AI Act: ce que les employeurs belges doivent déjà anticiper quand ils utilisent de l’IA

L’intelligence artificielle n’est plus un sujet de laboratoire : elle est déjà dans les cabinets, les secrétariats sociaux, les services RH, les départements finance, les outils de facturation, les plateformes de support client, voire dans la production de documents et d’analyses. Le nouveau règlement européen sur l’IA (souvent appelé « AI Act ») vise précisément ces usages “quotidiens” : non seulement les entreprises qui développent des systèmes d’IA, mais aussi celles qui les déploient (utilisent) dans leurs processus.

Pour les experts-comptables et conseillers fiscaux, l’enjeu est double : (1) sécuriser l’usage de l’IA dans leurs propres organisations (outils internes, RH, relation client, production de livrables) ; (2) aider leurs clients à poser un cadre clair, proportionné et documenté, sans freiner l’innovation.

1) “Nous n’avons pas ‘de l’IA’, nous avons juste des logiciels.” Sommes-nous concernés ?

Très souvent, oui. Le champ couvert est large : un outil est concerné dès lors qu’il produit, à partir de données, des résultats “autonomes” (prévisions, recommandations, classements, décisions assistées). Le règlement ne vise pas seulement l’IA “générative” (texte, image), mais aussi les systèmes qui scorent, filtrent, trient, détectent, évaluent ou recommandent.

Exemples courants dans les PME et cabinets :

• RH : tri de CV, matching automatique, analyse de performance, outils d’évaluation.
• Finance : scoring de solvabilité, détection de fraude, analyse de risques.
• Opérations : OCR “intelligent” et classification de factures, rapprochements automatisés.
• Client : chatbots, assistants IA, routage automatique de demandes.
• Conformité : outils de vigilance, alerting, profilage transactionnel.

Que retenir ? Si un outil “conclut” ou “recommande” à partir de données, il mérite un examen AI Act, même s’il est vendu comme une simple fonctionnalité logicielle.

2) Quelles sont les catégories de risques et pourquoi est-ce la clé de lecture ?

Le règlement organise l’essentiel des obligations autour du niveau de risque. La logique est simple : plus l’impact potentiel sur les personnes est élevé, plus les exigences sont strictes.

On retrouve classiquement :

• Risque inacceptable : pratiques interdites (ex. certains usages de manipulation, de notation sociale, etc.).
• Haut risque : systèmes pouvant affecter fortement la sécurité et les droits fondamentaux, notamment dans l’emploi, l’accès à des services (dont financiers), l’éducation, etc.
• Risque limité : obligations de transparence, typiquement chatbots et IA générative.
• Risque minimal : peu ou pas d’obligations spécifiques au-delà du droit commun.

Que retenir ? La première question n’est pas “quel outil IA ?”, mais “quel effet concret sur les personnes (travailleurs, candidats, clients) ?”.

3) En tant qu’employeur, quel “rôle” suis-je : fournisseur ou déployeur ?

Dans la plupart des cas, l’employeur (ou le cabinet) est déployeur : il utilise un système fourni par un éditeur (outil RH, IA générative en entreprise, automatisation comptable, etc.).

Vous devenez plus proche d’un rôle de “fournisseur” si, par exemple, vous :

• développez un système d’IA “maison”,
• faites entraîner un modèle pour un usage spécifique,
• ou transformez un outil au point d’en modifier substantiellement la finalité, la logique ou le périmètre.

Que retenir ? Être “déployeur” n’exonère pas : le règlement vous impose un cadre de déploiement responsable, proportionné au risque.

4) Quels sont les cas “haut risque” typiques côté employeur ?

Sans prétendre à l’exhaustivité, un indicateur simple est le suivant : l’IA est “haut risque” lorsqu’elle influence une décision ayant un impact significatif sur une personne.

Exemples fréquents :

• Recrutement : outils qui classent des candidats, filtrent des CV, évaluent des profils.
• Gestion RH : outils qui scorent des performances, recommandent promotions/sanctions, organisent des plannings avec impacts forts.
• Accès à des services : scoring de crédit/risque qui conditionne un accès à un service, un tarif, ou une acceptation.
• Biométrie / émotions : usages particulièrement sensibles.

Que retenir ? Dès que l’outil aide à décider “qui est retenu / exclu / promu / refusé / surveillé”, il faut présumer un niveau de vigilance élevé.

5) Et pour les outils de type ChatGPT, Copilot, assistants IA : que faut-il faire ?

