Règlement IA UE : calendrier et obligations pour les PME 2025–2027
What you need to know: Règlement IA UE : calendrier et obligations pour les PME 2025–2027
Le règlement IA de l'UE est mis en œuvre par phases. Voici exactement ce qui est déjà en vigueur, ce qui arrive prochainement et les échéances que votre entreprise ne peut pas manquer.
Le règlement IA de l'UE (règlement 2024/1689) est entré en vigueur le 1er août 2024, mais son application est échelonnée sur trois ans. Pour les PME qui déploient des systèmes d'IA, la compréhension de ces dates est essentielle — certaines obligations sont déjà juridiquement contraignantes, et le non-respect de l'échéance d'août 2026 expose à des amendes pouvant atteindre 35 millions d'euros ou 7 % du chiffre d'affaires mondial annuel.
Ce guide couvre chaque date clé, ce que chaque phase exige concrètement et ce que les PME devraient faire dès maintenant.
Ce qui est déjà en vigueur
2 février 2025 — Maîtrise de l'IA (Article 4)
La première échéance d'application est passée le 2 février 2025. Toute organisation qui fournit ou déploie des systèmes d'IA doit s'assurer que son personnel dispose d'une « maîtrise suffisante de l'IA ». Il ne s'agit pas d'une aspiration — c'est une obligation juridiquement contraignante en vertu de l'article 4.
En pratique, la maîtrise de l'IA signifie que votre personnel doit comprendre :
- Quels systèmes d'IA votre organisation utilise et dans quels processus
- Comment ces systèmes fonctionnent à un niveau général — leurs entrées, sorties et logique
- Leurs limitations connues, leurs modes de défaillance et leur potentiel de biais
- Les risques spécifiques à votre contexte de déploiement
- Comment escalader des préoccupations ou des anomalies
Vous n'avez pas besoin de former chaque employé à l'architecture des réseaux de neurones. Mais les responsables qui s'appuient sur des résultats générés par l'IA pour des décisions affectant des personnes — recommandations d'embauche, évaluations de crédit, évaluations de performance — ont besoin d'une compréhension substantielle, pas d'une simple case cochée.
Le Bureau européen de l'IA n'a pas encore publié de directives détaillées sur ce qui constitue une maîtrise « suffisante », mais le critère pratique est le suivant : cet employé pourrait-il identifier une erreur d'IA et savoir quoi faire ?
2 février 2025 — Pratiques d'IA interdites (Article 5)
Huit catégories d'IA sont désormais purement et simplement interdites dans toute l'UE :
- Manipulation subliminale — IA utilisant des techniques en dessous du seuil de conscience pour influencer le comportement de manière nuisible
- Exploitation des vulnérabilités — IA ciblant des personnes en raison de leur âge, d'un handicap ou de leur situation sociale ou économique pour distordre leur comportement
- Notation sociale par les autorités publiques — évaluation des personnes physiques sur la base de leur comportement social ou de leurs caractéristiques personnelles à des fins d'évaluation sociale générale
- Identification biométrique à distance en temps réel dans les espaces publics par les forces de l'ordre (avec des exceptions étroites et limitées dans le temps pour des crimes spécifiques)
- Catégorisation biométrique déduisant des attributs sensibles (race, opinions politiques, croyances religieuses, orientation sexuelle) à partir de données biométriques
- Reconnaissance des émotions sur les lieux de travail et dans les établissements d'enseignement
- Collecte non ciblée d'images de visages sur internet ou via des caméras de surveillance pour constituer des bases de données biométriques
- Profilage prédictif ciblant des individus sur la base de profils ou de traits de personnalité
Pour la plupart des PME, l'interdiction clé à vérifier est la reconnaissance des émotions sur le lieu de travail (règle 6). Si vous utilisez des outils d'analyse RH, des logiciels de réunion ou des outils de productivité qui prétendent déduire le sentiment ou l'état émotionnel des employés à partir de vidéo, d'audio ou de comportement, ce cas d'usage est désormais interdit.
Ce qui s'applique à partir d'août 2025
2 août 2025 — Obligations pour les modèles d'IA à usage général (Chapitre V)
À partir d'août 2025, les fournisseurs de modèles d'IA à usage général doivent se conformer aux exigences de transparence et de documentation. Cela s'applique aux entreprises qui développent et publient des modèles de fondation — pas aux entreprises qui les utilisent via une API.
