L’AI Act (UE) (règlement IA — Règlement (UE) 2024/1689) est la première législation complète au monde sur l’intelligence artificielle. Il est entré en vigueur le 1er août 2024 et s’applique par phases jusqu’en août 2027. En tant que règlement, il s’applique directement en Belgique — aucune transposition nationale n’est à attendre, et il lie toute organisation qui développe, vend, importe ou utilise simplement des systèmes d’IA sur le marché de l’UE, indépendamment du lieu d’établissement du fournisseur.
En résumé — l’AI Act (UE) en 6 points
- Une loi basée sur le risque : les obligations varient selon le niveau de risque du système d’IA.
- Quatre niveaux : inacceptable (interdit), à haut risque, limité (transparence), minimal.
- Il s’applique aux fournisseurs et aux déployeurs — l’utilisation d’un outil d’IA tiers crée également des obligations.
- Dates clés : 2 février 2025 (interdictions + compétences en IA), 2 août 2025 (IA à usage général), 2 août 2026 (à haut risque).
- Les amendes atteignent €35 M ou 7 % du chiffre d’affaires annuel mondial — supérieures au RGPD.
- La Belgique désigne des autorités nationales ; l’obligation d’assurer la compétence en IA s’applique déjà.
Ce que l’AI Act réglemente — et qui il lie
L’AI Act ne réglemente pas l’“IA” dans l’abstrait. Il réglemente les systèmes d’IA et les modèles d’IA à usage général (GPAI) mis sur le marché de l’UE ou dont les résultats sont utilisés dans l’UE. Les obligations sont attachées aux rôles, pas uniquement aux technologies. Les deux rôles les plus importants pour une entreprise belge typique sont :
- Fournisseur — vous développez un système d’IA (ou le faites développer) et le mettez sur le marché sous votre propre nom ou marque.
- Déployeur — vous utilisez un système d’IA sous votre autorité dans un contexte professionnel. La plupart des PME belges sont des déployeurs (par exemple, en utilisant un outil de recrutement par IA, un modèle de scoring crédit ou un assistant service client).
Les importateurs et distributeurs ont également des obligations, mais les rôles de fournisseur et de déployeur déterminent si vous êtes soumis au régime strict des systèmes à haut risque ou aux obligations de transparence allégées.
Les quatre niveaux de risque
Tout dans l’AI Act découle de la classification. Avant de rédiger un seul document de conformité, vous devez savoir dans quel niveau se situe votre système. Notre guide complémentaire, classification des risques de l’AI Act, explique la démarche pas à pas ; voici la vue d’ensemble.
| Niveau | Ce qu’il couvre | Obligation principale |
|---|---|---|
| Inacceptable | Pratiques interdites par l’art. 5 (ex. : notation sociale, systèmes manipulateurs ou exploiteurs, la plupart des identifications biométriques à distance en temps réel dans les espaces publics). | Interdiction — ne pas déployer. |
| À haut risque | Systèmes dans les domaines de l’annexe III (emploi, éducation, services essentiels, maintien de l’ordre, infrastructures critiques…) et composants de sécurité de produits réglementés. | Régime de conformité complet : gestion des risques, gouvernance des données, journalisation, surveillance humaine, enregistrement. |
| Limité | Systèmes interagissant avec des personnes ou générant du contenu (chatbots, deepfakes, médias générés par IA). | Transparence : informer les personnes qu’elles interagissent avec une IA ; étiqueter les contenus générés par IA. |
| Minimal | Tout le reste (filtres anti-spam, moteurs de recommandation, la plupart des outils de productivité). | Aucune obligation obligatoire ; codes volontaires encouragés. |
Le calendrier de conformité
L’AI Act n’est pas une échéance unique mais un escalier. Notez ces dates — elles déterminent ce que vous devez avoir en place et quand.
