Depuis 2024, le cadre EU AI Act est posé mais les amendes n'étaient pas encore applicables. À partir d'août 2026, elles le seront. Trois profils de PME : celles qui ont agi, celles qui ont attendu, celles qui pensaient ne pas être concernées. Si tu utilises activement l'IA et que tu ne peux pas prouver ta conformité, tu es dans le 3ᵉ profil. La fenêtre pour agir se referme.
Depuis que j'accompagne des PME wallonnes dans leur diagnostic, j'ai observé trois profils : celles qui ont agi, celles qui ont attendu, et celles qui pensaient ne pas être concernées.
Voici ce que j'ai constaté sur le terrain et ce qu'il te reste à faire avant que la fenêtre se referme.
Ce qui a réellement changé depuis août 2024
Pas de sanctions encore. Mais l'environnement a bougé, et plus vite que beaucoup ne l'anticipaient.
Les grands comptes ont bougé
Les entreprises de plus de 250 personnes ont commencé à intégrer des clauses EU AI Act dans leurs contrats fournisseurs. Si tu travailles avec un grand compte belge ou français, tu as peut-être déjà reçu un questionnaire de conformité sans savoir exactement ce que c'était.
Les appels d'offres publics ont évolué
Plusieurs marchés publics wallons publiés depuis la fin 2025 intègrent des exigences de conformité EU AI Act. Une PME non-conforme peut être disqualifiée d'office, pas par sanction, par critère d'attribution.
Les autorités de contrôle se sont organisées
En Belgique, l'Autorité de protection des données a reçu mandat pour superviser l'application de l'EU AI Act. Le cadre de contrôle est en place. Les ressources suivent. En août, elles auront les moyens légaux d'agir.
La vague de sanctions n'a pas encore frappé. Mais l'infrastructure est posée, et le compte à rebours est lancé.
Mon secteur est-il vraiment concerné ?
C'est la question que me posent la plupart des dirigeants que je rencontre. Et ma réponse les surprend souvent.
Les cas évidents :
- Tu utilises un outil IA pour trier des candidatures, évaluer des performances ou décider d'un licenciement → systèmes RH à haut risque → concerné directement.
- Tu utilises un scoring automatisé pour évaluer la solvabilité d'un client ou décider d'un crédit → systèmes financiers à haut risque → concerné directement.
Les cas moins évidents et souvent sous-estimés :
- Tu utilises un chatbot qui prend des décisions de routage sur des demandes clients → risque limité, mais obligation de transparence (indiquer que c'est une IA).
- Tu utilises un outil de qualification de leads automatisé → selon la profondeur des décisions prises, potentiellement haut risque.
- Tu utilises Copilot ou ChatGPT pour rédiger des évaluations de performance → tu t'approches d'un système à haut risque, même si l'outil lui-même ne l'est pas.
Si ton outil IA influence une décision qui affecte une personne physique (recrutement, évaluation, accès à un service, financement), tu es probablement dans le périmètre.
J'utilise ChatGPT ou Copilot, qu'est-ce que ça change ?
C'est le mythe le plus dangereux que j'entends encore en 2026 : « Microsoft est conforme, donc je suis conforme. »
Non.
L'EU AI Act distingue deux niveaux de responsabilité : le fournisseur du système IA (Microsoft, OpenAI) et l'opérateur, toi, qui déploies et utilises ce système dans ton contexte métier.
Microsoft garantit que Copilot est conforme en tant que produit. Il ne peut pas garantir la conformité de ton usage de Copilot.
- La traçabilité de tes décisions : est-ce que tu peux expliquer comment une décision assistée par IA a été prise, et par qui elle a été validée ?
- La supervision humaine : est-ce qu'il y a un processus documenté qui garantit qu'un humain valide les décisions critiques avant qu'elles aient un impact ?
- La documentation de ton architecture : est-ce que tu as une fiche technique qui décrit comment tu utilises l'outil, quelles données tu lui fournis, et comment tu contrôles les outputs ?
Un exemple concret. Tu utilises Copilot pour rédiger les évaluations annuelles de tes 8 employés. Copilot n'est pas en faute. Mais si tu n'as pas de processus de validation humaine documenté, si tu ne peux pas expliquer sur quelles données l'évaluation s'appuie, et si tes logs ne permettent pas de tracer qui a validé quoi, tu n'es pas conforme. Et à partir d'août, ça a un coût.
Les 3 erreurs que j'observe chez les PME qui ont attendu
Après des mois de diagnostics terrain, trois erreurs reviennent systématiquement.
Confondre RGPD et EU AI Act
Ton outil respecte le RGPD ? Bien. Mais l'EU AI Act ajoute des obligations spécifiques : traçabilité des décisions algorithmiques, supervision humaine formalisée, documentation technique. Être conforme RGPD en 2022 ne signifie pas être conforme EU AI Act en 2026.
Penser que c'est un projet IT
La conformité EU AI Act n'est pas un projet technique, c'est un projet organisationnel. La question centrale n'est pas « est-ce que notre outil est conforme ? » mais « est-ce que nos processus de décision sont conformes ? ». Ça touche les RH, la direction commerciale, la comptabilité. Pas uniquement l'IT.
La conformité implique de savoir précisément quelles données ton outil IA consomme. Plusieurs PME que j'ai auditées découvrent à ce moment-là que leurs données clients transitent par des serveurs hors UE depuis des mois. Pas parce qu'elles l'ont voulu. Parce que personne n'a vérifié les conditions techniques de l'outil utilisé.
Qu'est-ce qu'il reste à faire avant août 2026 ?
C'est suffisant si tu agis maintenant. Ce n'est plus suffisant si tu attends encore.
Voici la séquence réaliste pour une PME de 10 à 50 personnes :
La conformité devient un avantage commercial
Les PME qui ont finalisé leur conformité EU AI Act utilisent trois arguments commerciaux concrets que leurs concurrents ne peuvent pas encore utiliser.
Accès aux appels d'offres
Les marchés publics wallons intègrent progressivement des critères EU AI Act. Être conforme, c'est déjà être qualifié là où d'autres sont disqualifiés. Sans attendre août.
Confiance en B2B
Quand un grand compte envoie un questionnaire de conformité à ses fournisseurs, la PME qui répond « oui, voici notre documentation » conclut plus vite que celle qui dit « on va vérifier ».
« Notre système IA est conforme EU AI Act » est en train de devenir ce que « nous sommes conformes RGPD » était en 2019-2020. Pas encore universel. Encore différenciant. La fenêtre pour en faire un avantage commercial, plutôt qu'une simple obligation, se ferme à mesure que tout le monde s'y met.
Ce que je recommande si tu lis cet article aujourd'hui
Ne te demande pas si tu es concerné. Pars du principe que tu l'es et vérifie.
La question n'est pas « est-ce que j'ai des problèmes ? » La question est : « est-ce que je serais prêt si un auditeur ou un client me demandait de prouver ma conformité en septembre 2026 ? »
Pour la grande majorité des PME wallonnes de 10 à 50 personnes qui utilisent activement des outils IA, la réponse honnête est non.
Mais pas en attendant les dernières semaines avant août pour y penser.
Seriez-vous prêt si un auditeur frappait à votre porte ?
Notre diagnostic de conformité évalue en 45 minutes où vous en êtes : systèmes IA concernés, écarts par rapport aux obligations, et roadmap chiffrée pour combler avant août 2026. Sans engagement, basé en Wallonie.
Réserver un diagnostic 45 minSans engagement. Basé en Wallonie.