Si vous utilisez GPT-4, Claude, Gemini ou Mistral via une API, vous êtes un déployeur, pas un fournisseur de GPAI. Ces obligations incombent respectivement à OpenAI, Anthropic, Google et Mistral. Toutefois, si vous affinez un modèle de fondation et le publiez en externe, vous pouvez devenir un fournisseur de GPAI soumis à ces règles.
Les fournisseurs de GPAI doivent produire une documentation technique, maintenir des politiques relatives aux droits d'auteur et publier des résumés des données d'entraînement. Les modèles jugés présentant un « risque systémique » (ceux entraînés avec plus de 10^25 FLOP) sont soumis à des exigences supplémentaires : tests adversariaux, mesures de cybersécurité et signalement des incidents au Bureau européen de l'IA.
L'échéance majeure : 2 août 2026
Systèmes d'IA à haut risque (Annexe III)
C'est l'échéance la plus importante pour la majorité des organisations déployant de l'IA. À partir du 2 août 2026, tout système d'IA relevant de l'Annexe III et utilisé pour prendre ou influencer de manière significative des décisions affectant des personnes doit satisfaire à l'ensemble des obligations applicables aux systèmes à haut risque.
Catégories de l'Annexe III :
- Identification et catégorisation biométriques
- Infrastructures critiques (énergie, eau, transport, réseaux numériques)
- Éducation et formation professionnelle (accès, évaluation, appréciation)
- Emploi (recrutement, sélection, promotion, licenciement, surveillance)
- Accès aux services essentiels (crédit, assurance, prestations sociales, services d'urgence)
- Application de la loi
- Migration et asile
- Administration de la justice et processus démocratiques
La plupart des PME n'exploiteront pas directement des systèmes d'IA dans le domaine de l'application de la loi ou de la migration. Mais l'emploi et l'accès aux services concernent un large éventail d'entreprises :
- Outils de tri de CV ou de classement de candidats assistés par IA
- Logiciels de suivi de performance influençant les décisions d'emploi
- Outils d'évaluation du risque de crédit ou de souscription d'assurance
- Chatbots conditionnant l'accès aux services publics ou aux prestations
Ce qu'exige la pleine conformité pour les systèmes d'IA à haut risque :
- Système de gestion des risques (Article 9) : processus documenté et continu d'identification et d'atténuation des risques tout au long du cycle de vie
- Données et gouvernance des données (Article 10) : les données d'entraînement, de validation et de test doivent être pertinentes, représentatives et exemptes d'erreurs
- Documentation technique (Article 11) : documentation détaillée de l'objectif, de la conception, des performances et des limitations connues du système
- Tenue de registres / journalisation (Article 12) : journalisation automatique des opérations, notamment pour l'application de la loi et les infrastructures critiques
- Transparence envers les déployeurs (Article 13) : les fournisseurs doivent fournir des instructions d'utilisation, incluant l'objectif prévu et les limitations
- Surveillance humaine (Article 14) : mesures de surveillance effectives, incluant la capacité des humains à intervenir, à outrepasser ou à arrêter le système
- Exactitude, robustesse et cybersécurité (Article 15) : métriques de performance définies et mesures de cybersécurité tout au long du cycle de vie
- Évaluation de la conformité (Article 43) : évaluation par un tiers pour certaines catégories à haut risque, ou auto-évaluation avec enregistrement auprès d'un organisme notifié
La seule évaluation de la conformité peut prendre de trois à six mois. Les organisations qui attendront début 2026 pour commencer auront du mal à la finaliser à temps.
2 août 2027 — Application complète
La dernière phase couvre les systèmes d'IA intégrés dans des produits déjà réglementés par la législation harmonisée de l'UE : dispositifs médicaux, dispositifs de diagnostic in vitro, aviation civile, équipements marins, chemins de fer, véhicules à moteur, machines agricoles et jouets. Ces produits devront être conformes d'ici août 2027.
Cela concerne les fabricants de produits physiques intégrant de l'IA — un dispositif de surveillance avec des diagnostics basés sur l'apprentissage automatique, un système de sécurité pour véhicule, un jouet connecté. Les obligations du règlement IA s'ajoutent aux réglementations existantes en matière de sécurité des produits.
Ce que les PME devraient faire dès maintenant
Étape 1 : Maîtrise de l'IA (déjà exigée). Organisez une session de formation documentée couvrant vos outils d'IA, leurs limitations et les procédures d'escalade. Conservez les preuves — les autorités nationales compétentes en demanderont.
