flowful.ai
Contactez-Nous
EN
Retour au Blog
EU AI ActConformitéBelgiqueRéglementationTendances 2026

EU AI Act : guide de conformité pour les PME belges

Guide pratique de l'EU AI Act pour les PME belges : catégories de risque, checklist de conformité et échéances clés à anticiper.

Publié le
EU AI Act : guide de conformité pour les PME belges

L’EU AI Act est déjà en vigueur et les échéances de mise en conformité approchent vite. Si vous êtes une PME belge qui utilise l’IA pour le support client, l’automatisation d’emails ou des workflows internes, vous devez savoir où vous en êtes. La bonne nouvelle : la plupart des usages IA des petites entreprises relèvent de catégories à faible risque. Mais « probablement en règle » n’est pas une stratégie de conformité.

Cet article vous propose un décryptage en langage clair du règlement, une checklist de conformité pratique, et des ressources spécifiques pour les entreprises belges. Chez Flowful, nous construisons de l’automatisation IA pour les PME au quotidien, et la conformité est intégrée dans tout ce que nous livrons. Voici ce que nous avons appris.

Note. Aperçu pratique, pas un avis juridique. Le cadre AI Act bouge encore (accord Digital Omnibus en attente d’adoption). Vérifiez avec un spécialiste avant d’agir sur des obligations précises.

EU AI ACT : OÙ SE SITUE VOTRE SYSTÈME D'IA ? Que fait votre système d'IA ? Interdit Depuis fév. 2025 Notation sociale, détection d'émotions au travail, manipulation, collecte faciale Haut risque D'ici déc. 2027 Tri de CV / recrutement, scoring crédit, assurance, accès éducation, biométrie Risque limité Transparence requise Chatbots clients, contenus générés par l'IA, assistants virtuels Risque minimal Pas d'obligations Automatisation email, outils workflow, filtres spam, traitement documents interne Arrêter immédiatement Conformité complète requise Informer les utilisateurs Documenter et surveiller La plupart des outils IA des PME (email, workflows, docs) relèvent du risque limité ou minimal

Qu’est-ce que l’EU AI Act ?

L’EU AI Act (Règlement 2024/1689) est le premier cadre juridique complet au monde pour l’IA. Publié au Journal officiel le 12 juillet 2024, en vigueur depuis le 1er août 2024. Il classe les systèmes par risque : plus le risque est élevé, plus les règles sont strictes. La page politique de la Commission est ici.

Dates clés, en incluant les reports validés par le Digital Omnibus on AI (accord politique du 7 mai 2026, en attente d’adoption formelle par le Conseil et le Parlement) :

  • 2 fév 2025 : Pratiques interdites bannies. Culture IA (Article 4) applicable.
  • 2 août 2025 : Règles GPAI en vigueur. Code de bonne pratique publié le 10 juillet 2025.
  • 2 août 2026 : Gouvernance, sanctions, application GPAI et culture IA démarrent toutes.
  • 2 décembre 2027 (nouveau) : Obligations haut risque Annexe III (repoussées depuis août 2026).
  • 2 août 2028 (nouveau) : Obligations haut risque Annexe I (repoussées depuis août 2027).

Pour les PME belges, les dates immédiates sont février 2025 (vérifiez l’absence de pratique interdite) et août 2026 (culture IA et sanctions). Les obligations haut risque tombent fin 2027, mais n’attendez pas.

Les quatre catégories de risque

L’AI Act classe les systèmes en quatre niveaux. L’arbre de décision ci-dessus montre les exemples canoniques. Ci-dessous, ce que chaque niveau signifie pour une PME.

Risque inacceptable (interdit)

Notation sociale, manipulation subliminale, identification biométrique en temps réel dans les espaces publics (avec rares exceptions de police), reconnaissance des émotions au travail ou à l’école, scraping non ciblé d’images faciales. Pour les PME : très improbable que vous fassiez l’une de ces choses. Mais vérifiez tout outil qui prétend détecter les émotions, attribuer des scores de fiabilité ou faire de la reconnaissance faciale, et demandez un avis juridique le cas échéant.

