AI Act PME : ce qu’il faut faire (sans être juriste)

GuidePar la rédaction11 min

Si vous utilisez ChatGPT pour rédiger des mails, Copilot dans Excel ou un chatbot sur votre site, une question revient : suis-je concerné par l’AI Act, le règlement européen sur l’intelligence artificielle ? La réponse rassure la plupart des dirigeants. Dans l’immense majorité des cas, vos usages relèvent du risque minimal, et vos obligations tiennent en quelques lignes.

L’AI Act est le règlement européen (UE) 2024/1689 qui encadre l’intelligence artificielle selon le risque qu’elle représente, et non selon la technologie employée. Plus l’usage menace la sécurité ou les droits des personnes, plus les règles sont strictes. Une IA qui filtre vos spams ne pose aucune obligation. Une IA qui trie des candidatures, oui. Tout l’enjeu, pour une PME, consiste à savoir dans quelle case vous tombez.

Ce guide vous donne la méthode pour le déterminer vous-même, vos vraies obligations selon votre usage, le calendrier (avec le report en cours via le « Digital Omnibus », que nous présentons avec prudence), le lien avec le RGPD, et une checklist à dérouler. Pas de jargon inutile, pas de panique réglementaire.

AI Act, l’essentiel pour une PME en 2026 :

  • 4 niveaux de risque : interdit, haut risque, risque limité, risque minimal
  • La majorité des usages PME relèvent du risque minimal (aucune obligation spécifique)
  • 2 obligations s’appliquent déjà depuis le 2 février 2025 : pratiques interdites et culture de l’IA (article 4)
  • Amendes jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial pour une pratique interdite
  • Le RGPD continue de s’appliquer en parallèle, il ne disparaît pas

Sources : Règlement (UE) 2024/1689, EUR-Lex, Commission européenne (cadre réglementaire IA)

Êtes-vous vraiment concerné par l’AI Act ?

Oui, et non. Oui, parce que le règlement s’applique à toute entreprise de l’Union qui développe ou utilise un système d’IA, quelle que soit sa taille. Non, parce que « être concerné » ne veut pas dire « crouler sous les obligations ». Le règlement classe chaque usage par niveau de risque, et la plupart des PME se situent tout en bas de l’échelle.

Le bon réflexe n’est pas de vous demander « est-ce que j’utilise de l’IA », mais « à quoi je l’utilise, et sur qui elle décide ». Une IA qui vous aide à écrire ne décide de rien pour personne. Une IA qui présélectionne des CV décide à la place d’un humain sur l’accès à un emploi. Le règlement traite ces deux cas de façon radicalement différente.

Deux statuts possibles pour votre PME :

  • Fournisseur : vous développez ou faites développer une IA que vous mettez sur le marché sous votre nom
  • Déployeur : vous utilisez sous votre autorité une IA conçue par un tiers (cas de la quasi-totalité des TPE/PME)

Source : Article 3 du règlement IA (définitions)

Retenez ce mot : déployeur. Si vous vous contentez d’utiliser ChatGPT, Gemini, Copilot ou un assistant intégré à votre logiciel métier, vous êtes un déployeur. Vos obligations sont bien plus légères que celles du fournisseur, qui a conçu le modèle. C’est le statut de la plupart de nos clients à Strasbourg, et c’est probablement le vôtre.

Les 4 niveaux de risque, expliqués avec vos usages

Le système de risques est la colonne vertébrale de l’AI Act. Chaque usage tombe dans l’une des quatre cases ci-dessous. Plus le risque pour les personnes est élevé, plus les contraintes le sont. Repérez votre usage dans la dernière colonne.

Niveau Principe Exemples (article 5 et annexe III) Pour une PME
Risque inacceptable (interdit) Pratiques interdites dans l’UE Notation sociale, manipulation, reconnaissance des émotions au travail, moisson d’images faciales sur internet À ne jamais déployer. Amende jusqu’à 35 M€ ou 7 % du CA
Haut risque Menace sérieuse pour la santé, la sécurité ou les droits Tri de CV au recrutement, scoring de crédit, évaluation d’élèves, IA dans des produits réglementés Obligations lourdes (documentation, contrôle humain, journaux). Rare en TPE
Risque limité Obligation de transparence Chatbot, deepfake, contenu généré par IA Prévenir l’utilisateur qu’il parle à une IA et signaler les contenus générés
Risque minimal Aucune règle spécifique Filtre anti-spam, assistant de rédaction, IA d’un jeu, suggestions bureautiques La case de la majorité des usages PME. Rien d’obligatoire au titre de l’AI Act

Sources : Commission européenne, cadre réglementaire IA, Article 5 (pratiques interdites)

Risque inacceptable : les huit pratiques interdites

Ce sont des usages bannis depuis le 2 février 2025. Vous n’en croiserez probablement aucun dans votre activité, mais ils existent. La notation sociale des individus, la manipulation comportementale qui exploite une vulnérabilité, la reconnaissance des émotions sur le lieu de travail ou en milieu scolaire, ou encore la création de bases de reconnaissance faciale par moisson d’images en ligne. Le règlement en liste huit. Pour une PME, le seul piège réaliste concerne la reconnaissance des émotions des salariés : un outil qui prétend mesurer l’état émotionnel de vos équipes est interdit.

