’évaluation de la conformité est interne. L’enregistrement est électronique. Rien de tout cela ne nécessite une armée d’avocats ou un budget de conseil à six chiffres.

Ce que cela nécessite, c’est une décision : nous serons conformes au 2 août. Cette décision, prise aujourd’hui, vous donne cinq mois de travail structuré. Cette décision, prise en juin, vous donne cinq semaines de panique.

La Loi sur l’IA de l’UE n’est pas ambiguë sur ce qu’elle exige. Elle est seulement ambiguë sur le fait de savoir si vous la prendrez au sérieux avant l’échéance.

Cinq mois. Le compte à rebours tourne.