La plupart des dirigeants belges à qui je parle pensent que le règlement IA européen est un problème pour 2027. Ce n'est pas le cas. Des parties sont juridiquement contraignantes depuis février 2025, et l'échéance qui touche le plus d'entreprises — les systèmes d'IA à haut risque — tombe en août 2026. C'est une affaire de semaines, pas d'années.
Je ne suis pas juriste, et ceci n'est pas un avis juridique. Je suis un ingénieur qui construit et audite des systèmes IA pour des entreprises belges, et je passe une bonne partie de ma semaine à expliquer ce que cette réglementation signifie réellement une fois le jargon juridique écarté. Voici la version que je donne aux directeurs opérationnels et aux CEO qui n'ont pas de département conformité.
Ce que presque personne ne sait : l'obligation de littératie s'applique déjà
Voici celle qui surprend les gens. Depuis le 2 février 2025, l'article 4 du règlement IA exige que toute organisation utilisant des systèmes d'IA s'assure que son personnel dispose d'un niveau suffisant de littératie en IA.
Pas "devrait envisager." Obligatoire. Depuis plus d'un an déjà.
En pratique, cela signifie : si votre équipe utilise des outils d'IA — et presque toutes les entreprises belges le font maintenant, ne serait-ce que du personnel qui colle des choses dans ChatGPT — on attend de vous que vous puissiez démontrer que ces personnes comprennent, à un niveau de base, ce que font les outils, quelles sont leurs limites, et quels sont les risques.
Il n'y a pas de certificat à acheter et aucun inspecteur de l'État ne frappera à votre porte demain. Mais l'obligation existe maintenant, et la façon la plus simple d'y répondre est aussi la moins chère : une courte politique interne d'utilisation de l'IA plus un briefing de base pour l'équipe. La plupart des entreprises n'ont ni l'un ni l'autre. Si vous ne faites rien d'autre après avoir lu ceci, faites cela.
La chronologie, en langage clair
- Février 2025 — déjà en vigueur. Les pratiques d'IA interdites (notation sociale, certaines manipulations, collecte non ciblée de données faciales) sont prohibées. L'obligation de littératie en IA (article 4) s'applique.
- Août 2025 — déjà en vigueur. Les règles pour les modèles d'IA à usage général (les grands modèles fondationnels) et la structure de gouvernance.
- Août 2026 — la grande. Les obligations pour les systèmes d'IA à haut risque s'appliquent. C'est l'échéance qui touche les entreprises ordinaires.
- Août 2027. Règles étendues pour l'IA intégrée dans des produits déjà réglementés.
Si vous lisez ceci en 2026, la question qui compte est : avez-vous de l'IA à haut risque ? Car si oui, le compte à rebours est réel.
"Haut risque" — cela s'applique-t-il à vous ?
"Haut risque" est une catégorie juridique précise, pas un jugement sur le degré d'avancement de votre IA. Un système simple et bien construit peut être à haut risque ; un système tape-à-l'œil peut ne pas l'être.
Vous êtes probablement en territoire haut risque si vous utilisez l'IA pour :
- Recrutement et RH — tri de CV, classement de candidats, évaluation de performance, décisions de promotion ou de licenciement. C'est celle qui surprend le plus de PME belges, car les équipes RH adoptent ces outils sans réaliser la classification.
- Crédit et assurance — scoring de solvabilité, tarification du risque.
- Accès aux services essentiels — tout ce qui décide qui obtient quoi.
- Composants de sécurité — IA dans des infrastructures critiques ou comme fonction de sécurité dans un produit.
Si votre IA ne fait que résumer des documents, rédiger des e-mails, alimenter un chatbot clairement étiqueté comme IA, ou recommander des produits — vous n'êtes presque certainement pas à haut risque. Vous avez des obligations de transparence plus légères (surtout : dire aux gens quand ils parlent à une IA) et c'est tout.
La réponse honnête pour la plupart des PME belges : vous n'êtes probablement pas à haut risque, mais vous ne pouvez pas le supposer — vous devez réellement vérifier le ou les deux systèmes qui pourraient l'être, et écrire la conclusion. (J'écrirai un texte distinct sur le fonctionnement exact de la classification.)
