Conformité à l'AI Act : Éviter des Amendes de 35 M€ avant Août 2026

L'AI Act européen (Règlement 2024/1689) est le premier cadre juridique complet au monde régissant les systèmes d'intelligence artificielle, applicable à toute entreprise qui développe, place sur le marché ou utilise des systèmes d'IA dans l'Union européenne, indépendamment du lieu d'établissement de l'entreprise. Il établit une classification des risques à quatre niveaux — interdit, à haut risque, à risque limité et à risque minimal — avec des amendes atteignant 35 millions EUR ou 7 % du chiffre d'affaires annuel mondial pour les violations les plus graves. Les interdictions de pratiques d'IA inacceptables sont entrées en vigueur en février 2025, tandis que les obligations complètes pour les systèmes d'IA à haut risque en vertu de l'Annexe III s'appliquent à partir d'août 2026.

Notre équipe de technologie réglementaire combine l’expertise juridique en matière d’AI Act européen avec une expérience pratique des systèmes d’information, de la gouvernance des données et de la réglementation numérique européenne.

Ce service s’inscrit dans notre conseil juridique.

La Fenêtre de Conformité est Déjà Ouverte

L’AI Act n’est pas une réglementation future. Ses premières obligations — les interdictions de pratiques d’IA inacceptables — sont devenues applicables en août 2025. Les entreprises utilisant l’IA dans le recrutement, la notation de crédit, l’interaction client, ou tout processus affectant des individus dans l’UE sont déjà soumises à l’application. Le délai d’août 2026 pour les obligations des systèmes d’IA à haut risque semble lointain, mais les évaluations de conformité, la documentation technique et les systèmes de gestion des risques nécessitent des mois de travail préparatoire.

Le Problème de l’Inventaire

Le point de départ est toujours l’inventaire. La plupart des organisations n’ont pas une image complète de tous les systèmes d’IA qu’elles utilisent : les outils RH avec des algorithmes de sélection automatisée, les plateformes marketing avec segmentation comportementale, les systèmes de notation des clients, les chatbots de service, les outils d’analyse prédictive. Chacun doit être classé dans la taxonomie du Règlement pour déterminer quelles obligations s’appliquent. La mauvaise classification — notamment la sous-estimation du niveau de risque — est l’erreur la plus courante et celle qui crée la plus grande exposition réglementaire. Un système qui traite des données de CV pour classer des candidats est presque certainement à haut risque en vertu de l’Annexe III, quelle que soit la façon dont le fournisseur le commercialise.

Les Obligations des Systèmes à Haut Risque en Pratique

Pour les systèmes classés à haut risque, les obligations sont substantielles. Le fournisseur doit maintenir une documentation technique détaillée, mettre en œuvre un système de gestion des risques, assurer la qualité des données d’entraînement, garantir la transparence et l’interprétabilité du système, concevoir des mécanismes efficaces de supervision humaine, et enregistrer le système dans la base de données UE avant la commercialisation. Nous coordonnons ce processus avec les obligations de protection des données en vertu du RGPD, qui se chevauchent significativement lorsque des systèmes d’IA traitent des données personnelles et nécessitent des analyses d’impact coordonnées.

Notre processus de conformité à l’AI Act

Nous cartographions chaque système d’IA que votre organisation déploie, développe ou utilise, classons chacun par niveau de risque en vertu du Règlement, identifions les obligations applicables et concevons la feuille de route de conformité. Des politiques d’utilisation acceptable aux évaluations de conformité complètes pour les systèmes à haut risque, nous vous guidons à chaque étape du processus.

