EU AI Act : le guide complet pour les SaaS (2026)
Les obligations EU AI Act pour les SaaS sont déjà partiellement en vigueur depuis février 2025. Le vrai risque n'est pas une amende lointaine — c'est le moment où un prospect EU vous demande votre documentation compliance dans sa due diligence. Voici comment être prêt, sans avocat et sans 100 pages de lecture.
Le règlement (UE) 2024/1689 sur l'intelligence artificielle, plus connu sous le nom d'EU AI Act, est entré progressivement en vigueur depuis le 1er août 2024. Les obligations de transparence (Article 50) — chatbots, contenu généré par IA — sont applicables depuis février 2025. Les provisions concernant les systèmes à haut risque ont été décalées à décembre 2027 (EU Digital Omnibus, mai 2026)1. Pour la majorité des SaaS indé, l'urgence n'est pas règlementaire : c'est que vos clients EU commencent à demander de la documentation compliance dans leurs due diligences B2B.
Mais ce n'est pas le scénario le plus probable. Pour la majorité des SaaS, l'AI Act se résume à trois ou quatre obligations bien identifiées, dont la plupart peuvent être adressées en une journée de travail. Encore faut-il savoir où vous tombez dans la classification.
Ce guide vous fait traverser l'AI Act du point de vue d'un fondateur SaaS : à qui il s'applique, comment vous êtes classé, quelles sont vos obligations réelles, et comment l'exception de l'Article 6.3 sort environ 80 % des produits IA du régime des "systèmes à haut risque".
À qui s'applique l'AI Act, en pratique
L'AI Act s'applique à tout système d'IA mis sur le marché ou utilisé dans l'Union européenne, peu importe que votre entreprise soit basée en France, aux États-Unis ou ailleurs (Article 2 du règlement).
Concrètement, vous êtes concerné si au moins une des conditions suivantes est vraie :
- Votre produit utilise un LLM (GPT, Claude, Llama), un modèle ML maison ou un agent autonome
- Vous avez ou comptez avoir des utilisateurs payants ou gratuits dans un des 27 États membres
- Votre produit traite des données ou prend des décisions affectant des personnes situées dans l'UE
L'argument "je suis basé aux US, donc je ne suis pas concerné" ne tient pas juridiquement. La logique est la même que pour le RGPD : c'est le public visé qui déclenche l'application, pas le lieu d'établissement.
Provider ou deployer : la distinction qui change tout
L'Article 3 distingue deux rôles principaux :
- Provider (fournisseur) : vous développez le système d'IA ou vous le faites développer pour le mettre sur le marché sous votre nom.
- Deployer (déployeur) : vous utilisez un système d'IA fourni par un tiers dans le cadre de votre activité.
Pourquoi ça compte : les obligations du provider sont beaucoup plus lourdes (documentation technique, conformity assessment, marquage CE le cas échéant). Le deployer a un régime allégé, principalement orienté transparence et oversight humain.
Cas typique d'un SaaS indépendant :
| Configuration | Rôle AI Act |
|---|---|
| Vous appelez l'API OpenAI / Anthropic et reformulez le résultat à vos utilisateurs | Deployer |
| Vous avez fine-tuné un modèle open source et vous le commercialisez sous votre nom | Provider |
| Vous orchestrez plusieurs LLM avec votre propre logique métier (RAG, agents) | Probablement deployer — à vérifier au cas par cas |
Dans la majorité des cas, un indie SaaS qui consomme une API IA sera classé deployer.
Les 4 niveaux de risque
L'AI Act classe les systèmes d'IA en quatre niveaux, par ordre décroissant de contrainte (Articles 5, 6 et 50) :
1. Risque inacceptable — interdit
Identification biométrique en temps réel dans l'espace public, scoring social, manipulation subliminale (Article 5). Si vous tombez ici, votre produit est illégal en UE depuis le 2 février 2025.
2. Haut risque — régulé lourdement
Couvre deux cas :
- Annexe I : votre système est intégré dans un produit déjà régulé (dispositif médical, machine, jouet, véhicule)
- Annexe III : votre système opère dans un des 8 domaines listés (biométrie, infrastructures critiques, éducation, emploi, services essentiels, application de la loi, migration, justice)
Si vous êtes classé haut risque, vous devez (Articles 9 à 15) : système de gestion des risques, gouvernance des données, documentation technique complète, journalisation, transparence, supervision humaine, exactitude et robustesse. Plusieurs mois de travail sans compliance officer dédié.
Bonne nouvelle : la plupart des SaaS B2B classiques ne tombent pas dans ces catégories.
3. Risque limité — transparence requise
Vous interagissez avec des humains (chatbot, assistant), vous générez du contenu (texte, image, audio, vidéo), ou vous publiez du texte d'intérêt public sans revue éditoriale humaine. C'est là que tombe la majorité des SaaS IA.
Les obligations sont concentrées dans l'Article 50 (voir section dédiée plus bas).
