Règlement (UE) 2024/1689 sur l'intelligence artificielle (AI Act) : comment OpenKBS assure la conformité pour les entreprises en Belgique

Le Règlement (UE) 2024/1689 du Parlement européen et du Conseil (AI Act) est le premier acte législatif au monde régissant les systèmes d'intelligence artificielle. Le Règlement est entré en vigueur le 1er août 2024 et s'applique de manière progressive, avec une application complète à partir du 2 août 2026.

En tant que règlement de l'UE, l'AI Act s'applique directement dans tous les États membres de l'Union européenne, y compris la Belgique, sans nécessité de transposition nationale.

L'obligation de maîtrise de l'IA en vertu de l'art. 4 du Règlement est en vigueur depuis le 2 février 2025. Les organisations utilisant des systèmes d'IA sont d'ores et déjà tenues de garantir un niveau suffisant de maîtrise de l'IA pour leur personnel.

Audit de conformité intégré dans OpenKBS Studio

OpenKBS Studio inclut un AI Act Compliance Skill intégré qui audite automatiquement le projet et génère un rapport de conformité structuré. Le skill analyse quels modèles d'IA sont utilisés, les classe par catégorie de risque conformément à l'Annexe III, vérifie la présence de mécanismes de contrôle humain, de mesures de traçabilité et de transparence, et produit un rapport documenté prêt à être soumis aux autorités de régulation ou à un audit interne. Le processus est lancé par une simple instruction à l'agent IA et ne nécessite aucune configuration supplémentaire.

Application progressive

DateCe qui entre en vigueur
1er août 2024Le Règlement entre en vigueur
2 février 2025Pratiques d'IA interdites (art. 5) et obligation de maîtrise de l'IA (art. 4)
2 août 2025Règles pour les modèles d'IA à usage général (GPAI)
2 août 2026Application complète : systèmes d'IA à haut risque, évaluation de la conformité, sanctions
2 août 2027Systèmes à haut risque visés à l'Annexe I (IA à haut risque intégrée aux produits : dispositifs médicaux, machines, jouets)

Obligation de maîtrise de l'IA (art. 4)

L'art. 4 du Règlement (UE) 2024/1689 oblige les fournisseurs et les déployeurs de systèmes d'IA à prendre des mesures garantissant un niveau suffisant de maîtrise de l'IA de leur personnel et des personnes opérant les systèmes d'IA pour leur compte.

Qui est concerné

L'obligation couvre :

  • les employés qui utilisent des outils d'IA dans leur travail quotidien ;
  • les dirigeants qui prennent des décisions sur la base des résultats de l'IA ;
  • les équipes de sélection des fournisseurs et des technologies ;
  • les sous-traitants et le personnel externalisé qui opèrent des systèmes d'IA pour le compte de l'organisation ;
  • les organes de direction ayant des fonctions de supervision sur les systèmes d'IA.

Ce qui est requis

Le Règlement ne prescrit pas de format, de durée ou de programme de formation spécifique. Le standard est l'adéquation par rapport au rôle, en tenant compte des connaissances techniques, de l'expérience, de la formation et du contexte d'utilisation du système d'IA.

Les formations génériques qui n'abordent pas les systèmes d'IA spécifiques utilisés dans l'organisation sont considérées comme insuffisantes. La formation doit couvrir :

  • les capacités et les limites des systèmes d'IA spécifiques ;
  • les risques associés à leur utilisation ;
  • l'évaluation critique des résultats de l'IA ;
  • les considérations éthiques, y compris les biais et l'équité ;
  • les procédures de signalement des incidents.

Comment démontrer la conformité

Les organisations doivent maintenir :

  • une politique d'utilisation acceptable de l'IA (AI Acceptable Use Policy) ;
  • une politique de maîtrise de l'IA (structure de la formation, responsabilités, cycle de mise à jour) ;
  • des registres des formations effectuées avec dates, participants et contenus ;
  • des résultats d'évaluations démontrant la compréhension (pas seulement la participation) ;
  • un journal des mises à jour du programme.