Haut risque : surtout le recrutement et le crédit

Une IA est à haut risque quand elle décide ou pèse lourdement sur la vie des gens. L’annexe III du règlement liste ces cas : tri de candidatures à l’embauche, scoring de crédit pour accorder ou refuser un prêt, évaluation scolaire, gestion d’infrastructures critiques, ou usages liés à la sécurité d’un produit réglementé. Si vous faites du recrutement assisté par un logiciel qui présélectionne ou note des candidats, vous entrez potentiellement dans cette catégorie, avec des obligations exigeantes : évaluation des risques, données d’entraînement de qualité, traçabilité, supervision humaine, robustesse. C’est le seul scénario haut risque que rencontrent vraiment certaines PME.

Risque limité : la transparence, votre cas si vous avez un chatbot

Ici, une seule règle : la transparence. L’article 50 impose de prévenir l’utilisateur qu’il interagit avec une machine (chatbot) et de signaler clairement les contenus générés ou modifiés par IA (images, vidéos, textes de type deepfake). Concrètement, si votre site affiche un chatbot, il doit indiquer que l’interlocuteur est une IA. Si vous publiez une image entièrement générée pour une campagne, elle doit pouvoir être identifiée comme telle.

Risque minimal : là où se trouvent la plupart de vos usages

La grande majorité des applications d’IA en Europe tombent ici. Rédiger un mail avec un assistant, résumer un document, filtrer des spams, générer des suggestions dans un tableur : aucune obligation spécifique au titre de l’AI Act. Vous restez tenu par le droit commun (RGPD si données personnelles, droit d’auteur, droit du travail), mais le règlement IA ne vous ajoute rien. Si tous vos usages sont là, votre mise en conformité AI Act se résume à une obligation : la culture de l’IA, détaillée plus bas.

Vos vraies obligations, selon votre usage

Une fois votre niveau de risque identifié, vos obligations deviennent claires. Le tableau ci-dessous les résume par profil. Pour la plupart des PME, tout se joue sur les deux premières lignes.

Votre situation Ce que vous devez faire Depuis quand
Vous utilisez une IA (tout déployeur) Assurer une culture de l’IA suffisante chez les salariés qui l’utilisent (article 4) 2 février 2025
Vous avez un chatbot ou publiez du contenu IA Transparence : signaler l’IA à l’utilisateur et marquer les contenus générés (article 50) Prévu pour le 2 août 2026 (voir calendrier ci-dessous)
Vous faites du recrutement ou du scoring assisté par IA Régime haut risque : documentation, contrôle humain, journaux, évaluation des risques Échéance en cours de report (voir Digital Omnibus)
Tous vos usages sont à risque minimal Rien de spécifique, hormis la culture de l’IA Sans objet

Sources : Article 4 (culture de l’IA), Article 50 (transparence)

L’obligation que tout le monde oublie : la culture de l’IA

C’est la seule obligation qui touche réellement toutes les PME, et c’est aussi la plus mal connue. L’article 4 impose, depuis le 2 février 2025, que les fournisseurs et les déployeurs garantissent un « niveau suffisant de culture de l’IA » chez les personnes qui utilisent leurs systèmes pour leur compte, salariés comme prestataires. Traduit en clair : vos collaborateurs doivent comprendre, à leur niveau, ce que fait l’outil, ses limites et ses risques.

Pas besoin de formation universitaire. Une sensibilisation proportionnée suffit : expliquer qu’un assistant peut se tromper, qu’on ne colle pas de données confidentielles dans un outil grand public, qu’on relit toujours une sortie d’IA. Une demi-journée de sensibilisation interne, documentée, répond à l’esprit du texte pour un usage courant.

Le calendrier réel (et le report via le Digital Omnibus)

L’AI Act n’est pas entré en vigueur d’un bloc. Le règlement est entré en vigueur le 1er août 2024, puis ses dispositions s’appliquent par paliers. Voici les dates de référence, avant les modifications en cours.

