Le compte à rebours est lancé. Dans 6 semaines, l’AI Act européen active ses pouvoirs de sanction. Beaucoup de PME luxembourgeoises se croient hors champ. Erreur : il suffit qu’un seul collaborateur utilise ChatGPT pour que l’entreprise soit concernée. Explications et plan d’action.
6 semaines. Voilà ce qu’il reste.
Le 2 août 2026, les principales obligations du règlement européen sur l’intelligence artificielle (AI Act) deviennent applicables, et les autorités nationales activent leur pouvoir de sanction. Pour la majorité des PME luxembourgeoises, c’est une échéance largement sous-estimée — alors qu’elle concerne toute entreprise dont au moins un collaborateur utilise un outil d’IA dans son travail.
ChatGPT pour rédiger des emails. Microsoft 365 Copilot intégré à Word ou Excel. Claude pour analyser un document. Un CRM avec scoring prédictif. Un assistant de réservation sur un site web. Tous ces usages — banals aujourd’hui — placent votre entreprise dans le périmètre de l’AI Act.
L’AI Act : qu’est-ce que c’est exactement ?
Le règlement (UE) 2024/1689 est le premier cadre juridique mondial dédié à l’intelligence artificielle. Entré en vigueur le 1er août 2024, il s’applique de façon progressive selon une logique en quatre niveaux de risque :
- Risque inacceptable : usages interdits (notation sociale, manipulation comportementale…)
- Haut risque : usages encadrés strictement (tri de CV, scoring de crédit, dispositifs médicaux, justice…)
- Risque limité : obligations de transparence (chatbots, deepfakes)
- Risque minimal : usages courants soumis à l’obligation de maîtrise de l’IA
Le calendrier d’application est échelonné. Le règlement sur l’IA s’appliquera deux ans après son entrée en vigueur, le 2 août 2026, à l’exception des dispositions particulières suivantes : les interdictions, définitions et dispositions relatives à la maîtrise de l’IA s’appliqueront six mois après l’entrée en vigueur (2 février 2025) ; les règles de gouvernance et les obligations en matière d’IA à usage général seront applicables 12 mois après l’entrée en vigueur (2 août 2025) ; les obligations applicables aux systèmes d’IA à haut risque qui sont classés comme étant à haut risque parce qu’ils sont intégrés dans des produits réglementés, énumérés à l’annexe II, s’appliqueront 36 mois après l’entrée en vigueur (2 août 2027). Nis-2-directive
Au Luxembourg : un projet de loi déjà en discussion
Le Luxembourg n’a pas attendu pour structurer son cadre national. Le 23 décembre 2024, le projet de loi n° 8476 a été publié pour mettre en œuvre les principales dispositions du règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024, qui établit des règles harmonisées sur l’intelligence artificielle. PwC Luxembourg
Ce projet n’invente pas de nouvelles règles : il désigne les autorités compétentes chargées d’appliquer le règlement européen au Grand-Duché. Le choix opéré est sectoriel.
La CNPD (Commission nationale pour la protection des données) est désignée comme autorité de référence générale et point de contact unique pour l’AI Act européen. La CSSF (Commission de Surveillance du Secteur Financier) supervise les systèmes d’IA dans les services financiers. Le Commissariat aux Assurances supervise l’IA liée à l’assurance. L’ILNAS (Institut Luxembourgeois de la Normalisation, de l’Accréditation, de la Sécurité et qualité des produits et services), l’ALMPS (future agence des médicaments et des produits de santé), et l’ALIA (Autorité luxembourgeoise indépendante de l’audiovisuel) interviennent dans leur domaine de compétence respectif. Lesfrancais
À retenir : pour la plupart des PME, l’autorité de référence sera la CNPD.
Le piège que beaucoup de dirigeants ignorent : l’article 4 est DÉJÀ en vigueur
C’est le point le plus mal compris. L’AI Act n’attend pas le 2 août 2026 — une partie est déjà applicable depuis le 2 février 2025.
L’article 4 introduit la notion de « maîtrise de l’IA » (AI literacy). Ce texte oblige tous les fournisseurs et déployeurs de systèmes d’IA — y compris les PME — à garantir que leur personnel dispose de compétences, connaissances et d’une compréhension suffisantes pour utiliser ces systèmes de façon éclairée. En clair : si vos collaborateurs utilisent ChatGPT, Copilot, un CRM prédictif ou tout autre outil intégrant de l’IA, votre entreprise est concernée. Aucun secteur n’est exclu : industrie, commerce, services, collectivités, professions libérales. Cyberday
Et pour les dirigeants qui pensent encore que cela ne concerne que les grands groupes : la Commission européenne a publié une FAQ officielle sur l’AI literacy qui clarifie le périmètre. Aucun seuil de taille n’est prévu. Une PME de cinq salariés utilisant un outil d’IA pour rédiger ses devis est concernée au même titre qu’un grand groupe industriel. AdevWeb
Pourquoi le 2 août 2026 change la donne
Jusqu’à présent, l’article 4 imposait l’obligation, mais sans sanction administrative directe. À partir du 2 août 2026, plusieurs choses changent :
D’abord, les pouvoirs de sanction des autorités nationales s’activent. Au Luxembourg, la CNPD, la CSSF et les autres autorités sectorielles pourront contrôler et sanctionner.