Étape 2 : Constituer un inventaire de l'IA. Répertoriez chaque système d'IA utilisé par votre organisation, y compris les outils tiers intégrant de l'IA. Documentez l'objectif, le fournisseur, les données en entrée et les personnes qui s'appuient sur les résultats.
Étape 3 : Classer chaque système par niveau de risque. Passez en revue les catégories de l'Annexe III pour chaque système de votre inventaire. L'arbre de décision est le suivant : ce système d'IA opère-t-il dans un secteur listé ? Prend-il des décisions ou influence-t-il de manière significative des décisions concernant des personnes ? Si les deux réponses sont oui, il est à haut risque.
Étape 4 : Vérifier l'Annexe I pour les produits intégrant de l'IA. Si vous fabriquez des produits, vérifiez si les composants d'IA relèvent de la législation harmonisée concernée par l'échéance de 2027.
Étape 5 : Pour chaque système à haut risque, commencer une analyse des écarts. Comparez votre documentation et vos processus actuels aux neuf exigences des articles 9 à 15. Établissez un plan de remédiation. Si une évaluation de la conformité par un tiers est requise, identifiez un organisme notifié et entamez les démarches maintenant — les capacités se remplissent rapidement.
Questions fréquentes
Nous utilisons des outils d'IA fournis par des prestataires — sommes-nous « déployeur » ou « fournisseur » ? Si vous utilisez une IA tierce via API ou SaaS et la déployez dans vos processus métier, vous êtes un déployeur. Les fournisseurs (les entreprises qui ont conçu et fourni le système d'IA) supportent les obligations principales. Mais les déployeurs ont leurs propres obligations en vertu de l'article 26, notamment s'assurer que le système est utilisé conformément à son objectif prévu et que la surveillance humaine est en place pour les systèmes à haut risque.
Que se passe-t-il si notre système d'IA ne relève pas de l'Annexe III ? Les systèmes hors Annexe III ne sont pas à haut risque. Ils peuvent néanmoins être soumis à des obligations de transparence limitées (article 50 — pour les chatbots et les hypertrucages) mais ne requièrent pas d'évaluations de la conformité ni le régime complet de documentation. Vous devez toujours respecter l'obligation de maîtrise de l'IA (article 4) et éviter les pratiques interdites (article 5).
L'échéance d'août 2026 est-elle ferme ? Oui. Les dates d'application échelonnées sont inscrites dans l'article 113 du règlement. Rien n'indique une prolongation, et le Bureau européen de l'IA développe activement ses capacités d'application. Les autorités nationales compétentes ont été désignées dans tous les États membres de l'UE.
Quelles sont les amendes en cas de non-respect de l'échéance pour les systèmes à haut risque ? Le non-respect des obligations relatives aux systèmes à haut risque (articles 9 à 15) expose à des amendes pouvant atteindre 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Les pratiques interdites (article 5) exposent à des amendes pouvant atteindre 35 millions d'euros ou 7 %. La fourniture d'informations incorrectes aux autorités expose à des amendes pouvant atteindre 7,5 millions d'euros ou 1,5 %.
Sources
- EUR-Lex, règlement (UE) 2024/1689 (règlement IA UE), article 113 (dates d'application) : https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32024R1689
- Bureau européen de l'IA, calendrier de mise en œuvre et orientations : https://digital-strategy.ec.europa.eu/en/policies/european-ai-office
- ENISA, feuille de route de conformité IA et orientations pour les opérateurs : https://www.enisa.europa.eu/topics/artificial-intelligence
Cet article est fourni à titre informatif uniquement et ne constitue pas un avis juridique. Consultez un conseiller juridique qualifié avant de prendre des décisions en matière de conformité.
Key takeaways: Règlement IA UE : calendrier et obligations pour les PME 2025–2027
This article covers: Ce qui est déjà en vigueur, Ce qui s'applique à partir d'août 2025, L'échéance majeure : 2 août 2026.
- Ce qui est déjà en vigueur
- Ce qui s'applique à partir d'août 2025
- L'échéance majeure : 2 août 2026
- 2 août 2027 — Application complète
- Ce que les PME devraient faire dès maintenant
EuroComply Editorial Team
EU regulatory compliance specialists covering the AI Act, GDPR, NIS2, and related legislation. Content reviewed against official EU regulation texts and enforcement guidance.
For informational purposes only. Consult qualified legal counsel.
Get the weekly EU compliance briefing — 2 minutes, every Thursday.