Le règlement européen sur l'IA s'applique-t-il à vous si votre logiciel n'utilise pas l'IA ?
Réglementation

Le règlement européen sur l'IA s'applique-t-il à vous si votre logiciel n'utilise pas l'IA ?

Le règlement européen sur l'IA ne régit que ce qu'il appelle un système d'IA. Si les logiciels que votre entreprise utilise ne correspondent pas à cette définition, la loi ne vous concerne en rien. Le test est court. Le système élabore-t-il lui-même ses réponses, ou se contente-t-il de suivre des règles écrites par une personne ? Répondez correctement à cette seule question et les obligations lourdes disparaissent.

Points clés

  • Le règlement s'applique aux systèmes d'IA, et non à chaque logiciel utilisé par une entreprise.
  • Le critère est de savoir si un système déduit ses réponses au lieu d'exécuter des règles fixes.
  • Les simples outils fondés sur des règles échappent à la loi, et le considérant 12 l'affirme.
  • Les modules complémentaires d'IA tels que le tri, les agents conversationnels ou la traduction peuvent vous y ramener.
  • La principale échéance relative au haut risque a été repoussée au 2 décembre 2027, mais le critère est resté le même.

Ce que le règlement européen sur l'IA encadre réellement

Le règlement européen sur l'IA est une loi de sécurité des produits appliquée à l'IA. Il classe les systèmes d'IA par niveau de risque et impose des obligations aux plus risqués. Il ne régit pas les logiciels en général. Il ne régit pas non plus les données ni l'automatisation. Il régit les systèmes qui répondent à sa propre définition de l'IA, et eux seuls. La première question n'est donc jamais de savoir ce que fait votre outil. C'est de savoir si votre outil est même un système d'IA.

La loi répartit l'IA en quatre niveaux de risque :

  • Risque inacceptable : une courte liste d'usages interdits, comme la notation sociale et la plupart des dispositifs de reconnaissance faciale en direct dans l'espace public.
  • Haut risque : les systèmes susceptibles d'affecter la sécurité ou les droits, comme l'IA utilisée pour recruter, licencier ou évaluer des personnes. Ce sont eux qui portent les obligations les plus lourdes.
  • Risque limité : les systèmes qui doivent simplement faire preuve de transparence sur eux-mêmes, comme un agent conversationnel qui vous indique qu'il s'agit d'un robot.
  • Risque minimal : tout le reste, où se situe la majeure partie de l'IA et où aucune obligation ne s'applique.

La portée est large. En vertu de l'article 2 du règlement, les règles s'imposent aux fournisseurs qui mettent un système d'IA sur le marché de l'UE. Elles s'imposent aussi aux déployeurs qui en utilisent un au sein de l'UE, même lorsque le fournisseur est établi à l'étranger. Mais chacun de ces points d'accroche tient aux mêmes mots : système d'IA. Pas de système d'IA, pas de fournisseur ni de déployeur, et les obligations ne s'enclenchent jamais.

Qu'est-ce qui constitue un « système d'IA » au sens de la loi ?

Un système d'IA, selon les propres termes de la loi, est une machine qui élabore elle-même ses réponses. Elle fait plus qu'exécuter un script figé. La définition officielle repose sur une seule capacité : le système doit déduire. C'est là la ligne de partage entre l'IA réglementée et les logiciels ordinaires.

« Système d'IA désigne un système automatisé conçu pour fonctionner à divers niveaux d'autonomie et pouvant faire preuve d'une capacité d'adaptation après son déploiement, et qui, pour des objectifs explicites ou implicites, déduit, à partir des entrées qu'il reçoit, la manière de générer des sorties telles que des prédictions, du contenu, des recommandations ou des décisions qui peuvent influencer des environnements physiques ou virtuels. »
Article 3, paragraphe 1, règlement (UE) 2024/1689

Les notes qui expliquent la loi sont sans détour sur ce que cela exclut. Le considérant 12 indique que la définition ne devrait pas couvrir « les systèmes logiciels traditionnels plus simples ou les approches de programmation ». Elle ne devrait pas non plus couvrir les systèmes « fondés sur des règles définies uniquement par des personnes physiques pour exécuter automatiquement des opérations ». En clair : si une personne a écrit chaque règle et que le logiciel ne fait que les exécuter, ce n'est pas de l'IA au sens de cette loi.

Regardez les outils qu'une équipe conformité utilise réellement. Un formulaire web, un flux de travail qui oriente un dossier, une boîte de réception chiffrée, une recherche dans une base de données, un arbre de décision figé. Aucun d'eux ne déduit quoi que ce soit. Ils font exactement ce qu'on leur a dit de faire. Ce sont des logiciels, pas des systèmes d'IA.

