AI Act et PME belges : ce qu'il faut faire en 2026

L'AI Act devient concret en 2026 : où en sommes-nous ?

Le Règlement (UE) 2024/1689, plus connu sous le nom d'AI Act, est entré en vigueur en août 2024. Depuis février 2025, certaines de ses obligations s'appliquent déjà aux PME belges qui utilisent de l'intelligence artificielle. Les obligations majeures pour la plupart des entreprises — celles qui concernent les systèmes d'IA dits "à haut risque" — seront pleinement applicables en août 2026. Autant dire : pour une PME wallonne ou bruxelloise qui a intégré ChatGPT, un chatbot ou un outil d'analyse de CV, le compte à rebours est lancé.

Cet article fait le point sur ce que vous devez savoir au printemps 2026, en évitant deux pièges : la panique réglementaire (la plupart des PME utilisent de l'IA à risque minimal) et la sous-estimation (l'obligation d'AI literacy s'applique déjà à toutes les entreprises). Ce n'est pas un avis juridique — pour un dossier précis, consultez un avocat spécialisé — mais une orientation pratique pour structurer votre démarche.

Le calendrier réel : ce qui s'applique déjà, ce qui arrive

L'AI Act se déploie par paliers, et il est important de distinguer ce qui est déjà en vigueur de ce qui reste à venir.

Depuis février 2025, deux blocs s'appliquent à toute organisation utilisant de l'IA en Europe : l'interdiction des pratiques inacceptables (notation sociale, manipulation comportementale exploitant des vulnérabilités, identification biométrique en temps réel non autorisée, etc.) et l'obligation d'AI literacy pour les fournisseurs et déployeurs de systèmes d'IA. La grande majorité des PME ne sont pas concernées par les pratiques interdites — ce sont des cas extrêmes — mais l'AI literacy concerne tout le monde.

Depuis août 2025, les règles relatives aux modèles d'IA à usage général (GPAI : ChatGPT, Claude, Gemini, etc.) s'appliquent à leurs fournisseurs, ainsi que les règles de gouvernance et de pénalités. Pour une PME qui utilise ces outils — pas qui les fabrique — l'impact direct est limité, mais cela vous donne plus de transparence sur ce que vous achetez.

À partir d'août 2026, les obligations relatives aux systèmes d'IA à haut risque au sens de l'Annexe III du règlement (recrutement, scoring de crédit, gestion d'infrastructures critiques, certains domaines de l'éducation, etc.) deviennent pleinement applicables. C'est l'étape la plus importante pour les PME qui développent ou achètent des outils d'IA dans ces domaines.

Enfin, en août 2027, la dernière vague d'obligations couvre les systèmes d'IA intégrés dans des produits déjà soumis à des règles de sécurité européennes (machines, dispositifs médicaux, jouets…).

Êtes-vous fournisseur, déployeur ou distributeur ?

L'AI Act distingue plusieurs rôles, et les obligations diffèrent fortement selon votre position. Cette qualification est la première chose à régler.

Le fournisseur ("provider") est celui qui développe ou met sur le marché un système d'IA sous son nom. Si votre PME développe son propre chatbot ou son propre algorithme de recommandation, vous êtes fournisseur. Le déployeur ("deployer", aussi traduit par "utilisateur professionnel") est celui qui utilise un système d'IA dans le cadre de son activité professionnelle. Si vous utilisez ChatGPT pour rédiger des emails, Klaviyo pour segmenter votre base ou un outil de tri de CV acheté à un tiers, vous êtes déployeur. Le distributeur met à disposition un système d'IA sur le marché européen sans en être le fournisseur (cas plus rare en PME).

Pour la grande majorité des PME belges, le statut est celui de déployeur de systèmes à risque limité ou minimal. Cela signifie un nombre restreint d'obligations, mais elles existent : transparence vis-à-vis des utilisateurs (article 50), AI literacy de votre équipe, et — si vous traitez des données personnelles via l'IA — articulation avec le RGPD.

L'AI literacy : l'obligation discrète qui s'applique déjà

L'article 4 du règlement impose aux fournisseurs et aux déployeurs de prendre les mesures nécessaires pour assurer un niveau suffisant de littératie en IA parmi leur personnel et toute personne agissant en leur nom. Cette obligation s'applique depuis le 2 février 2025 et concerne toutes les PME, quel que soit le risque des systèmes utilisés.

Concrètement, qu'est-ce que cela veut dire ? Il n'y a pas de format imposé. Le règlement parle de "compétences, connaissances et compréhension" suffisantes pour utiliser et déployer l'IA "en toute connaissance de cause". Pour une PME belge, cela peut prendre plusieurs formes : une demi-journée de sensibilisation pour l'équipe sur les outils utilisés, une charte interne d'usage de l'IA, des formations courtes sur les risques (hallucinations, biais, fuites de données), une documentation des cas d'usage validés par la direction.