Haut risque (obligations lourdes)

Listés à l’Annexe III : tri RH/recrutement, scoring de crédit, évaluation et tarification des risques d’assurance vie ou santé, accès à l’éducation, services publics essentiels, application de la loi, migration, biométrie hors temps réel. Plus les composants de sécurité IA dans les produits réglementés Annexe I (dispositifs médicaux, véhicules, machines). Pour les PME : si vous triez des candidatures, évaluez la solvabilité ou prenez des décisions conséquentes sur des individus, vous êtes probablement ici. Les obligations Chapitre III (gestion des risques, gouvernance des données, doc technique, contrôle humain, évaluation de conformité, enregistrement dans la base UE) s’appliquent au 2 déc 2027 pour Annexe III et 2 août 2028 pour Annexe I.

Risque limité (obligations de transparence)

Chatbots clients, assistants virtuels, contenus générés par IA y compris deepfakes, ainsi que reconnaissance des émotions ou catégorisation biométrique là où elles ne sont pas interdites. Pour les PME : indiquez aux utilisateurs qu’ils parlent à une IA, et étiquetez les contenus générés. Obligation Article 50, simple à mettre en place.

Risque minimal (pas d’obligations spécifiques)

Filtres anti-spam, rédaction d’emails assistée, automatisation de workflows, recommandations produit, prévision de stocks, classification de documents, traduction assistée. Pour les PME : quasiment tout ce que vous utilisez au quotidien. Pas d’étapes obligatoires. Documentez quand même ce que vous faites tourner et pourquoi.

Ce que ça implique pour les PME belges

Si vous utilisez des chatbots IA pour le support, de l’automatisation d’emails, des outils de workflow ou du traitement de documents, vos cas d’usage relèvent presque certainement du risque minimal ou limité. Vous êtes probablement en règle. Mais « probablement » n’est pas une stratégie. Quatre raisons d’y prêter attention quand même :

  1. Vous pourriez être à haut risque sans le savoir. RH qui trient des CV, commerciaux qui scorent des leads alimentant des décisions de crédit, toute décision conséquente sur des individus : la classification dépend du cas d’usage, pas de la technologie.

  2. Les fournisseurs peuvent vous transférer la responsabilité. Les « déployeurs » ont leurs propres obligations distinctes de celles des fournisseurs. Déployez un outil IA généraliste dans un contexte haut risque et la charge retombe sur vous.

  3. L’application en Belgique arrive. L’IBPT/BIPT est l’autorité principale de surveillance, le SPF Économie coordonne l’implémentation, et le CSA est l’un des vingt-et-un organismes Article 77 de protection des droits fondamentaux (médias audiovisuels en Communauté française). La Belgique a manqué l’échéance d’août 2025 ; l’application démarre le 2 août 2026. Amendes sous l’Article 99 : jusqu’à 35M EUR ou 7 % du chiffre d’affaires mondial (pratiques interdites), 15M / 3 % (haut risque), 7,5M / 1 % (information erronée). Les PME et start-ups paient le plus bas des deux montants, mais ça reste significatif.

  4. Les clients vont commencer à poser des questions. Les acheteurs B2B, surtout grandes entreprises et secteur public, vont s’enquérir de votre posture de conformité IA. Être préparé est un avantage.

Checklist de conformité pratique

Sept étapes concrètes à entamer dès aujourd’hui. Pas besoin d’un cabinet d’avocats en permanence.

