AI Act, l'angle mort des dirigeants européens

Deux textes, deux portées

Avant tout, deux précisions de vocabulaire qui évitent les confusions.

L'AI Act, c'est le règlement européen 2024/1689 sur l'intelligence artificielle. Il classe les systèmes IA en quatre niveaux de risque et impose des obligations différenciées par niveau. C'est le texte de fond.

Le Digital Omnibus, c'est un paquet législatif européen proposé par la Commission européenne en novembre 2025 pour amender le calendrier d'application de l'AI Act. Un accord politique provisoire a été conclu sur ce paquet le 7 mai 2026 entre le Parlement et le Conseil. Il repousse certaines échéances et étend les protections aux Small Mid Cap. Pas une dérégulation, un recalibrage.

Le principe central : l'usage compte plus que la technologie

L'AI Act ne classe pas un système IA par la technologie qu'il embarque. Il le classe par son contexte d'usage. Un même outil peut basculer d'une catégorie réglementaire à une autre selon ce que vous en faites.

Un chatbot conversationnel générique est en risque limité. Le même chatbot, intégré dans une plateforme de pré-filtrage de candidats à l'embauche, bascule en haut risque.

C'est cette nuance qui crée l'angle mort. Beaucoup de dirigeants pensent être en risque minimal alors qu'ils opèrent déjà des systèmes structurants pour la décision, classés en haut risque, sans le savoir et sans avoir documenté quoi que ce soit.

Le test Mestiza Lab™ en 3 questions

Question 1 · La finalité.

Quel est le but concret du système ?

Trier, scorer, recommander, décider, surveiller, générer.

Question 2 · Le public.

Sur quel groupe il agit ?

Candidats, salariés, clients, citoyens, patients, élèves.

Question 3 · L'effet.

Quel type de décision il produit ou influence ?

Embauche, crédit, soin, sanction, accès à un service.

Trois réponses, une catégorie. Et la catégorie peut bouger à chaque nouvel usage greffé sur un outil existant.

Les quatre niveaux de risque AI Act

Cliquez sur un niveau pour accéder directement à sa section :

Niveau 1 Risque inacceptable Niveau 2 Haut risque Niveau 3 Risque limité Niveau 4 Risque minimal

Niveau 1 Risque inacceptable

Les pratiques interdites listées à l'Article 5 sont déjà applicables depuis le 2 février 2025. Aucune négociation, aucune mise en conformité possible.

Sont interdits dans le marché européen :

La notation sociale
La manipulation subliminale ou cognitive
L'exploitation des vulnérabilités liées à l'âge, au handicap ou à la situation socio-économique
L'identification biométrique à distance en temps réel dans l'espace public par les forces de l'ordre
La catégorisation biométrique sensible (race, opinions, religion, orientation sexuelle)
La reconnaissance des émotions au travail et à l'école
La police prédictive individuelle
Le scraping massif d'images faciales

Le Digital Omnibus a ajouté deux nouvelles interdictions applicables au 2 décembre 2026 :

La génération de contenus CSAM (Child Sexual Abuse Material, contenu pédopornographique) par IA
Les outils de nudification (génération d'images intimes non consenties)

Sanction Niveau 1

Jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial annuel. Le plus élevé des deux.

Niveau 2 Haut risque

C'est ici que se cache l'angle mort. La majorité des projets IA structurants pour la décision déployés en Europe relèvent du haut risque sans que les dirigeants en aient toujours conscience.

L'Annexe III du règlement liste 8 grandes catégories de cas d'usage classés haut risque :

Ressources humaines (tri de CV, scoring d'entretien, surveillance algorithmique des collaborateurs)
Crédit et services financiers (scoring de crédit, onboarding bancaire automatisé)
Assurance (tarification automatisée en vie et santé)
Justice et processus démocratiques (aide à la décision judiciaire, IA dans les processus électoraux)
Infrastructures critiques (gestion du trafic, réseaux d'eau et d'énergie)
Éducation (admission, notation automatisée, détection algorithmique de fraude)
Santé (aide au diagnostic, triage des urgences, dispositifs médicaux IA)
Migration, asile et contrôle aux frontières, et application de la loi (évaluation du risque de récidive, profilage)

Sanction Niveau 2

Jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires mondial annuel.

