Conseil AI

La loi AI de l’UE à Chypre : ce que les entreprises doivent réellement faire avant août 2026

Vincent Wahidi
Vincent Wahidi · 8 min de lecture
La loi AI de l’UE à Chypre : ce que les entreprises doivent réellement faire avant août 2026

La loi AI de l’UE n’est pas un problème bruxellois abstrait pour les entreprises chypriotes. Le pays dispose d’un coordinateur national nommé, d’un groupe de travail qui se réunit depuis 2025, et d’un engagement public à mettre en place un bac à sable réglementaire national pour l’AI d’ici août 2026, le même mois où les obligations liées au risque élevé et leurs sanctions entrent en vigueur. Si vous construisez, achetez ou déployez de l’AI qui touche des personnes, cette échéance est suffisamment proche pour s’y préparer dès maintenant, pas plus tard.

Qui est réellement concerné, en termes simples

La loi classe chaque système AI dans l’un des quatre niveaux de risque, et seuls deux d’entre eux exigent un vrai travail. Les pratiques à risque inacceptable, comme la notation sociale par un gouvernement et les systèmes manipulateurs qui causent un préjudice, sont carrément interdites depuis le 2 février 2025. Les logiciels à risque minimal, qui couvrent la plupart des outils métier ordinaires, n’entraînent aucune nouvelle obligation.

Les niveaux qui comptent se situent entre les deux. Les systèmes à risque limité, dont la plupart des chatbots et outils de recommandation, portent un devoir de transparence : informer les gens lorsqu’ils parlent à un robot. Les systèmes à haut risque portent les lourdes obligations, documentation, journalisation, surveillance humaine et évaluation de la conformité avant la mise en service, et c’est là que va l’essentiel du budget de conformité. Un système est à haut risque s’il constitue un composant de sécurité d’un produit déjà réglementé, ou s’il opère dans l’un des domaines énumérés à l’annexe III : embauche, accès à l’éducation, notation de crédit et services financiers essentiels, services publics essentiels, application de la loi, migration ou administration de la justice. Nous avons couvert les niveaux et la structure des amendes plus en détail dans la loi européenne AI : ce qu’elle signifie réellement pour les entreprises expédiant du AI ; cet article se concentre sur ce qu’une entreprise chypriote doit spécifiquement faire à ce sujet.

Les institutions chypriotes qui gèrent désormais ce dossier

Chypre a désigné un coordinateur national pour la loi AI : le Vice-ministère de la Recherche, de l’Innovation et de la Politique numérique. C’est l’organisme auquel une entreprise chypriote devra en définitive répondre pour les questions de mise en œuvre nationale, et celui à surveiller pour les orientations locales à l’approche de l’échéance d’août 2026 (Mondaq).

Un groupe de travail national sur l’AI a été créé en 2025, présidé par le scientifique en chef Demetris Skourides, pour coordonner l’approche du pays entre les ministères. Chypre s’est également engagée à mettre en place un bac à sable réglementaire national pour l’AI d’ici août 2026, un environnement supervisé où les entreprises, en particulier les plus petites sans équipe juridique interne, peuvent tester un système AI par rapport aux exigences de la loi avant de s’engager dans une construction complète (Chambers and Co ; Global Legal Insights, chapitre Chypre sur l’AI). Rien de tout cela ne change le droit européen sous-jacent, mais cela signifie qu’une entreprise chypriote dispose d’un coordinateur local spécifique et, à terme, d’une voie de bac à sable pour tester sa conformité plutôt que de deviner seule.

Une séquence de mise en conformité pratique

Oubliez le classeur de conformité. Suivez plutôt cette séquence, dans l’ordre, car chaque étape dépend de la précédente.

