Quelles sont les obligations de l'AI Act pour les PME ?

Les PME qui utilisent l'IA (deployers) ont trois obligations principales sous l'AI Act (Règlement UE 2024/1689). Premièrement, l'obligation de littératie IA (Art. 4), active depuis février 2025, impose à tout deployer de garantir un niveau suffisant de compétences IA pour son personnel. Deuxièmement, les obligations deployers pour les systèmes haut risque (Art. 26), applicables dès août 2026, exigent une supervision humaine, un contrôle des données d'entrée, la conservation des logs pendant 6 mois minimum, et la désignation de personnes physiques responsables. Troisièmement, les obligations de transparence (Art. 50) imposent d'informer les utilisateurs lorsqu'ils interagissent avec un système IA, notamment pour les chatbots et contenus générés.

Quelles amendes l'AI Act prévoit pour les PME ?

L'AI Act prévoit un mécanisme d'amendes spécifique pour les PME (Art. 99) : c'est le montant le plus bas qui s'applique, pas le plus élevé. Trois niveaux existent. Pour les pratiques interdites : jusqu'à 35 millions d'euros ou 7% du CA mondial, le plus bas des deux. Pour la non-conformité aux obligations haut risque : jusqu'à 15 millions d'euros ou 3% du CA mondial, le plus bas. Pour les informations incorrectes aux autorités : jusqu'à 7,5 millions d'euros ou 1% du CA. Exemple concret : une PME à 5 millions d'euros de CA risque au maximum 150 000 euros pour une non-conformité haut risque (3% de 5M).

Est-ce que l'AI Act s'applique aux PME qui utilisent l'IA sans la développer ?

Oui. L'AI Act distingue les fournisseurs (qui développent les systèmes IA) des deployers (qui les utilisent). Les PME qui utilisent des outils IA comme ChatGPT, des logiciels RH avec IA, ou des CRM avec scoring automatisé sont des deployers. Elles ont des obligations spécifiques. L'Art. 4 sur la littératie IA s'applique déjà depuis février 2025, quelle que soit la taille de l'entreprise. L'Art. 26 sur les systèmes haut risque s'appliquera dès août 2026. Il n'existe aucune exemption basée sur la taille de l'entreprise pour les obligations deployers.

Offres Notre approche Outils Prendre 30 min →

Version simplifiée

L'AI Act et les PME

L'AI Act est une nouvelle loi européenne sur l'intelligence artificielle.

Cette loi s'applique à toutes les entreprises qui utilisent l'IA. Pas seulement celles qui la créent.

Si votre entreprise utilise des outils comme ChatGPT, des logiciels RH avec IA, ou un CRM qui fait du scoring automatique, cette loi vous concerne.

Ce que cela change pour vous

3 choses importantes

1. Former vos équipes (déjà obligatoire)

Depuis février 2025, chaque personne qui utilise un outil IA dans votre entreprise doit avoir un niveau suffisant de compétences IA. C'est la loi (Article 4).

2. Surveiller les outils IA à risque (août 2026)

Si vous utilisez l'IA pour le recrutement, l'évaluation des salariés, le scoring client ou le crédit, ce sont des usages à haut risque. Vous devrez nommer un responsable et garder des traces de chaque décision.

3. Informer vos utilisateurs

Si vos clients parlent à un chatbot, ils doivent savoir que c'est une IA. Pas un humain.

Ce qu'il faut faire

Les actions à prendre

Lister tous les outils IA utilisés dans votre entreprise.
Nommer une personne responsable de la supervision de l'IA.
Former les équipes qui utilisent l'IA au quotidien.
Vérifier les données utilisées par vos outils IA.
Garder des traces de toutes les décisions prises avec l'aide de l'IA.

Par où commencer

Faites le diagnostic gratuit

Répondez à quelques questions simples. En 10 minutes, vous saurez où en est votre entreprise avec l'IA.

Faire le diagnostic IA

Vous pouvez aussi prendre 30 minutes pour en parler avec nous.

Prendre rendez-vous

AI Act · Gouvernance IA · iteyre

AI Act et PME ce que les dirigeants doivent décider

L'AI Act entre en application en août 2026. La plupart des PME utilisent déjà l'IA sans gouvernance formelle. Le risque n'est pas l'amende. C'est de découvrir que des décisions RH, commerciales et financières sont prises par des outils que personne n'a validés.

Diagnostic IA gratuit Gouvernance IA PME →

Calendrier

Ce qui entre en vigueur, et quand

L'AI Act (Règlement UE 2024/1689) s'applique progressivement. Certaines obligations sont déjà actives.

Février 2025

DÉJÀ ACTIF

Pratiques interdites et littératie IA

Interdiction des systèmes IA à risque inacceptable (Art. 5). Obligation de littératie IA pour tout deployer, toute taille (Art. 4). Chaque personne qui opère un système IA doit avoir un niveau suffisant de compétences.

Août 2025

Gouvernance nationale et modèles GPAI

Mise en place des autorités nationales de surveillance. Obligations pour les modèles IA à usage général (GPAI). Les structures de contrôle sont en place, les premières inspections deviennent possibles.