Échéance Niveau 2

2 décembre 2027 pour les systèmes autonomes Annexe III. 2 août 2028 pour les systèmes intégrés à des produits réglementés Annexe I (ascenseurs, jouets, machines, dispositifs médicaux). Ces dates sont issues du report Digital Omnibus.

Niveau 3 Risque limité

Une seule obligation, la transparence (Article 50), applicable au 2 août 2026. La personne doit savoir, sans ambiguïté, qu'elle interagit avec une IA ou qu'un contenu a été produit par IA.

Concerné :

Chatbots et assistants conversationnels
Deepfakes (images, vidéos, audios générés ou manipulés)
Contenus génératifs publiés sur des sujets d'intérêt public
Systèmes de reconnaissance d'émotions hors travail et hors école
Catégorisation biométrique légale

Sanction en cas de manquement

Tier 2 de l'Article 99. Jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires mondial annuel.

Un dirigeant qui n'annonce pas qu'un chatbot, un deepfake ou un contenu génératif est produit par IA s'expose au même plafond de sanction qu'un manquement aux obligations haut risque du Niveau 2.

Niveau 4 Risque minimal

Aucune obligation spécifique AI Act sur cette catégorie.

Filtres anti-spam
Copilotes génériques d'aide à la rédaction
Correcteurs orthographiques
Recommandations basiques en e-commerce

Le droit commun continue de s'appliquer :

RGPD (Règlement Général sur la Protection des Données) jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial annuel
Droit du travail, droit de la consommation, propriété intellectuelle

L'obligation transversale que tous les dirigeants oublient

L'Article 4 de l'AI Act impose à tout fournisseur et déployeur d'assurer un niveau suffisant de littératie IA chez ses collaborateurs et chez toute personne agissant pour son compte. Cette obligation est applicable depuis le 2 février 2025.

Elle bascule sous supervision active des autorités nationales le 2 août 2026.

Concrètement, à partir de cette date, un dirigeant doit pouvoir démontrer qu'il a structuré un plan de littératie IA. Qui forme qui. Sur quoi. À quelle fréquence. Avec quelle traçabilité.

Pour les organisations belges de 20 salariés ou plus, ce plan s'intègre dans le plan de formation annuel obligatoire de la loi du 3 octobre 2022.

C'est l'obligation la moins coûteuse à mettre en œuvre et la première qui sera contrôlée. Avec le report des obligations haut risque à fin 2027, c'est très probablement par la littératie que les premières interpellations des autorités nationales arriveront en pratique.

Trois échéances structurent les 18 prochains mois

2 août 2026

Littératie, transparence chatbots et deepfakes, sanctions GPAI (General Purpose AI, modèles d'IA à usage général) opposables.

2 décembre 2026

Nouvelles interdictions Article 5 (CSAM - Child Sexual Abuse Material, nudification), conformité watermarking pour les systèmes génératifs déjà sur le marché.

2 décembre 2027

Haut risque autonome Annexe III applicable.

Les obligations qui basculent en août 2026 ne se rattrapent pas en quelques semaines.

Comment se positionner entre PME, ETI et Small Mid Cap

Trois catégories d'entreprises, trois plafonds, un seul enjeu : savoir lequel des régimes d'allégement vous concerne.

PME · Petites et Moyennes Entreprises

Moins de 250 salariés, chiffre d'affaires inférieur à 50 millions d'euros ou bilan inférieur à 43 millions d'euros. Définition européenne de référence (recommandation Commission 2003/361/CE).

ETI · Entreprises de Taille Intermédiaire

Entre 250 et 4 999 salariés, chiffre d'affaires inférieur à 1,5 milliard d'euros ou bilan inférieur à 2 milliards d'euros. Définition française au sens de la loi de modernisation de l'économie de 2008.

