L'AI Act est entré en vigueur le 1er août 2024. C'est le premier règlement au monde à encadrer l'intelligence artificielle de manière globale. Et contrairement à ce que beaucoup de dirigeants de PME pensent encore, il ne concerne pas que les GAFAM ou les startups deep tech.
Dès février 2025, les premières obligations sont devenues effectives. En août 2025, de nouvelles règles ont suivi. Et en août 2026, l'essentiel du règlement sera pleinement applicable, y compris les obligations concernant les systèmes à haut risque. Pour les PME qui utilisent l'IA au quotidien — chatbots, automatisations, assistants internes —, le compte à rebours tourne.
Les sanctions ne sont pas symboliques : jusqu'à 35 millions d'euros ou 7% du chiffre d'affaires mondial. Mais la bonne nouvelle, c'est que pour la majorité des PME, la mise en conformité est tout à fait accessible, à condition de s'y prendre méthodiquement. Ce guide vous explique concrètement ce qui vous concerne, ce que vous devez faire, et par où commencer.
Qu'est-ce que l'AI Act et pourquoi ça concerne votre PME ?
Le Règlement européen sur l'intelligence artificielle (AI Act, Règlement UE 2024/1689) est un texte législatif adopté le 13 juin 2024 par le Parlement européen. Il s'applique à toute organisation qui développe, met sur le marché ou utilise un système d'IA au sein de l'Union européenne.
Le mot-clé est "utilise". Vous n'avez pas besoin de développer de l'IA pour être concerné. Si votre entreprise :
- → Utilise un chatbot pour le service client ou en interne
- → Exploite des outils d'automatisation de processus basés sur l'IA
- → Recourt à l'IA pour le recrutement, le tri de CV ou l'évaluation de candidats
- → Utilise des assistants IA internes connectés à vos données d'entreprise
- → Déploie des outils de prévision, scoring ou recommandation
...alors l'AI Act vous concerne directement. L'action de la CNIL sur l'IA confirme que la conformité sera contrôlée, y compris pour les PME.
Point essentiel : l'AI Act distingue les "fournisseurs" (ceux qui développent l'IA) des "déployeurs" (ceux qui l'utilisent). La majorité des PME sont des déployeurs. Les obligations sont moins lourdes que pour les fournisseurs, mais elles existent bel et bien.
Le calendrier de l'AI Act : qu'est-ce qui s'applique déjà ?
L'AI Act ne s'applique pas d'un coup. Le législateur a prévu une mise en application progressive sur 3 ans. Voici le calendrier que tout dirigeant doit connaître :
2 février 2025 — Interdictions & Literacy IA
Les pratiques d'IA interdites (manipulation, scoring social, surveillance biométrique de masse) sont bannies. L'obligation de literacy IA (article 4) entre en vigueur : vos équipes doivent comprendre les outils IA qu'elles utilisent.
2 août 2025 — Modèles à usage général (GPAI)
Les obligations pour les fournisseurs de modèles d'IA à usage général (comme GPT-4, Claude, Mistral) entrent en vigueur. Cela concerne surtout les éditeurs, mais impacte aussi les PME utilisatrices en termes de transparence sur les outils utilisés.
2 août 2026 — Obligations principales
L'échéance majeure pour les PME. Les règles sur les systèmes à haut risque, les obligations de transparence pour les déployeurs, et le cadre de gouvernance nationale deviennent pleinement applicables. C'est la date à ne pas manquer.
2 août 2027 — Systèmes IA déjà sur le marché
Les systèmes IA à haut risque déjà commercialisés avant août 2026 devront se conformer aux nouvelles exigences. Dernier délai de mise en conformité.
Attention : l'obligation de literacy IA (article 4) est déjà en vigueur depuis février 2025. Si vos équipes utilisent des outils IA sans formation adaptée, votre entreprise est d'ores et déjà en infraction potentielle. Un diagnostic IA interne permet de faire le point rapidement.
Les 4 niveaux de risque IA : où se situe votre entreprise ?