Calendrier d’origine de l’AI Act :

  • 1er août 2024 : entrée en vigueur du règlement
  • 2 février 2025 : pratiques interdites et culture de l’IA (article 4)
  • 2 août 2025 : règles pour les modèles d’IA à usage général (GPAI) et désignation des autorités nationales
  • 2 août 2026 : transparence (article 50) et systèmes à haut risque de l’annexe III
  • 2 août 2027 : IA intégrée à des produits réglementés (annexe I)

Source : AI Act Service Desk, Commission européenne

Ce calendrier est en train de bouger. Le 19 novembre 2025, la Commission a publié le « Digital Omnibus », un paquet de simplification qui propose de repousser plusieurs échéances pour laisser aux entreprises et aux normes techniques le temps d’être prêtes. Voici l’état d’avancement, à présenter avec prudence car le processus n’est pas totalement bouclé.

Digital Omnibus, état au 27 juin 2026 :

  • 19 novembre 2025 : proposition publiée par la Commission
  • 7 mai 2026 : accord provisoire entre Parlement et Conseil
  • 16 juin 2026 : adoption par le Parlement européen (423 voix pour, 57 contre, 174 abstentions)
  • Adoption formelle du Conseil et publication au Journal officiel : étapes finales encore attendues

Sources : Commission européenne (proposition), Parlement européen, Legislative Train

Sur le fond, le Digital Omnibus prévoit notamment de repousser l’application des systèmes à haut risque autonomes de l’annexe III du 2 août 2026 au 2 décembre 2027, et de décaler l’obligation de marquage des contenus générés par IA. Tant que la dernière étape (adoption du Conseil et publication au Journal officiel) n’est pas finalisée, ces nouvelles dates ne sont pas définitivement gravées. La prudence commande de retenir le principe (un report est très probable) sans présenter les dates repoussées comme une certitude juridique acquise. En cas de doute sur votre situation précise, c’est la version publiée au Journal officiel qui fait foi.

Le lien avec le RGPD et la CNIL

Beaucoup de dirigeants espèrent que l’AI Act remplace le RGPD. Ce n’est pas le cas. Les deux textes se cumulent. La CNIL l’écrit noir sur blanc : le règlement IA « ne remplace pas les exigences du RGPD. Au contraire, il a pour but de les compléter ». Si votre IA traite des données personnelles (et c’est presque toujours le cas), vos obligations RGPD restent entières : base légale, information des personnes, durée de conservation, analyse d’impact quand elle s’impose.

Qui surveille quoi en France :

  • La CNIL se prépare à être désignée autorité de surveillance du marché pour l’AI Act, en plus de son rôle RGPD
  • Le RGPD s’applique à tout traitement de données personnelles par une IA, sans exception
  • L’AI Act ajoute des exigences propres aux systèmes d’IA (classification, transparence, contrôle humain)

Source : CNIL, questions-réponses sur le règlement IA

Le point pratique : si vous avez déjà fait sérieusement votre travail RGPD, vous avez une longueur d’avance sur l’AI Act. Inventaire des traitements, vigilance sur les données sensibles, transparence envers les personnes : ces réflexes se transposent directement. Pour comprendre où partent vos données quand vous utilisez ces outils, notre guide sur le sort de vos données face à l’IA et au RGPD détaille la question compte gratuit contre offre entreprise.

Ce que ça change concrètement pour vous

Mettons de côté le texte et regardons votre quotidien. Voici ce qui change vraiment selon votre profil, et ce qui ne change pas.

Si vous utilisez l’IA pour du contenu, de la bureautique, du support interne. Vous êtes en risque minimal. Une seule action concrète : sensibiliser vos équipes (culture de l’IA) et garder une trace de cette sensibilisation. Le reste relève du bon sens et du RGPD que vous appliquez déjà.

Si vous avez un chatbot ou diffusez des visuels générés. Ajoutez une mention claire « assistant automatisé » sur le chatbot et un marquage sur les contenus IA. Cinq minutes de paramétrage, pas un chantier.

Si vous recrutez ou scorez des clients avec une IA décisionnelle. C’est le seul cas qui demande un vrai travail. Identifiez l’outil, vérifiez auprès de l’éditeur sa conformité haut risque, gardez un humain dans la boucle de décision, documentez. Et surveillez le calendrier en cours de report.

Ce qui ne change pas. Le RGPD reste votre socle. La responsabilité de relire et de valider une sortie d’IA reste la vôtre. Et l’IA reste un investissement : pour cadrer le budget réel d’un déploiement, notre dossier sur les vrais prix de l’IA en entreprise en 2026 donne les fourchettes par type de projet.

La checklist AI Act pour une PME

Voici l’ordre dans lequel s’y prendre. Comptez une demi-journée pour un usage courant, davantage si vous touchez au recrutement ou au scoring.

