Retour au blog
SouverainetéStratégie IA

Lexique juridique IA pour entreprises luxembourgeoises : 12 termes à connaître avant le 2 août 2026

IA privéeLuxembourgRGPDSME PackagesVeille réglementaire
Juristes luxembourgeois consultant lexique juridique IA entreprise

En bref

  • 12 textes UE et US encadrent les usages d'IA en entreprise au Luxembourg : lois IA, données personnelles, cyber et gouvernance.
  • Échéance : 2 août 2026, pleine applicabilité de l'AI Act pour les systèmes à haut risque (Règlement UE 2024/1689).
  • AI literacy opposable depuis le 2 février 2025 : tout déployeur d'IA doit assurer un niveau de compréhension suffisant à son personnel (article 4 AI Act).
  • CNPD : autorité nationale désignée pour l'AI Act (projet de loi n° 8476), en complément de son rôle RGPD.

Introduction : pourquoi un lexique juridique IA aujourd'hui ?

Vous dirigez une PME luxembourgeoise, vous entendez parler d'AI Act, de RGPD, de Cloud Act, de DORA, de NIS2, et vous cherchez un endroit unique qui pose ces textes côte à côte. Ce lexique juridique IA pour entreprises luxembourgeoises rassemble les 12 termes du cadre réglementaire IA en Europe et au Luxembourg, chacun défini en une phrase avec sa pertinence PME et sa source officielle.

L'échéance centrale : 2 août 2026, pleine applicabilité de l'AI Act pour les systèmes à haut risque. Autour gravitent une dizaine de textes qui se cumulent pour toute entreprise déployant de l'IA (chatbot, agent vocal, copilote interne, outil d'analyse).

1. Les 4 textes qui encadrent l'IA elle-même

Qu'est-ce que l'AI Act ?

L'AI Act (Règlement UE 2024/1689) est le règlement européen qui encadre les systèmes d'IA selon 4 catégories de risque (inacceptable, haut, limité, minimal), avec des obligations de documentation, de transparence et de supervision humaine proportionnées.

Date clé : 2 août 2026, pleine applicabilité du régime haut risque. La CNPD est désignée autorité de référence (projet de loi n° 8476). Voir notre guide AI Act à 100 jours. Source : règlement UE 2024/1689.

Qu'est-ce que l'AI literacy ?

L'AI literacy (article 4 AI Act) est l'obligation pour tout fournisseur ou déployeur d'IA de s'assurer que son personnel dispose d'un niveau suffisant de compréhension de l'IA, proportionné au contexte d'usage.

Opposable depuis le 2 février 2025, sanctions applicables au 2 août 2026, sans seuil de taille. Pour les cabinets d'avocats et notaires, documenter les formations IA est prioritaire. Source : article 4 AI Act.

Qu'est-ce que le Digital Services Act (DSA) ?

Le DSA (Règlement UE 2022/2065) encadre les services intermédiaires numériques (plateformes, places de marché, moteurs de recherche) avec obligations de modération, transparence des recommandations et régime renforcé pour les très grandes plateformes.

Pour une PME, le DSA s'applique rarement en direct mais affecte tout acteur qui publie un chatbot IA en frontal visiteurs ou des contenus IA sur une plateforme couverte. Source : règlement UE 2022/2065.

Qu'est-ce que le Digital Markets Act (DMA) ?

Le DMA (Règlement UE 2022/1925) encadre les "contrôleurs d'accès" (gatekeepers), grandes plateformes numériques structurantes, pour garantir la contestabilité des marchés numériques.

Cible les gatekeepers désignés (Alphabet, Amazon, Apple, Meta, Microsoft, ByteDance, Booking). Une PME qui dépend de Microsoft Copilot ou Google Workspace AI bénéficie indirectement des obligations d'interopérabilité imposées. Source : règlement UE 2022/1925.

2. Les 4 textes qui encadrent les données personnelles

Qu'est-ce que le RGPD ?

Le RGPD (Règlement UE 2016/679) encadre le traitement des données personnelles des résidents UE depuis le 25 mai 2018, avec un régime de sanctions pouvant atteindre 4 % du chiffre d'affaires annuel mondial.

Base structurelle de toute conformité IA. La CNPD est l'autorité nationale. Toute brique IA qui traite de la donnée personnelle relève du RGPD en sus de l'AI Act. Source : règlement UE 2016/679.

Qu'est-ce que l'arrêt Schrems II ?

L'arrêt Schrems II (CJUE, C-311/18, 16 juillet 2020) a invalidé le Privacy Shield au motif que les lois américaines de surveillance ne garantissent pas un niveau de protection équivalent au RGPD.

C'est pourquoi tout transfert de données personnelles vers les États-Unis nécessite un DPF valide ou des clauses contractuelles types renforcées. Point de départ de toute analyse souveraineté. Voir notre cas d'usage protéger vos données avec une IA privée. Source : arrêt C-311/18.

Qu'est-ce que le Cloud Act ?

Le Cloud Act (H.R.4943, 23 mars 2018) est la loi américaine qui permet aux autorités US d'exiger d'un fournisseur de nationalité américaine la communication de données qu'il héberge, quel que soit le pays d'hébergement physique, y compris un data center UE.

