Ce qu'est vraiment l'AI Act et pourquoi une PME est concernée
L'AI Act — officiellement le Règlement (UE) 2024/1689 — est le premier cadre juridique complet au monde sur l'intelligence artificielle. Il est entré en vigueur le 1er août 2024 et s'applique progressivement jusqu'en 2027. Contrairement à une idée répandue, il ne vise pas que les géants de la tech : il s'adresse à tout fournisseur (celui qui développe ou fait développer un système IA) et à tout déployeur (celui qui l'utilise dans un cadre professionnel).
Concrètement, une PME est concernée dès qu'elle utilise un outil d'IA en production. Un cabinet comptable qui déploie un agent de tri de documents, une agence immobilière qui installe un chatbot de qualification, un e-commerçant qui automatise ses relances : tous entrent dans le champ du règlement en tant que déployeurs. Le niveau d'obligation dépend ensuite de l'usage, pas de la taille de l'entreprise.
Fournisseur ou déployeur : la distinction qui change tout
La plupart des PME sont des déployeurs et non des fournisseurs. C'est une distinction capitale, car les obligations lourdes (évaluation de conformité, marquage CE, documentation technique) pèsent d'abord sur le fournisseur. En tant que simple utilisateur d'un ChatGPT, d'un Claude ou d'une solution SaaS française, vos obligations sont bien plus légères : information des personnes, supervision humaine, respect des conditions d'usage.
Le piège à éviter : si vous modifiez substantiellement un système IA, ou si vous le commercialisez sous votre propre marque, vous pouvez basculer dans le statut de fournisseur — et hériter de ses obligations. Documentez toujours qui fait quoi dans votre chaîne technique.
Pour cadrer votre exposition réelle, un audit de vos processus IA est le point de départ le plus rentable.
Le calendrier d'application 2025-2027, échéance par échéance
L'AI Act n'entre pas en vigueur d'un bloc. Il s'applique par vagues successives, ce qui laisse aux PME le temps de s'organiser. Retenir les dates clés évite deux erreurs symétriques : la panique prématurée et le retard fautif.
- 2 février 2025 : interdiction des pratiques à risque inacceptable (notation sociale, manipulation subliminale, reconnaissance émotionnelle sur le lieu de travail). Déjà en vigueur.
- 2 août 2025 : obligations pour les modèles d'IA à usage général (GPAI) comme les grands modèles de langage. Ce sont surtout les fournisseurs (OpenAI, Anthropic, Google) qui sont visés, pas leurs utilisateurs.
- 2 août 2026 : échéance centrale. Application des règles sur les systèmes à haut risque et des obligations de transparence. C'est la date qui structure la préparation des PME.
- 2 août 2027 : extension aux systèmes à haut risque intégrés dans des produits déjà soumis à une réglementation sectorielle (dispositifs médicaux, machines, jouets).
La Commission européenne maintient un calendrier officiel et publie des lignes directrices sectorielles au fil de l'eau. Il est utile de surveiller ces publications, car elles précisent des zones initialement floues du texte.
Traduction opérationnelle pour une PME : si vos usages IA sont à risque limité ou minimal — ce qui est le cas de la quasi-totalité des chatbots, agents et automatisations métier — vous avez jusqu'à août 2026 pour formaliser une poignée de mesures de transparence. Pas de quoi mobiliser un service juridique à temps plein.
Les quatre catégories de risque et où se situent vos outils
Toute la logique de l'AI Act repose sur une pyramide de risque. Plus un système peut porter atteinte aux droits fondamentaux, à la sécurité ou à la santé, plus les obligations sont strictes. Situer vos outils dans cette pyramide est l'étape de conformité la plus déterminante.
Risque inacceptable : interdit
Notation sociale généralisée, exploitation des vulnérabilités, catégorisation biométrique sensible. Ces usages sont bannis depuis février 2025. Une PME n'a en pratique aucune raison légitime d'y toucher.