  1. Recensez chaque système AI que vous construisez ou achetez. Incluez les évidents (un chatbot, un outil de notation) et les discrets, ces fonctionnalités qu’un fournisseur a ajoutées à votre CRM, votre plateforme comptable ou votre logiciel RH et qui formulent désormais une recommandation automatisée. Vous ne pouvez pas classer ce que vous n’avez pas recensé. Passez service par service plutôt que de vous fier à la seule liste de l’IT, car le nouvel outil de personnalisation de l’équipe marketing ou la nouvelle fonction de rapprochement de factures de l’équipe finance est rarement signalée comme « AI » en interne, même si la loi ne se soucie pas de la manière dont votre équipe l’appelle.
  2. Classez chaque système par niveau de risque. Soyez strict sur l’annexe III. Si un système aide à décider qui est embauché, qui obtient un crédit ou qui reçoit une prestation, traitez-le comme à haut risque jusqu’à preuve du contraire. Lorsque la finalité d’un système est réellement ambiguë, obtenez un avis écrit plutôt que de deviner ; le coût d’une brève révision juridique est faible comparé au coût d’une mauvaise supposition.
  3. Documentez ce que vous trouvez. Pour tout ce qui est à haut risque, cela signifie une documentation technique, des registres de gouvernance des données montrant quelles sont les données d’entraînement et d’entrée et d’où elles proviennent, ainsi qu’une journalisation qui permet de reconstituer comment une décision a été prise. Rédigez cela au fur et à mesure que vous construisez, pas après qu’un régulateur le demande. Ajouter cette documentation après coup sur un système en production depuis un an est plus lent et moins précis que le souvenir d’un collègue sur la façon dont il a été construit.
  4. Intégrez une surveillance humaine. Une personne nommée doit être capable de comprendre, d’outrepasser et d’arrêter le système. Il doit s’agir d’une capacité réelle intégrée au produit, pas d’une case cochée à la fin. Si votre équipe ne peut pas décrire, en termes simples, comment quelqu’un interviendrait réellement lorsque le système se trompe, la surveillance n’est pas encore réelle.
  5. Désignez un propriétaire. Chaque système à haut risque a besoin d’une personne responsable. La conformité sans propriétaire ne se produit pas ; elle dérive jusqu’à ce qu’un audit ou un incident force la question. Le propriétaire n’a pas besoin d’être juriste ; il doit être la personne qui remarquerait réellement si le système commençait à mal se comporter.
  6. Préparez-vous à l’évaluation de la conformité et à l’enregistrement. Un système à haut risque nécessite une évaluation de la conformité et une inscription dans la base de données de l’UE avant sa mise en service. Intégrez ce calendrier à votre plan de projet dès maintenant plutôt que de le traiter comme une formalité de dernière semaine ; pour un système déjà en production, planifiez l’évaluation comme un chantier à part entière, pas comme une réflexion tardive greffée sur la prochaine version.

Ce que les PME chypriotes devraient faire ce trimestre

La plupart des entreprises chypriotes n’exploitent pas d’AI à haut risque, et la première étape honnête consiste à le confirmer, pas à le supposer. Ce trimestre, une PME chypriote devrait :

  • Mener correctement l’étape d’inventaire ci-dessus, y compris les fonctionnalités AI intégrées dans les logiciels tiers que vous payez déjà.
  • Lire les conditions de tout fournisseur AI dont vous dépendez. Leurs obligations au titre de la loi n’annulent pas les vôtres en tant que déployeur.
  • Surveiller les orientations du Vice-ministère de la Recherche, de l’Innovation et de la Politique numérique en tant que coordinateur national, ainsi que l’ouverture du bac à sable, car il vise en partie des entreprises de votre taille.
  • Traiter le 2 août 2026 comme une échéance de travail pour tout ce qui relève du niveau à haut risque, et démarrer la documentation maintenant, pendant que le système est encore petit et que la mise à niveau coûte peu.

Pour les entreprises sans exposition à haut risque, c’est un trimestre de travail léger. Pour celles dont un système touche à l’embauche, au crédit ou à un secteur réglementé, c’est du concret, et commencer tôt fait la différence entre un exercice de documentation et une course contre la montre.

Là où l’ingénierie et le conseil aident

Cartographier vos systèmes selon les niveaux de risque de la loi, construire la documentation dont un système à haut risque a besoin, et intégrer un véritable chemin de surveillance humaine dans le produit lui-même, c’est exactement le type de travail que notre practice de conseil AI mène à Chypre. Il est plus facile de l’intégrer dès le départ que de le greffer sur un système déjà en production.