Sanctions

L'AI Act ne prévoit pas d'amende directe au niveau de l'UE pour le non-respect des obligations de l'art. 4. Les trois niveaux de sanctions de l'art. 99 s'appliquent à d'autres violations : jusqu'à 35 millions d'EUR ou 7 % du chiffre d'affaires annuel mondial pour les pratiques interdites (art. 5), jusqu'à 15 millions d'EUR ou 3 % pour les obligations des déployeurs (art. 26), jusqu'à 7,5 millions d'EUR ou 1 % pour les fausses déclarations. Les États membres peuvent fixer leurs propres sanctions pour les violations de l'art. 4.

Pratiques d'IA interdites (art. 5)

Depuis le 2 février 2025, huit catégories de pratiques d'IA sont interdites :

  1. Techniques d'IA manipulatrices causant un préjudice ;
  2. Exploitation des vulnérabilités (âge, handicap, situation socio-économique) ;
  3. Notation sociale (social scoring) ;
  4. Prédiction du risque individuel de commission d'infractions ;
  5. Collecte non ciblée d'images faciales sur Internet ou à partir de la vidéosurveillance ;
  6. Reconnaissance des émotions sur le lieu de travail et dans l'éducation ;
  7. Catégorisation biométrique fondée sur des caractéristiques protégées ;
  8. Identification biométrique en temps réel dans les espaces publics (avec des exceptions limitées pour les forces de l'ordre).

Le point 6 est directement applicable à toute organisation utilisant l'IA dans la gestion des ressources humaines.

Systèmes d'IA à haut risque (Annexe III)

L'Annexe III du Règlement définit huit domaines dans lesquels les systèmes d'IA sont classés comme étant à haut risque :

DomaineExemples
BiométrieIdentification biométrique à distance, reconnaissance des émotions
Infrastructures critiquesGestion des réseaux énergétiques, transports, approvisionnement en eau
ÉducationAdmission, notation, répartition en groupes
Emploi et gestion des travailleursSélection des candidats, screening des CV, évaluation des performances, décisions de promotion ou de licenciement
Accès aux services essentielsScoring de crédit, assurance, aide sociale
RépressionÉvaluation des preuves, police prédictive
Migration et contrôle aux frontièresÉvaluation des demandes de visa, surveillance des frontières
JusticeAnalyse juridique, outils prédictifs pour les décisions judiciaires

Obligations des déployeurs de systèmes à haut risque (art. 26)

Les organisations qui déploient des systèmes d'IA à haut risque sont tenues de :

  • utiliser les systèmes conformément aux instructions du fournisseur ;
  • assurer un contrôle humain par des personnes compétentes ;
  • garantir que les données d'entrée sont appropriées et représentatives ;
  • surveiller le fonctionnement du système et signaler les incidents graves ;
  • conserver les logs générés automatiquement pendant au moins 6 mois ;
  • informer les représentants des travailleurs et les travailleurs concernés avant le déploiement ;
  • pour les systèmes dans le domaine de l'emploi — informer les candidats que l'IA participe au processus de sélection.

Comment OpenKBS répond aux exigences de l'AI Act

Traçabilité des opérations IA (art. 12, art. 26)

OpenKBS exploite l'ensemble de l'infrastructure IA de ses clients enterprise sur la plateforme, y compris un proxy IA unifié pour l'accès à plusieurs modèles d'IA (OpenAI, Anthropic, Google).

Chaque appel à un modèle d'IA passe par le proxy, qui enregistre :

  • quel modèle d'IA a été utilisé et quelle version ;
  • l'horodatage de la requête ;
  • le nombre de tokens d'entrée et de sortie ;
  • l'identifiant du projet.

Ces données sont stockées dans l'infrastructure du client et sont disponibles pour l'audit. Elles répondent aux exigences de traçabilité des résultats (art. 12) et de conservation des logs (art. 26, paragraphe 6).