Haut risque : obligations lourdes
Systèmes utilisés dans le recrutement, l'évaluation de crédit, l'accès à des services essentiels, la gestion de personnel, ou l'éducation. Un logiciel de tri automatisé de CV est l'exemple type qui concerne une PME. Ces systèmes exigent gestion des risques documentée, qualité des données, journalisation, supervision humaine et enregistrement dans une base européenne.
Risque limité : transparence
Chatbots, agents conversationnels, générateurs de contenu. L'obligation est simple : informer l'utilisateur qu'il interagit avec une IA et signaler les contenus générés artificiellement. C'est la catégorie dans laquelle tombe l'écrasante majorité des projets PME.
Risque minimal : libre
Filtres anti-spam, moteurs de recommandation basiques, automatisations internes sans impact sur des personnes. Aucune obligation spécifique.
- Un chatbot de service client : risque limité — une mention suffit.
- Un agent qui présélectionne des candidats : haut risque — documentation complète.
- Une automatisation de relances internes : risque minimal — rien à faire.
Beaucoup de dirigeants surestiment leur exposition. Comme le montrent nos cas d'usage de l'IA générative en entreprise, la plupart des projets rentables relèvent du risque limité ou minimal.
Quelles obligations concrètes pour une PME en risque limité
Puisque la majorité des PME opèrent en zone de risque limité, détaillons précisément ce que le règlement attend d'elles. La liste est courte et réaliste, loin des fantasmes de bureaucratie ingérable.
- Information claire : tout utilisateur qui échange avec un chatbot ou un agent vocal doit savoir qu'il parle à une machine. Une phrase d'accueil explicite suffit.
- Marquage des contenus générés : textes, images ou audios produits par IA doivent être identifiables comme tels lorsqu'ils s'adressent au public.
- Supervision humaine : prévoir un point de bascule vers un humain, notamment pour les décisions sensibles ou les réclamations.
- Respect du RGPD : l'AI Act se superpose au RGPD, il ne le remplace pas. La CNIL reste l'autorité de référence pour les données personnelles.
La CNIL a publié des fiches pratiques dédiées au déploiement de l'IA, particulièrement utiles pour articuler les deux réglementations sans se contredire. Pour un déployeur, l'essentiel du travail consiste à documenter ses choix : quel outil, pour quel usage, avec quelles garanties.
Ce que cela coûte réellement : pour un chatbot ou un agent en risque limité, la mise en conformité tient en quelques heures de travail — rédiger une mention d'information, définir la règle de passage à un humain, consigner l'usage dans un registre interne. Le coût principal n'est pas juridique, il est organisationnel.
Ce cadrage rejoint une logique que nous défendons depuis longtemps : éviter les erreurs classiques d'automatisation IA en PME, dont la première est de déployer sans traçabilité.
Combien coûte la non-conformité et qui contrôle en France
Le régime de sanctions de l'AI Act est calibré pour être dissuasif, mais il intègre une clause explicite de proportionnalité pour les PME. Comprendre l'échelle des amendes aide à hiérarchiser les priorités sans dramatiser.
- Pratiques interdites : jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial annuel.
- Non-respect des obligations haut risque : jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires.
- Informations inexactes aux autorités : jusqu'à 7,5 millions d'euros ou 1 % du chiffre d'affaires.
Le règlement précise que, pour les PME et les start-up, l'amende retenue est le montant le plus faible entre le pourcentage et le plafond fixe — l'inverse de ce qui s'applique aux grands groupes. L'objectif affiché par le législateur européen est d'éviter d'écraser les petites structures.
En France, la désignation des autorités de surveillance du marché s'organise autour de la CNIL et d'autorités sectorielles. Le cadre s'appuie sur des dispositions relayées par Légifrance et par les textes d'application nationaux. La CNIL a par ailleurs été positionnée comme régulateur de référence sur les usages IA touchant aux données personnelles.
