IA haut risque s’imposent désormais aux entreprises européennes. En Belgique, l’adoption de l’IA est forte, mais l’« IA fantôme » demeure répandue. Les dirigeants de PME doivent comprendre quels usages relèvent du haut risque, quelles obligations s’appliquent et quelles sanctions sont prévues. Cet article explique les étapes concrètes pour inventorier, évaluer et gouverner l’IA en entreprise. Le but est d’offrir des actions immédiates et pragmatiques, adaptées au contexte belge.
D’abord, nous définissons l’IA à haut risque et ses conséquences pratiques. Ensuite, nous analysons les tendances belges et le phénomène d’IA fantôme. Puis, nous proposons une méthode d’inventaire par fonction et d’évaluation des risques. Nous détaillons les obligations de conformité, la traçabilité et la documentation. Enfin, nous présentons des outils et une feuille de route pour sécuriser la transformation digitale
Pourquoi l’AI Act définit-il l’IA à haut risque
L’AI Act classe l’IA à haut risque pour protéger la sécurité, la santé et les droits fondamentaux. En Belgique, cette catégorisation est cruciale pour les PME qui utilisent des outils touchant des personnes. En effet, l’arrêté identifie deux voies principales : des composants ou produits déjà régulés par des lois sectorielles et des usages listés en Annexe III. Par exemple, un logiciel de scoring crédit intégré à un service financier ou un système de présélection de candidats relève d’un contrôle renforcé. Ainsi, la définition n’est pas seulement théorique. Elle impose des obligations concrètes sur la manière dont les systèmes sont conçus et déployés.
La logique est simple pour les dirigeants : si une IA prend une décision impactant une personne, elle peut être qualifiée de haut risque. Cela inclut la biométrie, les infrastructures critiques, l’éducation, l’emploi, la justice et la migration. De plus, les sanctions prévues sont dissuasives : jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial. Par conséquent, comprendre cette définition évite des risques financiers et réputationnels. En pratique, la distinction guide aussi les priorités de gouvernance et les audits internes à prévoir.
Tendances en Belgique : adoption forte mais IA fantôme persistante
La Belgique affiche une adoption massive de l’IA, avec 70,8 % des entreprises l’utilisant régulièrement. Cependant, ce chiffre cache un défi majeur : environ 34 % des organisations subissent l’« IA fantôme ». Ce terme désigne des usages d’IA non encadrés par la direction. Par exemple, un commercial qui intègre un chatbot externe pour trier les leads sans validation expose l’entreprise. En effet, ces pratiques multiplient les risques de fuites de données et d’erreurs opérationnelles. De plus, elles fragilisent la conformité au RGPD et à l’AI Act.
Pour un dirigeant belge, la réalité est double. D’une part, les PME gagnent en productivité grâce à des outils no-code et des API IA. D’autre part, sans gouvernance, ces gains deviennent vulnérabilités. Ainsi, des solutions simples existent. La création d’un registre IA, la formation des équipes et la mise en place d’un canal d’alerte interne réduisent rapidement l’IA fantôme. En revanche, laisser ces usages se développer librement augmente les probabilités d’amendes et de pertes de confiance client.
Comment inventorier les usages : méthode par fonction, pas par outil
L’inventaire doit se faire par fonction et par processus, non par outil. Commencez par cartographier les fonctions métiers : RH, finance, marketing, production, support. Demandez à chaque responsable quelles décisions sont prises automatiquement. Par exemple, en RH, identifiez les outils de présélection qui influencent l’embauche. En finance, repérez les systèmes de scoring ou d’acceptation automatisée des crédits. Cette approche met en lumière les impacts humains et facilite la qualification du risque. De plus, elle évite de perdre du temps à lister des logiciels sans savoir comment ils sont utilisés.