Contrôle humain by design (art. 14, art. 26)

L'architecture d'OpenKBS est conçue de manière à ce que les résultats de l'IA ne soient pas exécutés automatiquement sans intervention humaine. Pour les clients enterprise :

  • les systèmes d'IA fonctionnent dans un environnement géré avec un accès contrôlé ;
  • pour les décisions critiques (RH, finance, opérations), un workflow d'approbation est appliqué — l'IA génère une recommandation, une personne autorisée la confirme ou la rejette ;
  • chaque nouvelle version de la solution passe par un processus structuré de revue de sécurité avant son introduction en environnement de production.

Transparence et marquage du contenu IA (art. 50)

OpenKBS fournit aux clients enterprise des moyens de marquage du contenu généré par l'IA :

  • métadonnées d'origine — chaque réponse de l'IA peut contenir des informations sur le modèle, la version et la date de génération ;
  • composant de divulgation (AI Disclosure) — prêt à être intégré dans les applications du client, informant les utilisateurs finaux qu'ils interagissent avec une IA ou que le contenu est généré par l'IA.

Maîtrise de l'IA (art. 4)

OpenKBS fournit aux clients enterprise de la documentation et des conseils sur :

  • les capacités et les limites des modèles d'IA disponibles via la plateforme ;
  • les risques dans les différentes catégories d'utilisation ;
  • les meilleures pratiques pour l'évaluation critique des résultats de l'IA ;
  • les procédures de signalement des incidents.

Cette documentation peut servir de base au programme interne de maîtrise de l'IA de l'organisation.

Rapport de conformité (art. 11, art. 26)

OpenKBS fournit aux clients enterprise un skill spécialisé pour la génération automatisée de rapports de conformité à l'AI Act. Le skill est installé dans OpenKBS Studio en un clic depuis la section Skills et est activé par une instruction à l'agent IA (ex. "génère un rapport de conformité AI Act"). L'agent collecte les données des logs du proxy IA, analyse le code du projet et génère un rapport structuré contenant :

Inventaire des systèmes d'IA :

  • liste complète des modèles d'IA utilisés dans le projet (ex. Claude Sonnet 4.6, GPT-4.1, Gemini 2.5 Flash) ;
  • versions des modèles et fournisseurs ;
  • nombre d'appels par modèle pour une période sélectionnée ;
  • consommation totale de tokens d'entrée et de sortie.

Classification des risques :

  • évaluation automatique de la catégorie de risque selon l'Annexe III (haut risque, limité, minimal) ;
  • identification des domaines relevant du champ d'application des systèmes à haut risque (emploi, finance, éducation) ;
  • recommandations de mesures supplémentaires en cas d'IA à haut risque.

État des mesures de conformité :

  • présence de l'AI Act Compliance Skill dans le projet ;
  • état des mécanismes de contrôle humain (workflow d'approbation) ;
  • présence et complétude des logs de traçabilité ;
  • état du composant AI Disclosure ;
  • présence d'une AI Acceptable Use Policy et d'une politique de maîtrise de l'IA.

Artefact généré : Le rapport est généré sous forme de document structuré (PDF/JSON), prêt à être présenté aux autorités de régulation, aux comités d'audit internes ou à être archivé comme artefact de conformité. La génération périodique (ex. trimestrielle) garantit un historique documenté de l'utilisation de l'IA dans l'organisation.

Pratiques interdites et AI Act Compliance Skill

OpenKBS intègre dans les projets enterprise un skill de conformité spécialisé — un ensemble de règles que l'agent IA charge automatiquement. Ces règles comprennent :

Opérations interdites :

  • reconnaissance des émotions dans le contexte de l'emploi ou de l'éducation ;
  • notation sociale des personnes physiques ;
  • catégorisation biométrique fondée sur des caractéristiques protégées ;
  • techniques manipulatrices exploitant les vulnérabilités.

Procédures obligatoires :

  • journalisation de chaque décision de l'IA avec données d'entrée, données de sortie, modèle et horodatage ;
  • pour les décisions dans les domaines de l'emploi, de la finance et de l'éducation — interruption et demande de confirmation auprès d'une personne autorisée ;
  • ajout de métadonnées sur l'origine IA au contenu généré ;
  • génération d'une évaluation des risques lors de l'introduction de nouvelles fonctionnalités IA.