À retenir : aucune PME ne se verra infliger 35 millions d'euros pour un chatbot mal étiqueté. Les sanctions maximales visent les pratiques interdites et les manquements graves sur des systèmes à haut risque. Pour un usage courant, le vrai risque est réputationnel et contractuel, pas le plafond théorique.
Un plan de mise en conformité en cinq étapes réalistes
La conformité ne se décrète pas, elle se construit méthodiquement. Voici la démarche que nous appliquons chez LYVIA lorsque nous déployons des systèmes IA en production pour des PME, avant même que le sujet AI Act ne devienne une contrainte réglementaire.
- 1. Inventorier : lister tous les systèmes IA utilisés, y compris les outils SaaS et les extensions installées par les équipes sans validation centrale (le fameux « shadow AI »).
- 2. Classer : attribuer à chaque système sa catégorie de risque. C'est l'étape qui conditionne tout le reste.
- 3. Documenter : tenir un registre des usages — finalité, données traitées, fournisseur, mesures de transparence. Un simple tableau structuré suffit pour démarrer.
- 4. Encadrer : mettre en place mentions d'information, points de supervision humaine et procédure de réclamation.
- 5. Former : l'article 4 du règlement impose un niveau de « maîtrise de l'IA » aux équipes qui utilisent ces systèmes. La sensibilisation devient une obligation, pas un confort.
Cette dernière étape est souvent négligée alors qu'elle est explicitement exigée. Investir dans la formation de vos équipes à l'IA couvre à la fois une obligation légale et un besoin opérationnel réel.
Bâtir sur une infrastructure saine
La conformité est bien plus simple quand l'IA repose sur une architecture maîtrisée plutôt que sur une accumulation d'outils disparates. Une infrastructure IA d'entreprise centralisée facilite la journalisation, la supervision et la traçabilité — exactement ce que le règlement attend. À l'inverse, un empilement de solutions non documentées transforme la mise en conformité en cauchemar.
C'est la conviction que porte Liam, CTO de LYVIA : nous livrons des systèmes en production, pas des présentations. Or un système qui tourne réellement chez un client se documente naturellement — logs, points de contrôle, règles de fallback existent parce qu'ils sont nécessaires au fonctionnement, pas seulement à la conformité.
Cas concrets : trois PME françaises face à l'AI Act
Rien ne vaut des situations réelles pour saisir la portée du règlement. Voici trois profils représentatifs des entreprises que rencontre LYVIA, anonymisés mais fidèles aux enjeux observés sur le terrain.
Le cabinet de recrutement (haut risque)
Une structure de 30 personnes utilise un outil de scoring automatique de candidatures. C'est un usage à haut risque caractérisé. Obligations : documentation technique, contrôle des biais, journalisation des décisions, information des candidats et supervision humaine effective sur chaque présélection. Ici, la conformité représente un vrai chantier, mais c'est aussi une garantie de qualité pour l'entreprise.
L'e-commerçant (risque limité)
Une PME de 45 salariés déploie un chatbot de support et un agent de relance panier. Usage à risque limité. Obligations : mention « vous discutez avec un assistant IA », marquage des e-mails générés, point de bascule vers un conseiller. Mise en conformité bouclée en une demi-journée.
Le distributeur B2B (risque minimal)
Une entreprise de 60 personnes automatise sa saisie de commandes et ses relances internes. Aucun impact sur des personnes extérieures, aucune décision sensible. Risque minimal, aucune obligation spécifique — seulement de la bonne hygiène documentaire.
La leçon commune : la charge de conformité est proportionnelle à l'impact humain de l'IA, pas à la sophistication technique. Un agent complexe mais interne pèse moins qu'un simple filtre appliqué au recrutement.
Ces trois trajectoires illustrent pourquoi une stratégie IA structurée pour 2026 doit intégrer la dimension réglementaire dès la conception, et non après coup.