Ensuite, les obligations pour les systèmes à haut risque deviennent pleinement applicables — avec des exigences techniques lourdes (évaluation des risques, supervision humaine, documentation, journalisation).
Enfin, et c’est le risque le plus sous-estimé, l’absence de formation devient un facteur aggravant. Un incident survient via un outil IA (fuite de données, décision automatisée contestée, erreur préjudiciable) : les autorités examineront si votre personnel avait été correctement formé. L’absence de formation devient alors un facteur aggravant. Un appel d’offres ou un audit client questionne votre conformité IA : ne pas pouvoir justifier d’un programme de formation peut vous exclure d’opportunités commerciales. Cyberday
Les sanctions : jusqu’à 35 millions d’euros
Les montants annoncés ont de quoi marquer les esprits. À partir du 2 août 2026, les amendes prévues par l’AI Act peuvent atteindre 35 millions d’euros ou 7 % du chiffre d’affaires annuel mondial pour les infractions les plus graves. Des plafonds proportionnés existent pour les PME. Cyberday
Concrètement, les PME bénéficient d’un plafond réduit (15 M€ ou 3 % du CA mondial), mais l’exposition financière reste considérable face à un manquement avéré.
Qui est concerné concrètement au Luxembourg ?
Très probablement vous. Quelques exemples typiques :
- Le commercial qui utilise ChatGPT pour rédiger des propositions client
- Le responsable RH qui exploite un logiciel de tri de CV intégrant de l’IA (usage haut risque)
- Le comptable qui automatise la lecture de factures via une IA documentaire
- L’équipe marketing qui génère du contenu avec Claude, Gemini ou Mistral
- Le dirigeant qui consulte des prédictions générées par un outil d’IA pour ses décisions stratégiques
- Le support client qui s’appuie sur un chatbot intégrant de l’IA
À noter : prestataires et sous-traitants : si un partenaire externe utilise des systèmes IA pour votre compte, vous devez vous assurer qu’il dispose également d’un niveau de maîtrise suffisant. La conformité ne s’arrête pas à vos murs. Cdm
Le plan d’action en 4 étapes pour les 6 semaines qui restent
La conformité ne nécessite pas un budget faramineux. Elle suppose une démarche structurée.
Étape 1 — Inventorier les usages d’IA dans l’entreprise. Listez tous les outils et systèmes IA utilisés : ChatGPT, Copilot, Claude, fonctions IA de Microsoft 365, modules prédictifs dans le CRM ou l’ERP, chatbots, assistants vocaux. N’oubliez pas la shadow AI : les outils adoptés spontanément par les équipes sans validation centrale.
Étape 2 — Qualifier le niveau de risque de chaque usage. Un chatbot d’aide à la rédaction relève du risque limité. Un outil de tri de CV ou de scoring de crédit relève du haut risque, avec des exigences bien plus lourdes (évaluation des risques, supervision humaine, journalisation…).
Étape 3 — Former les équipes selon le risque. Trois niveaux à prévoir :
- Sensibilisation générale (toutes équipes) : ce qu’est l’IA, ses limites, les risques de biais et d’hallucination
- Formation spécifique au poste pour les utilisateurs réguliers
- Formation décisionnelle pour les dirigeants et managers : enjeux juridiques, évaluation des risques, obligations réglementaires
Étape 4 — Documenter la démarche. C’est l’étape la plus négligée, et pourtant la plus utile en cas de contrôle :
- Tenir un registre des formations dispensées (dates, participants, contenu)
- Rédiger une politique interne d’utilisation de l’IA
- Mettre à jour ces documents à chaque nouvelle embauche ou nouveau déploiement
En conclusion
L’AI Act n’est pas une réglementation pour les grands groupes du CAC 40 ou de la City. C’est un cadre qui s’applique à toute entreprise qui utilise de l’IA — et au Luxembourg, c’est aujourd’hui presque tout le monde.
Le 2 août 2026 active les sanctions. L’obligation de formation, elle, est déjà en vigueur depuis février 2025. Le sujet n’est pas de savoir s’il faut se mettre en conformité, mais comment le faire efficacement dans les 6 semaines qui restent. Les entreprises qui s’organisent dès maintenant prendront une longueur d’avance — réglementaire, mais aussi commerciale, face à des clients de plus en plus attentifs à la gouvernance IA de leurs prestataires.
Chez GRIFILT, nous accompagnons les entreprises luxembourgeoises dans leur démarche de conformité à l’AI Act : cartographie des usages, qualification des risques, structuration de la politique interne, accompagnement de la formation des équipes. Contactez-nous pour faire le point sur votre situation avant le 2 août.
Cet article a une vocation informative générale et ne constitue pas un conseil juridique individualisé.