Notre processus se déroule en phases structurées :

Inventaire des systèmes d’IA et classification des risques — Nous identifions chaque système d’IA que votre entreprise déploie, développe ou acquiert — que ce soit en tant que fournisseur, importateur, distributeur ou déployeur. Nous classons formellement chaque système dans la catégorie de risque correcte : interdit, à haut risque, à risque limité ou à risque minimal. Analyse des lacunes réglementaires — Pour chaque système identifié, nous analysons les obligations applicables et l’état actuel de conformité : documentation technique, mesures de transparence, supervision humaine, gestion des risques et exigences d’enregistrement dans la base de données UE. Plan de conformité et remédiation — Nous priorisons les actions correctives par risque, délais réglementaires et impact opérationnel. Nous concevons les politiques d’IA internes, les procédures d’évaluation de conformité et les structures de gouvernance. Mise en œuvre et surveillance réglementaire — Nous soutenons la mise en œuvre des contrôles techniques et organisationnels, préparons la documentation requise et surveillons les évolutions réglementaires du Bureau de l’IA de l’UE et des actes délégués.

Chaque étape est documentée et produit des livrables concrets. Nous privilégions la clarté opérationnelle : à l’issue de chaque phase, vous savez exactement où vous en êtes, ce qui reste à faire et quel est votre niveau de conformité ou de protection réelle.

Ce qu’inclut notre service de conformité à l’AI Act européen

Notre service couvre l’ensemble du périmètre nécessaire à une protection réelle et durable :

Inventaire des IA et classification des risques : Cartographie complète des systèmes d’IA utilisés, développés ou commercialisés, avec classification formelle par catégorie de risque en vertu du Règlement et analyse de la chaîne de valeur (fournisseur, importateur, distributeur, déployeur).

Analyse des lacunes et feuille de route de conformité : Analyse des écarts entre l’état actuel et les obligations applicables pour chaque système, avec un plan d’action priorisé structuré par niveau de risque et délais réglementaires.

Évaluations de conformité : Conception et exécution du processus d’évaluation de conformité pour les systèmes à haut risque : documentation technique, journalisation des incidents, analyse des biais, tests de robustesse et préparation pour l’examen par un organisme notifié le cas échéant.

Politiques d’IA internes et gouvernance : Rédaction des politiques d’utilisation acceptable de l’IA, des cadres de gouvernance interne, des procédures de supervision humaine et des mécanismes de signalement des incidents conformément à l’AI Act.

Formation et surveillance réglementaire : Formation des équipes technologiques, conformité et direction sur les obligations de l’AI Act, avec surveillance continue des orientations du Bureau de l’IA de l’UE et des actes délégués.

Résultats concrets en conformité à l’AI Act

35M€ Amende maximale pour les pratiques d’IA interdites en vertu de l’AI Act · Août 2026 Délai pour les obligations de conformité des systèmes d’IA à haut risque · 7% Du chiffre d’affaires mondial : amende maximale pour les fournisseurs d’IA

Nos engagements de résultat sont concrets et mesurables. Chaque mission se conclut par un rapport de conformité ou de protection juridique documenté, un plan d’action priorisé lorsque des lacunes subsistent, et une traçabilité complète du travail réalisé — indispensable pour démontrer la diligence de l’entreprise en cas de contrôle ou de litige.

Points Clés pour les Entreprises en Espagne

Quelles entreprises sont soumises à l’AI Act européen ?

L’AI Act s’applique à toute entreprise qui place des systèmes d’IA sur le marché de l’UE ou utilise des systèmes d’IA dans l’UE, indépendamment du lieu d’établissement de l’entreprise. Il couvre les fournisseurs qui développent et vendent des systèmes d’IA ainsi que les déployeurs qui les intègrent dans leurs processus. Les entreprises non européennes qui vendent ou utilisent des systèmes d’IA affectant des citoyens et résidents de l’UE sont également soumises au Règlement.

Quelles pratiques d’IA sont interdites depuis août 2025 ?

L’AI Act interdit absolument les systèmes classés comme présentant un risque inacceptable : manipulation subliminale ou exploitation des vulnérabilités, notation sociale générale par des entités publiques, identification biométrique à distance en temps réel dans des espaces publics (avec des exceptions limitées), reconnaissance des émotions en milieu de travail et éducatif, et catégorisation biométrique pour inférer des attributs sensibles tels que la race ou l’orientation sexuelle.

