La loi sur l’IA (AI Act), qui est entrée en vigueur le 1er août 2024, prévoit une application progressive des obligations. Après la première série d’obligations, la deuxième série d’obligations est entrée en vigueur le 2 août 2025. La dernière phase débutera en août 2026.
Aux termes de notre précédente newsflash, nous abordions les premières obligations de l’AI Act : la promotion de la maitrise de l’IA au sein de l’entreprise et l’interdiction de certaines pratiques liées à l’IA. La deuxième phase des obligations comprend notamment les dispositions relatives aux sanctions, les obligations concernant les modèles d’IA à usage général, ainsi que les règles de gouvernance.
1) Sanctions
Le 2 août 2025, les dispositions relatives aux sanctions et aux mesures d’exécution en cas de violation de l’AI Act sont entrées en vigueur. L’AI Act oblige les États membres de l’Union européenne à établir des règles nationales à ce sujet. Les sanctions peuvent inclure des amendes administratives, des avertissements et d’autres mesures non pécuniaires. Elles doivent être efficaces, proportionnées et dissuasives. Les États membres doivent également tenir compte des intérêts et de la viabilité économique des PME et des start-ups. À ce jour, le législateur belge n’a pas encore élaboré de mesures concrètes pour la mise en œuvre nationale de ces sanctions.
L’AI Act prévoit différentes amendes (maximales) administratives selon la nature de l’infraction :
- Non-respect de l’interdiction d’utiliser des systèmes d’IA présentant un risque inacceptable : amende administrative pouvant aller jusqu’à 35.000.000 EUR, ou, si l’auteur est une entreprise, jusqu’à 7 % de son chiffre d’affaires mondial annuel, selon le montant le plus élevé (pour les PME et les start-ups, c’est le montant le plus bas qui s’applique).
- Non-respect de certaines obligations par les fournisseurs, importateurs, distributeurs ou utilisateurs de systèmes d’IA à haut risque : amende administrative pouvant aller jusqu’à 15.000.000 EUR, ou, si l’auteur est une entreprise, jusqu’à 3 % du chiffre d’affaires mondial annuel, selon le montant le plus élevé (le montant le plus bas s’applique aux PME et start-ups).
- Fourniture d’informations incorrectes, incomplètes ou trompeuses aux organismes notifiés ou aux autorités nationales compétentes : amende administrative pouvant aller jusqu’à 7.500.000 EUR, ou, si l’auteur est une entreprise, jusqu’à 1 % du chiffre d’affaires mondial annuel, selon le montant le plus élevé (le montant le plus bas s’applique aux PME et start-ups).
Lors de la détermination d’une amende administrative, les autorités doivent tenir compte de toutes les circonstances pertinentes. Elles peuvent notamment prendre en considération les éléments suivants :
- La nature, la gravité et la durée de l’infraction, ainsi que ses conséquences.
- Le nombre de personnes concernées et l’ampleur des dommages subis.
- La taille, le chiffre d’affaires annuel et la part de marché de l’opérateur ayant commis l’infraction.
- Le degré de coopération avec les autorités nationales pour remédier à l’infraction et limiter les conséquences négatives.
- Le caractère intentionnel ou non de l’infraction.
2) Modèles d’IA à usage général
Des obligations spécifiques s’appliquent aux fournisseurs de modèles d’intelligence artificielle à usage général (« general purpose AI » ou GPAI). Ces modèles d’IA sont conçus pour accomplir une grande variété de tâches. Ils sont entraînés sur d’immenses volumes de données et peuvent être utilisés dans de nombreux contextes. En raison de leur large applicabilité, de nombreux systèmes d’IA sont construits à partir de ces modèles. Bien qu’ils ne constituent pas des systèmes d’IA autonomes, ils en forment néanmoins la base essentielle.
Les fournisseurs de modèles GPAI doivent :
- Tenir une documentation technique qui doit contenir des informations sur le processus d’entraînement et de test, ainsi que sur les résultats des évaluations.
- Fournir des informations actualisées accessibles aux fournisseurs de systèmes utilisant le modèle d’IA. Cela les aide à comprendre les capacités et les limites du modèle et à se conformer aux exigences légales.
Des obligations supplémentaires s’appliquent aux modèles GPAI présentant des risques systémiques. Les fournisseurs doivent notamment effectuer des évaluations régulières pour identifier les faiblesses et documenter les incidents. Ils doivent également garantir une cybersécurité adéquate.
Le Bureau de l’IA a publié le 10 juillet 2025 un Code of Practice destiné à aider les entreprises à se conformer aux règles GPAI. Ces règles seront applicables à partir du 2 août 2026 pour les nouveaux modèles d’IA, et à partir du 2 août 2027 pour les modèles commercialisés avant le 2 août 2025. L’objectif est de garantir que les modèles GPAI mis sur le marché européen soient transparents et sûrs.
3) Règles en matière de gouvernance
Enfin, chaque État membre de l’Union européenne devait désigner au moins une autorité de notification et une autorité de surveillance du marché au plus tard le 2 août 2025. Ces instances sont respectivement responsables de la désignation et de l’information des organismes d’évaluation de la conformité, ainsi que de la surveillance des systèmes d’IA. Il n’existe actuellement pas encore de législation belge précisant davantage ce cadre de surveillance.
Au niveau européen, la supervision est coordonnée par le Bureau de l’IA et le Conseil européen de l’intelligence artificielle (« AI Board »). En outre, un forum consultatif est mis en place, ainsi qu’un panel scientifique composé d’experts indépendants.
Point d'attention
Depuis le 2 août 2025, la deuxième phase des obligations issues de l’AI Act est entrée en vigueur. Pour les entreprises, ce sont en particulier les dispositions relatives aux sanctions et les règles concernant les obligations liées aux modèles d’IA à usage général (GPAI) qui sont importantes.
Le législateur belge n’a pas encore adopté de législation précisant les mesures de sanction et d’exécution. De même, aucune autorité nationale compétente n’a encore été instituée.
