What is the EU AI Act?

The EU AI Act (Regulation EU 2024/1689) is the world's first comprehensive legal framework for artificial intelligence. It entered into force on August 1, 2024, and applies to all companies operating AI systems in the European Union from August 2, 2026. Non-compliance carries fines of up to €35 million or 7% of global annual turnover.

Who does the EU AI Act apply to?

The EU AI Act applies to any company that develops, deploys, or uses AI systems within the EU — regardless of where the company is headquartered. This includes Series A and Series B startups using AI in their products, HR tools, credit scoring, medical devices, or customer-facing applications.

How long does EU AI Act compliance take?

Traditional compliance timelines with large law firms range from 6 to 18 months and cost €50,000 or more. Verumt delivers a complete audit-ready compliance package in 12 weeks, starting at €2,500 — designed specifically for startups and SMEs that need to move fast without enterprise-scale budgets.

What does EU AI Act compliance include?

A full compliance package includes: AI system risk classification (prohibited, high-risk, limited-risk, minimal-risk), gap analysis against Articles 9–15, technical documentation, conformity assessment support, and board-ready reports. Verumt covers all of this in a single 12-week engagement.

Does the EU AI Act apply to my startup?

Yes, if your startup develops, deploys, or uses AI systems that affect users in the European Union — regardless of where your company is incorporated. The Act applies from August 2, 2026.

What are the penalties for non-compliance with the EU AI Act?

Fines for non-compliance range from €7.5 million (or 1.5% of global annual turnover) for minor violations, up to €35 million (or 7% of global annual turnover) for the most serious breaches.

How is Verumt different from a law firm?

Verumt combines legal expertise with technical knowledge — our team includes both compliance lawyers and engineers. This allows us to deliver audit-ready compliance in 12 weeks at a fraction of the cost of traditional law firms (from €2,500 vs. €50,000+).

What AI systems are considered high-risk under the EU AI Act?

High-risk AI systems include those used in hiring and HR decisions, credit scoring, medical diagnosis, biometric identification, and systems used in critical infrastructure. Article 6 and Annex III of the EU AI Act define the full list.

When does EU AI Act compliance need to be completed?

The full regulation applies from August 2, 2026. However, investor due diligence and enterprise sales cycles mean that most Series A/B companies need to be audit-ready 6–12 months before the deadline — meaning the window to act is now.

Qu'est-ce que l'évaluation de la conformité au titre du Règlement IA ?

L'évaluation de la conformité est le processus par lequel un système d'IA à haut risque est vérifié pour s'assurer qu'il satisfait aux exigences du Règlement IA. Pour la plupart des systèmes à haut risque, il s'agit d'une auto-évaluation. Certaines catégories nécessitent une évaluation par un organisme notifié tiers.

Guide CTO

Guide de conformité au Règlement européen sur l'IA pour les CTOs

Tout ce qu'un Directeur Technique doit savoir pour rendre ses systèmes d'IA conformes au Règlement européen sur l'IA avant le 2 août 2026 — sans interrompre vos sprints.

Révisé par l'équipe de conformité technique de Verumt · Dernière mise à jour : mars 2026 · Sources : Règlement IA (EUR-Lex)

Qu'implique le Règlement IA pour les CTOs ?

Le Règlement européen sur l'IA (Règlement (UE) 2024/1689) n'est pas seulement un problème juridique — c'est un problème d'ingénierie. Les CTOs sont responsables de la classification de chaque système d'IA dans leur stack, de la production de la documentation technique, de la mise en œuvre des mécanismes de surveillance humaine et de l'intégration de leur cycle de développement logiciel (SDLC) dans les exigences du système de gestion des risques de l'Article 9. Le non-respect de ces obligations avant le 2 août 2026 expose l'entreprise à des amendes pouvant atteindre 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial.

Étape 1 : Classifier chaque système d'IA de votre stack

Le Règlement IA attribue à chaque système d'IA l'une des quatre catégories de risque. Vos obligations de conformité dépendent entièrement de la catégorie dans laquelle tombe chaque système. Commencez par lister tous les systèmes d'IA que votre entreprise développe ou utilise — y compris les API tierces, les modèles embarqués et les fonctionnalités alimentées par l'IA.

Catégorie de risque	Exemples	Obligations
Interdit	Notation sociale, surveillance biométrique en temps réel	Interdit totalement — ne peut pas être déployé
Haut risque	IA RH/recrutement, scoring crédit, diagnostic médical, identification biométrique	Articles 9–15 : gestion des risques, documentation technique, surveillance humaine, évaluation de la conformité
Risque limité	Chatbots, outils deepfake, reconnaissance des émotions	Obligations de transparence — les utilisateurs doivent savoir qu'ils interagissent avec une IA
Risque minimal	Filtres anti-spam, moteurs de recommandation, la plupart des fonctionnalités IA SaaS	Aucune exigence obligatoire — codes de conduite volontaires

Étape 2 : Exigences en matière de documentation technique (Article 11)

Pour chaque système d'IA à haut risque, l'Article 11 du Règlement IA exige une documentation technique qui doit être maintenue tout au long du cycle de vie du système et mise à disposition des régulateurs sur demande. Cette documentation doit couvrir l'architecture du système, les données d'entraînement, les métriques de performance et les mesures d'atténuation des risques.

