L'AI Act européen pour dirigeants pressés
Ce qu'on doit vraiment savoir en 12 minutes de lecture. Les obligations concrètes pour une PME française, les échéances qui comptent vraiment, et ce qu'un dirigeant peut décider sans attendre son avocat.
Le Règlement (UE) 2024/1689 sur l'intelligence artificielle, communément appelé AI Act, est entré en vigueur le 1er août 2024 et s'applique progressivement jusqu'en 2027. C'est le premier cadre réglementaire majeur au monde sur l'IA. Et contrairement à ce qu'on entend parfois, il s'applique à votre PME, même si vous ne développez aucune IA en interne.
Cet article fait le tri entre ce qui est important pour vous, et ce qui ne l'est pas. En 12 minutes, vous saurez où vous situer.
Pourquoi l'AI Act vous concerne, même si vous ne "faites pas d'IA"
L'idée reçue : "L'AI Act, c'est pour OpenAI, Google et les startups deeptech. Pas pour ma PME de 25 personnes." C'est faux. Le texte régule trois types d'acteurs :
- Les fournisseurs d'IA (qui développent et mettent sur le marché des systèmes d'IA)
- Les déployeurs d'IA (qui utilisent des systèmes d'IA pour leur activité professionnelle)
- Les importateurs et distributeurs de systèmes d'IA
Si votre PME utilise ChatGPT pour rédiger des emails, Claude pour analyser des contrats, ou un outil de tri automatisé de CV pour le recrutement, vous êtes un déployeur d'IA au sens du règlement. Vos obligations sont allégées par rapport à celles des fournisseurs, mais elles existent.
Le texte vise à la fois la transparence (savoir qu'on parle à une IA), la protection des droits fondamentaux (pas de scoring social, pas de surveillance biométrique de masse) et la sécurité des usages à haut risque (santé, justice, recrutement, infrastructure critique).
La pyramide des risques en un schéma
L'AI Act classe les systèmes d'IA en quatre niveaux de risque. Le niveau définit les obligations applicables.
| Niveau de risque | Exemples | Statut |
|---|---|---|
| Risque inacceptable | Scoring social, manipulation cognitive, identification biométrique à distance en temps réel dans l'espace public | Interdit |
| Haut risque | Tri de CV automatisé, scoring crédit, IA en santé, IA dans la justice, conduite autonome, examens scolaires | Autorisé sous fortes obligations (analyse de risque, documentation, supervision humaine, registre) |
| Risque limité | Chatbots, deepfakes, contenus générés par IA | Autorisé avec obligation de transparence (l'utilisateur doit savoir qu'il interagit avec une IA ou voit un contenu IA) |
| Risque minimal | Filtres anti-spam, IA dans les jeux vidéo, outils de productivité courants | Autorisé sans obligation spécifique |
Pour la grande majorité des PME, les usages se situent en "risque limité" (chatbot client, contenu généré, IA marketing) ou en "risque minimal" (productivité interne avec Claude/ChatGPT/Copilot pour les tâches courantes). Les obligations sont donc raisonnables.
Le piège possible : basculer sans s'en rendre compte en "haut risque". Le tri automatisé de CV en est l'exemple parfait. Si vous installez un outil qui filtre les candidatures sans intervention humaine, vous êtes en haut risque — avec toutes les obligations qui vont avec.
Quatre obligations concrètes pour une PME française
Voici ce qui s'applique en pratique à 95 % des PME, en supposant des usages "risque limité" ou "risque minimal".
1. Former et informer les salariés qui utilisent l'IA
L'article 4 du règlement impose aux déployeurs de prendre des mesures pour garantir un niveau suffisant de littératie en IA chez les personnes qui opèrent ou utilisent les systèmes d'IA. Concrètement : vos collaborateurs doivent comprendre ce que l'outil fait, ses limites, et les risques associés. Cela vaut pour ChatGPT comme pour Copilot ou Mistral.
Cette obligation s'applique depuis le 2 février 2025. Une simple note interne ne suffit pas : il faut pouvoir démontrer qu'une démarche de formation, même légère, a été mise en place. Une formation interne, un atelier, ou même une charte d'usage signée constituent des preuves recevables.
2. Informer les utilisateurs finaux quand une IA est en jeu
Si votre site web embarque un chatbot, l'utilisateur doit savoir qu'il parle à une IA et non à un humain. Si vos communications marketing utilisent des visuels générés par IA, vous devez le signaler. Si vous publiez du contenu écrit par IA, idem (au minimum mention claire, type "contenu généré ou assisté par IA").
L'obligation s'applique à partir du 2 août 2026. C'est une obligation de transparence, pas d'interdiction. Sa mise en œuvre est simple — il suffit d'ajouter les mentions adéquates.