Quels systèmes sont classés à haut risque en vertu de l’AI Act ?

L’Annexe III liste les catégories à haut risque : IA dans les infrastructures critiques, évaluation des étudiants dans l’éducation, sélection au recrutement et évaluation des performances, accès aux services essentiels (crédit, assurance), application de la loi, migration et asile, et administration de la justice. Ces systèmes nécessitent une évaluation de conformité, une documentation technique détaillée et dans la plupart des cas un enregistrement préalable dans la base de données UE.

Accompagnement sur Mesure

Toute intervention dans ce domaine commence par une analyse de votre situation spécifique — taille de l’entreprise, secteur d’activité, exposition géographique et historique de conformité. Nous ne proposons pas de solutions génériques : chaque recommandation est calibrée sur votre réalité opérationnelle et votre tolérance au risque.

Pour les groupes internationaux opérant en Espagne, nous coordonnons avec les équipes locales de conformité et les cabinets partenaires dans les autres juridictions concernées. Pour les PME, nous calibrons l’effort de mise en conformité de manière proportionnelle — en distinguant les obligations légalement exigibles des bonnes pratiques recommandées, pour que le budget juridique soit alloué de façon optimale.

Notre équipe maintient une veille réglementaire continue sur l’évolution du cadre espagnol et européen. Les clients bénéficient d’alertes proactives sur les changements législatifs les concernant — avant que ces changements ne créent une exposition réglementaire non anticipée.

Cas pratique : mise en conformité AI Act d’un éditeur de logiciels SaaS

Contexte

Un éditeur de logiciels RH basé à Madrid développait une solution SaaS d’évaluation des performances et de recommandation de formations pour les entreprises. Le système utilisait un algorithme de scoring des salariés qui alimentait directement les décisions de promotion et de gestion des carrières. En vertu de l’Annexe III du Règlement (UE) 2024/1689 (AI Act), ce type de système constitue un système d’IA à haut risque (catégorie 4 : emploi, gestion des travailleurs).

L’éditeur n’était pas conscient de cette classification et n’avait pris aucune mesure de conformité avant de recevoir une demande d’un grand client allemand exigeant un dossier de conformité AI Act pour renouveler le contrat.

Intervention BMC

Phase 1 — Classification et analyse de risque (semaines 1-3)

BMC a conduit l’analyse de classification du système IA selon les critères de l’AI Act : identification des use cases, analyse du flux décisionnel (le système produit-il des décisions autonomes ou des recommandations ?), revue de la documentation technique. Conclusion : le système est un système d’IA à haut risque selon l’Annexe III, §4(a) — “systèmes d’IA destinés à être utilisés pour le recrutement ou la sélection de personnes physiques”.

Phase 2 — Programme de conformité (semaines 4-10)

BMC a défini le programme de mise en conformité selon les obligations du Titre III, Chapitre 2 de l’AI Act :

• Système de gestion des risques (art. 9) : établissement d’un registre des risques IA spécifique, avec identification des biais potentiels et des mesures de mitigation
• Documentation technique (art. 11) : préparation du dossier technique complet selon l’Annexe IV (architecture du système, données d’entraînement, métriques de performance, limites du système)
• Transparence et information (art. 13) : rédaction des notices d’information aux utilisateurs et aux personnes évaluées conformément aux exigences de transparence
• Supervision humaine (art. 14) : conception des interfaces et processus garantissant qu’un humain peut toujours annuler ou modifier la décision algorithmique
• Robustesse et précision (art. 15) : définition des métriques de monitoring continu et du processus de signalement des incidents

Phase 3 — Enregistrement dans la base de données EU et déclaration de conformité (semaines 11-12)

BMC a coordonné l’enregistrement du système dans la base de données de l’UE sur les systèmes IA à haut risque (opérationnelle depuis août 2026) et la préparation de la déclaration UE de conformité.

