Le 2 août 2026, le cadre de conformité complet pour les systèmes d'IA à haut risque au titre du Règlement sur l'IA de l'UE devient applicable. Les amendes peuvent atteindre 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial. Dans cinq mois, la plupart des entreprises de taille intermédiaire ne sont pas prêtes. Beaucoup ignorent si elles sont dans le champ d'application.
Voici un état des lieux sans détour.
Ce qui change réellement le 2 août
Le Règlement sur l'IA est déployé par phases depuis son entrée en vigueur en août 2024. La première vague, portant sur les pratiques d'IA interdites, est devenue applicable en février 2025. Si votre entreprise utilise l'IA pour la notation sociale ou l'identification biométrique en temps réel dans les espaces publics, ces interdictions sont déjà en vigueur.
Le 2 août 2026 est la date à laquelle les obligations relatives aux systèmes d'IA à haut risque prennent effet. C'est là que se situent la plupart des entreprises de taille intermédiaire.
Les systèmes d'IA à haut risque, tels que définis dans Annex III du Règlement, doivent satisfaire à un ensemble précis d'exigences avant cette date :
- Évaluations de conformité réalisées et documentées
- Documentation technique disponible et tenue à jour
- Systèmes de journalisation opérationnels permettant la traçabilité des décisions de l'IA
- Mécanismes de supervision humaine mis en place et confiés à une personne responsable
- Enregistrement dans la base de données IA de l'UE pour certaines catégories
- Formation du personnel sur les systèmes qu'il exploite
- Procédures de gestion des incidents identifiées et documentées
Si vous êtes un déployeur (c'est-à-dire que vous utilisez une IA développée par un tiers), vos obligations sont quelque peu moins étendues que celles d'un fournisseur, mais restent substantielles. Vous êtes responsable de vous assurer que le système est utilisé conformément aux instructions du fournisseur, que la journalisation est maintenue, qu'une personne responsable est désignée, et que les conditions de déploiement respectent les exigences du Règlement.
Les obligations de transparence pour les systèmes d'IA en interaction avec des personnes entrent elles aussi pleinement en vigueur le 2 août. Les chatbots orientés clients et les outils de génération de contenu par IA devront s'identifier en tant qu'IA.
Qui est réellement exposé
Toute entreprise européenne de taille intermédiaire utilisant l'IA pour des décisions RH ou financières. C'est la réponse directe.
Plus précisément, si votre entreprise compte entre 50 et 500 salariés et utilise l'IA de l'une des façons suivantes, vous êtes dans le champ d'application de la classification à haut risque :
RH et emploi : filtrage de CV, classement de candidats, surveillance des performances des salariés, recommandations de promotion, planification fondée sur des données de productivité. Les plateformes ATS utilisées par la plupart des entreprises de taille intermédiaire ont intégré ces fonctionnalités depuis deux ans. Beaucoup sont activées par défaut.
Décisions de crédit et financières : notation de solvabilité, évaluation du risque assurantiel, octroi de prêts. Si votre entreprise dispose d'une forme quelconque de crédit ou d'assurance, ou si vous utilisez l'IA pour prendre des décisions concernant les comptes clients, vous êtes concerné.
Éducation et formation : outils d'évaluation d'examens, systèmes d'appréciation des étudiants. Moins courant dans les entreprises de taille intermédiaire, mais à vérifier si vous gérez des programmes de formation.
Accès aux services essentiels : si vous utilisez l'IA pour déterminer qui accède à un service, une prestation ou une opportunité, et que cette décision a des conséquences matérielles pour des individus, le Règlement la classifie probablement comme à haut risque.
La difficulté réside dans le fait que de nombreuses entreprises ignorent qu'elles utilisent l'IA dans ces catégories. Une fonctionnalité intégrée à leur plateforme RH depuis 2021 soulève pourtant la même question de classification.
La dimension géographique compte ici. Le Règlement s'applique aux systèmes d'IA utilisés dans l'UE, quel que soit le siège de l'entreprise. Une entreprise britannique ayant des clients européens et utilisant l'IA pour des décisions de crédit est dans le champ d'application. Une entreprise américaine fournissant des outils de sélection RH utilisés par un employeur français l'est également en tant que fournisseur.
Ce que la conformité requiert concrètement
C'est là que les gens se perdent dans les résumés juridiques. Voyons précisément ce que vous devez faire.
Étape 1 : Recensez ce que vous avez. Réalisez un inventaire de vos systèmes d'IA. Listez chaque outil faisant appel à l'apprentissage automatique ou à la prise de décision automatisée ayant un impact sur des personnes. Incluez les fonctionnalités IA intégrées aux plateformes que vous utilisez déjà. Cette étape prend deux à quatre jours avec les bonnes personnes autour de la table. Ne la négligez pas : tout le reste en dépend.
