Mon SaaS de scoring crédit utilise un LLM. Suis-je en haut risque ?

Oui. Le scoring crédit est explicitement listé à l'annexe III comme accès à des services essentiels. La technologie (LLM, ML classique) n'a pas d'importance — c'est le cas d'usage qui déclenche le classement haut risque.

Les LLM open source comme Llama sont-ils concernés ?

Oui, en tant que modèles GPAI (General-Purpose AI), ils ont leurs obligations propres depuis août 2025. Les fournisseurs (Meta dans le cas de Llama) ont des obligations de transparence et — pour les modèles « à risque systémique » (capacités très élevées) — des obligations renforcées.

Comment éviter de basculer en haut risque ?

Il faut éviter les cas d'usage de l'annexe III. Pour un SaaS B2B, cela signifie souvent : ne pas faire de scoring automatisé pour des décisions à fort impact (RH, crédit), garder la décision finale chez un humain, ou positionner l'IA en assistance (la « décision » reste humaine). Le périmètre exact se documente dans le dossier de conformité.

Quel est le risque de shadow AI ?

Beaucoup d'éditeurs ont des features IA expérimentales déployées sans gouvernance formelle. Si un client utilise la feature dans un cas haut risque, l'éditeur peut se retrouver en non-conformité sans le savoir. La cartographie des usages IA et le registre IA interne sont les premières mesures à mettre en place.

Application partielleApplication : 2025-02-02

EU AI Act

Règlement (UE) 2024/1689 sur l'intelligence artificielle

Premier cadre horizontal mondial de régulation de l'IA. Obligations IA haut risque applicables le 2 août 2026.

Secteurs concernés

01 · Qu'est-ce que c'est ?

EU AI Act (règlement UE 2024/1689) est le premier cadre horizontal de régulation de l'intelligence artificielle dans le monde. Adopté en juin 2024, il s'applique progressivement entre 2025 et 2027 selon les catégories de systèmes IA.

Le règlement classe les systèmes IA en quatre niveaux de risque : risque inacceptable (interdit), haut risque (obligations strictes), risque limité (obligations de transparence), risque minimal (libre). Le pivot pour la majorité des éditeurs est la catégorie « haut risque », encadrée par les articles 8 à 15 du règlement.

02 · Qui est concerné ?

Tous les acteurs de la chaîne IA sont concernés, avec des obligations différenciées :

Fournisseurs (providers) : développent et mettent sur le marché un système IA. Portent l'essentiel des obligations.
Déployeurs (deployers) : utilisent un système IA dans le cadre de leur activité professionnelle. Obligations de bonne utilisation et de supervision humaine.
Importateurs et distributeurs : obligations de vérification de la conformité avant mise sur le marché.
Modèles fondationnaux GPAI (General-Purpose AI) : régime spécifique, déjà applicable depuis août 2025.

L'IA n'est pas haut risque par sa technologie (LLM, vision, ML classique) mais par son cas d'usage. Les usages haut risque sont listés à l'annexe III : biométrie, infrastructures critiques, éducation, emploi (recrutement, évaluation), accès à des services essentiels (crédit, assurance, prestations sociales), application de la loi, migration, justice.

03 · Calendrier d'application

Interdictions IA proscrites depuis février 2025. Obligations modèles fondationnaux GPAI depuis août 2025. Obligations IA haut risque applicables le 2 août 2026.

2 février 2025 : interdictions des IA proscrites (notation sociale, manipulation cognitive, identification biométrique en temps réel sans encadrement).
2 août 2025 : obligations pour les fournisseurs de modèles GPAI.
2 août 2026 : obligations pour les systèmes IA haut risque (articles 8-15).
2 août 2027 : marquage CE des systèmes IA haut risque, normes harmonisées CEN/CENELEC.

