flowful.ai
Contactez-Nous
EN
Retour au Blog
EU AI ActConformitéBelgiqueRéglementationTendances 2026

EU AI Act : guide de conformité pour les PME belges

Guide pratique de l'EU AI Act pour les PME belges : catégories de risque, checklist de conformité et échéances clés à anticiper.

Publié le
EU AI Act : guide de conformité pour les PME belges

L’EU AI Act est déjà en vigueur et les échéances de mise en conformité approchent vite. Si vous êtes une PME belge qui utilise l’IA pour le support client, l’automatisation d’emails ou des workflows internes, vous devez savoir où vous en êtes. La bonne nouvelle : la plupart des usages IA des petites entreprises relèvent de catégories à faible risque.

Cet article vous propose un décryptage en langage clair du règlement, une checklist de conformité pratique, et des ressources spécifiques pour les entreprises belges. Chez Flowful, nous construisons de l’automatisation IA pour les PME au quotidien, et nous concevons nos systèmes avec la conformité en tête dès le premier jour. Voici ce que nous avons appris.

Avertissement. Flowful construit de l’automatisation IA, nous ne sommes pas avocats ni consultants en conformité. Cet article partage ce que nous avons appris en compilant notre propre posture AI Act, pour que les PME puissent poser des questions éclairées à leur conseil juridique. Le cadre AI Act bouge encore (accord Digital Omnibus en attente d’adoption). Vérifiez avec un spécialiste avant d’agir sur une obligation précise.

EU AI ACT — CLASSIFICATION DES RISQUES RISQUE MINIMAL Automatisation email · Anti-spam · Workflows Traitement docs · Recommandations · Prévisions RISQUE LIMITÉ Chatbots clients · Agents vocaux Contenus générés par IA · Deepfakes HAUT RISQUE Recrutement · Crédit · Assurance Éducation · Biométrie INACCEPTABLE — INTERDIT En vigueur depuis le 2 fév 2025. Notation sociale, IA d'émotions, scraping facial. CONFORMITÉ COMPLÈTE Annexe III d'ici le 2 déc 2027. Évaluation de conformité + enregistrement UE. TRANSPARENCE (Article 50) Indiquer l'IA. Offrir un accès à un humain. Étiqueter deepfakes et textes d'intérêt public. PAS D'OBLIGATIONS SPÉCIFIQUES Documentation et suivi en bonne pratique. Culture IA (Art. 4) reste obligatoire. La plupart des PME

Qu’est-ce que l’EU AI Act ?

L’EU AI Act (Règlement 2024/1689) est le premier cadre juridique complet au monde pour l’IA. Publié au Journal officiel le 12 juillet 2024, en vigueur depuis le 1er août 2024. Il classe les systèmes par risque : plus le risque est élevé, plus les règles sont strictes. La page politique de la Commission est ici.

Dates clés, en incluant les reports validés par le Digital Omnibus on AI (accord politique du 7 mai 2026, en attente d’adoption formelle par le Conseil et le Parlement) :

  • 2 fév 2025 : Pratiques interdites bannies. Culture IA (Article 4) applicable.
  • 2 août 2025 : Règles GPAI en vigueur. Code de bonne pratique publié le 10 juillet 2025.
  • 2 août 2026 : Gouvernance, sanctions, application GPAI et culture IA démarrent toutes.
  • 2 décembre 2027 (nouveau) : Obligations haut risque Annexe III (repoussées depuis août 2026).
  • 2 août 2028 (nouveau) : Obligations haut risque Annexe I (repoussées depuis août 2027).

Pour les PME belges, les dates immédiates sont février 2025 (vérifiez l’absence de pratique interdite) et août 2026 (culture IA et sanctions). Les obligations haut risque tombent fin 2027, mais n’attendez pas.

Les quatre catégories de risque

L’AI Act classe les systèmes en quatre niveaux, illustrés par la pyramide ci-dessus. Plus on monte, plus les règles sont strictes. Ci-dessous, ce que chaque niveau signifie pour une PME.

Risque inacceptable (interdit)

Notation sociale, manipulation subliminale, identification biométrique en temps réel dans les espaces publics (avec rares exceptions de police), reconnaissance des émotions au travail ou à l’école, scraping non ciblé d’images faciales. Pour les PME : très improbable que vous fassiez l’une de ces choses. Mais vérifiez tout outil qui prétend détecter les émotions, attribuer des scores de fiabilité ou faire de la reconnaissance faciale, et demandez un avis juridique le cas échéant.