Étape 2 : Classifiez chaque outil. Pour chaque élément de votre inventaire, posez-vous la question : cet outil figure-t-il dans Annex III ? Si oui, traitez-le comme à haut risque. En cas de doute, traitez-le comme à haut risque jusqu'à pouvoir documenter pourquoi il ne l'est pas.
Étape 3 : Combler les lacunes fournisseurs. Pour chaque outil à haut risque, vous êtes en droit de demander à votre fournisseur la documentation technique et les preuves d'évaluation de conformité. S'il ne peut pas les fournir, il n'est pas conforme en tant que fournisseur, et vous devez prendre une décision d'approvisionnement. Vérifiez également que les Accords de traitement des données (DPA) sont à jour et couvrent les activités de traitement IA en cours.
Étape 4 : Désignez des responsables. Attribuez une personne responsable pour chaque système à haut risque. Cette personne doit comprendre les capacités et les limites du système, avoir l'autorité pour le substituer ou le suspendre, et être formellement désignée comme opérateur responsable.
Étape 5 : Documentez. Constituez un registre IA, c'est-à-dire un document central recensant chaque système d'IA, sa classification, le responsable désigné et l'état d'avancement des activités de conformité. Un tableur suffit. L'essentiel est qu'il existe et soit à jour.
Étape 6 : Formez votre équipe. L'article 4 du Règlement impose aux déployeurs de s'assurer que le personnel exploitant des systèmes d'IA dispose d'une culture IA suffisante. Organisez une session de formation documentée. Conservez les registres des participants et des dates.
Rien de tout cela ne nécessite une équipe juridique ni un budget de conformité de grande entreprise. Cela demande quelques mois d'effort structuré et quelqu'un ayant l'autorité pour le piloter.
Ce qui se passe en cas de non-respect de l'échéance
Un peu de réalisme : le 2 août 2026 n'est pas le jour où les actions d'application tomberont en masse. Les autorités nationales compétentes que les États membres de l'UE devaient désigner avant août 2025 sont nouvellement opérationnelles, et les organes d'application travaillent généralement sur des affaires importantes avant de s'attaquer aux entreprises de taille intermédiaire.
Cela dit, les conséquences de l'inaction sont réelles et s'accumulent dans le temps.
Le risque d'application existe et va croître. L'histoire du GDPR est instructive. L'application était lente en 2018-2020. En 2022-2024, les amendes substantielles à l'encontre d'entreprises de taille intermédiaire étaient devenues courantes. Le Règlement suivra la même trajectoire. Les entreprises prises sans préparation en 2027 ou 2028 regretteront de ne pas avoir agi en 2026.
Les exigences clients et d'appels d'offres se durcissent déjà. Les grands clients et les processus d'achats publics commencent à exiger une conformité IA documentée comme condition contractuelle. Si vous vendez à de grandes entreprises ou à des entités gouvernementales en Europe, cela vous affectera indépendamment de toute action réglementaire.
La pression des fournisseurs amplifie le problème. Vos fournisseurs s'efforcent de mettre leur conformité en ordre. Certains commenceront à exiger des déployeurs de signer des avenants spécifiques au Règlement. D'autres pourront retirer des fonctionnalités à haut risque des marchés qu'ils ne peuvent pas gérer de manière conforme.
La question assurantielle émerge. Plusieurs assureurs en responsabilité civile professionnelle ont commencé à poser des questions sur la gouvernance de l'IA dans leurs questionnaires de renouvellement. Les programmes de conformité documentés deviennent un facteur dans les conditions de couverture, au-delà du simple risque réglementaire.
Le barème des amendes : jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial pour les manquements aux obligations relatives aux systèmes d'IA à haut risque. Pour une entreprise réalisant 50 millions d'euros de chiffre d'affaires, cela représente jusqu'à 1,5 million d'euros. Les cas les plus graves impliquant des pratiques interdites peuvent atteindre 35 millions d'euros ou 7 % du chiffre d'affaires.
Le Sprint de Conformité Karven
Karven propose un sprint de conformité structuré et délimité dans le temps pour les entreprises de taille intermédiaire qui doivent combler leurs lacunes avant août. Il couvre l'inventaire IA, la classification des risques, l'évaluation des écarts fournisseurs et le dossier documentaire en environ six semaines, avec un périmètre défini et des livrables clairs.
Si vous partez de zéro, six semaines suffisent pour comprendre votre exposition et disposer d'un programme de conformité documenté. Certaines entreprises ont uniquement besoin de l'inventaire et d'un deuxième avis sur leurs résultats. D'autres nécessitent un accompagnement de la découverte jusqu'à la mise en œuvre.
Contactez-nous sur karven.ai/contact. Le calendrier se remplit rapidement à l'approche d'août.
Cinq mois semblent amplement suffisants. Mais si l'on tient compte des délais de réponse des fournisseurs, des processus de validation interne, des cycles d'achats et de la réalité que les personnes qui doivent être impliquées sont déjà surchargées, ce n'est pas le cas.
Commencez l'inventaire maintenant.