3. Maintenir un cadre interne d'usage de l'IA
Aucun article ne l'impose explicitement pour les usages "risque minimal", mais c'est devenu une bonne pratique défendable. Il s'agit de formaliser une charte interne d'usage des outils d'IA qui couvre :
- Les outils autorisés et interdits
- Les types de données qu'on peut envoyer (jamais de données client, jamais de propriété intellectuelle de tiers)
- La supervision humaine systématique des sorties de l'IA
- Le traitement des erreurs (hallucinations) et leur correction
Cette charte, signée par chaque collaborateur utilisateur, vous protège en cas de problème RGPD ou de faute professionnelle.
4. Évaluer les usages "à risque latent"
Trois cas méritent une analyse approfondie, car ils peuvent basculer en "haut risque" :
- Le tri automatisé de candidatures. Tout outil qui élimine ou classe des CV sans validation humaine relève du haut risque. Tenable seulement avec analyse d'impact et procédure de recours.
- L'évaluation automatisée des performances. Tout outil qui note les salariés ou les clients sur la base de comportements IA-analysés est sensible. Idem.
- L'IA dans des décisions à effet juridique. Refus de crédit, refus d'assurance, scoring de client : la décision doit rester humaine et motivée.
La formation L'IA pour dirigeants intègre l'AI Act
La Formation 03 consacre 1 heure à la partie réglementaire (AI Act + RGPD + propriété intellectuelle) avec un mémo PDF actualisé remis aux participants. Format intra-entreprise recommandé pour traiter votre cartographie d'usages spécifique.
Voir le programme dirigeants →Le calendrier 2024-2027
L'AI Act n'entre pas en vigueur d'un coup. Il s'applique par paliers.
| Date | Ce qui s'applique |
|---|---|
| 1er août 2024 | Entrée en vigueur officielle du règlement (publication au JO de l'UE) |
| 2 février 2025 | Interdiction des usages à risque inacceptable Obligation de littératie IA pour les déployeurs (formation des salariés) |
| 2 août 2025 | Application des obligations pour les modèles d'IA à usage général (les fournisseurs comme OpenAI, Anthropic, Google) |
| 2 août 2026 | Application des obligations de transparence pour les déployeurs (chatbots, deepfakes, contenus IA) Désignation des autorités nationales de contrôle |
| 2 août 2027 | Application complète aux systèmes d'IA à haut risque intégrés dans des produits réglementés |
Pour une PME en mai 2026, deux dates comptent vraiment : la littératie IA (déjà applicable depuis février 2025) et la transparence (applicable dans 2 mois, le 2 août 2026). C'est sur ces deux échéances qu'il faut concentrer son attention.
Trois décisions à prendre cette année
Si je devais résumer ce qu'un dirigeant doit faire en 2026 pour être en règle sans surinvestir, voici les trois actions à boucler avant la fin de l'année.
- Sortir le sujet du flou et le formaliser. Une note interne d'une page, signée par la direction, qui dit : voici les outils d'IA autorisés chez nous, voici les usages bannis, voici le référent à qui demander en cas de doute. Le simple fait que ce document existe vous protège.
- Faire monter en compétence vos utilisateurs actifs. Identifier les 5 à 15 personnes qui utilisent vraiment l'IA au quotidien, les former (formation interne, formation externe, peu importe — l'essentiel est qu'il y ait une action visible et traçable). C'est l'obligation de littératie en pratique.
- Auditer vos points de transparence avant le 2 août 2026. Listez où vous utilisez de l'IA face à un utilisateur ou client (chatbot, contenu marketing, visuels). Ajoutez les mentions nécessaires : "Vous discutez avec un assistant automatisé", "Image générée par IA", "Contenu rédactionnel assisté par IA". Cette mise à jour prend moins d'une demi-journée pour la plupart des PME.
Ce qu'il ne faut pas faire en revanche : passer 4 mois à attendre une jurisprudence, lancer un comité de gouvernance IA, signer un audit à 25 000 €. Les obligations PME sont simples, leur mise en œuvre l'est aussi.
L'AI Act ne menace pas votre PME — il encadre des bonnes pratiques que vous devriez déjà avoir mises en place. La littératie des utilisateurs et la transparence vis-à-vis des clients sont les deux exigences qui s'appliquent dès maintenant à 95 % des PME françaises.
Pour les cas plus sensibles (RH, scoring, décisions automatisées), un avis juridique précis est utile. Pour le reste, une charte interne et une action de formation suffisent.
Vous voulez en parler 30 minutes ? Demander un devis pour la formation dirigeants ou écrire directement.