Ces outils sont généralement traités comme risque limité (avec exigences de transparence), mais cela ne signifie pas “zéro risque”. Deux sujets dominent, très concrets en entreprise :

Transparence

Si un collaborateur ou un client interagit avec un chatbot/assistant, il doit être clair qu’il s’agit d’un système d’IA (mention, information appropriée).

Usage interne maîtrisé

Même si l’AI Act vise d’abord la sécurité et les droits, la pratique impose de cadrer :

• quelles données peuvent être introduites (données personnelles, données clients, secret pro, informations confidentielles),
• quels contrôles humains sont requis avant utilisation dans un livrable,
• quelles traces conserver en cas d’incident.

Que retenir ? L’IA générative n’est pas “hors AI Act”. Elle implique au minimum transparence + politique interne de bon usage.

6) Quelles obligations concrètes pour un déployeur (employeur) ?

Le règlement attend du déployeur une utilisation sûre, transparente et contrôlée, en fonction du risque. Dans un langage opérationnel, cela se traduit typiquement par :

• Inventorier les usages d’IA (outils, modules, fonctions) dans l’organisation.
• Qualifier le risque (minimal/limité/haut/inacceptable) par usage, pas seulement par logiciel.
• Former et informer : les personnes qui utilisent l’IA doivent comprendre l’outil, ses limites et les comportements interdits (ex. sur-confiance, décisions automatisées sans recul).
• Surveiller et vérifier : contrôles humains et revues périodiques (biais, erreurs, dérives).
• Gérer les incidents : procédure interne (remontée, gel de l’outil si nécessaire, analyse).
• Assurer la transparence lorsque requis (chatbots, IA générative, etc.).
• Conserver une documentation utile : politiques internes, preuves de formation, règles de contrôle, et éléments permettant d’expliquer les choix.

Que retenir ? La conformité AI Act est d’abord une discipline de gouvernance (inventaire, règles, formation, contrôle), plus qu’un “dossier juridique” figé.

7) Pourquoi ce sujet concerne directement les experts-comptables et conseillers fiscaux ?

Parce que le cabinet est souvent :

• un utilisateur intensif d’outils de traitement automatisé (factures, classification, extraction, reporting),
• un conseiller de confiance pour structurer les procédures internes des PME (contrôle interne, documentation, conformité),
• un acteur exposé au risque réputationnel : un livrable “assisté” par IA reste un livrable signé et assumé.

Concrètement, vos clients vous demanderont :

• “Puis-je utiliser un chatbot pour le support RH ?”
• “Notre outil de recrutement est-il risqué ?”
• “Comment prouver qu’on a formé les équipes ?”
• “Que doit contenir une politique IA ?”
• “Qui est responsable si l’outil se trompe ?”

Que retenir ? L’AI Act va créer une demande forte de “mise en ordre” pragmatique, comparable à ce que GDPR a déclenché : cartographie, procédures, preuves, réflexes.

8) Par où commencer, sans alourdir la machine ?

Une approche réaliste en 30 jours (cabinet ou PME) :

Cartographie express

Listez les outils (et modules) qui “décident/recommandent/filtrent”, y compris dans la suite Office, les CRM, ATS (recrutement), helpdesk, outils comptables.

Cas RH en priorité

Recrutement, évaluation, surveillance : ce sont les usages où le risque AI Act est le plus évident.

Règles simples d’usage IA générative

Ce que l’on peut / ne peut pas introduire ; quand un contrôle humain est obligatoire ; comment citer/justifier une source ; interdiction d’utiliser l’IA pour “inventer” un élément factuel.

Formation courte mais traçable

Une session + une note interne + un quiz léger (preuve de sensibilisation).

Procédure incident

Une adresse interne, un circuit de remontée, et un “stop button” (qui peut désactiver l’outil ou suspendre un usage).

Que retenir ? Le risque n’est pas de ne pas être parfait ; le risque est de ne pas être capable de montrer une démarche structurée et proportionnée.

Conclusion

Le règlement européen sur l’IA installe un principe clair : utiliser l’IA n’est pas interdit — mais c’est encadré, surtout quand cela touche aux personnes. Pour les employeurs, l’urgence n’est pas de “tout revoir”, mais de savoir où l’IA se trouve, à quel risque cela correspond, et quelles garanties humaines et organisationnelles sont en place.

Pour la profession, c’est aussi une opportunité : celle d’aider les entreprises à rester performantes sans perdre le contrôle, en transformant une contrainte réglementaire en amélioration concrète des processus.