Quelles entreprises sont concernées par l'AI Act européen ?
Réponse courte
L'AI Act s'applique à toute entreprise qui fournit, déploie ou utilise un système d'IA sur le territoire de l'Union européenne, indépendamment de sa taille ou de son lieu d'établissement. Au Luxembourg, cela concerne aussi bien les grandes entreprises que les PME qui utilisent des outils d'IA dans leurs processus RH ou opérationnels. Un simple outil de tri de CV automatisé ou un chatbot suffit à entrer dans le champ d'application.
Le règlement distingue deux rôles principaux : le fournisseur qui développe le système d'IA, et le déployeur qui l'utilise dans un cadre professionnel. La plupart des entreprises luxembourgeoises sont des déployeurs. Les obligations varient selon le niveau de risque : les systèmes à haut risque (recrutement, évaluation) imposent des obligations renforcées, tandis que les systèmes à risque minimal n'impliquent qu'un devoir de transparence.
Définition
Le champ d'application de l'AI Act couvre l'ensemble de la chaîne de valeur de l'intelligence artificielle. Un fournisseur est toute personne qui développe un système d'IA ou fait développer un système d'IA en vue de le mettre sur le marché ou de le mettre en service sous son propre nom ou sa propre marque. Un déployeur est toute personne qui utilise un système d'IA sous sa propre autorité, sauf dans le cadre d'une activité personnelle non professionnelle.
Le règlement européen s'applique selon un critère d'effet territorial : même une entreprise établie hors de l'UE est concernée si les résultats produits par son système d'IA sont utilisés dans l'Union. Cette approche extraterritoriale, similaire à celle du RGPD, garantit une protection uniforme des personnes sur le territoire européen.
Conditions d’exercice
L'application de l'AI Act dépend du rôle de l'entreprise et du type de système utilisé.
| Rôle | Définition | Obligations principales |
|---|---|---|
| Fournisseur | Développe ou commercialise un système d'IA | Conformité technique, documentation, marquage CE, système de gestion des risques |
| Déployeur | Utilise un système d'IA dans un cadre professionnel | Utilisation conforme, supervision humaine, information des personnes, conservation des logs |
| Importateur | Introduit sur le marché UE un système d'IA d'un fournisseur hors UE | Vérification de conformité du fournisseur, documentation |
| Distributeur | Met à disposition un système d'IA sans le modifier | Vérification du marquage CE et de la documentation |
| PME | Entreprises de moins de 250 salariés | Obligations allégées : accès aux bacs à sable réglementaires, mesures de soutien prévues |
Modalités pratiques
Chaque entreprise doit déterminer son rôle et ses obligations sous l'AI Act.
| Étape | Détail |
|---|---|
| Identification du rôle | Déterminer si l'entreprise est fournisseur, déployeur ou les deux |
| Inventaire des systèmes | Recenser tous les outils intégrant de l'IA, y compris les composants IA dans les logiciels métiers |
| Classification | Évaluer le niveau de risque de chaque système (inacceptable, haut, limité, minimal) |
| Obligations spécifiques | Appliquer les obligations correspondant au rôle et au niveau de risque identifiés |
| Contractualisation | S'assurer que les contrats avec les fournisseurs couvrent les obligations AI Act |
Pratiques et recommandations
Inventorier tous les outils numériques utilisés dans l'entreprise pour identifier ceux qui intègrent des composants d'intelligence artificielle, y compris les fonctionnalités IA embarquées dans les logiciels RH, CRM ou ERP.
Clarifier le rôle de l'entreprise dans la chaîne de valeur IA pour chaque système utilisé, car une même entreprise peut être fournisseur pour un système développé en interne et déployeur pour un outil acheté.
Négocier avec les fournisseurs des clauses contractuelles couvrant la conformité AI Act, la documentation technique, la mise à jour en cas d'évolution réglementaire et le partage de responsabilité.
Profiter des mesures de soutien prévues par l'AI Act pour les PME, notamment l'accès aux bacs à sable réglementaires qui permettent de tester la conformité dans un environnement contrôlé.
Cadre juridique
| Référence | Objet |
|---|---|
| AI Act - Article 2 | Champ d'application territorial et matériel du règlement |
| AI Act - Article 3 | Définitions : fournisseur, déployeur, système d'IA |
| AI Act - Article 26 | Obligations spécifiques des déployeurs |
| AI Act - Article 62 | Mesures de soutien pour les PME et start-ups |
| AI Act - Annexe III | Domaines d'utilisation à haut risque |
Note
Toute entreprise luxembourgeoise utilisant un outil d'IA, même acheté à un tiers, est concernée par l'AI Act en tant que déployeur. Les PME bénéficient de mesures d'accompagnement mais restent soumises aux mêmes obligations de fond, notamment pour les systèmes à haut risque utilisés en RH.