Europe Alternatives

2026-04-01

EU AI Act : ce que cela signifie pour les acheteurs SaaS

Le 2 aout 2026, les regles du EU AI Act pour les systemes d'IA a haut risque entrent en vigueur. Si vous achetez du SaaS avec des fonctionnalites d'IA, vous avez deja des obligations.

Le EU AI Act est en vigueur depuis aout 2024. La plupart de ses dispositions sont restees discretes. Cela change le 2 aout 2026, lorsque les regles pour les systemes d'IA a haut risque selon l'Annexe III deviennent applicables. Si vous etes une entreprise qui achete du SaaS, cela vous concerne -- meme si vous n'avez jamais ecrit une seule ligne de code d'IA.

Le calendrier en bref

La loi a ete deployee par phases :

  • 2 fevrier 2025 -- Pratiques d'IA interdites bannies (par ex. notation sociale, manipulation subliminale). C'est aussi le moment ou les obligations de litteratie en IA sont entrees en vigueur.
  • 2 aout 2025 -- Les regles pour les modeles d'IA a usage general (GPAI) sont devenues applicables.
  • 2 aout 2026 -- Les systemes d'IA a haut risque selon l'Annexe III doivent etre conformes. C'est la date limite qui concerne le plus les acheteurs de logiciels B2B.
  • 2 aout 2027 -- Delai etendu pour l'IA a haut risque integree dans les produits reglementes (dispositifs medicaux, machines, vehicules).

Fournisseur vs deploiement : lequel etes-vous ?

La loi attribue des obligations en fonction de votre role.

Un fournisseur est une entite qui met un systeme d'IA sur le marche sous son propre nom -- votre fournisseur CRM avec un modele de scoring de leads integre, votre plateforme de recrutement avec un tri automatise des CV, votre outil de credit. Ils l'ont construit. Ils sont responsables des evaluations de conformite, du marquage CE, de l'enregistrement dans la base de donnees europeenne et de la fourniture de documentation technique.

Un deployeur est une entite qui utilise un systeme d'IA dans un contexte professionnel. C'est le cas de la plupart des acheteurs SaaS. Vous n'avez pas construit le modele, mais vous l'utilisez dans vos operations commerciales.

Etre un deployeur ne signifie pas que vous n'avez aucune obligation. Cela signifie que vos obligations sont plus legeres -- mais pas nulles.

Ce que les deployeurs doivent faire pour les systemes a haut risque

Si un outil SaaS que vous utilisez est qualifie de haut risque selon l'Annexe III, vous avez des obligations au titre de l'Article 26 :

  • Suivre les instructions d'utilisation du fournisseur
  • Conserver les journaux de fonctionnement du systeme d'IA pendant au moins 6 mois
  • Informer et former les employes qui interagissent avec le systeme
  • Maintenir une supervision humaine significative -- un humain doit pouvoir examiner, annuler ou arreter les decisions
  • Ne pas utiliser le systeme a des fins depassant celles prevues par le fournisseur

Les organismes publics et les entites privees exploitant des infrastructures critiques ou des services essentiels doivent egalement realiser une evaluation d'impact sur les droits fondamentaux avant de deployer un systeme a haut risque (Article 27). Cela couvre la maniere dont le systeme pourrait affecter les droits des personnes, qui il affecte et comment la supervision fonctionnera.

Quelles categories de l'Annexe III concernent les acheteurs SaaS

L'Annexe III liste huit domaines ou l'IA est classee comme a haut risque. Plusieurs d'entre eux correspondent directement a des outils SaaS courants :

Emploi et RH -- IA pour le tri des candidatures, l'evaluation des candidats lors d'entretiens ou de tests, les decisions de promotion ou de licenciement. Si votre plateforme RH utilise un scoring automatise, c'est du haut risque.

Services prives essentiels -- IA qui evalue la solvabilite ou calcule des scores de credit. Si votre logiciel fintech ou de pret utilise l'IA pour le scoring de risque, il est concerne.

