Ce qui se passe si vous ignorez le règlement européen sur l'IA

# Ce qui se passe si vous ignorez le règlement européen sur l'IA

La plupart des fondateurs de SaaS savent que le règlement européen sur l'IA existe. La plupart parient qu'ils pourront s'en occuper plus tard. Voici à quoi ressemble concrètement ce « plus tard ».

Les amendes

L'article 99 du règlement (UE) 2024/1689 établit trois niveaux de sanctions :

Pratiques d'IA interdites (violations de l'article 5) : jusqu'à 35 millions EUR ou 7 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.

Obligations relatives aux systèmes à haut risque (annexe III, articles 6 à 49) : jusqu'à 15 millions EUR ou 3 % du chiffre d'affaires annuel mondial.

Violations des obligations de transparence (article 50) : jusqu'à 7,5 millions EUR ou 1 % du chiffre d'affaires annuel mondial.

Pour un SaaS réalisant 2 millions EUR de chiffre d'affaires annuel, ce plancher de 1 % représente 20 000 EUR pour une violation des obligations de transparence. Pour une entreprise de 10 millions EUR, cela représente 100 000 EUR. Il ne s'agit pas de maximums théoriques destinés à faire peur. Les autorités nationales de surveillance du marché disposent de budgets d'application et du mandat pour les utiliser.

Le calendrier d'application

Le règlement européen sur l'IA est entré en vigueur le 1er août 2024. L'application est progressive :

Le 2 août 2026 est la date qui compte pour la plupart des entreprises SaaS. Si votre produit utilise l'IA et que vous servez des clients dans l'UE, les obligations de transparence de l'article 50 et potentiellement les exigences à haut risque de l'annexe III s'appliquent à partir de cette date.

Qui assure l'application

Chaque État membre de l'UE doit désigner au moins une autorité nationale compétente et une autorité de surveillance du marché. En pratique, cela signifie 27 régulateurs distincts à travers l'UE, chacun ayant ses propres interprétations et priorités en matière d'application.

La France dispose de la CNIL (protection des données) et développe une capacité d'application spécifique à l'IA. L'Allemagne dispose de la BNetzA pour l'IA à usage général et d'autorités étatiques individuelles pour l'application sectorielle. L'Irlande, où de nombreuses entreprises SaaS américaines ont leur entité européenne, disposera de sa propre autorité.

Si votre SaaS sert des clients dans plusieurs États membres de l'UE, plusieurs régulateurs pourraient avoir compétence.

Le vrai risque n'est pas l'amende

Pour une entreprise SaaS, le préjudice réel lié à la non-conformité n'est pas la sanction. C'est ce qui arrive à votre pipeline commercial.

Les acheteurs en entreprise dans l'UE ajoutent la conformité au règlement sur l'IA à leurs listes de contrôle en matière d'achats. Si vous n'êtes pas en mesure de produire une déclaration de transparence au titre de l'article 50, une classification des risques pour vos fonctionnalités d'IA et la documentation de votre approche de conformité, vous ne figurerez pas sur la liste restreinte.

Cela se produit déjà. Le premier trimestre 2026 a vu la première vague d'appels d'offres incluant la conformité au règlement européen sur l'IA comme condition préalable. D'ici le troisième trimestre 2026, après le passage de l'échéance d'août, cela deviendra la norme.

Chaque semaine que vous retardez la mise en conformité est une semaine que vos concurrents peuvent exploiter comme avantage commercial contre vous.

À quoi ressemble concrètement la non-conformité

Un SaaS qui ignore le règlement européen sur l'IA après le 2 août 2026 fait face à cette séquence :

Mois 1 à 6 : Rien de visible ne se passe. Les régulateurs développent leurs capacités. Les clients en entreprise commencent à poser des questions auxquelles vous ne pouvez pas répondre. Vous perdez deux contrats que vous auriez remportés.

Mois 6 à 12 : Un concurrent mentionne votre non-conformité lors d'un entretien commercial. Le service juridique de votre plus grand client européen envoie une demande formelle concernant votre statut au regard du règlement sur l'IA. Vous vous précipitez pour répondre.

Mois 12 à 18 : Une autorité de surveillance du marché envoie une demande formelle d'informations. Vous disposez de 30 jours pour répondre avec une documentation que vous ne possédez pas. Les honoraires juridiques pour répondre correctement dépassent ce qu'aurait coûté la mise en conformité.

Mois 18 à 24 : Mesure d'exécution. Registre public. Tout prospect qui recherche le nom de votre entreprise le voit.

Ce n'est pas de la spéculation. C'est ainsi que l'application du RGPD s'est déroulée entre 2018 et 2020 pour les entreprises qui supposaient que les régulateurs n'agiraient pas.

Ce que la conformité exige concrètement

Pour la plupart des entreprises SaaS, les obligations sont les suivantes :

  1. Classer vos fonctionnalités d'IA au titre de l'annexe III pour déterminer si certaines d'entre elles sont qualifiées de systèmes à haut risque
  2. Déterminer si vous êtes un fournisseur ou un déployeur au sens des définitions du règlement
  3. Ajouter des déclarations de transparence au titre de l'article 50 à votre interface utilisateur là où les utilisateurs interagissent avec l'IA
  4. Documenter votre approche de conformité dans un format que vous pouvez partager avec les clients et les régulateurs
  5. Mettre en place un processus de signalement des incidents pour les incidents graves liés à l'IA

Il ne s'agit pas d'un programme de gouvernance pluriannuel. Pour un SaaS type disposant d'une ou deux fonctionnalités d'IA, l'ensemble du processus prend des jours, et non des mois.

Le coût de l'attente

Chaque mois de retard augmente le coût :

L'échéance du 2 août 2026 ne bougera pas. Le règlement est publié. Le texte est définitif. Attendre la « clarté » signifie attendre l'application.

Que faire maintenant

Commencez par les obligations de transparence. Elles s'appliquent à l'ensemble le plus large de systèmes d'IA et sont les plus faciles à mettre en œuvre. Ajoutez les déclarations au titre de l'article 50 à l'interface utilisateur de votre produit. Classez vos fonctionnalités d'IA au titre de l'annexe III. Documentez tout.

Si vous souhaitez le faire vous-même, notre liste de contrôle open source sur le règlement européen sur l'IA couvre les 47 points répartis en 5 phases de conformité : github.com/GatisOzols/eu-ai-act-checklist

Si vous souhaitez que cela soit fait pour vous, Disclos réalise des audits à périmètre fixe au titre du règlement européen sur l'IA pour les SaaS. 997 EUR, 5 jours ouvrés, garantie de remboursement liée à l'échéance d'août : disclos.eu/audit

Last updated: 2026-06-04