  1. Recensez vos usages d’IA. Listez chaque outil utilisé dans l’entreprise (ChatGPT, Copilot, chatbot, logiciel métier avec IA) et à quoi il sert.
  2. Classez chaque usage par niveau de risque. Servez-vous du tableau plus haut. La plupart tomberont en risque minimal.
  3. Vérifiez l’absence de pratique interdite. Aucun outil de notation sociale ni de reconnaissance des émotions de vos salariés.
  4. Traitez la transparence si besoin. Mention « IA » sur le chatbot, marquage des contenus générés diffusés au public.
  5. Mettez en place la culture de l’IA. Une sensibilisation des équipes utilisatrices, documentée (date, contenu, participants).
  6. Si recrutement ou scoring : passez en mode haut risque. Interrogez l’éditeur sur sa conformité, gardez la décision humaine, conservez les journaux.
  7. Alignez sur le RGPD. Vérifiez base légale, information des personnes et conservation pour chaque IA traitant des données personnelles.
  8. Gardez une trace écrite. Un simple tableau de vos usages et de leur classement vaut preuve de bonne foi en cas de contrôle.

Vous n’avez pas besoin d’un avocat pour dérouler cette liste sur des usages courants. Si vous franchissez la ligne du haut risque, ou si vous voulez sécuriser un déploiement IA d’ampleur, c’est un autre niveau. Notre agence IA accompagne les TPE/PME, notamment à Strasbourg, sur le cadrage conforme de leurs projets d’intelligence artificielle.

FAQ

Mon entreprise est-elle concernée par l’AI Act si elle utilise juste ChatGPT ?
Oui, mais à un niveau très léger. Utiliser ChatGPT pour rédiger ou résumer relève du risque minimal : aucune obligation spécifique au titre de l’AI Act, hormis l’obligation de culture de l’IA (article 4) qui consiste à sensibiliser les salariés qui s’en servent. Le RGPD continue de s’appliquer si vous traitez des données personnelles.

Quelles sont les amendes prévues par l’AI Act ?
Trois paliers. Jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires annuel mondial pour une pratique interdite. Jusqu’à 15 millions d’euros ou 3 % pour le non-respect des autres obligations. Jusqu’à 7,5 millions d’euros ou 1 % pour des informations incorrectes. C’est le montant le plus élevé qui s’applique, avec des plafonds adaptés pour les PME et startups.

Le calendrier de l’AI Act a-t-il été repoussé ?
Un report est en cours via le Digital Omnibus. Le Parlement européen l’a adopté le 16 juin 2026 ; l’adoption formelle du Conseil et la publication au Journal officiel restaient à finaliser fin juin 2026. Tant que ces étapes ne sont pas bouclées, les dates repoussées (notamment le haut risque décalé vers le 2 décembre 2027) ne sont pas définitives. Référez-vous à la version publiée au Journal officiel.

L’AI Act remplace-t-il le RGPD ?
Non. Les deux régimes se cumulent. La CNIL précise que le règlement IA complète le RGPD sans le remplacer. Si votre IA traite des données personnelles, vos obligations RGPD restent entières, en parallèle des exigences propres à l’AI Act.

Mon chatbot de site doit-il afficher quelque chose de spécial ?
Oui, une obligation de transparence s’applique (article 50) : l’utilisateur doit être informé qu’il échange avec une machine et non avec un humain. Une mention claire de type « assistant automatisé » suffit. Cette obligation est prévue pour le 2 août 2026, sous réserve du calendrier en cours d’ajustement.

Suis-je fournisseur ou déployeur d’IA ?
Si vous développez une IA et la mettez sur le marché sous votre nom, vous êtes fournisseur. Si vous vous contentez d’utiliser un outil conçu par un tiers (ChatGPT, Copilot, un logiciel métier), vous êtes déployeur. La quasi-totalité des TPE/PME sont déployeurs, avec des obligations bien plus légères que les fournisseurs.

Sources

  1. Règlement (UE) 2024/1689, EUR-Lex
  2. Commission européenne (cadre réglementaire IA)
  3. Article 3 du règlement IA (définitions)
  4. Article 5 (pratiques interdites)
  5. Article 4 (culture de l’IA)
  6. Article 50 (transparence)
  7. AI Act Service Desk, Commission européenne
  8. Commission européenne (proposition)
  9. Parlement européen, Legislative Train
  10. CNIL, questions-réponses sur le règlement IA

Vous êtes une entreprise ?

Ordiama, c'est aussi une agence IA à Strasbourg : on crée votre site, on vous rend visible dans l'IA et on automatise vos tâches.

Découvrir l'agence →

À lire aussi