AI Act pour les PME : obligations, calendrier et plan d'action
La première loi au monde sur l'intelligence artificielle s'applique aussi à votre PME — mais pas comme vous le craignez. Voici ce qui vous concerne vraiment, sans jargon juridique.
L'AI Act en une minute
L'AI Act (règlement européen 2024/1689) encadre l'usage de l'intelligence artificielle dans toute l'Union européenne. Son principe : plus un usage d'IA présente de risques pour les personnes, plus les obligations sont fortes.
- Risque inacceptable (manipulation, notation sociale…) → interdit depuis février 2025.
- Haut risque (tri de CV, octroi de crédit, sécurité…) → fortement encadré à partir d'août 2026.
- Risque limité (chatbots, contenus générés) → obligations de transparence.
- Risque minimal (la majorité des usages bureautiques) → pas d'obligation spécifique, mais le RGPD s'applique toujours.
Ma PME est-elle concernée ?
La question n'est pas « est-ce que je développe de l'IA ? » mais « est-ce que mes équipes en utilisent ? ». Si vos salariés se servent de ChatGPT, Copilot, Gemini ou d'un logiciel RH « intelligent », vous êtes un déployeur au sens de l'AI Act. Vos obligations sont plus légères que celles d'OpenAI ou de Google, mais elles existent :
- savoir quels systèmes d'IA sont utilisés dans l'entreprise ;
- les utiliser conformément à leur notice et avec une supervision humaine quand c'est requis ;
- informer les salariés concernés par un système à haut risque ;
- garantir un niveau suffisant de maîtrise de l'IA (« AI literacy ») dans les équipes — c'est déjà en vigueur.
Le calendrier qui compte pour vous
| Échéance | Ce qui change | Pour votre PME |
|---|---|---|
| Fév. 2025 | Interdiction des IA à risque inacceptable + exigence de maîtrise de l'IA | Sensibiliser vos équipes, vérifier vos fournisseurs |
| Août 2025 | Obligations de transparence des grands modèles (GPAI) | Privilégier des outils conformes (versions pro) |
| Août 2026 | Application générale : obligations des déployeurs à haut risque | Inventaire, information des salariés, supervision humaine documentée |
| Août 2027 | Fin de transition pour les systèmes déjà en service | Registre et documentation à jour |
Les 5 obligations concrètes (traduites en actions)
1. Tenir l'inventaire de vos outils IA
Qui utilise quoi, dans quel service, avec quelles données ? Sans cette cartographie, aucune des autres obligations n'est tenable. C'est aussi votre première ligne de défense RGPD.
2. Encadrer les usages par une charte
Un document simple, signé par les équipes : outils autorisés, données interdites, réflexes à adopter. Nous proposons un modèle gratuit à copier-coller →
3. Former et informer
L'exigence de « maîtrise de l'IA » est déjà en vigueur : une session de sensibilisation de 30 minutes, documentée, couvre l'essentiel pour une PME.
4. Qualifier vos usages à risque
Si l'IA touche au recrutement, à l'évaluation des salariés ou au crédit : supervision humaine réelle, information des personnes, et documentation de tout cela.
5. Garder une trace (le registre)
En cas de contrôle ou de question d'un client, vous devez pouvoir montrer : la liste des systèmes, leur qualification, les mesures prises, et leur évolution dans le temps.
Votre plan d'action en 5 étapes
- Semaine 1 : cartographiez les outils réellement utilisés (y compris les comptes personnels).
- Semaine 1 : qualifiez chaque outil : validé / à vérifier / à proscrire.
- Semaine 2 : diffusez et faites signer votre charte IA.
- Semaine 3 : organisez la session de sensibilisation, actez un référent IA.
- En continu : tenez le registre à jour et surveillez les nouveaux usages.
Questions fréquentes
Quelles sanctions en cas de non-conformité ?
Jusqu'à 35 M€ ou 7 % du CA mondial pour les pratiques interdites, avec des paliers inférieurs pour les autres manquements. En pratique, pour une PME, le risque le plus immédiat est la fuite de données vers des IA grand public et le contrôle RGPD qui peut en découler.
Dois-je embaucher un juriste ou un DPO dédié ?
Pas nécessairement. La plupart des obligations d'un déployeur PME relèvent de l'organisation (inventaire, charte, formation, registre), pas de l'expertise juridique pointue. Un outil de gouvernance structure ce travail ; un conseil juridique reste utile pour les cas à haut risque.
Et si mes équipes n'utilisent « pas d'IA » ?
C'est statistiquement improbable. Correcteurs, traducteurs, assistants de réunion, fonctions IA intégrées à vos logiciels : l'IA est déjà partout. D'où l'intérêt d'un état des lieux honnête plutôt que d'une politique de l'autruche.
Faites votre état des lieux en 15 minutes
AI Governance OS cartographie vos outils IA, établit les statuts de risque grâce à son référentiel de 40+ outils, génère votre charte et tient votre registre. Conçu pour les PME, sans compétence technique.
Démarrer l'essai gratuit de 7 jours Sans engagement · Données hébergées en UE · Résiliable en 1 clicCet article présente une vulgarisation à visée informative et ne constitue pas un conseil juridique. Pour une analyse de votre situation spécifique, rapprochez-vous d'un professionnel du droit.