AI Act et legal tech en private credit : ce qui change vraiment en 2026

Un calendrier d'application devenu mouvant

Le règlement européen sur l'intelligence artificielle est entré en vigueur le 1er août 2024. Son application est étalée sur plusieurs années, avec des paliers successifs. Les pratiques interdites (Article 5) et l'obligation d'AI literacy (Article 4) sont en vigueur depuis le 2 février 2025. Les obligations applicables aux fournisseurs de modèles d'IA à usage général (GPAI) le sont depuis le 2 août 2025. La grande échéance suivante — celle qui concerne les systèmes « haut risque » de l'Annexe III — était fixée au 2 août 2026.

Cette échéance n'est plus tout à fait acquise. Le 19 novembre 2025, la Commission européenne a publié le « Digital Omnibus on AI », un paquet législatif qui propose de reporter l'entrée en vigueur des obligations haut risque au 2 décembre 2027 pour les systèmes autonomes, et au 2 août 2028 pour les systèmes embarqués dans des produits. Le motif officiel est le manque de standards harmonisés et de guidance opérationnelle, qui empêche les opérateurs de se mettre en conformité dans les délais. Le second trilogue entre Parlement, Conseil et Commission s'est tenu le 28 avril 2026 sans accord, et un nouveau cycle a été programmé pour le 13 mai 2026. Si l'Omnibus n'est pas formellement adopté avant le 2 août 2026, le calendrier d'origine s'applique tel quel.

Pour un fonds de dette privée qui déploie ou évalue des outils d'IA juridique, cette incertitude n'a qu'une lecture pragmatique : il faut se préparer comme si l'échéance d'août 2026 tenait, et traiter un éventuel report comme un répit, pas comme une dispense.

La logique du règlement : le risque, pas la technologie

L'AI Act ne régule pas l'intelligence artificielle dans l'absolu. Il classifie les systèmes selon leur niveau de risque pour les droits fondamentaux et la sécurité, et fait peser des obligations proportionnées à ce risque. Quatre niveaux sont définis : risque inacceptable (pratiques interdites), haut risque (Annexe III et certains produits régulés), risque limité (obligations de transparence) et risque minimal (aucune obligation spécifique).

Cette logique est importante car elle déplace la question. Un outil d'IA juridique n'est pas haut risque parce qu'il utilise un modèle de langage puissant ou parce qu'il automatise une tâche d'analyste. Il est haut risque s'il appartient à l'une des catégories d'usage listées à l'Annexe III, ou s'il est intégré comme composant de sécurité dans un produit régulé par la législation harmonisée de l'Union.

Ce qui rend un système « haut risque » en finance

L'Annexe III liste huit domaines d'usage haut risque. En finance, le cas central est sans ambiguïté : sont classés haut risque les systèmes d'IA destinés à « évaluer la solvabilité de personnes physiques ou établir leur score de crédit, à l'exception des systèmes utilisés pour détecter la fraude financière ». La formulation est centrée sur les personnes physiques : c'est cette précision qui détermine l'essentiel du périmètre pour le private credit.

Les fonds de dette privée prêtent à des personnes morales — entreprises sponsorisées par du private equity, sociétés en croissance, holdings d'acquisition. Les outils utilisés pour analyser ces transactions — extraction de credit agreements, due diligence juridique, comparaison de term sheets, monitoring de covenants, revue de NDA — n'évaluent pas la solvabilité de personnes physiques. Ils traitent des données contractuelles d'entreprises. À ce titre, ils ne tombent pas dans la catégorie haut risque par défaut.

Cette analyse est confirmée par les commentaires de plusieurs cabinets spécialisés. Goodwin notait dès l'été 2024 que la classification haut risque en finance vise principalement les systèmes de credit scoring retail et les outils d'évaluation d'éligibilité aux services financiers, pas les outils d'analyse documentaire utilisés en B2B. Plusieurs frontières restent toutefois à surveiller : les transactions adossées à des garanties personnelles, les opérations impliquant des personnes physiques en tant que codébitrices, ou les rares cas de prêts à des entrepreneurs en nom propre. Dans ces hypothèses, un outil dont la sortie alimenterait directement une décision de solvabilité sur une personne physique pourrait basculer dans le périmètre Annexe III.

L'obligation d'auto-évaluation, et son piège

Le règlement n'impose pas seulement aux fournisseurs de respecter les obligations haut risque lorsqu'ils s'appliquent. Il leur impose aussi de documenter leur classification, qu'elle conclue au caractère haut risque ou non. L'Article 6(3) introduit une dérogation utile : un système qui figure parmi les usages de l'Annexe III peut ne pas être qualifié de haut risque s'il ne présente pas de risque significatif d'atteinte à la santé, à la sécurité ou aux droits fondamentaux — par exemple parce qu'il exécute une tâche procédurale étroite, améliore le résultat d'une activité humaine sans s'y substituer, ou prépare une évaluation sans la décider. Cette dérogation doit faire l'objet d'une évaluation documentée, conservée et tenue à disposition des autorités de surveillance.

Pour un fonds qui utilise un outil legal tech sur des opérations marginalement adossées à des personnes physiques, l'enjeu est moins de prouver l'absence totale de lien avec l'Annexe III que de produire une évaluation argumentée du caractère préparatoire ou non décisionnel de l'outil. La documentation fait partie intégrante de la conformité, même quand la conclusion est qu'aucune obligation haut risque ne s'applique.

Les obligations qui s'appliquent indépendamment du classement haut risque

L'attention concentrée sur le 2 août 2026 fait souvent oublier qu'une partie significative du règlement est déjà en vigueur et concerne tous les utilisateurs professionnels d'IA, indépendamment du classement haut risque.