Consolidation de la chaîne d'approvisionnement IA

Une organisation utilisant des modèles d'IA de plusieurs fournisseurs (OpenAI, Anthropic, Google) doit gérer la conformité pour chacun séparément — des conditions d'utilisation différentes, des politiques de données différentes, des niveaux de transparence différents.

OpenKBS consolide l'accès à plusieurs modèles d'IA via un proxy unifié, opéré dans l'infrastructure UE de la plateforme. Le client interagit avec un seul fournisseur (OpenKBS), qui gère l'intégration avec les fournisseurs d'IA.

Cela réduit :

  • le nombre de fournisseurs soumis à une évaluation séparée ;
  • la complexité de la gestion de politiques de données différentes ;
  • la charge administrative liée à la documentation de la chaîne d'approvisionnement IA.

Sécurité de l'infrastructure

L'AI Act ne fonctionne pas de manière isolée — les organisations relevant du champ d'application de la Directive (UE) 2022/2555 (NIS2) doivent assurer la conformité aux deux actes simultanément. OpenKBS adresse les deux cadres à travers :

  • Compte AWS dédié pour chaque client enterprise — isolation complète et possibilité de transfert ;
  • EU Data Residency — les données sont hébergées dans la région AWS eu-central-1 (Francfort, Allemagne) ;
  • Architecture serverless — surface d'attaque réduite, mises à jour de sécurité automatiques ;
  • Chiffrement — TLS 1.2+ en transit, AES-256 au repos ;
  • Journal d'audit — traçabilité de toutes les actions administratives.

Une description détaillée de la couverture NIS2 est disponible dans la publication sur la Directive (UE) 2022/2555.

Résumé : couverture des exigences principales

Exigence de l'AI ActComment OpenKBS y répond
Maîtrise de l'IA (art. 4)Documentation, conseil et matériaux pour le programme de maîtrise de l'IA
Pratiques interdites (art. 5)AI Act Compliance Skill avec interdictions intégrées
Traçabilité (art. 12)Logs du proxy IA : modèle, version, horodatage, projet
Contrôle humain (art. 14, 26)Workflow d'approbation pour les décisions à haut risque
Transparence (art. 50)Composant AI Disclosure et métadonnées d'origine
Journalisation (art. 26, §6)Archivage automatique des logs dans l'infrastructure du client
Documentation technique (art. 11)Rapport de conformité automatisé par projet
Information des travailleurs (art. 26, §7)Conseil sur les procédures de notification
Gestion de la chaîne d'approvisionnementProxy IA consolidé — un fournisseur au lieu de plusieurs
NIS2 + AI Act ensembleInfrastructure unifiée couvrant les deux actes

Prochaine étape

Si votre organisation en Belgique utilise des systèmes d'IA et doit assurer la conformité au Règlement (UE) 2024/1689, contactez-nous pour une consultation sur :

  • l'évaluation de l'utilisation actuelle de l'IA par rapport aux exigences du Règlement ;
  • la classification des systèmes d'IA par catégories de risque ;
  • l'implémentation de l'AI Act Compliance Skill dans l'environnement géré ;
  • la génération d'un rapport de conformité pour les autorités de régulation ou les audits internes ;
  • un programme de maîtrise de l'IA pour le personnel.

Les services décrits pour la conformité à l'AI Act — compliance skill, audit de l'utilisation de l'IA, workflow de contrôle humain et rapport de conformité — font partie du plan Enterprise d'OpenKBS.

La présente publication a un caractère purement informatif et ne constitue pas un conseil juridique. Pour des questions spécifiques sur l'application du Règlement (UE) 2024/1689, veuillez consulter un conseiller juridique qualifié.

Book a Strategy Call
Règlement IAAI Actmaîtrise de l'IAIA à haut risqueconformitéBelgiqueAWSenterpriseOpenKBS