Pourquoi cet article concerne votre PME (oui, la vôtre)
L'AI Act, c'est la nouvelle réglementation européenne sur l'intelligence artificielle. Adoptée en 2024, elle entre pleinement en vigueur le 2 août 2026. Beaucoup de dirigeants de PME pensent que ça ne les concerne pas — c'est faux. Si vous utilisez ChatGPT pour rédiger vos emails clients, un chatbot pour votre service client, un outil de scoring CV pour le recrutement, ou un système de recommandation pour vos prospects : vous êtes concerné.
Voici ce qu'il faut savoir, sans jargon juridique, pour ne pas vous retrouver en infraction sans le savoir.
Ce que dit l'AI Act en 30 secondes
L'AI Act classe les systèmes IA en 4 catégories de risque :
- Risque inacceptable : interdit (notation sociale type Chine, manipulation comportementale, identification biométrique en temps réel dans l'espace public). Ne vous concerne pas.
- Risque élevé : autorisé mais avec obligations strictes (documentation, audit, supervision humaine). Concerne notamment : recrutement automatisé, scoring crédit, outils d'éducation, systèmes biométriques. Lisez attentivement la suite si vous êtes concerné.
- Risque limité : autorisé avec obligation de transparence (chatbots, deepfakes, assistants IA). Vous devez juste informer l'utilisateur qu'il interagit avec une IA. C'est probablement votre cas.
- Risque minimal : autorisé sans obligation (filtres anti-spam, recommandations e-commerce simples). Pas d'action requise.
Les 3 obligations qui touchent (presque) toutes les PME
Obligation 1 : la transparence
Si vous utilisez un chatbot ou un agent IA qui interagit avec vos clients (support, prospection), vous devez informer clairement que c'est une IA et pas un humain.
Concrètement : votre chatbot Crisp/Intercom/Tidio doit être identifié comme tel ("Bot Marie - assistant virtuel") et ne pas se faire passer pour un humain.
Risque sanction : amende jusqu'à 15 M€ ou 3% du CA mondial. Mais en pratique pour une PME, on parle plutôt d'avertissements puis d'amendes proportionnées (quelques milliers à dizaines de milliers d'€).
Obligation 2 : le registre des systèmes IA
Si vous utilisez 3+ outils IA en production, l'AI Act vous demande de tenir un registre : quels outils, quels usages, quelles données traitées, qui est responsable, quels risques identifiés.
C'est l'équivalent IA du registre des traitements RGPD — et c'est souvent le même DPO qui doit le tenir.
Outils pour vous y aider :
- Saidot (finlandais, méthodologie EU-aligned)
- Naaia (français, partenariats CNIL)
- Anch.AI (suédois, plus accessible PME)
- Cranium (US, mais le plus complet pour les ETI)
Obligation 3 : la formation des équipes
L'AI Act impose une culture de l'IA : vos collaborateurs doivent être formés à un usage responsable. En pratique, ça signifie :
- Sensibilisation aux risques (hallucinations IA, biais, fuite de données)
- Charte d'usage interne ("on n'utilise pas ChatGPT Free pour les données clients")
- Formation aux bons réflexes (vérifier les outputs, ne pas coller de données sensibles dans les outils Free)
Cas particuliers : si vous faites du recrutement automatisé
Si vous utilisez des outils comme Eightfold AI, Findem, HrFlow.ai pour scorer ou trier automatiquement des candidats, vous êtes en risque élevé. Obligations supplémentaires :
- Évaluation des biais (le modèle ne doit pas discriminer par âge, sexe, origine, etc.)
- Documentation technique du système
- Supervision humaine obligatoire (un recruteur doit toujours pouvoir override)
- Information du candidat qu'il est évalué par une IA
- Droit à explication d'une décision (si le candidat est rejeté, savoir pourquoi)
Conseil : demandez à votre fournisseur (Eightfold, Findem...) son AI Act compliance kit. Tous les sérieux en ont un.
Cas particuliers : si vous faites du scoring client/financier
Si vous utilisez l'IA pour scorer vos prospects (B2B), ou pire, accorder/refuser des crédits ou des assurances : risque élevé également. Mêmes obligations que pour le recrutement.
