L'AI Act s'applique-t-il aux PME qui utilisent l'IA sans la développer ?

Oui. L'AI Act (Règlement UE 2024/1689) distingue les fournisseurs (qui développent l'IA) des déployeurs (qui l'utilisent). Une PME qui utilise ChatGPT, un CRM avec scoring IA ou un logiciel RH automatisé est un déployeur. Elle a des obligations spécifiques, notamment la littératie IA (Art. 4), active depuis février 2025, et les obligations sur les systèmes haut risque (Art. 26), applicables dès août 2026.

Quelles amendes l'AI Act prévoit-il pour les PME ?

L'AI Act prévoit un mécanisme d'amendes spécifique pour les PME (Art. 99) : c'est le montant le plus bas qui s'applique. Pour la non-conformité sur les systèmes haut risque : jusqu'à 15 millions d'euros ou 3% du CA mondial, le plus bas des deux. Exemple : une PME à 5 millions de CA risque au maximum 150 000 euros.

Par où commencer pour se préparer à l'AI Act quand on est dirigeant de PME ?

Trois actions prioritaires : cartographier tous les usages IA dans l'entreprise (y compris les usages individuels non déclarés), désigner un référent IA avec un mandat de supervision documenté, et former les équipes à la littératie IA (obligation déjà active depuis février 2025). Un audit de conformité AI Act permet d'identifier les zones de risque en moins de 30 minutes.

AI Act et PME : ce que les dirigeants doivent savoir

En bref

L'AI Act (Règlement UE 2024/1689) s'applique à toute entreprise qui utilise l'IA, pas seulement à celles qui la développent. Les PME sont concernées dès qu'elles déploient un outil avec une composante IA. Certaines obligations sont déjà actives depuis février 2025. L'application intégrale entre en vigueur en août 2026.

Qu'est-ce que l'AI Act et pourquoi il concerne les PME ?

L'AI Act est le Règlement européen 2024/1689 sur l'intelligence artificielle, adopté en juin 2024. C'est la première législation au monde qui encadre l'IA de manière transversale, tous secteurs confondus. Son objectif : garantir que les systèmes d'IA utilisés en Europe respectent des règles de sécurité, de transparence et de traçabilité.

Le point clé pour les dirigeants de PME : l'AI Act ne vise pas uniquement les entreprises qui créent de l'IA. Il distingue les "fournisseurs" (ceux qui développent les systèmes) des "déployeurs" (ceux qui les utilisent). Une PME qui intègre un CRM avec scoring IA, un chatbot pour son service client ou un outil RH automatisé est un déployeur. Elle a des obligations légales spécifiques.

L'entrée en vigueur est progressive. Les pratiques interdites et l'obligation de littératie IA sont actives depuis février 2025. Les obligations sur les systèmes à haut risque s'appliqueront à compter d'août 2026. Cela signifie que des obligations légales pèsent déjà sur les PME, même si la majorité ne le sait pas.

Les PME sont-elles vraiment concernées par l'AI Act ?

Oui. Il n'existe aucune exemption basée sur la taille de l'entreprise pour les obligations des déployeurs. L'AI Act prévoit des mesures de soutien pour les PME (bacs à sable réglementaires, accompagnement par les autorités nationales, article 62), mais les obligations restent entières.

Concrètement, une PME est concernée dès qu'elle utilise un outil qui intègre une composante d'intelligence artificielle. Cela inclut : les logiciels de recrutement qui filtrent des CV, les CRM qui attribuent un score aux prospects, les outils de comptabilité avec détection automatique d'anomalies, les assistants conversationnels type chatbot, les outils de génération de contenu comme ChatGPT utilisé dans un cadre professionnel.

La question n'est pas "est-ce que ma PME utilise l'IA ?". La question est "quels outils IA sont déjà utilisés dans mon entreprise sans que je le sache ?". Dans la plupart des PME que nous accompagnons, les usages non déclarés dépassent largement les usages officiels.

L'AI Act prévoit des amendes spécifiques pour les PME (Art. 99) : c'est le montant le plus bas qui s'applique. Pour une non-conformité haut risque, une PME à 5 millions de CA risque au maximum 150 000 euros (3% du CA).

