Europe Alternatives

2026-04-01

EU AI Act : ce que cela signifie pour les acheteurs SaaS

Le 2 août 2026, les règles du EU AI Act pour les systèmes d'IA à haut risque entrent en vigueur. Si vous achetez du SaaS avec des fonctionnalités d'IA, vous avez déjà des obligations.

Le EU AI Act est en vigueur depuis août 2024. La plupart de ses dispositions sont restées discrètes. Cela change le 2 août 2026, lorsque les règles pour les systèmes d'IA à haut risque selon l'Annexe III deviennent applicables. Si vous êtes une entreprise qui achète du SaaS, cela vous concerne -- même si vous n'avez jamais écrit une seule ligne de code d'IA.

Le calendrier en bref

La loi a été déployée par phases :

  • 2 février 2025 -- Pratiques d'IA interdites bannies (par ex. notation sociale, manipulation subliminale). C'est aussi le moment où les obligations de littératie en IA sont entrées en vigueur.
  • 2 août 2025 -- Les règles pour les modèles d'IA à usage général (GPAI) sont devenues applicables.
  • 2 août 2026 -- Les systèmes d'IA à haut risque selon l'Annexe III doivent être conformes. C'est la date limite qui concerne le plus les acheteurs de logiciels B2B.
  • 2 août 2027 -- Délai étendu pour l'IA à haut risque intégrée dans les produits réglementés (dispositifs médicaux, machines, véhicules).

Fournisseur vs déploiement : lequel êtes-vous ?

La loi attribue des obligations en fonction de votre rôle.

Un fournisseur est une entité qui met un système d'IA sur le marché sous son propre nom -- votre fournisseur CRM avec un modèle de scoring de leads intégré, votre plateforme de recrutement avec un tri automatisé des CV, votre outil de crédit. Ils l'ont construit. Ils sont responsables des évaluations de conformité, du marquage CE, de l'enregistrement dans la base de données européenne et de la fourniture de documentation technique.

Un déployeur est une entité qui utilise un système d'IA dans un contexte professionnel. C'est le cas de la plupart des acheteurs SaaS. Vous n'avez pas construit le modèle, mais vous l'utilisez dans vos opérations commerciales.

Être un déployeur ne signifie pas que vous n'avez aucune obligation. Cela signifie que vos obligations sont plus légères -- mais pas nulles.

Ce que les déployeurs doivent faire pour les systèmes à haut risque

Si un outil SaaS que vous utilisez est qualifié de haut risque selon l'Annexe III, vous avez des obligations au titre de l'Article 26 :

  • Suivre les instructions d'utilisation du fournisseur
  • Conserver les journaux de fonctionnement du système d'IA pendant au moins 6 mois
  • Informer et former les employés qui interagissent avec le système
  • Maintenir une supervision humaine significative -- un humain doit pouvoir examiner, annuler ou arrêter les décisions
  • Ne pas utiliser le système à des fins dépassant celles prévues par le fournisseur

Les organismes publics et les entités privées exploitant des infrastructures critiques ou des services essentiels doivent également réaliser une évaluation d'impact sur les droits fondamentaux avant de déployer un système à haut risque (Article 27). Cela couvre la manière dont le système pourrait affecter les droits des personnes, qui il affecte et comment la supervision fonctionnera.

Quelles catégories de l'Annexe III concernent les acheteurs SaaS

L'Annexe III liste huit domaines où l'IA est classée comme à haut risque. Plusieurs d'entre eux correspondent directement à des outils SaaS courants :

Emploi et RH -- IA pour le tri des candidatures, l'évaluation des candidats lors d'entretiens ou de tests, les décisions de promotion ou de licenciement. Si votre plateforme RH utilise un scoring automatisé, c'est du haut risque.

Services privés essentiels -- IA qui évalue la solvabilité ou calcule des scores de crédit. Si votre logiciel fintech ou de prêt utilise l'IA pour le scoring de risque, il est concerné.