L'Article 4 impose depuis le 2 février 2025 une obligation d'AI literacy : les fournisseurs et déployeurs doivent prendre des mesures pour assurer un niveau suffisant de connaissance de l'IA chez leur personnel, en tenant compte de leurs fonctions, de leur formation préalable et du contexte d'usage. Pour un fonds de dette privée qui déploie un outil d'extraction de données ou d'analyse de NDA auprès de ses analystes et de son équipe juridique, cela suppose une formation documentée : capacités, limites, sources d'erreur, cadre de validation humaine.

L'Article 5 liste les pratiques interdites, applicables à tous depuis février 2025 : manipulation subliminale, exploitation de vulnérabilités, scoring social, prédiction d'infraction sur la seule base du profilage, certaines utilisations de données biométriques. Aucune de ces pratiques ne correspond à un usage normal en private credit, mais la due diligence vendor doit s'en assurer formellement.

Depuis le 2 août 2025, les fournisseurs de modèles d'IA à usage général (GPAI) ont leurs propres obligations : documentation technique, politique de respect du droit d'auteur, résumé des données d'entraînement. Ces obligations ne pèsent pas directement sur les fonds qui consomment ces modèles via des outils tiers, mais elles se répercutent sur la due diligence : un fournisseur de legal tech qui s'appuie sur un GPAI doit pouvoir démontrer que son fournisseur amont est lui-même conforme.

S'ajoutent les obligations de transparence pour les systèmes à risque limité : étiquetage des contenus générés par IA, notification claire lorsqu'un utilisateur interagit avec un chatbot, marquage des deepfakes. Ces obligations peuvent s'appliquer marginalement à certaines fonctionnalités d'outils legal tech — par exemple un assistant conversationnel intégré ou la génération assistée de clauses.

La portée extraterritoriale, un point souvent négligé

L'AI Act s'applique aux fournisseurs et déployeurs établis dans l'Union, mais aussi aux acteurs établis hors UE dont les sorties d'IA sont utilisées dans l'Union. Pour un fonds européen qui utilise un outil legal tech américain ou britannique, cela signifie que le fournisseur étranger est juridiquement tenu de se conformer dès lors que son outil est déployé sur le territoire européen. Un nombre croissant d'analyses juridiques — dont une note publiée en avril 2026 par Holland & Knight — souligne que les acteurs non européens du marché du legal tech sous-estiment encore largement cette exposition.

Concrètement, cela renforce un point déjà central de la due diligence vendor : un fonds européen doit obtenir de chaque fournisseur une attestation de conformité au règlement, une documentation des évaluations de risque, et une clause contractuelle de prise en charge des éventuelles non-conformités.

L'AI Act ne demande pas aux fonds de dette privée de cesser d'utiliser l'IA juridique. Il leur demande de savoir ce qu'ils utilisent, pourquoi, avec quelles garanties, et de pouvoir le démontrer.

Une feuille de route en quatre étapes

Pour un fonds qui souhaite se mettre en ordre de marche avant l'échéance d'août 2026 — ou avant celle de décembre 2027 si l'Omnibus est adopté — la structure d'action est claire et reproductible.

La première étape est l'inventaire des systèmes d'IA utilisés. Cela inclut les outils dédiés (extraction de credit agreements, comparaison de term sheets, monitoring de covenants, revue de NDA, due diligence juridique) mais aussi les fonctions IA intégrées dans des outils plus généraux (Microsoft Copilot, fonctions IA de la suite bureautique, assistants intégrés aux ERP). Des outils comme MyClauze, Ontra, Kira ou Definely entrent dans cet inventaire au même titre que les composants IA des plateformes de gestion de portefeuille.

La deuxième étape est la classification documentée de chaque système au regard de l'Annexe III. La très grande majorité des outils utilisés en private credit B2B aboutira à une classification non-haut-risque, mais cette conclusion doit être étayée par écrit, en s'appuyant sur la dérogation Article 6(3) lorsque l'usage flirte avec un cas Annexe III.

La troisième étape est la mise à jour des contrats vendor. Les attestations de conformité, les engagements de notification en cas de modification matérielle du système, les clauses sur les données d'entraînement et la sous-traitance des modèles GPAI doivent figurer explicitement dans les contrats. Pour les outils existants, cela suppose un cycle de renégociation ou la signature d'avenants.

La quatrième étape est la formation et la gouvernance. L'AI literacy n'est pas qu'une formalité : un programme documenté de formation des utilisateurs, une procédure interne de remontée d'incidents, un référent IA identifié, et une documentation des cas d'usage validés constituent le socle minimal attendu.

Un cadre, pas un frein

Lu dans son ensemble, l'AI Act n'introduit pas de barrière disproportionnée à l'usage d'outils legal tech par les fonds de dette privée. Il introduit un cadre de discipline documentaire qui formalise des bonnes pratiques que les acteurs sérieux mettent déjà en œuvre : connaître les outils utilisés, savoir où passe la frontière entre tâche assistée et décision automatisée, maintenir une boucle de validation humaine, contractualiser les engagements des fournisseurs.

Le risque, pour un fonds, n'est pas tant d'être pris en défaut sur une obligation haut risque qui ne s'applique probablement pas à ses outils. Il est d'arriver à août 2026 — ou décembre 2027 — sans inventaire, sans classification documentée, sans formation déployée. Ce risque est d'autant plus pénalisant que les sanctions prévues par le règlement vont jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour les pratiques interdites, et 15 millions d'euros ou 3 % pour les autres infractions.

Le calendrier est suffisamment long pour traiter ces étapes sans précipitation. Il est suffisamment court, au rythme actuel des trilogues, pour qu'un fonds qui n'a pas commencé soit déjà en retard.