Vous avez entendu parler de l'AI Act dans la presse. Vous vous êtes dit : « encore un texte européen, on verra plus tard ». Sauf que les premières obligations sont entrées en vigueur en février 2025, et la grande vague arrive en août 2026.
La bonne nouvelle : votre PME n'est probablement pas dans la catégorie « haut risque ». La moins bonne : vous avez quand même des obligations, et les sanctions vont jusqu'à 35 M€ ou 7 % du CA mondial. Voici ce qu'il faut vraiment retenir, sans jargon de juriste.
L'AI Act en 3 minutes (ce que personne ne vous explique clairement)
L'AI Act est un règlement européen entré en vigueur le 1er août 2024. Il classe les systèmes d'IA en 4 catégories selon leur niveau de risque, et impose des obligations proportionnelles.
Les 4 catégories :
- Risque inacceptable : interdit (notation sociale, manipulation comportementale). Applicable depuis février 2025.
- Haut risque : RH, crédit, éducation, infrastructures critiques. Obligations lourdes à partir d'août 2026.
- Risque limité : chatbots, deepfakes, contenu généré. Obligation de transparence.
- Risque minimal : la grande majorité des usages PME (assistants de rédaction, OCR, automatisation interne). Quasi aucune obligation.
Pour 80 % des PME françaises, vous êtes dans les deux dernières catégories. Mais « quasi aucune obligation » ne veut pas dire « rien à faire ».
Le calendrier que vous devez avoir en tête
Le texte ne s'applique pas d'un coup. Voici les dates qui comptent :
- 2 février 2025 : interdiction des systèmes à risque inacceptable + obligation de littératie IA (former vos équipes aux bases).
- 2 août 2025 : obligations pour les modèles d'IA à usage général (GPT, Claude, Mistral). Ça concerne les éditeurs, pas vous.
- 2 août 2026 : entrée en vigueur du gros morceau, notamment les systèmes haut risque.
- 2 août 2027 : dernières dispositions, notamment IA intégrée dans des produits déjà régulés.
La date à retenir pour vous : février 2025 est déjà passée. L'obligation de former vos équipes à la « littératie IA » s'applique dès maintenant à toute entreprise utilisant des systèmes d'IA. Y compris ChatGPT.
La littératie IA : l'obligation que tout le monde ignore
L'article 4 de l'AI Act impose que toute personne utilisant un système d'IA dans le cadre de son travail ait un niveau de compréhension suffisant. C'est flou volontairement, mais ça veut dire concrètement :
- Vos collaborateurs doivent comprendre ce qu'est un LLM, ses limites, ses biais.
- Ils doivent savoir ce qu'ils peuvent et ne peuvent pas partager comme données.
- Vous devez pouvoir prouver qu'une formation a été dispensée.
Le problème classique en PME : la moitié de l'entreprise utilise déjà ChatGPT sans cadre. Si vous voulez creuser ce sujet, lisez ce que vos équipes font vraiment avec ChatGPT en cachette. C'est précisément ce que l'AI Act veut encadrer.
Une formation d'une demi-journée + une charte interne signée suffisent pour démarrer. Pas besoin de cabinet de conseil à 30 k€.
Les obligations de transparence : le piège le plus courant
Même en « risque limité », vous avez des obligations concrètes :
Si vous utilisez un chatbot client
Vous devez indiquer clairement que l'utilisateur parle à une IA, pas à un humain. Une simple mention en début de conversation suffit.
Si vous générez du contenu avec de l'IA
Les images, vidéos, audios générés par IA doivent être identifiables comme tels (watermark ou mention). Pour les textes informatifs publiés, une mention est recommandée.
Si vous prenez des décisions automatisées
Tri de CV, scoring client, validation de devis automatique : vous basculez potentiellement en « haut risque ». Là, on change de catégorie et d'obligations.
Ce dernier point est celui où les PME se font piéger. Un outil de tri de candidatures par IA, c'est haut risque. Un outil de scoring de leads, ça dépend de l'usage final. Avant de lancer un projet, vérifiez la catégorie. C'est aussi pour ça que cinq contrats sont à signer avant tout projet IA : ils incluent la classification AI Act.
Plan d'action en 5 étapes pour les 6 prochains mois
Voici la feuille de route que nous appliquons chez nos clients PME. Pas besoin d'un DPO à temps plein.
Étape 1 : cartographier vos usages IA (2 semaines)
Faites le tour de l'entreprise. Qui utilise quoi ? ChatGPT, Copilot, Midjourney, outils métier avec IA embarquée. Une simple feuille Excel suffit. Vous serez surpris : la plupart des PME découvrent 8 à 15 outils IA en usage non déclaré.
Étape 2 : classer chaque usage selon le risque (1 semaine)
Pour chacun : risque minimal, limité, ou haut ? La Commission européenne a publié des guidelines. En cas de doute, considérez le pire scénario.
Étape 3 : rédiger une charte IA interne (1 mois)
Document de 3-4 pages : ce qui est autorisé, interdit, les données sensibles, qui contacter en cas de doute. Signée par chaque collaborateur.
Étape 4 : former les équipes (1 demi-journée)
Littératie IA obligatoire. Vous pouvez le faire en interne si vous avez un référent IA, ou faire appel à un prestataire. Conservez la liste d'émargement.
Étape 5 : auditer vos prestataires IA (en continu)
Vos éditeurs (CRM, ERP, outils RH) intègrent de plus en plus d'IA. Demandez-leur où ils se situent dans l'AI Act et quelles données ils traitent. C'est aussi un argument de plus pour regarder du côté des IA françaises comme Mistral : hébergement européen et alignement réglementaire natif.
Cas concret : une PME industrielle de 80 personnes
Un de nos clients, fabricant de pièces techniques près de Lyon, nous a appelés en septembre dernier. Le DG venait de lire un article alarmiste sur l'AI Act et imaginait déjà 50 k€ de mise en conformité.
Après audit : 11 usages IA identifiés, dont 9 en risque minimal (ChatGPT pour rédaction, OCR factures, traduction). Deux usages à clarifier : un test de tri de CV automatisé (haut risque, abandonné) et un outil de scoring client (risque limité, mention ajoutée).
Coût total de mise en conformité : 4 200 € incluant la charte, la formation des 80 personnes et l'audit. Délai : 6 semaines. Le DG dort beaucoup mieux.
Ce qu'il ne faut surtout pas faire
Deux réflexes à éviter absolument :
Tout interdire par précaution. Vous perdez 100 % du bénéfice de l'IA et vos équipes continueront en cachette. Pire qu'avant.
Attendre août 2026. Les obligations de littératie IA sont déjà actives. En cas de contrôle CNIL (qui sera l'autorité française de l'AI Act), l'absence de formation documentée est un facteur aggravant.
La conformité AI Act n'est pas un mur. C'est une mise en ordre qui, bien faite, structure aussi votre stratégie IA. Ce sont les mêmes documents qui vous serviront en interne.
On vous aide à faire le point
Vous ne savez pas où vous en êtes ? On vous propose un audit gratuit de 45 minutes : cartographie rapide de vos usages IA, identification des zones à risque, plan d'action priorisé. Sans engagement, sans baratin commercial.
Réservez votre audit AI Act — on regarde ensemble si votre PME est exposée, et on vous dit quoi faire dans l'ordre.