Éducation et formation professionnelle -- IA qui détermine l'accès à l'éducation, évalue les performances des étudiants ou surveille le comportement pendant les examens.

Biométrie -- Systèmes d'identification biométrique à distance et IA qui catégorise les personnes par attributs sensibles. Des exceptions existent pour la simple vérification d'identité.

Si vous n'êtes pas certain qu'un outil est concerné, le AI Act Service Desk de la Commission européenne est le bon point de départ.

Article 50 : transparence pour tous les outils d'IA

Même si aucun de vos outils n'est à haut risque, l'Article 50 s'applique à partir du 2 août 2026 à toute IA qui interagit avec les utilisateurs ou génère du contenu :

  • Les chatbots déployés sur votre site doivent informer les utilisateurs qu'ils parlent à une IA
  • Le texte, les images ou les vidéos générés par l'IA doivent être étiquetés comme générés par l'IA
  • La synthèse vocale qui imite une vraie voix humaine doit être identifiée comme synthétique

Si vous intégrez des chatbots tiers ou utilisez des outils de contenu IA, vérifiez quels contrôles de divulgation le fournisseur propose.

Ce qu'il faut demander à vos fournisseurs SaaS maintenant

Avant août 2026, passez en revue vos outils intégrant l'IA et posez à chaque fournisseur les questions suivantes :

  1. Ce système est-il classé comme à haut risque selon l'Annexe III ? Ils devraient le savoir.
  2. Avez-vous réalisé une évaluation de conformité ? C'est obligatoire pour les fournisseurs de systèmes à haut risque.
  3. Le système porte-t-il le marquage CE et est-il enregistré dans la base de données européenne sur l'IA ? Obligatoire pour les systèmes à haut risque.
  4. Pouvez-vous fournir la documentation technique au titre de l'Annexe IV ? Vous avez droit à une documentation qui soutient votre propre conformité.
  5. Quelles instructions d'utilisation avez-vous publiées ? L'Article 13 exige des fournisseurs qu'ils documentent l'utilisation prévue et les limites.
  6. Êtes-vous conforme aux obligations GPAI ? Si le fournisseur utilise un modèle sous-jacent (GPT-4, Claude, Mistral, etc.) et l'a substantiellement personnalisé, il peut avoir pris en charge des obligations de fournisseur GPAI.

Si un fournisseur ne peut pas répondre à ces questions, c'est une information utile.

La structure des sanctions

Les amendes pour non-conformité dépassent les niveaux du RGPD :

  • Jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial pour les violations des pratiques d'IA interdites
  • Jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial pour la non-conformité aux obligations relatives au haut risque
  • Jusqu'à 7,5 millions d'euros ou 1,5 % du chiffre d'affaires annuel mondial pour la fourniture d'informations incorrectes aux autorités

L'application est assurée par les autorités nationales de surveillance du marché dans chaque État membre de l'UE, la Commission européenne supervisant directement les modèles GPAI via son Bureau de l'IA.

Les fournisseurs européens d'IA et la loi

Les entreprises européennes d'IA -- Mistral (France), Aleph Alpha (Allemagne), les opérations européennes de SambaNova -- construisent leurs produits en tenant compte de la loi dès le départ. Ce n'est pas une garantie automatique de conformité, mais cela signifie que les décisions produit concernant la documentation, la supervision et la transparence sont façonnées par le contexte réglementaire dès le début, plutôt que d'être ajoutées après coup.

Pour les acheteurs évaluant des SaaS intégrant l'IA, poser ces questions de conformité aux fournisseurs européens produit souvent des réponses plus claires que de les poser à des fournisseurs basés aux États-Unis qui s'adaptent au droit européen comme exigence secondaire.

Le texte intégral de la loi est disponible sur artificialintelligenceact.eu, qui est la version la plus lisible de la législation officielle.