Résultats

Le dossier de conformité a été livré au client allemand dans les délais. L’éditeur a également utilisé le programme de conformité comme avantage commercial : il est désormais l’un des premiers éditeurs RH à pouvoir présenter un dossier AI Act complet, ce qui lui a ouvert plusieurs opportunités commerciales dans des groupes multinationaux soumis à des audits internes de conformité IA.

Questions pré-engagement

1. Mon système IA est-il vraiment à haut risque selon l’AI Act, ou puis-je le déclarer à usage général ?

La classification dépend de l’use case et non de la technologie. L’Annexe III de l’AI Act liste 8 catégories de systèmes à haut risque. Si votre système prend des décisions ou des recommandations qui influencent significativement des décisions concernant des personnes physiques dans ces domaines (emploi, crédit, accès aux services essentiels, sécurité), il est probablement à haut risque. BMC conduit cette analyse de classification en deux semaines.

2. Nos données d’entraînement proviennent de sources publiques. Cela simplifie-t-il nos obligations de conformité ?

Pas nécessairement. Les obligations de l’AI Act portent sur les caractéristiques du système déployé, pas sur l’origine des données d’entraînement. En revanche, la provenance des données est pertinente pour les obligations du RGPD (données personnelles) et pour la documentation technique (art. 11, Annexe IV §2(d)). BMC analyse les deux dimensions simultanément.

3. Combien de temps avant l’entrée en application des obligations pour les systèmes à haut risque devons-nous commencer notre programme ?

Les obligations pour les systèmes à haut risque listés à l’Annexe III, §2-8 (hors infrastructures critiques) entrent en vigueur en août 2026. Compte tenu de la complexité de la documentation technique et des tests de validation requis, nous recommandons de démarrer le programme au minimum 6 mois avant l’échéance applicable à votre catégorie.

4. Devons-nous recourir à un organisme notifié pour la certification ?

Pour la majorité des systèmes à haut risque de l’Annexe III, la conformité peut être démontrée via auto-évaluation, sans évaluation de conformité par un organisme notifié. Les exceptions sont les systèmes dans les domaines de la biométrie (§1), des infrastructures critiques (§2) et certains systèmes dans les secteurs de la sécurité (§6). BMC détermine avec vous si une évaluation tierce est requise ou si l’auto-évaluation est suffisante.

5. Que risque-t-on concrètement en cas de non-conformité ?

Les sanctions de l’AI Act sont graduées : jusqu’à 35 M€ ou 7 % du CA mondial pour les violations les plus graves (interdictions, systèmes à haut risque non conformes), jusqu’à 15 M€ ou 3 % pour d’autres violations, et jusqu’à 7,5 M€ ou 1,5 % pour la fourniture d’informations incorrectes aux autorités. Les autorités compétentes peuvent également ordonner le retrait du système du marché.

Intégration avec l’écosystème BMC

• Data protection / RGPD : la conformité AI Act se superpose aux obligations RGPD pour les traitements de données personnelles dans les systèmes IA. BMC coordonne les deux programmes pour éviter les redondances documentaires.
• AI governance : pour les entreprises avec plusieurs systèmes IA, la conformité AI Act s’intègre dans un cadre de gouvernance IA plus large incluant les politiques de déploiement et de supervision.
• Compliance risk mapping : la cartographie des risques de conformité intègre les risques AI Act parmi les autres risques réglementaires de l’entreprise.

Métriques de succès

L’AI Act espagnol bénéficie d’une fenêtre d’application progressive qui laisse du temps pour la mise en conformité. Cependant, les entreprises qui anticipent — notamment celles dont les clients ou partenaires européens exigent déjà des garanties de conformité — transforment cette obligation en avantage concurrentiel durable.