Août 2026

Application intégrale

Systèmes haut risque, obligations complètes des deployers (Art. 26), transparence (Art. 50), sanctions. C'est la date clé pour les PME. Supervision humaine, documentation, traçabilité, conservation des logs.

Août 2027

Produits réglementés et GPAI existants

Systèmes haut risque intégrés à des produits réglementés (aviation, dispositifs médicaux). Les modèles GPAI existants déjà sur le marché doivent être conformes.

Vos obligations

Les domaines à risque dans une PME

Recrutement et RH

IA pour filtrer des CV, évaluer des candidats, monitoring de performance, décisions sur les conditions de travail : c'est du haut risque (Annexe III, point 4). Supervision humaine obligatoire, documentation complète, conservation des logs 6 mois minimum.

CRM et scoring client

Si le CRM fait du scoring comportemental qui influence des décisions à impact significatif sur les personnes, c'est du haut risque. Segmentation marketing pure : risque limité, seule l'obligation de transparence (Art. 50) s'applique.

Crédit et assurance

IA pour évaluer la solvabilité d'un client ou la tarification en assurance vie et santé : c'est du haut risque (Annexe III, point 5). Même si vous utilisez un outil tiers. La responsabilité du deployer est engagée.

Chatbots et contenus générés

Obligation de transparence (Art. 50) : informer les utilisateurs qu'ils interagissent avec une IA. Divulguer les deepfakes et contenus générés par IA. Cette obligation s'applique quel que soit le niveau de risque du système.

PME face à l'AI Act : préparée vs non préparée

	PME non préparée	PME préparée
Cartographie IA	Aucun inventaire des outils IA utilisés	Registre à jour de tous les systèmes IA et leur classification
Littératie	Aucune formation, usage sauvage	Personnel formé, compétences documentées (Art. 4)
Supervision	Personne ne supervise les outputs IA	Référent désigné avec mandat de supervision humaine
Données	Données d'entrée non vérifiées	Données auditées, biais identifiés et corrigés
Documentation	Aucun log, aucune trace	Logs conservés 6 mois minimum, traçabilité complète
Risque amende	Découverte en cas de contrôle ou incident	Conformité anticipée, risque maîtrisé

Plan d'action

Ce que le dirigeant doit décider

L'AI Act n'est pas un sujet juridique. C'est un sujet de mandat. Qui, dans l'entreprise, a l'autorité pour décider ce qu'on automatise et ce qu'on refuse de confier à une machine ? Dans 95% des PME, la réponse est : personne.

Cartographier les usages IA existants

Lister tous les outils IA utilisés dans l'entreprise, y compris les usages individuels non déclarés : ChatGPT, Copilot, outils RH avec composante IA. Classifier chaque usage selon le niveau de risque AI Act (inacceptable, haut risque, risque limité, risque minimal).

Désigner un référent IA avec un mandat clair

Pas un titre honorifique. Un mandat documenté : supervision des systèmes, formation des équipes, point de contact avec les autorités. L'Art. 26 exige des "personnes physiques" désignées pour la supervision humaine des systèmes haut risque.

Former les équipes (c'est déjà obligatoire)

L'Art. 4 sur la littératie IA est actif depuis février 2025. Chaque personne qui opère un système IA doit avoir un "niveau suffisant de littératie IA". C'est la loi, pas une recommandation. Les PME bénéficient de mesures de soutien (Art. 62), mais l'obligation reste entière.

Auditer les données d'entrée

Les systèmes haut risque exigent des données "pertinentes et représentatives". Si votre outil RH filtre des CV avec des données biaisées, c'est votre responsabilité en tant que deployer, pas celle de l'éditeur du logiciel.

Documenter et conserver les logs

6 mois minimum de conservation des logs automatiques générés par les systèmes haut risque. Traçabilité de chaque décision assistée par IA. C'est le minimum pour démontrer la conformité en cas de contrôle par les autorités nationales.

10%

des PME françaises utilisent l'IA formellement (INSEE 2024)

60%

des dirigeants PME n'ont pas de stratégie IA formalisée

3% du CA

amende maximum AI Act pour non-conformité haut risque (PME)

Notre approche

Gouvernance IA opérationnelle, pas juridique

Les cabinets d'avocats vendent des audits de conformité. Les ESN vendent des outils. Ni les uns ni les autres ne répondent à la vraie question : comment intégrer l'IA dans la gouvernance d'une PME sans perdre le contrôle ?

iteyre accompagne les dirigeants sur la gouvernance IA opérationnelle. On ne fait pas d'audit juridique. On structure les décisions, on forme les équipes, on déploie les outils avec transfert de compétences. Le résultat : une PME autonome, conforme, et compétitive.

Testez votre conformité AI Act en 18 questions → En savoir plus sur notre approche gouvernance IA → Découvrir Backbone IA →

iteyre

Votre PME est-elle conforme
à l'AI Act ?

18 questions. 6 dimensions réglementaires. Un radar de conformité et des actions prioritaires triées par deadline légale. Gratuit.

Lancer l'audit AI Act → Prendre 30 min →