Pourquoi un petit marché local ne signifie pas moins d’exposition

Il est tentant de supposer qu’une petite entreprise chypriote, loin de Bruxelles et sans nom connu, échappe à l’attention réelle de la loi. C’est une mauvaise lecture de la manière dont les obligations s’appliquent. La loi s’applique selon ce que fait un système, pas selon la taille de l’entreprise qui l’exploite. Une entreprise de dix personnes à Limassol qui utilise un outil de recrutement tiers pour présélectionner des CV déploie un système à haut risque tout autant qu’une multinationale, et porte les obligations de déployeur quel que soit son effectif. La petite taille de Chypre joue aussi en sens inverse : un coordinateur national, un groupe de travail et un bac à sable à venir signifient que les orientations locales sont plus accessibles ici que dans un plus grand État membre, où une petite entreprise aurait du mal à attirer l’attention de qui que ce soit. Profitez de cet accès plutôt que de supposer que cela ne vous concerne pas.

À emporter

Chypre n’attend pas que Bruxelles transmette des instructions sans relais local. Il y a un coordinateur nommé, un groupe de travail et un engagement de bac à sable, tous alignés sur la même échéance d’août 2026 que le reste de l’UE. Recensez ce que vous exploitez, classez-le honnêtement au regard de l’annexe III, et documentez les systèmes qui relèvent du niveau à haut risque. Pour la plupart des entreprises, c’est un chantier contenu. Pour celles pour qui ce n’est pas le cas, plus tôt cela commence, moins cela coûte.

Vincent Wahidi

Auteur

Vincent Wahidi is the director of Encelyte, a computer engineer who builds production AI, automation, and custom software for enterprises across Cyprus and the wider region. He writes the strategy, cost and decision-maker pieces himself; the practical how-to guides are curated under the five mission-cat bylines below.

Questions fréquentes

Mon chatbot est-il à haut risque au titre de la loi AI ?

Généralement non. Un chatbot qui répond à des questions sur les produits ou traite des tickets d’assistance relève du niveau à risque limité, où le seul devoir est d’informer les gens qu’ils parlent à un robot. Ce même chatbot devient à haut risque s’il est reconverti pour présélectionner des candidats à un emploi, évaluer une solvabilité, ou prendre une décision dans l’un des domaines énumérés à l’annexe III. Vérifiez ce que le système décide, pas comment il est appelé.

Quelle est l’échéance réelle de la loi AI de l’UE à Chypre ?

Les pratiques interdites sont bannies depuis le 2 février 2025, et les obligations relatives aux modèles AI à usage général s’appliquent depuis le 2 août 2025. La date qui compte pour la plupart des entreprises chypriotes est le 2 août 2026, lorsque les obligations liées au risque élevé et leurs sanctions entrent en vigueur. L’AI à haut risque intégrée dans des produits déjà réglementés (dispositifs médicaux, machines) dispose jusqu’au 2 août 2027.

Quelles sont les sanctions en cas de non-conformité ?

L’utilisation d’un système AI interdit peut coûter jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. Le non-respect des obligations liées au risque élevé peut atteindre 15 millions d’euros ou 3 % du chiffre d’affaires. Fournir aux régulateurs des informations incorrectes ou trompeuses peut atteindre 7,5 millions d’euros ou 1 %. Ce sont des plafonds proportionnés à la gravité de l’infraction, pas un forfait.

Dois-je embaucher un responsable de conformité AI dédié ?

Pas nécessairement une nouvelle embauche, mais vous avez besoin d’un propriétaire nommé pour chaque système à haut risque, quelqu’un responsable de sa documentation, de sa surveillance et de son chemin de supervision humaine. Pour une petite ou moyenne entreprise chypriote, c’est souvent un responsable des opérations, juridique ou technique déjà en poste qui endosse ce rôle, pas un nouveau service.

À lire ensuite

Subventions publiques pour la digitalisation et l’AI à Chypre : le guide 2026

Un problème qui mérite d'être résolu ?

Dites-nous ce que vous construisez ou corrigez. Nous vous répondrons dans un délai d'un jour ouvré avec une prochaine étape claire.