L'AI Act 2026 n'est pas la menace bureaucratique que certains redoutent, ni un détail négligeable. Pour la grande majorité des PME françaises, la mise en conformité tient en trois gestes : inventorier ses usages IA, les classer par niveau de risque, et documenter les mesures de transparence adéquates. Les obligations lourdes restent réservées aux systèmes à haut risque — recrutement, crédit, services essentiels — que peu d'entreprises déploient sans le savoir.
La vraie difficulté n'est pas juridique, elle est méthodologique : encore faut-il savoir précisément ce qui tourne dans votre organisation et où se situent vos risques réels. C'est exactement le travail que mène LYVIA au quotidien — non pas produire des recommandations théoriques, mais livrer des systèmes IA en production, tracés et supervisés, conçus dès l'origine pour être défendables face au régulateur.
Vous voulez savoir ce que l'AI Act change concrètement pour vos outils ? Réservez un échange de 30 minutes avec l'équipe LYVIA. Nous cartographions vos usages IA, identifions vos catégories de risque et vous remettons un plan de conformité clair, sans jargon inutile. Prendre rendez-vous sur notre Calendly.
Questions fréquentes
Mon entreprise de 20 salariés est-elle vraiment concernée par l'AI Act ?
Oui, dès lors que vous utilisez un outil d'IA dans un cadre professionnel, vous êtes déployeur au sens du règlement. Mais concerné ne signifie pas accablé : si vos usages relèvent du risque limité ou minimal — ce qui est le cas de la plupart des chatbots, agents et automatisations métier — vos obligations se résument à quelques mesures de transparence et à un registre interne. La taille de l'entreprise n'est pas le critère, c'est l'usage qui l'est.
Quelle est la date limite réelle pour se mettre en conformité ?
Cela dépend de votre catégorie de risque. Les pratiques interdites le sont depuis le 2 février 2025. L'échéance structurante pour la plupart des PME est le 2 août 2026, date d'application des règles sur les systèmes à haut risque et des obligations de transparence. Les systèmes à haut risque intégrés à des produits déjà réglementés bénéficient d'un délai jusqu'au 2 août 2027. Pour un usage courant en risque limité, viser l'été 2026 est une marge confortable.
Combien coûte la mise en conformité pour un usage IA standard ?
Pour un système à risque limité comme un chatbot ou un agent commercial, le coût est essentiellement organisationnel : quelques heures pour rédiger une mention d'information, définir la règle de passage à un humain et documenter l'usage. Aucun investissement lourd n'est requis. Le coût grimpe uniquement pour les systèmes à haut risque, qui exigent une documentation technique et un contrôle des biais. Un audit préalable permet de savoir précisément dans quelle situation vous êtes.
L'AI Act remplace-t-il le RGPD ?
Non, les deux textes se superposent. Le RGPD encadre le traitement des données personnelles, l'AI Act encadre les systèmes d'intelligence artificielle. Un chatbot qui traite des données clients relève des deux à la fois. En France, la CNIL reste l'autorité de référence sur le volet données et a publié des fiches pratiques pour articuler les deux réglementations. Se conformer à l'un ne dispense jamais de l'autre.
Que risque concrètement une PME qui ne fait rien ?
Les amendes maximales (jusqu'à 35 millions d'euros) visent les pratiques interdites et les manquements graves sur des systèmes à haut risque, pas un chatbot mal étiqueté. Pour les PME, le règlement prévoit d'ailleurs la sanction la plus faible entre le pourcentage du chiffre d'affaires et le plafond fixe. Le risque le plus tangible au quotidien est réputationnel et contractuel : un client ou un partenaire exigeant peut refuser de travailler avec un fournisseur non conforme.
Dois-je former mes équipes pour être en conformité ?
Oui, c'est une obligation explicite. L'article 4 du règlement impose un niveau suffisant de maîtrise de l'IA aux personnes qui utilisent ces systèmes en votre nom. Cela ne signifie pas former des experts, mais garantir que vos équipes comprennent les capacités, les limites et les risques des outils qu'elles manipulent. Une sensibilisation structurée couvre à la fois cette exigence légale et un besoin opérationnel évident.