Haut risque (obligations lourdes)

Listés à l’Annexe III : tri RH/recrutement, scoring de crédit, évaluation et tarification des risques d’assurance vie ou santé, accès à l’éducation, services publics essentiels, application de la loi, migration, biométrie hors temps réel. Plus les composants de sécurité IA dans les produits réglementés Annexe I (dispositifs médicaux, véhicules, machines). Pour les PME : si vous triez des candidatures, évaluez la solvabilité ou prenez des décisions conséquentes sur des individus, vous êtes probablement ici. Les obligations Chapitre III (gestion des risques, gouvernance des données, doc technique, contrôle humain, évaluation de conformité, enregistrement dans la base UE) s’appliquent au 2 déc 2027 pour Annexe III et 2 août 2028 pour Annexe I.

Risque limité (obligations de transparence)

Chatbots clients, assistants virtuels, deepfakes et certains textes générés par IA sur des sujets d’intérêt public, ainsi que reconnaissance des émotions ou catégorisation biométrique là où elles ne sont pas interdites. Pour les PME : indiquez aux utilisateurs qu’ils parlent à une IA, et étiquetez les deepfakes ou les textes IA publiés pour informer le public. Obligation Article 50, simple à mettre en place.

Risque minimal (pas d’obligations spécifiques)

Filtres anti-spam, rédaction d’emails assistée, automatisation de workflows, recommandations produit, prévision de stocks, classification de documents, traduction assistée. Pour les PME : quasiment tout ce que vous utilisez au quotidien. Pas d’étapes obligatoires. Documentez quand même ce que vous faites tourner et pourquoi.

Une piste à part : l’IA généraliste (ChatGPT, Claude, Gemini)

Les modèles d’IA généraliste (GPAI) suivent un régime à part des quatre niveaux de risque, applicable depuis le 2 août 2025. Leurs fournisseurs doivent publier un résumé des données d’entraînement, respecter le droit d’auteur européen (notamment l’opt-out fouille de textes et données Article 4(3)), et fournir une documentation technique aux utilisateurs en aval. Les plus gros modèles (au-delà de 10²⁵ FLOPs de calcul d’entraînement) ont des obligations supplémentaires de risque systémique. Pour les PME déployeurs qui utilisent ChatGPT, Claude ou Gemini dans un workflow : l’impact pratique reste léger. Continuez à les utiliser, appliquez les obligations de transparence de l’Article 50 (étiqueter les contenus générés, indiquer l’IA aux utilisateurs), et notez dans votre inventaire IA quel modèle gère quoi.

Ce que ça implique pour les PME belges

Si vous utilisez des chatbots IA pour le support, de l’automatisation d’emails, des outils de workflow ou du traitement de documents, vos cas d’usage relèvent presque certainement du risque minimal ou limité. Vous êtes probablement en règle. Mais « probablement » n’est pas une stratégie. Quatre raisons d’y prêter attention quand même :

  1. Vous pourriez être à haut risque sans le savoir. RH qui trient des CV, commerciaux qui scorent des leads alimentant des décisions de crédit, toute décision conséquente sur des individus : la classification dépend du cas d’usage, pas de la technologie.

  2. Fournisseur ou déployeur, le rôle dicte les obligations. L’AI Act répartit les responsabilités entre fournisseurs (ceux qui développent ou mettent un système d’IA sur le marché) et déployeurs (ceux qui l’utilisent sous leur propre autorité dans un cadre professionnel). La plupart des PME sont déployeurs, parfois les deux à la fois. Les fournisseurs portent l’essentiel des obligations haut risque et GPAI ; les déployeurs doivent suivre les instructions d’usage, surveiller l’exécution, conserver des journaux, et en contexte haut risque mener une analyse d’impact sur les droits fondamentaux (Article 27). Déployez un outil généraliste en contexte haut risque et la charge retombe sur vous.

  3. L’application en Belgique arrive. L’IBPT/BIPT est l’autorité principale de surveillance, le SPF Économie coordonne l’implémentation, et le CSA est l’un des vingt-et-un organismes Article 77 de protection des droits fondamentaux (médias audiovisuels en Communauté française). La Belgique a manqué l’échéance d’août 2025 ; l’application démarre le 2 août 2026. Amendes sous l’Article 99 : jusqu’à 35M EUR ou 7 % du chiffre d’affaires mondial (pratiques interdites), 15M / 3 % (haut risque), 7,5M / 1 % (information erronée). Les PME et start-ups paient le plus bas des deux montants, mais ça reste significatif.

