Aller au contenu

AI Act européen : ce que les PME françaises doivent anticiper

Le règlement européen sur l'intelligence artificielle entre en vigueur progressivement. Découvrez les obligations concrètes pour les PME qui utilisent ou déploient des systèmes d'IA.

Mis à jour le 19 June 2026

Le 1er août 2024, le règlement européen sur l’intelligence artificielle est entré en vigueur. Première législation au monde à encadrer l’IA de manière horizontale, tous secteurs confondus. Pour les dirigeants de PME que nous accompagnons en Alsace, la réaction est généralement la même : un mélange d’inquiétude vague et de procrastination concrète. On sait que ça existe, on ne sait pas si ça nous concerne, on repousse à plus tard.

C’est une erreur, mais pas pour la raison que vous imaginez. Le risque n’est pas l’amende (les contrôles des PME viendront tard). Le risque est de se faire devancer par des concurrents qui auront structuré leur usage de l’IA pendant que vous improvisiez — et qui pourront le prouver à leurs clients.

Les quatre niveaux : une logique d’impact, pas de technologie

L’AI Act ne classe pas les technologies mais les usages. Un même modèle (disons Claude ou GPT) peut être à risque minimal quand il corrige vos emails, et à haut risque quand il trie des CV. C’est l’impact sur les personnes qui détermine la catégorie, pas la sophistication technique.

Au sommet, les pratiques interdites : le scoring social généralisé, la manipulation subliminale, la reconnaissance faciale en temps réel dans l’espace public, et la reconnaissance des émotions au travail. Si votre entreprise fait l’une de ces choses, vous avez des problèmes plus graves que la conformité réglementaire. Depuis février 2025, c’est interdit.

Ensuite viennent les systèmes à haut risque, définis dans l’Annexe III. C’est ici que la plupart des PME doivent être attentives. Le recrutement (tri de CV, scoring candidats, analyse vidéo d’entretiens), l’évaluation RH (performances, promotions, licenciements), le scoring financier, et l’éducation sont tous classés haut risque. Si vous utilisez un outil d’IA pour décider qui embaucher ou qui promouvoir, vous devrez à partir d’août 2026 documenter le système, prouver qu’un humain supervise réellement les décisions, et informer les personnes affectées. Comptez 5 000 à 15 000€ pour une mise en conformité sur un outil de recrutement IA — c’est le prix d’un mauvais recrutement évité.

Le risque limité couvre tout ce que la plupart des PME utilisent au quotidien : les chatbots client, la génération de contenu marketing, les systèmes de recommandation. L’obligation est simple et gratuite : la transparence. Vos utilisateurs doivent savoir qu’ils interagissent avec une IA ou consultent du contenu généré par IA. Un bandeau sur votre widget de chat, une mention dans vos CGV, un bouton « parler à un humain ». C’est tout, et c’est obligatoire depuis août 2025.

Enfin, le risque minimal ne crée aucune obligation : filtres anti-spam, correcteurs orthographiques, optimisation logistique interne, jeux vidéo. La grande majorité des usages IA dans une PME tombe dans cette catégorie.

Le cas concret : votre chatbot Shopify

Prenons un exemple que nous rencontrons chaque semaine chez LCMH. Vous avez une boutique Shopify avec un chatbot IA qui répond aux questions clients (livraison, disponibilité, taille). Depuis août 2025, vous devez afficher clairement que l’interlocuteur est une IA, étiqueter le contenu généré par IA si vous l’utilisez pour vos fiches produit, et offrir la possibilité de parler à un humain. En pratique, c’est 30 minutes de configuration et une ligne dans vos CGV.

Maintenant, si ce même chatbot décide seul d’accorder ou de refuser un remboursement en fonction d’un scoring client, vous passez potentiellement en haut risque. La frontière est dans l’autonomie décisionnelle, pas dans la technologie.

Pourquoi le cloud facilite la conformité

Les hyperscalers ont anticipé l’AI Act bien avant son entrée en vigueur. AWS Bedrock intègre nativement les Guardrails (filtres de contenu paramétrables), une journalisation complète via CloudTrail (qui a utilisé quel modèle, avec quelles données, pour quelle réponse), et le chiffrement natif. Google Vertex AI offre les Model Cards et les outils d’explicabilité. Les deux garantissent la résidence des données en Europe et portent des certifications ISO 42001.

