Le règlement (UE) 2024/1689, l'AI Act, est entré en vigueur en août 2024. Mais c'est en 2026 que la marche devient haute : depuis le 2 août, l'essentiel des obligations pour les systèmes à haut risque s'applique. Pour beaucoup d'entreprises canadiennes, la question n'est plus « sommes-nous concernés ? » mais « par quoi commencer ? ».
Pourquoi une entreprise canadienne est concernée
La portée du règlement est extraterritoriale, et elle s'attrape par trois portes :
- Vous vendez dans l'Union. Un système ou un produit intégrant de l'IA mis sur le marché européen tombe sous le règlement, peu importe où l'entreprise est établie.
- Vos sorties y sont utilisées. Si les résultats de votre système d'IA sont utilisés dans l'Union, le règlement peut s'appliquer même sans vente directe.
- Vos clients y sont exposés. Les donneurs d'ordre européens, et les exportateurs canadiens qui les servent, répercutent déjà les exigences dans leurs contrats : documentation, transparence, supervision humaine.
Le calendrier, sans détour
| Depuis | Ce qui s'applique |
|---|---|
| Août 2024 | Entrée en vigueur du règlement. |
| Février 2025 | Pratiques interdites (notation sociale, manipulation exploitant la vulnérabilité) et obligations de littératie IA. |
| Août 2025 | Obligations des modèles à usage général (GPAI) : transparence, documentation, droit d'auteur. |
| Août 2026 | Le gros du règlement : obligations des systèmes à haut risque, transparence du risque limité, sanctions pleinement applicables. |
| 2027 | Exigences résiduelles, notamment pour certains produits réglementés intégrant de l'IA. |
Les sanctions suivent la même pente : jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour les pratiques interdites. La distance ne protège pas ; la documentation, oui.
Les trois chantiers concrets
- Classer vos systèmes par niveau de risque. La plupart des usages d'affaires courants relèvent du risque minimal ou limité. Mais le tri doit être fait et documenté : emploi, crédit, santé et sécurité sont les zones à haut risque classiques. Sans classification écrite, vous ne pouvez répondre à aucun client européen.
- Mettre la transparence en place là où elle s'impose. Risque limité, en pratique : la personne doit savoir qu'elle interagit avec une IA, et le contenu généré ou manipulé doit être identifiable comme tel. C'est peu coûteux, et c'est vérifiable de l'extérieur.
- Documenter la chaîne fournisseur. Quels modèles, quelles versions, quelles garanties contractuelles ? Les obligations GPAI de vos fournisseurs deviennent vos réponses aux questions de vos clients. Exigez la documentation, conservez-la, reliez-la à vos systèmes.
Un seul inventaire, trois cadres servis
Le travail de fond, l'inventaire des systèmes, des usages, des données et des personnes touchées, est exactement le même que celui qu'exigent la Loi 25 au Québec et le NIST AI RMF chez vos clients américains. Une organisation qui tient cet inventaire à jour répond aux trois cadres avec le même document. C'est aussi la matière première de la propriété Cartographier de votre profil.
L'AI Act ne demande pas de la perfection. Il demande des réponses écrites aux questions qu'on vous posera de toute façon.