L'erreur que je vois le plus souvent : laisser chaque collaborateur utiliser ChatGPT, Copilot ou Claude dans son coin, sans cadre. Ce n'est ni conforme à l'AI literacy au sens du règlement, ni sain pour la qualité du travail produit. Voir aussi mon article Former une équipe à l'IA en PME pour structurer cette démarche.

Les obligations de transparence (article 50)

L'article 50 impose plusieurs obligations de transparence qui touchent toutes les PME utilisant de l'IA en interaction client. Trois cas pratiques.

Premier cas : chatbot ou agent conversationnel. Si vos clients interagissent avec un système d'IA (chat sur votre site, standard téléphonique IA, agent de support), vous devez les informer qu'ils parlent à une IA, sauf si c'est manifestement évident. La pratique : un message clair en début d'interaction ("Vous échangez avec un assistant virtuel") et la possibilité de demander un humain.

Deuxième cas : contenu généré par IA (deepfakes, images, audios, textes synthétiques). Si vous publiez du contenu généré par IA susceptible d'être pris pour authentique (visuels produits IA, voix synthétiques, articles entièrement IA), vous devez signaler la nature artificielle du contenu. Pour des cas marketing standards (illustrations clairement décoratives, suggestions d'IA validées et réécrites par un humain), l'obligation est plus souple, mais la prudence reste de mise.

Troisième cas : catégorisation biométrique ou reconnaissance d'émotions. Si vous utilisez ces technologies (rares en PME, mais pas inexistantes en RH ou en service client), des obligations renforcées s'appliquent.

Plan de conformité 30-60 jours pour une PME belge

Voici une feuille de route pragmatique pour aborder la conformité AI Act dans une PME belge sans bloquer l'activité.

Semaines 1-2 : cartographie. Listez tous les usages d'IA dans votre entreprise, y compris ceux des collaborateurs (ChatGPT personnel utilisé pour le travail, plug-ins IA dans Excel, fonctionnalités IA de Gmail/Outlook, outils SaaS embarquant de l'IA). Pour chaque usage, identifiez : qui l'utilise, à quelle fin, quelles données sont envoyées, quel fournisseur, quelle catégorie de risque.

Semaines 3-4 : qualification. Pour chaque usage, déterminez votre rôle (fournisseur ou déployeur — quasiment toujours déployeur en PME) et le niveau de risque. Pour 90 % des PME, on est sur du risque minimal ou limité. Si vous identifiez un usage à haut risque (recrutement, scoring crédit, etc.), c'est là qu'un accompagnement spécialisé est nécessaire.

Semaines 5-6 : mise en place du socle. Trois livrables : une charte interne d'usage de l'IA (1-2 pages : outils autorisés, données interdites, validation humaine, signalement des incidents), un plan de formation AI literacy (demi-journée minimum pour toute personne utilisant l'IA), et la mise à jour de la politique de confidentialité côté client (transparence sur l'usage de l'IA).

Semaines 7-8 : contrôles continus. Mettez en place une revue trimestrielle des outils IA utilisés (un nouveau SaaS, une nouvelle fonctionnalité), tenez un registre simple des cas d'usage, et désignez une personne référente en interne. Pour la documentation, voir aussi Sécurité des données IA pour PME qui complète le volet RGPD.

Ressources officielles à consulter

Pour aller plus loin, deux sources fiables. Le portail EU AI Act de la Commission européenne (digital-strategy.ec.europa.eu) regroupe le texte officiel, les guidelines et les actes d'exécution. Le tracker indépendant artificialintelligenceact.eu permet de suivre les annexes et les calendriers d'application sans naviguer dans le journal officiel.

Côté belge, l'autorité nationale compétente pour l'AI Act est en cours de désignation au moment où j'écris ces lignes. Surveillez les communications du SPF Économie et de l'Autorité de protection des données (autoriteprotectiondonnees.be) qui couvre l'articulation AI Act / RGPD. Pour anticiper les erreurs typiques de mise en œuvre, voir aussi Erreurs à éviter quand on intègre l'IA en entreprise.

Pour aller plus loin

L'AI Act n'est ni un épouvantail ni une formalité. Pour une PME qui utilise raisonnablement l'IA — outils de productivité, automatisation, marketing — la conformité est atteignable en quelques semaines de travail structuré. La vraie question n'est pas "comment éviter le règlement", mais "comment intégrer la gouvernance IA dans la façon de piloter l'entreprise". C'est précisément le type de cadrage sur lequel Aïves Consulting travaille avec les PME wallonnes et bruxelloises : audit des usages, charte interne, formation AI literacy, articulation avec votre conformité RGPD existante.

Si vous voulez démarrer, le premier réflexe utile est de produire la cartographie d'usage interne. Sans elle, toutes les démarches qui suivent restent théoriques.