La documentation requise comprend :

Description générale du système d'IA et de sa finalité prévue
Description de l'architecture du système et de ses composants
Jeux de données d'entraînement, de validation et de test (gouvernance des données selon l'Article 10)
Documents du système de gestion des risques (Article 9)
Mesures de surveillance humaine (Article 14)
Métriques de précision, robustesse et cybersécurité (Article 15)
Plan de surveillance post-commercialisation

Étape 3 : Intégrer la conformité dans votre SDLC

L'erreur la plus courante des CTOs est de traiter la conformité au Règlement IA comme un audit ponctuel plutôt que comme une pratique d'ingénierie continue. L'Article 9 exige un système de gestion des risques établi, implémenté, documenté et maintenu tout au long du cycle de vie complet du système d'IA — ce qui signifie que la conformité doit être intégrée dans votre processus de développement.

Intégration pratique dans le SDLC :

Phase de conception : Checklist de classification des risques avant qu'une fonctionnalité IA n'entre dans la roadmap
Phase de développement : Revue de gouvernance des données (Article 10) pour les jeux de données d'entraînement
Phase de test : Tests de précision, robustesse et biais avec résultats documentés
Phase de déploiement : Mécanismes de surveillance humaine activés, journalisation activée
Post-déploiement : Surveillance post-commercialisation selon l'Article 72

Étape 4 : Exigences en matière de surveillance humaine (Article 14)

L'Article 14 exige que les systèmes d'IA à haut risque soient conçus pour permettre une surveillance humaine — ce qui signifie qu'une personne qualifiée doit pouvoir surveiller, comprendre, intervenir, contourner ou arrêter le système. Il s'agit d'une exigence d'ingénierie, pas seulement d'une exigence de politique. Votre interface utilisateur et l'architecture de votre système doivent rendre la surveillance techniquement possible.

Combien de temps prend la conformité technique ?

Approche	Délai	Coût d'ingénierie	Risque
Équipe d'ingénierie interne seule	6–12 mois	Élevé (détourne les sprints)	Élevé — lacunes probables sans expertise juridique
Grand cabinet d'avocats + équipe interne	6–18 mois	Très élevé	Moyen
Verumt (tech + juridique)	12 semaines	Faible — nous faisons le travail lourd	Faible — analyse des lacunes traduite en tickets Jira

Questions fréquentes pour les CTOs

Le Règlement IA s'applique-t-il aux fonctionnalités d'IA construites sur des API tierces (OpenAI, Anthropic, etc.) ?+

Oui. Si votre entreprise déploie une fonctionnalité alimentée par l'IA auprès d'utilisateurs dans l'UE, vous êtes le « déployeur » au sens du Règlement IA — quel que soit le modèle sous-jacent fourni par un tiers. Vos obligations dépendent de la catégorie de risque du cas d'usage, et non de la technologie utilisée.

Que faire si notre système d'IA présente un risque minimal — devons-nous tout de même faire quelque chose ?+

Les systèmes d'IA à risque minimal n'ont pas d'obligations obligatoires au titre du Règlement IA. Vous devez néanmoins documenter votre décision de classification des risques afin de pouvoir démontrer aux régulateurs ou aux investisseurs que vous avez évalué le système et déterminé qu'il ne relève pas des catégories à haut risque.

Comment la conformité au Règlement IA affecte-t-elle notre cycle de vente entreprise ?+

Les acheteurs entreprises — notamment en fintech, healthtech et RH tech — exigent de plus en plus une documentation de conformité au Règlement IA dans le cadre de leur due diligence d'achat. Être prêt pour l'audit peut accélérer les deals entreprises jusqu'à 3x en éliminant un obstacle clé dans le processus d'achat.

Pouvons-nous nous mettre en conformité avant août 2026 sans ralentir notre vélocité d'ingénierie ?+

Oui, si la conformité est gérée par des spécialistes externes plutôt que détournée de votre équipe d'ingénierie. L'approche de Verumt traduit les exigences de conformité directement en tickets Jira et modèles de documentation — de sorte que votre équipe implémente ce qui est nécessaire sans se détourner du développement produit.

Qu'est-ce qu'une évaluation de la conformité et en avons-nous besoin ?+

L'évaluation de la conformité est le processus par lequel un système d'IA à haut risque est vérifié pour s'assurer qu'il satisfait aux exigences du Règlement IA avant d'être mis sur le marché. Pour la plupart des systèmes à haut risque, il s'agit d'une auto-évaluation — vous n'avez pas besoin d'un auditeur externe sauf si votre système relève de catégories spécifiques (comme l'identification biométrique) qui nécessitent une évaluation par un organisme notifié tiers.

Combien coûte la conformité au Règlement IA pour une Startup Series A/B ?+

Les packages de conformité Verumt commencent à €2.500 pour un seul système d'IA (Starter) et €5.900 pour jusqu'à cinq systèmes d'IA (Professional). Les grands cabinets d'avocats facturent €50.000 ou plus pour un périmètre comparable avec des délais de 6 mois ou plus.

Rendez votre stack IA prêt pour l'audit en 12 semaines

Exigences de conformité traduites en tickets Jira. Conformité intégrée dans votre SDLC sans ralentir vos sprints.

Réserver une évaluation technique