Small Mid Cap · SMC

Jusqu'à 750 salariés, chiffre d'affaires inférieur à 150 millions d'euros ou bilan inférieur à 129 millions d'euros. Catégorie créée par l'accord du 7 mai 2026.

Articulation pratique :

Une PME est toujours SMC (sous les 250 salariés, donc sous les 750)
Une ETI de moins de 750 salariés et sous les seuils CA est SMC
Une ETI de plus de 750 salariés ou au-dessus des seuils CA n'est pas SMC

C'est ce seuil SMC qui ouvre une fenêtre opérationnelle nouvelle pour beaucoup d'ETI françaises, belges et européennes qui se croyaient hors du périmètre PME.

Une fenêtre nouvelle pour les Small Mid Cap

L'accord du 7 mai 2026 a étendu aux Small Mid Cap les allégements précédemment réservés aux PME.

Documentation technique simplifiée
Modulation des sanctions sur le plafond le plus faible
Accès prioritaire aux bacs à sable réglementaires nationaux

Une bonne partie des ETI européennes qui se croyaient hors du périmètre PME tombent désormais dans ce régime allégé.

Le plan en quatre chantiers

Quatre chantiers à conduire en parallèle dans les 90 prochains jours.

Cartographie des usages

Semaines 1 à 4

Cartographier l'ensemble des systèmes IA déployés, internes et externes. Classer chacun selon le test des 3 questions. Livrable : un registre des systèmes IA avec classification provisoire.

Plan de littératie IA

Semaines 2 à 6

Définir le périmètre (salariés, prestataires, fournisseurs), adapter le contenu par niveau (dirigeants, managers, opérationnels, fonctions support), mettre en place la traçabilité, émettre les attestations de participation. Livrable : un plan de littératie versionné.

Transparence et watermarking

Semaines 4 à 10

Auditer les points de contact non annoncés, préparer les mentions, programmer la conformité watermarking au 2 décembre 2026. Mettre à jour les CGU (Conditions Générales d'Utilisation), mentions de service et contrats fournisseurs. Livrable : une matrice points de contact avec statut et date de mise en conformité.

Gouvernance et documentation haut risque

Semaines 6 à 12

Désigner un responsable AI Act, structurer la documentation des Articles 9, 10 et 11. Livrable : charte de gouvernance, dossier technique en version 0 pour chaque système haut risque.

Le modèle de delivery hybride Mestiza Lab™

Mestiza Lab™ pilote l'ensemble du programme de conformité AI Act. Pour les actes juridiques opposables (rédaction de CGU, de contrats fournisseurs, d'addendums contractuels et de clauses de délégation), Mestiza Lab™ coordonne un partenaire avocat spécialisé AI Act. Le client garde un interlocuteur unique. La conformité juridique est portée par l'avocat partenaire sous coordination Mestiza Lab™.

Cette articulation garantit :

Un pilotage stratégique unique côté Mestiza Lab™
Une couverture juridique opposable côté avocat partenaire
Une réduction du nombre de prestataires à coordonner pour le dirigeant

Le mot de la fin

L'AI Act ne stoppera pas l'innovation des entreprises européennes.
Le Digital Omnibus n'est pas une dérégulation, c'est un recalibrage.
Il forcera la plupart des organisations à structurer ce qu'elles font déjà de façon désordonnée.

Pour les dirigeants qui s'y mettent maintenant, c'est un avantage compétitif. Pour les autres, ce sera un coût caché qui apparaîtra au pire moment :

Un contrôle des autorités nationales
Un appel d'offres B2B (business to business) exigeant la conformité
Un incident client
Un audit de due diligence avant une opération capitalistique

La vraie question n'est pas « suis-je concerné par l'AI Act ». Elle est : dans quel contexte est utilisé chacun de mes systèmes, et qu'est-ce que j'ai documenté à ce sujet.

L'IA amplifie ce qui existe déjà. La réglementation aussi.