4. Risque minimal — aucune obligation spécifique
Les systèmes qui ne tombent dans aucune des trois catégories précédentes : filtres anti-spam, IA dans les jeux vidéo, optimisations internes sans interaction humaine. Vous êtes encouragé à suivre des codes de conduite volontaires, mais rien n'est imposé.
L'Article 6.3 : l'exception qui sort 80 % des SaaS du haut risque
C'est probablement la disposition la plus mal connue de tout l'AI Act, et celle qui change le plus de classifications.
L'Article 6.3 dit qu'un système qui tombe formellement dans l'Annexe III n'est pas considéré comme à haut risque si certaines conditions sont réunies :
Le système d'IA est destiné à exécuter une tâche procédurale étroite ; ou à améliorer le résultat d'une activité humaine déjà accomplie ; ou à détecter des schémas décisionnels sans remplacer l'évaluation humaine ; ou à exécuter une tâche préparatoire à une évaluation pertinente.
En d'autres termes : si un humain valide systématiquement la sortie de votre IA, et que cette IA n'effectue pas de profilage automatique de personnes physiques, vous tombez probablement sous cette exception.
Conditions cumulatives à vérifier :
- La sortie de l'IA est revue / validée par un humain avant utilisation
- Le système ne profile pas de personnes physiques
- Le système n'effectue pas de décision automatisée sans intervention humaine
Si ces trois cases sont cochées, vous basculez du régime "haut risque" (lourd) vers le régime "risque limité" (Article 50 seulement). C'est l'exception la plus puissante du texte, et elle est conçue pour ne pas étouffer les usages courants de l'IA dans le SaaS B2B.
Article 50 : les obligations de transparence qui touchent la majorité
Si vous êtes en "risque limité" (et c'est probable), voici les obligations concrètes :
50.1 — Vos utilisateurs doivent savoir qu'ils parlent à une IA
Si votre produit inclut un chatbot, un assistant conversationnel ou tout système conçu pour interagir avec des humains, vous devez informer l'utilisateur qu'il interagit avec une IA, sauf si c'est manifestement évident. En pratique : un message d'accueil clair, une signature dans les emails générés, ou un badge visible dans l'UI.
50.2 — Le contenu généré doit être marquable
Si vous générez du texte, image, audio ou vidéo synthétique, vous devez fournir un mécanisme technique permettant d'identifier ce contenu comme généré par IA — typiquement par watermarking ou métadonnées C2PA. Cette obligation pèse principalement sur les providers des modèles de génération, pas sur les SaaS qui se contentent de les appeler.
50.3 — Les deepfakes doivent être divulgués
Tout contenu généré par IA qui ressemble à une personne, un lieu ou un événement réel doit être divulgué comme tel à l'utilisateur final, de manière claire et visible.
50.4 — Le texte d'intérêt public doit être signalé
Si vous publiez du texte généré par IA sur un sujet d'intérêt public (information, éditorial) sans revue éditoriale humaine, vous devez le signaler comme tel.
Ces quatre obligations sont gérables techniquement et ne demandent pas un budget de cabinet d'avocats.
Les sanctions : ce qui vous attend vraiment
L'Article 99 prévoit trois paliers de sanctions :
| Type d'infraction | Amende maximale |
|---|---|
| Violations relatives aux pratiques interdites (Article 5) | 35 M€ ou 7 % du CA mondial |
| Non-respect des obligations applicables aux systèmes à haut risque | 15 M€ ou 3 % |
| Fourniture d'informations incorrectes aux autorités | 7,5 M€ ou 1,5 % |
Pour une PME ou une startup, le règlement prévoit que les amendes peuvent être proportionnées (Article 99.7). Les premières amendes seront probablement plus mesurées et pédagogiques.
Le risque pratique le plus immédiat n'est pas l'amende, c'est la rupture de contrat B2B. Dès maintenant, vos clients européens commencent à exiger des clauses AI Act dans leurs renouvellements. Sans documentation à fournir, vous perdez le contrat.
Trois actions concrètes à faire cette semaine
- Classifiez votre système — Provider ou deployer ? Annexe III ? Article 6.3 applicable ?
- Listez les obligations Article 50 qui vous concernent — Chatbot ? Génération de contenu ? Identifiez quels alinéas s'appliquent.
- Préparez votre documentation — Au minimum : model card, risk assessment, compliance summary. Si vos contrats B2B contiennent une clause IA, vous aurez besoin de ces documents au moment du renouvellement.
Vous voulez gagner du temps ?
Classification gratuite en 5 minutes — le questionnaire s'adapte à vos réponses. Vous obtenez votre classification AI Act et, si vous le souhaitez, les 3 documents PDF requis pour les audits et renouvellements B2B.
Lancer ma classification gratuite →Sources officielles
- Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 — texte intégral
- Articles cités : 2 (champ d'application), 3 (définitions), 5 (pratiques interdites), 6 et 6.3 (classification haut risque + exception), 9-15 (obligations haut risque), 50 (obligations de transparence), 99 (sanctions)
- Annexe I (produits régulés) et Annexe III (cas d'usage haut risque)
1 Au 18 mai 2026, date de publication de cet article.
Pour toute question : hello@modelcards.eu