Une seule chose actionne l'interrupteur, et ce n'est pas ce que l'on suppose. Le règlement ne s'applique pas parce que vous traitez des données sensibles, automatisez une tâche ou fonctionnez dans le cloud. Il s'applique parce que le système déduit. Un outil peut être volumineux, complexe et essentiel à l'activité tout en restant hors du champ de la loi, dès lors qu'il n'apprend pas à partir de données et ne construit pas son propre modèle pour parvenir à une réponse.

Illustration opposant une machine à engrenages et à règles à un système d'IA qui déduit à partir d'un flux de données

Un logiciel fondé sur des règles exécute une logique figée. Un système d'IA déduit ses propres réponses, et c'est là la ligne que trace la loi.

Alors, la loi s'applique-t-elle si votre logiciel n'a pas d'IA ?

Pour les volets haut risque et transparence du règlement, la réponse est non. Si aucune partie de votre logiciel ne répond à la définition de l'article 3, paragraphe 1, vous n'êtes ni le fournisseur ni le déployeur d'un système d'IA. Les obligations relatives au haut risque et les règles de transparence de l'article 50 n'ont alors rien à quoi s'accrocher. Il n'y a aucune évaluation de conformité à passer, aucun dossier de risque à tenir, et aucune IA à enregistrer.

Deux réserves honnêtes accompagnent cette réponse. La première est de s'assurer que vous n'avez vraiment aucune IA. Les fournisseurs ajoutent des fonctionnalités en permanence, et la déduction peut se cacher dans une seule d'entre elles. Un exemple montre comment cela se produit. Supposons que votre outil de signalement soit un simple logiciel, mais que vous activiez un assistant d'IA qui évalue le degré d'urgence de chaque signalement. Cet assistant déduit. Vous déployez désormais un système d'IA, même si le reste de l'outil ne fait que suivre des règles. Un agent conversationnel sur votre page de contact, une fonction de traduction par IA ou un service d'IA fonctionnant en arrière-plan en tant que sous-traitant peuvent produire le même effet.

La seconde réserve est que d'autres lois s'appliquent toujours. Le règlement général sur la protection des données (RGPD) régit vos données personnelles, que vous utilisiez ou non l'IA. Et l'obligation de maîtrise de l'IA prévue par le règlement, la règle selon laquelle le personnel doit comprendre l'IA avec laquelle il travaille, ne pèse que sur les entreprises qui exploitent réellement des systèmes d'IA. Supprimez l'IA et cette obligation disparaît avec elle.

Là où les outils de signalement et de RH se font rattraper

L'emploi est l'une des zones à haut risque de la loi, et c'est précisément là que vivent les logiciels de signalement et de RH. L'annexe III énumère huit domaines à haut risque. Le point 4 couvre l'IA utilisée dans « l'emploi, la gestion de la main-d'œuvre et l'accès à l'emploi indépendant ». Il vise l'IA qui filtre les candidatures, évalue les candidats, répartit les tâches selon les comportements ou les traits, ou surveille les performances des personnes. L'IA qui présélectionne ou évalue les travailleurs est présumée à haut risque.

Cela englobe une fonctionnalité que de nombreux outils de conformité vantent désormais. De plus en plus de plateformes de signalement et de gestion des dossiers ajoutent de l'IA pour trier les signalements, évaluer leur gravité, prédire des issues ou traduire les soumissions à la volée. Dès l'instant où cette IA aide à décider de la manière dont le signalement d'un travailleur est traité, le client qui l'utilise peut devenir le déployeur d'un système à haut risque. Cela entraîne des formalités, une surveillance humaine et des obligations de journalisation. Un agent conversationnel d'IA qui recueille le premier signalement ajoute une obligation au titre de l'article 50 : informer les personnes qu'elles s'adressent à une machine.

Ces obligations de déployeur ne sont pas légères, et elles pèsent sur vous, l'acheteur, et pas seulement sur le fournisseur. Vous devez maintenir une personne dans la boucle pour les décisions que l'IA façonne. Vous devez surveiller le système dans la durée et conserver ses journaux. Vous devez informer les travailleurs concernés lorsqu'une IA est intervenue. Pour un processus aussi sensible qu'un signalement, où la confiance est l'enjeu central, c'est une charge lourde à assumer pour une simple fonction de confort.

Un outil sans IA dans ce parcours fait l'économie de toute la question. Une plateforme de signalement comme WeMoral, qui tient la déduction à l'écart de la réception et du tri des signalements, reste un logiciel ordinaire aux yeux du règlement. Ses clients n'héritent jamais de la charge haut risque d'un déployeur. Le contraste est net dès qu'on met les deux en regard :

Question Outil sans IA Outil enrichi d'IA
Est-ce un système d'IA ? Non, il n'exécute que des règles fixes Oui, une fonctionnalité déduit des sorties
Relève-t-il du régime haut risque ? Non Probablement, au titre du point 4 de l'annexe III
Votre rôle au titre du règlement Aucun Déployeur, parfois fournisseur
Ce que vous devez faire Rien au titre du règlement sur l'IA Surveillance, journalisation, information, archivage

Une règle d'atténuation mérite d'être connue. Un système relevant de l'annexe III peut échapper à l'étiquette de haut risque s'il ne présente pas de risque important de préjudice, par exemple lorsqu'il n'accomplit qu'une tâche administrative étroite. Mais c'est une exception serrée, et le fournisseur doit documenter cette évaluation. Pour tout ce qui présélectionne des personnes ou façonne la manière dont leurs signalements sont traités, l'hypothèse prudente est le haut risque.