  4. Les clients vont commencer à poser des questions. Les acheteurs B2B, surtout grandes entreprises et secteur public, vont s’enquérir de votre posture de conformité IA. Être préparé est un avantage.

Checklist de conformité pratique

Sept étapes concrètes à entamer dès aujourd’hui. Ce sont des bonnes pratiques de base que nous appliquons nous-mêmes, pas un substitut à une évaluation de conformité formelle. Pas besoin d’un cabinet d’avocats en permanence.

  1. Inventoriez vos systèmes d’IA. Listez chaque outil que vous faites tourner, y compris les SaaS tiers. Notez ce qu’il fait, quelles données il traite, qui est affecté, qui le fournit. Vous ne pouvez pas évaluer un risque que vous ignorez.
  2. Classifiez chaque système. Trois questions : influence-t-il des décisions conséquentes sur des personnes, interagit-il avec des utilisateurs qui pourraient ignorer parler à une IA, peut-il manipuler ou exploiter des vulnérabilités ? Trois « non » vous placent en risque minimal ou limité. Un « oui », vérifiez l’Annexe III et creusez.
  3. Mettez en place la transparence. Indiquez l’IA aux utilisateurs (chatbots, agents vocaux). Étiquetez les deepfakes et les textes générés par IA publiés pour informer le public. Offrez un chemin vers un humain. Obligation Article 50 pour les systèmes à risque limité. Les visuels illustratifs ou marketing n’ont pas besoin d’être étiquetés.
  4. Gardez l’humain dans la boucle. Faites relire les productions IA avant envoi ou décision. Construisez des chemins d’escalade. Laissez les employés passer outre. Obligatoire et technique pour le haut risque ; bonne pratique partout ailleurs. Pour le côté ingénierie, rendre les sorties IA assez fiables pour agir dessus, voir notre note sur les systèmes d’IA fiables.
  5. Documentez tout. Inventaire, classification, justification, mesures de transparence et de contrôle, incidents, registre RGPD. La documentation est la colonne vertébrale de la conformité. Le vérificateur de conformité du Future of Life Institute est un bon point de départ gratuit.
  6. Revoyez vos contrats fournisseurs. Le fournisseur classifie-t-il le niveau de risque ? Fournit-il la documentation technique AI Act ? Qui porte l’évaluation de conformité ? Que devient votre donnée ? Où est-elle traitée ? Un fournisseur incapable de répondre est un signal d’alarme.
  7. Formez votre équipe. L’obligation de culture IA Article 4 s’applique depuis le 2 fév 2025. Le personnel doit comprendre quels outils IA ils utilisent, comment ils fonctionnent dans les grandes lignes, leurs limites, et votre politique interne. Doctorat non requis.

RGPD et EU AI Act fonctionnent ensemble

Si vous êtes déjà conforme RGPD, l’essentiel du travail analytique se reporte : AIPD ≈ évaluations de risque AI Act. Minimisation et limitation des finalités ≈ gouvernance des données AI Act. Article 22 ≈ obligations de transparence AI Act. Droit à l’intervention humaine ≈ supervision humaine AI Act.

Là où l’AI Act va plus loin : normes techniques sur le système lui-même (précision, robustesse, cybersécurité, documentation technique). Le RGPD encadre les données ; l’AI Act encadre le système. Ne lancez pas deux projets en parallèle. Intégrez l’AI Act dans votre cadre RGPD existant, même équipe, mêmes docs.

Comment Flowful aborde la conformité IA

Chez Flowful, nous concevons des chatbots web et internes, des réceptionnistes téléphoniques IA et de l’automatisation email pour les PME en Belgique et en France (un helpdesk AI-first, TicketFlow, et un outil de prise de rendez-vous AI-ready, Flowcal, arrivent prochainement). Nous concevons nos systèmes avec la conformité en tête dès le premier jour. Nous ne sommes pas un cabinet juridique. Ce qui suit décrit comment nous construisons, pas un conseil juridique.