| Date | Ce qui devient applicable |
|---|---|
| 2 février 2025 | Pratiques interdites (art. 5) et l’obligation de compétences en IA (art. 4) — le personnel utilisant l’IA doit en avoir une compréhension adéquate. |
| 2 août 2025 | Obligations pour les modèles d’IA à usage général (GPAI), les organes de gouvernance, et le cadre des sanctions. |
| 2 août 2026 | L’essentiel des obligations à haut risque (systèmes de l’annexe III) devient applicable. |
| 2 août 2027 | Obligations à haut risque pour les IA composants de sécurité de produits réglementés, et conformité complète pour les modèles GPAI déjà sur le marché avant août 2025. |
Ce que les fournisseurs et déployeurs à haut risque doivent concrètement faire
Si votre système est à haut risque, les obligations sont substantielles. Les fournisseurs doivent mettre en place un système de gestion des risques sur tout le cycle de vie, appliquer des pratiques de gouvernance des données aux données d’entraînement et de test, maintenir une documentation technique et une journalisation automatique, concevoir pour la surveillance humaine, atteindre des objectifs de précision, de robustesse et de cybersécurité, réaliser une évaluation de conformité, apposer le marquage CE et enregistrer le système dans la base de données de l’UE. Les déployeurs ont un ensemble d’obligations moins lourd mais réel : utiliser le système conformément aux instructions, assurer la surveillance humaine, surveiller l’exploitation, conserver les journaux, et — pour de nombreuses utilisations d’intérêt public — réaliser une évaluation de l’impact sur les droits fondamentaux (AIPD). Lorsque des données personnelles sont impliquées, cela s’articule avec vos obligations RGPD ; voir RGPD & IA en Belgique.
IA à usage général (GPAI)
Si vous construisez sur un modèle de fondation — ou en fournissez un — les règles GPAI (applicables depuis le 2 août 2025) exigent une documentation technique, un résumé public du contenu d’entraînement utilisant le modèle de la Commission, et des mesures pour respecter le droit d’auteur de l’UE. Les modèles présentant un “risque systémique” portent des obligations supplémentaires. La plupart des entreprises belges consomment de l’IA à usage général plutôt que d’en fournir, mais si vous affinez ou rebrandez un modèle, vous pourriez hériter d’obligations de fournisseur — vérifiez avant de supposer que vous n’êtes que déployeur.
Sanctions
L’application est sévère. La violation des règles sur les pratiques interdites peut coûter jusqu’à €35 millions ou 7 % du chiffre d’affaires annuel mondial total, le montant le plus élevé étant retenu. Les autres violations des obligations et la fourniture d’informations incorrectes aux autorités entraînent des plafonds plus bas (mais toujours significatifs). Le plafond maximal dépasse déjà les €20 M / 4 % du RGPD.
Comment se préparer — un premier plan pragmatique sur 90 jours
- Inventoriez votre IA. Listez chaque système d’IA que vous fournissez ou déployez, y compris les fonctionnalités intégrées des fournisseurs. Vous ne pouvez pas classifier ce que vous n’avez pas cartographié.
- Classifiez chacun par niveau de risque — c’est ce qui conditionne tout le reste.
- Comblez le déficit de compétences en IA. C’est déjà applicable : formez le personnel de façon adaptée à son rôle et consignez-le.
- Vérifiez les utilisations interdites et arrêtez-les dès maintenant — les interdictions sont déjà en vigueur.
- Établissez une base de gouvernance : responsabilités, documentation, conception de la surveillance humaine, et lien avec vos programmes RGPD et sécurité de l’information existants.
L’AI Act récompense les organisations qui disposent déjà d’une fonction de conformité rigoureuse. Si vous avez un programme ISO 27001 ou NIS2, une grande partie de l’infrastructure de gouvernance — gestion des risques, documentation, surveillance — peut être étendue à l’IA plutôt que reconstruite. La synthèse de cette série, déployer l’IA dans l’UE, montre comment l’AI Act, le RGPD, NIS2 et DORA s’articulent tout au long du cycle de vie de l’IA.
Cet article est une information générale, pas un conseil juridique. Pour les décisions à enjeux réels — classification d’un système, délimitation des obligations à haut risque — validez avec un conseiller qualifié. ICTLAB aide les organisations belges à opérationnaliser la gouvernance de l’IA parallèlement à leur programme de sécurité ; parlez à notre équipe.