  1. Inventoriez vos systèmes d’IA. Listez chaque outil que vous faites tourner, y compris les SaaS tiers. Notez ce qu’il fait, quelles données il traite, qui est affecté, qui le fournit. Vous ne pouvez pas évaluer un risque que vous ignorez.
  2. Classifiez chaque système. Trois questions : influence-t-il des décisions conséquentes sur des personnes, interagit-il avec des utilisateurs qui pourraient ignorer parler à une IA, peut-il manipuler ou exploiter des vulnérabilités ? Trois « non » vous placent en risque minimal ou limité. Un « oui », vérifiez l’Annexe III et creusez.
  3. Mettez en place la transparence. Indiquez l’IA aux utilisateurs (chatbots, agents vocaux, contenus générés). Étiquetez les outputs IA. Offrez un chemin vers un humain. Obligation Article 50 pour les systèmes à risque limité.
  4. Gardez l’humain dans la boucle. Faites relire les productions IA avant envoi ou décision. Construisez des chemins d’escalade. Laissez les employés passer outre. Obligatoire et technique pour le haut risque ; bonne pratique partout ailleurs.
  5. Documentez tout. Inventaire, classification, justification, mesures de transparence et de contrôle, incidents, registre RGPD. La documentation est la colonne vertébrale de la conformité. Le vérificateur de conformité du Future of Life Institute est un bon point de départ gratuit.
  6. Revoyez vos contrats fournisseurs. Le fournisseur classifie-t-il le niveau de risque ? Fournit-il la documentation technique AI Act ? Qui porte l’évaluation de conformité ? Que devient votre donnée ? Où est-elle traitée ? Un fournisseur incapable de répondre est un signal d’alarme.
  7. Formez votre équipe. L’obligation de culture IA Article 4 s’applique depuis le 2 fév 2025. Le personnel doit comprendre quels outils IA ils utilisent, comment ils fonctionnent dans les grandes lignes, leurs limites, et votre politique interne. Doctorat non requis.

RGPD et EU AI Act fonctionnent ensemble

Si vous êtes déjà conforme RGPD, l’essentiel du travail analytique se reporte : AIPD ≈ évaluations de risque AI Act. Minimisation et limitation des finalités ≈ gouvernance des données AI Act. Article 22 ≈ obligations de transparence AI Act. Droit à l’intervention humaine ≈ supervision humaine AI Act.

Là où l’AI Act va plus loin : normes techniques sur le système lui-même (précision, robustesse, cybersécurité, documentation technique). Le RGPD encadre les données ; l’AI Act encadre le système. Ne lancez pas deux projets en parallèle. Intégrez l’AI Act dans votre cadre RGPD existant, même équipe, mêmes docs.

Comment Flowful aborde la conformité IA

Chez Flowful, nous sommes un partenaire d’implémentation IA. Nous concevons des chatbots web et internes, des réceptionnistes téléphoniques IA, de l’automatisation email, un helpdesk AI-first (TicketFlow) et un outil de prise de rendez-vous AI-ready (Flowcal) pour les PME en Belgique et en France. La conformité est intégrée dans chacun de nos projets. Nous ne sommes pas un cabinet juridique. Tout ce qui suit décrit comment nous construisons, pas un conseil juridique ; pour le travail formel de conformité, faites appel à un spécialiste.

Voici ce que ça donne en pratique :

  • Hébergement principal en UE. Notre infrastructure de workflows tourne sur Hetzner en Allemagne. L’inférence IA, la voix et l’email transactionnel passent par des sous-traitants US (OpenRouter, ElevenLabs, Twilio, Resend) sous Clauses Contractuelles Types. Chaque sous-traitant est listé dans notre DPA. Sur demande, nous pouvons restreindre le traitement à des fournisseurs européens uniquement ou exécuter des modèles open-source sur infrastructure dédiée.
  • Vos données ne servent pas à entraîner des modèles IA. Nous configurons chaque sous-traitant utilisé pour désactiver l’entraînement sur les données client et documentons les réglages par fournisseur dans notre DPA. Quand un fournisseur ne respecte cette posture que sur un certain tier ou via un opt-out explicite, nous l’activons et le vérifions.
  • Humain dans la boucle là où ça compte. Notre automatisation email peut exiger une approbation humaine avant envoi. Nos agents vocaux escaladent à une personne quand la demande sort du périmètre.
  • Transparence par défaut. Nos chatbots et agents vocaux s’identifient comme des systèmes IA, l’utilisateur sait toujours qu’il interagit avec une IA.
  • Accord de traitement des données (DPA) disponible sur demande. Notre DPA couvre les obligations RGPD et IA, y compris la clause de non-entraînement et la liste des sous-traitants. Envoyez un email à contact@flowful.ai pour le recevoir.