  • Hébergement EU-first. Notre infrastructure de workflows tourne sur Hetzner (Allemagne). L’inférence IA, la voix et l’email transactionnel passent par un nombre limité de sous-traitants sélectionnés, sous DPAs avec des garanties de transfert appropriées (Clauses Contractuelles Types ou contrôles techniques de non-rétention et non-entraînement). Sur demande, nous pouvons restreindre le traitement à des fournisseurs européens uniquement ou exécuter des modèles open-source sur infrastructure dédiée. La liste à jour des sous-traitants figure dans notre DPA.
  • Pas d’entraînement sur vos données. Chaque sous-traitant est configuré pour désactiver l’entraînement sur les données client ; les réglages par fournisseur sont documentés dans notre DPA.
  • Humain dans la boucle là où ça compte. Notre Automatisation Email peut être configurée avec une approbation humaine avant envoi, et nous le recommandons pour les flux sortants ou à enjeu. Nos agents vocaux escaladent à une personne quand la demande sort du périmètre.
  • Niveau AI Act par package. Notre Chatbot Web, notre Réceptionniste IA et notre Chatbot Interne sont en Risque limité : chaque conversation s’ouvre par une indication claire qu’il s’agit d’une IA et propose un accès à un humain, ce que demande réellement l’Article 50. Notre Automatisation Email est en Risque minimal. Nous pouvons ajouter une approbation humaine avant envoi selon le cas d’usage. Nous ne construisons pas de systèmes Annexe III haut risque (recrutement, scoring crédit, tarification assurance, accès éducation) sans plan de conformité formel.
  • DPA disponible sur demande. Couvre les obligations RGPD et IA, y compris la clause de non-entraînement et la liste des sous-traitants. Contactez-nous.

Ressources spécifiques à la Belgique

Réglementation et gouvernement

  • IBPT (BIPT) : L’autorité principale de surveillance du marché belge pour l’AI Act. C’est là que l’application du règlement aura lieu pour la plupart des fournisseurs et déployeurs, avec un point de contact unique pour les opérateurs de systèmes haut risque.
  • SPF Économie : Coordonne la mise en œuvre belge de l’AI Act. La section AI Act dédiée propose un guide pour les entrepreneurs, une campagne orientée PME et un PDF téléchargeable.
  • Autorité de protection des données (APD) : Le superviseur RGPD belge. Comme la conformité IA et la protection des données se recoupent significativement, l’APD reste pertinente pour les questions de traitement de données liées à l’IA.
  • Coalition AI4Belgium : Une initiative multi-parties prenantes qui a publié la stratégie IA de la Belgique. Leurs ressources incluent des lignes directrices pratiques et des recommandations sectorielles.

Soutien régional à l’innovation

  • Innoviris (Bruxelles) : L’organisme de financement de l’innovation bruxellois. Propose des chèques et programmes de financement spécifiques à l’IA. Si vous êtes une PME bruxelloise qui explore l’IA, ils peuvent aider à financer une implémentation conforme dès le départ.
  • Digital Wallonia (Wallonie) : Le hub de la stratégie numérique wallonne. Gère les programmes Start IA et Tremplin IA, et publie des guides pratiques d’adoption de l’IA.
  • VLAIO (Flandre) : L’agence flamande de l’innovation et de l’entrepreneuriat. Propose des primes R&D et des programmes de soutien aux PME applicables aux projets IA.

Outils pratiques

  • EU AI Act Explorer : Une ressource indépendante avec une version consultable et annotée du règlement complet. Utile pour rechercher des articles et exigences spécifiques.
  • Compliance Checker du Future of Life Institute : Un outil d’auto-évaluation gratuit qui vous aide à déterminer si votre système d’IA pourrait être considéré à haut risque sous l’AI Act.

Nous avons également publié un guide pour financer votre projet IA en Belgique, qui couvre les subsides et primes pouvant aider à compenser le coût de solutions IA conformes dès le départ.

Et maintenant ?

Un calendrier réaliste pour une PME belge :

  • Maintenant : inventaire, vérifier l’absence de pratique interdite, lancer la formation culture IA, revoir les contrats fournisseurs.
  • D’ici juin 2026 : finir la classification des risques, lancer la remédiation haut risque si applicable, mettre à jour la doc RGPD, pour être prêt quand la culture IA et le régime des sanctions s’appliquent au 2 août 2026.
  • En continu : surveiller les actes délégués, actes d’exécution et orientations belges. Maintenir la documentation à jour.

Pour la plupart des PME belges en automatisation métier standard, la charge est gérable. Commencez maintenant, classifiez honnêtement, prenez l’habitude de la documentation.

Ce post est une introduction, pas une évaluation de conformité. Pour un audit formel, travaillez avec un cabinet juridique ou un spécialiste. Si vous prévoyez une automatisation alimentée par l’IA et voulez la construire avec ces obligations intégrées dès le départ, contactez-nous.

Prêt à transformer votre entreprise avec l'IA ?

Discutons de la façon dont nous pouvons vous aider à atteindre vos objectifs.

Contactez-Nous