Qui applique cela en Belgique ?
C'est ici que les entreprises belges se perdent, car l'UE écrit la loi mais chaque État membre nomme ses propres autorités d'exécution. En Belgique, deux organismes comptent :
- L'IBPT (le régulateur télécom/numérique) a été désigné comme un élément clé du dispositif belge de surveillance du marché pour le règlement IA. C'est l'autorité spécifique au règlement IA.
- L'APD / GBA (l'Autorité de protection des données / Gegevensbeschermingsautoriteit) gère l'intersection entre l'IA et les données personnelles. Elle a publié des lignes directrices formelles sur l'IA et le RGPD en décembre 2024, ce qui indique qu'elle est déjà attentive.
Vous n'avez pas besoin de mémoriser cela. Vous devez savoir que "personne ne regarde" est faux, et que l'IA + données personnelles a deux ensembles de règles braqués dessus (règlement IA et RGPD), pas un seul.
La checklist que je donne réellement aux gens
Si vous faites ces cinq choses, vous êtes en avance sur la grande majorité des entreprises belges :
-
Inventoriez votre IA. Listez chaque outil et système d'IA en usage — y compris les non officiels que votre équipe a adoptés d'elle-même. Vous ne pouvez pas vous conformer à des règles sur des systèmes que vous n'avez pas nommés. Cette seule étape prend une après-midi et révèle des surprises à chaque fois.
-
Classifiez les risqués. Pour tout ce qui touche au recrutement, au crédit, à l'accès aux services ou à la sécurité — déterminez si c'est à haut risque, et écrivez le raisonnement. Pour le reste, notez que c'est à risque minimal/limité et passez à autre chose.
-
Rédigez une politique d'utilisation de l'IA d'une page. Ce qui est permis, ce qui ne l'est pas, quelles données ne doivent jamais être collées dans un outil d'IA public, à qui s'adresser. C'est votre gain de conformité le moins cher et il sert en même temps de preuve de votre littératie au titre de l'article 4.
-
Briefez votre équipe. Quinze minutes. Ce que font les outils, où ils se trompent, ce qu'il ne faut pas leur fournir. C'est l'obligation de littératie, remplie.
-
Pour les vrais systèmes à haut risque, faites faire une véritable évaluation. Documentation, journalisation, supervision humaine, tests de biais — ce sont des éléments substantiels qui doivent être en place avant août 2026, pas ajoutés après coup. N'improvisez pas celle-ci.
Les étapes 1 à 4, vous pouvez les faire vous-même ce mois-ci. L'étape 5 est là où il vaut la peine de chercher de l'aide, car le coût d'une erreur est réglementaire, pas seulement opérationnel.
La conclusion honnête
Le règlement IA européen n'est pas la catastrophe que certains fournisseurs vendent (commodément, à côté du produit coûteux qui le "résout"). Pour la plupart des PME belges, la conformité représente quelques heures d'inventaire honnête, une politique d'une page, et un court briefing d'équipe.
L'exception est la véritable IA à haut risque — et si vous en avez, août 2026 est une date ferme vers laquelle vous devriez travailler dès maintenant.
L'erreur que je vois, ce sont les deux extrêmes : les entreprises qui paniquent et surdépensent en consultants pour des systèmes qui n'ont jamais été à haut risque, et celles qui supposent que cela ne s'applique pas à elles et découvrent le contraire à la dure. Le remède pour les deux est le même : consacrez l'après-midi, faites l'inventaire, écrivez-le.
J'écris une newsletter courte et pratique sur exactement ce sujet — le règlement IA européen, le RGPD et l'IA, et l'ingénierie senior pour les entreprises belges, en langage clair et sans la vente par la peur. Si cela vous est utile, abonnez-vous ci-dessous.
Si vous préférez que quelqu'un parcoure vos systèmes réels avec vous, l'Audit de Préparation IA de WDC fait exactement cela — une revue honnête et écrite de ce que vous faites tourner et de sa place sous le règlement.