L'AI Act classe les systèmes d'IA en 4 catégories de risque. C'est le coeur du règlement : vos obligations dépendent directement du niveau de risque de chaque usage IA dans votre entreprise.
| Niveau | Exemples PME | Obligations |
|---|---|---|
| Inacceptable (interdit) | Scoring social des employés, manipulation subliminale, surveillance biométrique temps réel | Interdit. Arrêt immédiat. |
| Haut risque | IA de recrutement/tri de CV, scoring crédit, évaluation de performance automatisée, sécurité des produits | Documentation technique, gestion des risques, contrôle humain, transparence, registre |
| Risque limité | Chatbot client, générateur de contenu IA, deepfakes, systèmes de recommandation | Obligation de transparence : informer que l'utilisateur interagit avec une IA |
| Risque minimal | Filtre anti-spam, correction orthographique IA, optimisation logistique interne | Aucune obligation spécifique (hors literacy) |
La réalité pour la plupart des PME : vos usages se situent probablement dans les catégories risque limité et risque minimal. Un chatbot relève du risque limité (obligation de transparence). Une automatisation de processus interne sans impact sur les droits des personnes relève du risque minimal.
Mais attention : si vous utilisez l'IA pour trier des CV, évaluer des employés ou prendre des décisions ayant un impact sur des personnes, vous êtes potentiellement dans le haut risque, avec des obligations bien plus exigeantes. Les cabinets d'avocats qui utilisent l'IA sont particulièrement concernés par ces enjeux de conformité, compte tenu de la nature sensible des données qu'ils traitent.
Obligations concrètes de l'AI Act pour les PME
Passons aux actes. Voici ce que l'AI Act impose concrètement aux PME en tant que déployeurs de systèmes d'IA :
1. La literacy IA (article 4) — obligatoire depuis février 2025
C'est l'obligation la plus transversale et la plus souvent ignorée. Chaque entreprise qui utilise l'IA doit garantir que les personnes qui interagissent avec des systèmes d'IA disposent d'un niveau suffisant de compréhension de ces outils.
Concrètement, cela signifie :
- Former vos collaborateurs aux bases du fonctionnement de l'IA qu'ils utilisent
- Leur expliquer les limites et risques (hallucinations, biais, erreurs)
- Adapter la formation au niveau technique et au rôle de chacun
- Documenter que cette formation a été réalisée
2. La transparence — pour les systèmes à risque limité
Si vos clients ou utilisateurs interagissent avec un chatbot, un générateur de contenu IA, ou tout système où ils pourraient croire communiquer avec un humain, vous devez les informer clairement qu'ils interagissent avec une IA.
C'est simple à mettre en place : une mention visible dans l'interface suffit. Par exemple, dans un assistant IA interne ou un chatbot client, un bandeau "Vous échangez avec un assistant IA" remplit l'obligation.
3. Les obligations renforcées — pour les systèmes à haut risque
Si votre PME déploie des systèmes classés à haut risque, les obligations sont nettement plus importantes :
Documentation & Traçabilité
- Registre des systèmes IA utilisés
- Documentation de l'analyse de risque
- Conservation des logs d'utilisation
- Inscription au registre européen des IA à haut risque
Supervision & Contrôle humain
- Supervision humaine effective des décisions IA
- Capacité à intervenir et corriger en temps réel
- Analyse d'impact sur les droits fondamentaux
- Information des personnes concernées
Checklist : votre PME est-elle conforme à l'AI Act ?
Utilisez cette grille pour évaluer rapidement votre situation. Si vous ne pouvez pas cocher une case, c'est un point d'action prioritaire.
Moins de 5 cases cochées ? Il est temps d'agir. Un audit IA permet de faire le point en quelques jours et de construire un plan d'action réaliste.
Les 6 étapes pour mettre votre PME en conformité AI Act
Voici la démarche que nous recommandons chez Tensoria à nos clients PME et ETI. Elle est progressive, pragmatique, et adaptée aux ressources d'une structure de taille intermédiaire.
Cartographier tous vos usages IA
Faites l'inventaire exhaustif de tous les systèmes d'IA utilisés dans votre entreprise. Cela inclut les outils "évidents" (chatbot, assistant) mais aussi les usages diffus : un commercial qui utilise ChatGPT pour rédiger des emails, un comptable qui exploite un outil de catégorisation automatique, etc. Notre guide du diagnostic IA interne détaille cette démarche.
Classifier chaque usage par niveau de risque
Pour chaque outil identifié, déterminez sa catégorie de risque selon les critères de l'AI Act. La question centrale : ce système a-t-il un impact sur les droits ou les opportunités des personnes ? Un chatbot d'information = risque limité. Un outil de pré-sélection de CV = haut risque.