Education et formation professionnelle -- IA qui determine l'acces a l'education, evalue les performances des etudiants ou surveille le comportement pendant les examens.

Biometrie -- Systemes d'identification biometrique a distance et IA qui categorise les personnes par attributs sensibles. Des exceptions existent pour la simple verification d'identite.

Si vous n'etes pas certain qu'un outil est concerne, le AI Act Service Desk de la Commission europeenne est le bon point de depart.

Article 50 : transparence pour tous les outils d'IA

Meme si aucun de vos outils n'est a haut risque, l'Article 50 s'applique a partir du 2 aout 2026 a toute IA qui interagit avec les utilisateurs ou genere du contenu :

  • Les chatbots deployes sur votre site doivent informer les utilisateurs qu'ils parlent a une IA
  • Le texte, les images ou les videos generes par l'IA doivent etre etiquetes comme generes par l'IA
  • La synthese vocale qui imite une vraie voix humaine doit etre identifiee comme synthetique

Si vous integrez des chatbots tiers ou utilisez des outils de contenu IA, verifiez quels controles de divulgation le fournisseur propose.

Ce qu'il faut demander a vos fournisseurs SaaS maintenant

Avant aout 2026, passez en revue vos outils integrant l'IA et posez a chaque fournisseur les questions suivantes :

  1. Ce systeme est-il classe comme a haut risque selon l'Annexe III ? Ils devraient le savoir.
  2. Avez-vous realise une evaluation de conformite ? C'est obligatoire pour les fournisseurs de systemes a haut risque.
  3. Le systeme porte-t-il le marquage CE et est-il enregistre dans la base de donnees europeenne sur l'IA ? Obligatoire pour les systemes a haut risque.
  4. Pouvez-vous fournir la documentation technique au titre de l'Annexe IV ? Vous avez droit a une documentation qui soutient votre propre conformite.
  5. Quelles instructions d'utilisation avez-vous publiees ? L'Article 13 exige des fournisseurs qu'ils documentent l'utilisation prevue et les limites.
  6. Etes-vous conforme aux obligations GPAI ? Si le fournisseur utilise un modele sous-jacent (GPT-4, Claude, Mistral, etc.) et l'a substantiellement personnalise, il peut avoir pris en charge des obligations de fournisseur GPAI.

Si un fournisseur ne peut pas repondre a ces questions, c'est une information utile.

La structure des sanctions

Les amendes pour non-conformite depassent les niveaux du RGPD :

  • Jusqu'a 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial pour les violations des pratiques d'IA interdites
  • Jusqu'a 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial pour la non-conformite aux obligations relatives au haut risque
  • Jusqu'a 7,5 millions d'euros ou 1,5 % du chiffre d'affaires annuel mondial pour la fourniture d'informations incorrectes aux autorites

L'application est assuree par les autorites nationales de surveillance du marche dans chaque Etat membre de l'UE, la Commission europeenne supervisant directement les modeles GPAI via son Bureau de l'IA.

Les fournisseurs europeens d'IA et la loi

Les entreprises europeennes d'IA -- Mistral (France), Aleph Alpha (Allemagne), les operations europeennes de SambaNova -- construisent leurs produits en tenant compte de la loi des le depart. Ce n'est pas une garantie automatique de conformite, mais cela signifie que les decisions produit concernant la documentation, la supervision et la transparence sont faconnees par le contexte reglementaire des le debut, plutot que d'etre ajoutees apres coup.

Pour les acheteurs evaluant des SaaS integrant l'IA, poser ces questions de conformite aux fournisseurs europeens produit souvent des reponses plus claires que de les poser a des fournisseurs bases aux Etats-Unis qui s'adaptent au droit europeen comme exigence secondaire.

Le texte integral de la loi est disponible sur artificialintelligenceact.eu, qui est la version la plus lisible de la legislation officielle.