Un fournisseur IA US reste compétent avec un data center à Dublin ou à Francfort. Argument structurel pour une IA hébergée par un acteur non américain. Voir notre comparatif RGPD, Cloud Act et AI Act. Source : H.R.4943.

Qu'est-ce que le Data Privacy Framework (DPF) ?

Le DPF (décision d'adéquation de la Commission européenne, 10 juillet 2023) autorise le transfert de données personnelles UE vers des entreprises américaines certifiées DPF, sous engagements de limitation de l'accès des autorités US.

Vérifier la certification DPF d'un fournisseur américain est un prérequis opérationnel. Elle ne vaut pas immunité Cloud Act. Le DPF reste sous surveillance judiciaire, plusieurs recours étant pendants devant le Tribunal de l'UE. Source : dossier CNPD transferts USA.

Transferts de données personnelles UE vers États-Unis, les 3 cadres juridiques successifs : Schrems II (2020, transfert invalidé), DPF (2023, cadre d'adéquation), Cloud Act (2018, requête US).
Schrems II (2020), DPF (2023) et Cloud Act (2018) : trois cadres cumulatifs des transferts UE-US.

💡 Bon à savoir : Schrems II, Cloud Act et DPF se cumulent. Une IA US certifiée DPF reste soumise au Cloud Act : le DPF autorise le transfert, il ne protège pas contre une requête d'autorité US adressée au fournisseur.

3. Les 4 textes qui encadrent l'infrastructure et la gouvernance des données

Qu'est-ce que DORA ?

DORA (Règlement UE 2022/2554) est le règlement européen sur la résilience opérationnelle numérique qui impose aux acteurs financiers un cadre de gouvernance des risques TIC, des tests de résilience et une supervision des prestataires critiques.

Applicable depuis le 17 janvier 2025. Concerne les fiduciaires PSF, gestionnaires et family offices régulés, ainsi que leurs prestataires IA critiques via le régime des tiers essentiels. Source : règlement UE 2022/2554.

Qu'est-ce que NIS2 ?

NIS2 (Directive UE 2022/2555) est la directive européenne sur la cybersécurité qui étend le périmètre de NIS1 à davantage de secteurs (santé, distribution, administration, services numériques) et renforce les obligations de gestion des risques et de notification d'incidents.

Transposition luxembourgeoise en cours. Concerne les entités "essentielles" et "importantes", à partir du seuil de moyenne entreprise. Un déploiement IA dans une entité NIS2 hérite des obligations cyber associées. Les entités parapubliques et administrations sont particulièrement concernées. Source : directive UE 2022/2555.

Qu'est-ce que le Data Act ?

Le Data Act (Règlement UE 2023/2854) porte sur l'accès équitable aux données générées par les objets connectés et les services numériques, imposant le partage vers l'utilisateur et encadrant les contrats B2B.

Applicable depuis le 12 septembre 2025. Concerne les PME qui fabriquent ou déploient des objets connectés (industrie, santé connectée, télématique assurantielle). Source : règlement UE 2023/2854.

Qu'est-ce que le Data Governance Act (DGA) ?

Le DGA (Règlement UE 2022/868) crée un cadre pour la réutilisation de données protégées détenues par le secteur public et pour les services d'intermédiation de données (data spaces européens).

Applicable depuis le 24 septembre 2023. Utile pour une PME qui souhaite accéder à des données sectorielles (santé, mobilité, finance) via les data spaces européens. Source : règlement UE 2022/868.

4. Qui contrôle quoi au Luxembourg

Texte

Autorité principale

Périmètre

AI Act

CNPD (projet de loi n° 8476)

Systèmes IA, bac à sable réglementaire

RGPD, DPF, Schrems II

CNPD

Données personnelles, transferts internationaux

DORA

CSSF

Acteurs financiers, PSF, gestionnaires

NIS2

HCPN et autorités sectorielles

Entités essentielles et importantes

DSA, DMA, Data Act, DGA

Ministère Digitalisation et ILR

Plateformes, gatekeepers, partage de données

5. Financer la mise en conformité : SME Packages Digital et AI

Le Luxembourg propose deux dispositifs de soutien accessibles via guichet.public.lu. Le SME Package Digital cible les investissements de transformation numérique (stockage, sécurité, outils de gestion). Le SME Package AI cible les projets d'IA : documentation de conformité AI Act, formation AI literacy, accompagnement conseil.

SME Package Digital et SME Package AI au Luxembourg : deux dispositifs d'aide cumulables via guichet.public.lu pour financer la mise en conformité IA des PME.
SME Package Digital et SME Package AI : deux dispositifs cumulables via guichet.public.lu pour cofinancer la conformité AI Act.

Combiner ces deux aides avec un projet IA souverain constitue une trajectoire cohérente pour anticiper le 2 août 2026. Les cabinets médicaux, soumis au RGPD strict et à l'AI Act selon leurs usages, y trouvent un levier réel.