En déployant vos usages IA sur une infrastructure cloud certifiée, vous héritez d’une partie de la conformité technique par design. La responsabilité partagée fait que le fournisseur de modèle (Anthropic, OpenAI, Google) gère la conformité du modèle lui-même — documentation technique, gestion des biais, respect du droit d’auteur. Votre responsabilité en tant que « déployeur » porte sur l’usage que vous en faites et le contexte de déploiement.

Le triptyque 2026 : RGPD + NIS2 + AI Act

Si vous êtes une PME numérique en France en 2026, vous êtes potentiellement soumise aux trois réglementations simultanément. La bonne nouvelle : elles sont complémentaires et la documentation RGPD (registre de traitements, PIA) couvre déjà une partie significative des exigences AI Act. NIS2 impose des mesures de sécurité qui protègent aussi vos systèmes d’IA. L’AI Act ajoute la couche de transparence et de documentation spécifique à l’IA.

Un inventaire IA complet — quels outils, quels usages, quel niveau de risque — prend une demi-journée pour une PME de 20-50 personnes. C’est le point de départ. Faites-le maintenant plutôt qu’en urgence quand votre plus gros client demandera votre attestation de conformité dans un appel d’offres.

Ce que les PME oublient (et que les grandes entreprises font)

Les grandes entreprises ont des Chief AI Officers et des équipes conformité. Les PME non. Mais les PME ont un avantage que l’AI Act reconnaît explicitement : les bacs à sable réglementaires (environnements de test encadrés par les autorités nationales), les seuils proportionnels d’amendes, les délais étendus d’un an sur certaines obligations, et l’accompagnement promis par l’ANSSI et la CNIL via des guides sectoriels.

L’erreur serait de croire que la taille vous protège. Ce qui protège, c’est la documentation. Une PME qui peut montrer son inventaire IA, ses mentions de transparence et ses procédures de supervision humaine est plus en conformité que beaucoup de grands groupes qui improvisent.


À lire aussi


Chez LCMH, nous auditons vos usages IA et construisons votre feuille de route de conformité AI Act. L’inventaire prend une demi-journée, la mise en conformité transparence est gratuite, et les systèmes haut risque sont rares dans les PME. 15 ans d’expérience en transformation numérique, 8 certifications AWS. Réservez votre diagnostic gratuit →

Questions fréquentes

Ma PME utilise ChatGPT pour le service client — suis-je concerné par l'AI Act ?
Oui. En tant que 'déployeur' d'un système d'IA à usage général, vous avez des obligations de transparence : informer vos utilisateurs qu'ils interagissent avec une IA et documenter votre usage. Le fournisseur (OpenAI, Anthropic, Google) porte la charge de conformité du modèle lui-même.
Quelles sont les sanctions de l'AI Act ?
Jusqu'à 35M€ ou 7% du CA mondial pour les pratiques interdites, 15M€ ou 3% pour les systèmes à haut risque non conformes. Les PME bénéficient de seuils proportionnels et d'un délai de mise en conformité étendu.
Mon outil de scoring candidats est-il à haut risque ?
Oui. L'Annexe III classe explicitement les systèmes d'IA utilisés pour le recrutement, la sélection de candidats et l'évaluation des performances comme 'haut risque'. Cela impose une évaluation de conformité, un système de gestion des risques et une supervision humaine.
Quel est le calendrier d'application de l'AI Act ?
Entrée en vigueur le 1er août 2024. Interdictions effectives février 2025. Obligations IA à usage général août 2025. Obligations systèmes haut risque (Annexe III) août 2026. Systèmes déjà sur le marché : délai supplémentaire jusqu'en août 2027.
L'AI Act s'applique-t-il à mes outils internes ?
Oui, si vous utilisez l'IA pour prendre des décisions affectant des personnes (RH, scoring, accès aux services). Les outils purement internes sans impact sur des personnes physiques ne sont pas concernés.
Comment commencer à me préparer à l'AI Act ?
Trois étapes : (1) inventorier tous vos systèmes utilisant de l'IA, (2) classifier chacun par niveau de risque (interdit, haut, limité, minimal), (3) documenter les usages et mettre en place la transparence pour les systèmes à risque limité.

Articles similaires