Déployer la formation literacy IA
Formez l'ensemble des collaborateurs qui utilisent ou interagissent avec des systèmes d'IA. Le niveau de formation doit être adapté : un dirigeant a besoin de comprendre les enjeux stratégiques et réglementaires, un opérationnel a besoin de maîtriser les limites concrètes de l'outil qu'il utilise au quotidien.
Mettre en place la transparence
Pour tous les systèmes à risque limité : ajoutez les mentions d'information aux interfaces (chatbots, assistants, contenus générés par IA). Pour les systèmes à haut risque : documentez les mesures de transparence et d'information des personnes concernées.
Documenter et formaliser
Constituez votre dossier de conformité : registre des usages IA, analyses de risque, preuves de formation, politique d'utilisation de l'IA. Ce dossier est votre protection en cas de contrôle. Il est aussi un outil de pilotage interne précieux.
Mettre en place une gouvernance continue
La conformité n'est pas un projet one-shot. Désignez un référent IA, planifiez des revues trimestrielles de vos usages, et intégrez l'évaluation AI Act dans votre processus d'adoption de tout nouvel outil IA. Pour mesurer la valeur de cette démarche, consultez notre guide sur le ROI des projets IA.
Le rôle de l'audit IA dans la conformité AI Act
Un audit IA est le meilleur point de départ pour aborder sereinement la conformité AI Act. Pourquoi ? Parce qu'il répond aux trois questions fondamentales :
Quels systèmes IA utilisez-vous réellement (y compris le shadow AI non déclaré) ?
Où se situent ces usages sur l'échelle de risque AI Act ?
Comment combler l'écart entre votre situation actuelle et la conformité ?
Chez Tensoria, nous réalisons des audits IA à Toulouse et en France qui couvrent spécifiquement la dimension AI Act. En quelques jours, nous livrons un état des lieux complet : inventaire des usages, classification par risque, écarts de conformité identifiés, et plan d'action priorisé avec des échéances réalistes.
Notre retour d'expérience : sur les audits que nous avons menés depuis début 2025, 80% des PME sous-estiment le nombre de systèmes IA qu'elles utilisent. L'usage de ChatGPT, Copilot ou d'assistants IA par les collaborateurs, souvent sans que la direction en soit informée, constitue un angle mort majeur pour la conformité.
Sanctions AI Act : que risque votre PME ?
Les sanctions prévues par l'AI Act sont graduées selon la gravité de l'infraction. Voici la grille :
| Type d'infraction | Amende maximale | Exemples |
|---|---|---|
| Pratiques interdites | 35 M€ ou 7% du CA mondial | Utilisation d'IA interdite (scoring social, manipulation) |
| Non-conformité aux obligations principales | 15 M€ ou 3% du CA mondial | Déploiement d'IA à haut risque sans documentation, sans supervision humaine |
| Informations inexactes | 7,5 M€ ou 1% du CA mondial | Fournir des informations fausses aux autorités de contrôle |
Le point rassurant pour les PME : l'AI Act prévoit explicitement que les amendes doivent être proportionnées à la taille de l'entreprise. Les plafonds ci-dessus concernent les cas les plus graves. Le règlement mentionne aussi des amendes réduites pour les PME et les startups.
Au-delà des amendes, les risques incluent aussi :
- Le risque réputationnel : une non-conformité publique peut affecter la confiance de vos clients et partenaires
- Le risque commercial : les donneurs d'ordre (grands groupes, collectivités) commencent à exiger la conformité AI Act de leurs sous-traitants
- Le risque opérationnel : une injonction de cesser un usage IA peut perturber fortement votre activité si vous en dépendez
Pour anticiper ces risques et structurer votre démarche, il est essentiel de lancer vos projets IA de manière réaliste, en intégrant la conformité dès le départ.
Questions fréquentes sur l'AI Act et les PME
Pour aller plus loin
Pour consulter le texte officiel complet, rendez-vous sur le Règlement (UE) 2024/1689 sur EUR-Lex. Le site France Num propose également des ressources adaptées aux TPE/PME.
AI Act : anticipez la conformité avant août 2026
Ne subissez pas l'échéance. Un audit IA Tensoria vous donne un état des lieux clair de vos usages, une classification par risque, et un plan d'action concret. Premier échange de 30 minutes, sans engagement.
Évaluer ma conformité AI Act →