Rien de tout cela ne nous rend uniques. C’est ce que tout fournisseur d’IA responsable devrait faire. Mais nous constatons que de nombreuses PME sont soulagées de travailler avec un partenaire qui a déjà réfléchi à ces questions. Si vous souhaitez en savoir plus sur la construction de systèmes d’IA fiables, nous avons écrit à ce sujet.

Ressources spécifiques à la Belgique

L’écosystème IA belge compte plusieurs organisations et autorités qui peuvent vous aider dans votre démarche de conformité. Voici les plus utiles.

Réglementation et gouvernement

  • IBPT (BIPT) : L’autorité principale de surveillance du marché belge pour l’AI Act. C’est là que l’application du règlement aura lieu pour la plupart des fournisseurs et déployeurs, avec un point de contact unique pour les opérateurs de systèmes haut risque.
  • SPF Économie : Coordonne la mise en œuvre belge de l’AI Act. La section AI Act dédiée propose un guide pour les entrepreneurs, une campagne orientée PME et un PDF téléchargeable.
  • Autorité de protection des données (APD) : Le superviseur RGPD belge. Comme la conformité IA et la protection des données se recoupent significativement, l’APD reste pertinente pour les questions de traitement de données liées à l’IA.
  • Coalition AI4Belgium : Une initiative multi-parties prenantes qui a publié la stratégie IA de la Belgique. Leurs ressources incluent des lignes directrices pratiques et des recommandations sectorielles.

Soutien régional à l’innovation

  • Innoviris (Bruxelles) : L’organisme de financement de l’innovation bruxellois. Propose des chèques et programmes de financement spécifiques à l’IA. Si vous êtes une PME bruxelloise qui explore l’IA, ils peuvent aider à financer une implémentation conforme dès le départ.
  • Digital Wallonia (Wallonie) : Le hub de la stratégie numérique wallonne. Gère les programmes Start IA et Tremplin IA, et publie des guides pratiques d’adoption de l’IA.
  • VLAIO (Flandre) : L’agence flamande de l’innovation et de l’entrepreneuriat. Propose des primes R&D et des programmes de soutien aux PME applicables aux projets IA.

Outils pratiques

  • EU AI Act Explorer : Une ressource indépendante avec une version consultable et annotée du règlement complet. Utile pour rechercher des articles et exigences spécifiques.
  • Compliance Checker du Future of Life Institute : Un outil d’auto-évaluation gratuit qui vous aide à déterminer si votre système d’IA pourrait être considéré à haut risque sous l’AI Act.

Nous avons également publié un guide pour financer votre projet IA en Belgique, qui couvre les subsides et primes pouvant aider à compenser le coût de solutions IA conformes dès le départ.

Et maintenant ?

Un calendrier réaliste pour une PME belge :

  • Maintenant : inventaire, vérifier l’absence de pratique interdite, lancer la formation culture IA, revoir les contrats fournisseurs.
  • D’ici juin 2026 : finir la classification des risques, lancer la remédiation haut risque si applicable, mettre à jour la doc RGPD.
  • D’ici le 2 août 2026 : application de la culture IA et du régime des sanctions. Formation et politiques internes en place.
  • D’ici le 2 décembre 2027 : obligations haut risque Annexe III applicables (date sous réserve de l’adoption formelle du Digital Omnibus).
  • En continu : surveiller les actes délégués, actes d’exécution et orientations belges. Maintenir la documentation à jour.

Pour la plupart des PME belges en automatisation métier standard, la charge est gérable. Commencez maintenant, classifiez honnêtement, prenez l’habitude de la documentation.

Ce post est une introduction, pas une évaluation de conformité. Pour un audit formel, travaillez avec un cabinet juridique ou un spécialiste. Si vous prévoyez une automatisation alimentée par l’IA et voulez la construire avec ces obligations intégrées dès le départ, contactez-nous.

Prêt à transformer votre entreprise avec l'IA ?

Discutons de la façon dont nous pouvons vous aider à atteindre vos objectifs.

Contactez-Nous