Quels sont les niveaux de risque définis par l'AI Act ?

L'AI Act classe les systèmes d'IA en quatre niveaux de risque. C'est cette classification qui détermine les obligations applicables. Un dirigeant de PME doit savoir dans quelle catégorie tombent les outils utilisés par son entreprise.

Niveau	Exemples	Obligations PME
Inacceptable	Scoring social, manipulation subliminale, exploitation de vulnérabilités, surveillance biométrique de masse	Interdit. Aucune utilisation possible. Actif depuis février 2025.
Haut risque	IA pour le recrutement, le scoring crédit, l'évaluation de salariés, l'accès à l'assurance, les décisions juridiques	Supervision humaine, traçabilité, logs conservés 6 mois, référent désigné, documentation. Applicable août 2026.
Risque limité	Chatbots, génération de texte ou d'image, reconnaissance d'émotions	Obligation de transparence : informer l'utilisateur qu'il interagit avec une IA ou que le contenu est généré par IA.
Minimal	Filtres anti-spam, jeux vidéo, systèmes de recommandation génériques	Aucune obligation spécifique. Code de conduite volontaire encouragé.

Quelles sont les obligations concrètes pour une PME qui utilise l'IA ?

Littératie IA (Art. 4), active depuis février 2025. Toute personne qui utilise un système d'IA dans l'entreprise doit avoir un "niveau suffisant de littératie IA". En clair : chaque collaborateur qui touche à un outil IA doit comprendre ce qu'il fait, ses limites et ses risques. Ce n'est pas une recommandation, c'est la loi.

Obligations des déployeurs pour les systèmes haut risque (Art. 26), applicables en août 2026. Si votre entreprise utilise un système classé haut risque, vous devez : désigner des personnes physiques responsables de la supervision humaine, contrôler la pertinence et la représentativité des données d'entrée, conserver les logs automatiques pendant 6 mois minimum, documenter les décisions prises avec l'aide de l'IA, et signaler tout dysfonctionnement à l'autorité compétente.

Transparence (Art. 50). Si vos clients ou collaborateurs interagissent avec un chatbot, ils doivent savoir que c'est une IA. Si vous publiez du contenu généré par IA (texte, image, vidéo), cela doit être indiqué. Cette obligation s'applique quel que soit le niveau de risque.

La responsabilité du déployeur est engagée même si l'outil est fourni par un éditeur tiers. Utiliser un logiciel RH qui filtre des CV avec des données biaisées, c'est votre problème en tant que déployeur, pas celui de l'éditeur.

Comment se préparer à l'AI Act quand on est dirigeant de PME ?

1. Cartographier les usages IA existants. Listez tous les outils avec une composante IA dans l'entreprise, y compris les usages individuels non déclarés. Classifiez chaque usage selon les quatre niveaux de risque définis par l'AI Act. C'est le prérequis à tout le reste.

2. Désigner un référent IA avec un mandat documenté. Pas un titre honorifique. Un mandat clair : supervision des systèmes, formation des équipes, point de contact avec les autorités nationales. L'Art. 26 exige des "personnes physiques" désignées pour la supervision humaine.

3. Former les équipes. L'obligation de littératie IA est active depuis février 2025. Chaque collaborateur qui utilise un outil IA doit comprendre ses limites, ses biais potentiels et les règles d'utilisation. Les PME bénéficient de mesures d'accompagnement (Art. 62), mais l'obligation reste entière.

4. Auditer les données et documenter les processus. Vérifiez la qualité des données d'entrée de vos systèmes IA haut risque. Mettez en place la conservation des logs (6 mois minimum). Documentez chaque processus de décision assistée par IA.

5. Tester votre niveau de conformité. Un audit de conformité AI Act en 18 questions permet d'identifier les zones de risque et les actions prioritaires, triées par deadline légale. C'est le point d'entrée le plus efficace pour un dirigeant pressé.

AI Act et PME : ce que tout dirigeant doit savoir en 2026