Une jauge de risque allant du vert paisible au rouge d'alarme, représentant les quatre niveaux de risque du règlement européen sur l'IA

Le règlement classe l'IA par niveau de risque, du minimal à un bout aux quelques usages interdits à l'autre.

Qu'est-ce qui change le 2 août 2026, et qu'est-ce qui vient d'être reporté ?

La date d'entrée en application générale du règlement est le 2 août 2026. C'est à ce moment que la plupart des règles s'enclenchent et que l'application nationale commence. Mais les dates ont bougé. Un paquet de simplification connu sous le nom de Digital Omnibus, soutenu par le Parlement européen le 16 juin 2026 et qui suit encore les dernières étapes avant de devenir loi, repousse les échéances les plus lourdes.

Au titre de ce paquet, les obligations autonomes relatives au haut risque sont reportées au 2 décembre 2027. L'IA à haut risque intégrée à des produits réglementés passe au 2 août 2028. Le marquage des médias générés par IA bénéficie lui aussi d'un court report. Certaines choses ne bougent pas. Les usages interdits s'appliquent depuis février 2025. Les obligations centrales de transparence restent fixées à la date de 2026, et c'est à ce moment que l'application générale commence. Vous pouvez suivre l'état actuel sur la page de la Commission européenne consacrée au règlement sur l'IA. Considérez les dates du paquet omnibus comme quasi définitives tant qu'elles ne sont pas publiées dans leur intégralité.

Un fonctionnaire en style bande dessinée faisant glisser un repère d'échéance de conformité de 2026 vers 2027

Le Digital Omnibus repousse les échéances les plus lourdes de 2026 à la fin de 2027.

Les sanctions montrent pourquoi les dates attirent autant l'attention. Le règlement autorise des amendes pouvant aller jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial pour les usages interdits. La plupart des autres manquements peuvent atteindre 15 millions d'euros ou 3 %. Le fait de communiquer des informations trompeuses aux autorités peut atteindre 7,5 millions d'euros ou 1 %. Ces plafonds sont assez élevés pour que la question du champ d'application ne soit pas un simple détail technique. Pour un outil sans IA, les échéances qui bougent ne changent rien. Le critère reste le même. Pas d'IA, rien à faire, à aucune de ces dates.

Comment vérifier si vous êtes concerné

Vous pouvez régler votre propre exposition avec une seule question, posée à chaque fonctionnalité. Déduit-elle, ou suit-elle des règles écrites par une personne ? Passez votre pile logicielle en revue dans l'ordre et la réponse devient en général évidente.

  1. Recensez chaque fonctionnalité qui classe, évalue, prédit, trie, recommande ou rédige du contenu.
  2. Pour chacune, demandez si elle apprend à partir de données ou se contente d'exécuter une logique figée.
  3. Traquez l'IA cachée : agents conversationnels, traduction, classement des résultats de recherche, et toute IA qu'un fournisseur fait tourner en arrière-plan.
  4. Pour tout ce qui déduit effectivement, déterminez votre rôle. L'avez-vous conçue ou commercialisée sous votre marque, ou vous contentez-vous de l'utiliser ?
  5. Si une fonctionnalité déduit et touche au travail, aux droits ou aux signalements des personnes, traitez-la comme potentiellement à haut risque et prenez conseil.

Posez la même question par écrit à vos fournisseurs de logiciels. Une réponse claire sur le fait qu'une fonctionnalité déduise ou non, et où, vous en dit plus long sur votre exposition au règlement sur l'IA que n'importe quelle brochure vantant une automatisation « intelligente ». Conservez cette réponse dans vos dossiers, afin de pouvoir la présenter si un régulateur ou un client vous la demande un jour.

La loi récompense le fait de savoir exactement ce que fait votre logiciel. Un outil sans IA offre à un régulateur une surface d'inspection plus réduite et vous laisse un régime de moins à gérer. Votre tâche est de prouver que rien dans votre pile ne déduit, et de choisir des outils qui le restent.

Mis à jour le
Marek Tekieli

Spécialiste de la conformité, axé sur le déploiement des politiques et la circulation de l'information. Écrit sur la réglementation de l'UE et le signalement.

Lancez votre canal de signalement pour lanceurs d'alerte en moins de 5 minutes !

Page de signalement clé en main, conforme à la loi n° 2022-401 du 21 mars 2022 sur les lanceurs d'alerte. Vous la déployez sans développeur.

Réservez une démo Essayer gratuitement