Une bonne pratique belge consiste à organiser des ateliers courts avec des cas concrets. Mobilisez le CTO, le DPO et un représentant métier. Documentez pour chaque usage : finalité, données utilisées, acteurs concernés, et décision humaine finale. Classez ensuite chaque cas selon un seuil de risque : faible, moyen, haut. Un critère simple : l’IA prend-elle une décision qui affecte les droits ou l’accès à un service ? Si oui, renforts immédiats. Cette méthode facilite aussi la communication avec les importateurs ou distributeurs qui doivent conserver des preuves de conformité.
Évaluer et qualifier les risques : indicateurs pratiques pour dirigeants
Qualifier un risque haut passe par des indicateurs opérationnels. Mesurez l’impact potentiel sur la sécurité, la santé et les droits fondamentaux. Par exemple, un algorithme de recrutement qui élimine systématiquement un groupe démographique présente un risque élevé. Évaluez aussi la probabilité d’erreur et la gravité des conséquences. En Belgique, l’approche pragmatique consiste à combiner données historiques, retours utilisateurs et tests de scénarios. De plus, impliquez des personnes externes pour éviter les angles morts cognitifs internes.
Utilisez des scores simples pour prioriser les actions : impact x probabilité x visibilité réglementaire. Ainsi, un système de scoring crédit destiné au grand public sera hautement prioritaire. Par contraste, un assistant interne de rédaction peut rester sous surveillance renforcée sans être immédiatement classé haut risque. En pratique, ce tri aide les PME à consacrer leurs ressources aux systèmes critiques. De plus, documenter cette évaluation crée une preuve de diligence utile en cas de contrôle.
Obligations de conformité : traçabilité, documentation et évaluation tierce
L’AI Act impose des obligations strictes pour les systèmes haut risque. Elles incluent la gestion des risques, la traçabilité des données, la documentation technique et l’évaluation de conformité par un tiers. En Belgique, cela signifie préparer un dossier accessible et complet. Par exemple, les importateurs ou distributeurs doivent conserver des documents dix ans. La documentation doit expliquer le modèle, les jeux de données, les tests et les mesures de mitigation. Ainsi, la preuve de conformité devient un actif stratégique pour une PME.
Concrètement, cela implique des actions immédiates : centraliser les logs, versionner les modèles, enregistrer les jeux de données et formaliser les procédures de surveillance. De plus, planifiez une consultation externe pour l’audit de conformité si le système est susceptible d’être qualifié de haut risque. Ce contrôle tiers, requis pour certains cas, valide les mesures prises. En outre, la conformité n’est pas un état figé. Elle demande une maintenance continue, des mises à jour et des audits réguliers pour rester valide face aux évolutions technologiques et réglementaires.
Outils et pratiques pour gouverner l’IA et éliminer l’IA fantôme
Pour lutter contre l’IA fantôme et garantir la conformité, utilisez des outils simples et éprouvés. Des plateformes comme Airtable ou des automatisations Make permettent de centraliser un registre IA et d’automatiser des workflows d’approbation. Par exemple, un formulaire interne renseigne l’usage, les données et la finalité. Une validation par le DPO déclenche un tag de conformité. Ainsi, même les petites équipes gardent une traçabilité opérationnelle. De plus, ces outils s’intègrent facilement aux solutions no-code déjà en place.
Parallèlement, misez sur la formation et la responsabilisation. Formez les équipes métiers sur les risques spécifiques et les obligations de l’AI Act. Organisez des sessions pratiques sur le RGPD et la gestion des incidents. Enfin, définissez une politique IA simple mais contraignante : qui peut commander des services IA, comment ils sont évalués, et quelles étapes pour la mise en production. En combinant outils légers et gouvernance claire, une PME belge peut accélérer sa digitalisation sans multiplier les risques.
Conclusion
L’AI Act transforme la gestion de l’IA en priorité stratégique pour les PME. Une démarche pragmatique — inventorier par fonction, qualifier les risques, documenter et utiliser des outils de traçabilité — réduit exposés juridiques et opérationnels. Commencez par un inventaire court et des formations ciblées. Si besoin, sollicitez un audit externe pour les systèmes critiques. Pour avancer sereinement, fixez d’ici 90 jours un registre IA et une politique interne.