6. Par où commencer

Face à cet empilement, la première étape tient en 3 actions : cartographier vos usages IA existants (outils, données, prestataires), identifier les textes qui vous engagent (tous ne vous concernent pas), planifier un chemin de conformité d'ici le 2 août 2026.

Pour approfondir, notre comparatif RGPD, Cloud Act et AI Act articule ces trois lois sur un cas IA d'entreprise, et notre guide AI Act à 100 jours décline la préparation opérationnelle. Voir aussi pourquoi une IA souveraine au Luxembourg.

Un projet IA à cadrer ? Un audit IA gratuit identifie en une session les textes qui vous engagent.

📞 Demander un audit IA gratuit

FAQ : vos questions sur le cadre juridique de l'IA au Luxembourg

1. Quelle est la date clé à retenir pour l'AI Act au Luxembourg ?

Le 2 août 2026 marque la pleine applicabilité du régime haut risque de l'AI Act (Règlement UE 2024/1689). Les sanctions deviennent applicables, y compris sur l'AI literacy opposable depuis le 2 février 2025. La CNPD est l'autorité de référence. Préparer sa conformité n'est pas une option, c'est une obligation calendaire.

2. Quelle est la différence entre RGPD et AI Act ?

Le RGPD (Règlement UE 2016/679) encadre le traitement des données personnelles depuis 2018. L'AI Act (Règlement UE 2024/1689) encadre les systèmes d'IA selon 4 catégories de risque. Les deux se cumulent : une IA qui traite de la donnée personnelle relève des deux régimes. La CNPD est l'autorité nationale pour les deux.

3. Qu'est-ce que le Cloud Act pour une entreprise européenne ?

Le Cloud Act (H.R.4943, 23 mars 2018) permet aux autorités US d'exiger d'un fournisseur de nationalité américaine la communication de données qu'il héberge, même dans un data center UE. Un fournisseur IA US reste compétent avec un data center à Dublin ou à Francfort. C'est l'argument structurel pour une IA hébergée par un acteur non américain sur traitements sensibles.

4. La certification Data Privacy Framework suffit-elle pour utiliser une IA américaine ?

La certification DPF autorise le transfert UE vers un fournisseur américain certifié depuis le 10 juillet 2023. Elle ne neutralise pas le Cloud Act : une autorité US peut toujours exiger les données auprès du fournisseur. Le DPF reste sous surveillance judiciaire. Vérifier la certification est un prérequis, sans dispenser d'une analyse souveraineté.

5. Qu'est-ce que la directive NIS2 pour une PME luxembourgeoise ?

NIS2 (Directive UE 2022/2555) est la directive européenne sur la cybersécurité en cours de transposition au Luxembourg. Elle concerne les entités "essentielles" et "importantes" (santé, distribution, administration, services numériques), à partir du seuil de moyenne entreprise. Un déploiement IA dans une entité NIS2 hérite des obligations cyber et de notification d'incidents. Vérifier son périmètre est un prérequis à tout projet IA sensible.

À propos de cet article

LetzAgents, équipe luxembourgeoise spécialisée en IA souveraine pour PME et ETI, accompagne sur la cartographie des usages IA, la conformité AI Act, l'AI literacy et le choix d'une infrastructure hébergée en Europe.

Cet article s'appuie sur les textes officiels cités (EUR-Lex, Congress.gov, Curia CJUE), les dossiers thématiques CNPD et le calendrier officiel de l'AI Act. Références à jour au 5 mai 2026.

Mots-clés

lexique juridique ia entreprise luxembourg, glossaire ai act rgpd cloud act, termes juridiques ia pme, conformité ia luxembourg définitions, dora nis2 data act entreprise, schrems ii data privacy framework ia, cnpd ai act autorité luxembourg, ai literacy luxembourg, sme packages conformité ia

Pour aller plus loin

Sur des sujets connexes traités sur le blog LetzAgents :

Découvrez nos autres articles

Employé d'une PME luxembourgeoise consulte son briefing agent IA un lundi matin au bureau

Lundi matin : comment un agent IA peut faire gagner une heure à un employé de PME luxembourgeoise

Narration 8h-17h d'un lundi avec un agent IA souverain dans une PME luxembourgeoise. Gain sourcé de 40 à 60 min à 1h par jour.

Lire la suite
Dirigeante luxembourgeoise dans un bureau à Belval, ordinateur ouvert sur un assistant IA, posture découverte sereine

Découvrir l'IA au Luxembourg en 2026 quand on part de zéro : 4 étapes pour commencer sans devenir expert

Vous n'avez jamais touché à l'IA ? Guide pas à pas pour comprendre, tester en 15 minutes et vous faire un avis, sans devenir expert. Contexte Luxembourg.

ChatGPTLuxembourg
Lire la suite
Restaurateur hôtelier luxembourgeois service agent IA permanence appels réservations
Service client·

Restaurants et hôtels au Luxembourg : 5 tâches qu'un agent IA absorbe pendant que vous êtes en salle

Permanence téléphonique, réservations, FAQ multilingue, avis Google, briefing staff : 5 tâches qu'un agent IA gère dans un restaurant ou hôtel LU.

AutomatisationIA privéeLuxembourgTéléphonie IA
Lire la suite
Voir tous les articles