EU AI Act articles 8-15 : les SaaS IA doivent s'organiser avant août 2026

Le règlement (UE) 2024/1689 sur l'intelligence artificielle (EU AI Act), publié en juin 2024, est le premier cadre horizontal de régulation de l'IA dans le monde. Son entrée en application est échelonnée : interdictions IA proscrites en février 2025, obligations pour les modèles fondationaux GPAI en août 2025, et — pivot pour la majorité des éditeurs SaaS — obligations sur les systèmes IA à haut risque le 2 août 2026. Pour un SaaS qui embarque une fonctionnalité IA dans un cas d'usage classé haut risque (RH, scoring crédit, accès à un service essentiel, contrôle d'usage frontalier), 2026 est l'année de la mise en conformité.

Le périmètre haut risque, en pratique

L'annexe III du règlement liste les cas d'usage haut risque : biométrie, infrastructures critiques, éducation et formation, emploi (sourcing, sélection candidats, évaluation, promotion, licenciement), accès à des services essentiels (crédit, assurance, prestations sociales), application de la loi, migration et contrôle aux frontières, justice et processus démocratiques. Pour un éditeur SaaS B2B français, les domaines effectivement concernés sont surtout : RH (recrutement, évaluation), credit scoring (banque, fintech, BNPL), assurance (tarification, gestion sinistre), et certains usages éducation.

Un point important souvent mal compris : l'IA n'est pas haut risque par sa technologie (LLM, computer vision, ML classique). Elle est haut risque par son cas d'usage. Un même algorithme de classification peut être haut risque dans un contexte (scoring crédit) et non haut risque dans un autre (recommandation produit en e-commerce).

Les sept obligations clés des articles 8-15

Système de gestion des risques (art. 9)

Identification, analyse et mitigation continue des risques associés à chaque IA haut risque. Le système doit être documenté, mis à jour à chaque évolution majeure, et testé. Pour un SaaS qui itère vite (releases fréquentes), la gouvernance du système de gestion des risques est un sujet organisationnel — pas seulement technique.

Données et gouvernance des données (art. 10)

Les datasets d'entraînement, validation et test doivent être pertinents, représentatifs, exempts d'erreurs, et complets dans la mesure du possible. Les biais doivent être identifiés et mitigés. Pour un SaaS qui entraîne ses modèles sur des données client, cela suppose une gouvernance qui distingue données de production et données d'entraînement, avec procédures explicites.

Documentation technique (art. 11)

Un dossier technique complet par système IA haut risque, avec : description du système, finalité, méthode d'entraînement, performances, limitations connues, mesures de mitigation, procédures d'évaluation. Le format suit l'annexe IV du règlement — environ 30-50 pages de documentation par système IA.

Conservation des logs (art. 12)

Les systèmes IA haut risque doivent conserver automatiquement les logs des opérations qu'ils effectuent, pendant au moins 6 mois (sauf disposition contraire du droit national). Cela permet la traçabilité des décisions et l'investigation post-incident.

Transparence et information utilisateur (art. 13)

Le système IA doit fournir aux déployeurs (les clients SaaS) des instructions d'utilisation claires : finalité, performances, conditions de fonctionnement, ressources humaines de supervision, durée de vie attendue. Cela passe par une documentation utilisateur structurée, pas par un README sommaire.

Supervision humaine (art. 14)

Mesures organisationnelles et techniques pour permettre à un humain de superviser efficacement le système — comprendre les sorties, détecter les anomalies, intervenir si nécessaire. Pour un SaaS qui livre une décision automatisée (ex : score de crédit), la supervision humaine doit être conçue dans le produit, pas ajoutée à la fin.

Précision, robustesse, cybersécurité (art. 15)

Le système doit atteindre un niveau approprié de précision, robustesse, et cybersécurité. Les niveaux doivent être documentés dans la notice d'utilisation. La robustesse implique notamment la résistance aux attaques adversaires (data poisoning, model evasion, prompt injection pour les LLM).

Trois pratiques qui structurent les éditeurs en avance

Le registre IA interne

Inventaire vivant des systèmes IA déployés dans le produit : modèle, finalité, dataset d'entraînement, dataset de test, performance, classification haut risque ou non. Toute nouvelle feature IA passe par une revue (« AI Council ») avant déploiement. Ce registre est la base du dossier de conformité.

Le data passport par modèle

Pour chaque modèle entraîné, un « passeport données » documente : sources, périmètre temporel, démographie représentée, biais identifiés et mesurés, méthode d'entraînement, hyperparamètres, performance par segment. Ce passeport est partagé avec les déployeurs (clients) qui en ont besoin pour leur propre conformité.

Le shadow mode pour les déploiements à risque

Avant tout déploiement en production sur un cas haut risque, le modèle tourne en « shadow mode » : il calcule ses sorties en parallèle de la décision humaine actuelle, sans les exposer aux utilisateurs. Cela permet de valider performance, robustesse, biais avant le déploiement effectif. La période shadow typique est de 3 à 6 mois.

L'horizon 2027-2028

Le calendrier complet d'EU AI Act prévoit l'entrée en vigueur progressive d'autres obligations : marquage CE pour les IA haut risque (août 2027), normes harmonisées européennes (au fil de leur adoption par CEN/CENELEC), supervision par des autorités nationales (en France, l'AI Office et la CNIL). Les contrôles ciblés démarreront probablement en 2027 — focus sur les acteurs ayant eu des incidents notifiés ou identifiés via les déclarations de mise sur le marché.

Pour un éditeur SaaS qui embarque de l'IA, le programme 2026 est : (1) cartographier les usages IA et identifier ceux qui basculent en haut risque, (2) constituer le registre IA et les data passports, (3) structurer le dossier technique annexe IV par système, (4) intégrer la supervision humaine au design produit, (5) tester en shadow mode avant tout déploiement haut risque. C'est un investissement structurant — et un argument commercial vis-à-vis des grands clients enterprise qui ont eux-mêmes leurs obligations IA.