04 · Sanctions

Pratiques IA interdites : amende jusqu'à 35 M€ ou 7 % du CA mondial annuel.
Manquement aux obligations IA haut risque : amende jusqu'à 15 M€ ou 3 % du CA mondial annuel.
Communication d'informations incorrectes aux autorités : amende jusqu'à 7,5 M€ ou 1 % du CA mondial annuel.

05 · Comment s'y conformer

Les sept obligations clés des articles 8-15 :

Système de gestion des risques continu (art. 9) — identification, analyse, mitigation des risques.
Gouvernance des données (art. 10) — datasets représentatifs, biais identifiés et mitigés.
Documentation technique (art. 11) — dossier annexe IV par système IA haut risque.
Conservation des logs (art. 12) — minimum 6 mois de logs des opérations.
Transparence et information utilisateur (art. 13) — notice d'utilisation pour les déployeurs.
Supervision humaine (art. 14) — capacité de l'humain à comprendre, détecter, intervenir.
Précision, robustesse, cybersécurité (art. 15) — niveau approprié, documenté, résistant aux attaques adversaires.

06 · Questions fréquentes

Mon SaaS de scoring crédit utilise un LLM. Suis-je en haut risque ?: Oui. Le scoring crédit est explicitement listé à l'annexe III comme accès à des services essentiels. La technologie (LLM, ML classique) n'a pas d'importance — c'est le cas d'usage qui déclenche le classement haut risque.
Les LLM open source comme Llama sont-ils concernés ?: Oui, en tant que modèles GPAI (General-Purpose AI), ils ont leurs obligations propres depuis août 2025. Les fournisseurs (Meta dans le cas de Llama) ont des obligations de transparence et — pour les modèles « à risque systémique » (capacités très élevées) — des obligations renforcées.
Comment éviter de basculer en haut risque ?: Il faut éviter les cas d'usage de l'annexe III. Pour un SaaS B2B, cela signifie souvent : ne pas faire de scoring automatisé pour des décisions à fort impact (RH, crédit), garder la décision finale chez un humain, ou positionner l'IA en assistance (la « décision » reste humaine). Le périmètre exact se documente dans le dossier de conformité.
Quel est le risque de shadow AI ?: Beaucoup d'éditeurs ont des features IA expérimentales déployées sans gouvernance formelle. Si un client utilise la feature dans un cas haut risque, l'éditeur peut se retrouver en non-conformité sans le savoir. La cartographie des usages IA et le registre IA interne sont les premières mesures à mettre en place.

Sources officielles

Réglementations connexes

Network and Information Security 2 — Directive (UE) 2022/2555
Applicable2024-10-17
NIS2
Network and Information Security 2 — Directive (UE) 2022/2555
Directive cybersécurité européenne applicable depuis octobre 2024. Élargit le périmètre aux SaaS, datacenters, transporteurs, alimentaire.
- SaaS
- Secteur bancaire
- Clinique & Santé
- +3
Décrypter →

Articles d'analyse

NIS2 pour les éditeurs SaaS : six mois pour passer l'audit
SaaS8 avril 2026
NIS2 pour les éditeurs SaaS : six mois pour passer l'audit
Applicable depuis octobre 2024, la directive NIS2 commence à mordre en 2026. Les éditeurs SaaS classés « entité importante » font face à des exigences techniques nouvelles.
EU AI Act articles 8-15 : les SaaS IA doivent s'organiser avant août 2026
SaaS17 mars 2026
EU AI Act articles 8-15 : les SaaS IA doivent s'organiser avant août 2026
Le 2 août 2026, les obligations de transparence et de gouvernance pour les IA à haut risque entrent en application. Pour les éditeurs SaaS, c'est un chantier sous-estimé.
Directive Machines 2023/1230 : le cadre cobot passe en mode exécution
Robotique23 mars 2026
Directive Machines 2023/1230 : le cadre cobot passe en mode exécution
Applicable au 20 janvier 2027, la nouvelle directive machines remplace la 2006/42/CE et intègre EU AI Act. Pour les intégrateurs robotiques, le marquage CE devient un sujet IA.