C'est notamment le cas si vous êtes dans la fintech, l'assurance, le crédit ou l'e-commerce avec scoring de fraude.
Le calendrier à retenir
| Date | Ce qui s'applique |
|---|---|
| 2 février 2025 | Interdiction des systèmes "risque inacceptable" |
| 2 août 2025 | Règles pour les "modèles GPAI" (foundation models comme GPT, Claude, Mistral) |
| 2 août 2026 | Entrée en vigueur générale — la majorité des obligations s'applique |
| 2 août 2027 | Règles complètes pour les systèmes "risque élevé" déjà en marché avant 2026 |
Vous avez jusqu'au 2 août 2026 pour vous mettre en conformité. Six mois, ça passe vite.
Le plan d'action concret pour votre PME
Étape 1 (cette semaine) : audit rapide Listez TOUS les outils IA que votre entreprise utilise, même les "petits" : - Assistants génériques : ChatGPT, Claude, Mistral - Outils intégrés : Notion AI, Microsoft Copilot, Gemini Workspace - Chatbots clients : Crisp, Intercom, Tidio - Outils RH : ATS avec scoring (Workable, Greenhouse, Beetween) - Outils marketing : Lemlist, Plezi, scoring HubSpot - Outils data : prédictions Akkio, Aible, Power BI AI
Étape 2 (ce mois-ci) : classification Pour chaque outil, identifiez sa catégorie de risque (probablement "limité" pour 90% des cas) et votre rôle (utilisateur final ou déployeur).
Étape 3 (ce trimestre) : mise en conformité - Pour le risque limité : mettez à jour vos chatbots avec mention "IA", informez vos utilisateurs. - Pour le risque élevé : prenez une plateforme de gouvernance (Saidot, Naaia, Anch.AI), documentez chaque cas d'usage. - Formez vos équipes (1-2 demi-journées suffisent pour les bases).
Étape 4 (avant août 2026) : audit final Vérifiez que tout est en place. Testez un audit blanc. Documentez votre démarche dans un dossier "AI Act compliance" disponible si la CNIL ou un client vous le demande.
Combien ça coûte vraiment ?
Pour une PME 10-50 employés en risque limité uniquement :
- Charte interne + formation : 1-3 jours/homme (~1 500-5 000 €)
- Mises à jour chatbot/outils existants : quelques heures
- Total estimé : 2 000-6 000 € one-shot + ~500 €/an de maintien
Pour une PME en risque élevé (recrutement IA, scoring) :
- Plateforme de gouvernance (Saidot, Naaia, Anch.AI) : 6 000-25 000 €/an
- Audits techniques : 5 000-30 000 € one-shot
- Formation approfondie : 5 000-15 000 €
- Total estimé : 15 000-60 000 € la première année
Les questions fréquentes que nous recevons
"Ça concerne quand même les TPE ?" Oui, mais avec des allègements. Les TPE bénéficient d'obligations simplifiées, notamment sur la documentation. Mais la transparence (informer qu'on utilise un chatbot) s'applique à tous.
"Si j'utilise ChatGPT, je suis concerné ?" En tant qu'utilisateur final, vos obligations sont limitées (formation des équipes, charte d'usage). C'est OpenAI qui a la responsabilité principale en tant que fournisseur du modèle.
"Les outils américains comme ChatGPT seront-ils interdits ?" Non, mais ils doivent se conformer à l'AI Act pour opérer en EU. OpenAI, Anthropic et Microsoft ont déjà publié leurs documentations de conformité.
"Quel est le risque réel pour une PME qui ne fait rien ?" Sanction maximale = 15 M€ ou 3% du CA mondial. En pratique, pour une PME, on parle plutôt d'avertissements + mises en demeure. Mais le risque réputationnel est important : vos clients/prospects qui demandent votre conformité.
Pour aller plus loin
Pour identifier précisément vos obligations selon votre secteur et votre sélection IA, consultez les outils de conformité que nous avons analysés dans notre catégorie Conformité IA.
Vous pouvez aussi faire notre quiz secteur qui inclut désormais les contraintes AI Act dans la sélection d'outils. Vous obtenez une sélection qui respecte par défaut les exigences européennes.