« Je n'ai pas développé d'IA, ça ne me concerne pas. »
Cette phrase, je l'entends chaque semaine depuis que l'AI Act a été publié. Elle est fausse, et elle coûte potentiellement 15 millions d'euros ou 3 % du chiffre d'affaires mondial à une PME qui s'en rendrait compte trop tard.
Vous pouvez être concerné par l'AI Act sans avoir codé une seule ligne. Il suffit d'avoir déployé un outil IA dans votre activité — un chatbot, un logiciel RH qui trie les CV, un scoring client automatisé, un agent de support connecté à vos données. La plupart des PME françaises sont dans ce cas, sans le savoir.
Bonne nouvelle : les obligations les plus lourdes entrent en vigueur en août 2026, pas avant. Il reste 4 mois pour se mettre en conformité si vous êtes concerné. Voici la checklist que j'applique avec mes clients.
Ce que dit l'AI Act en 30 secondes
Le règlement européen 2024/1689 classe les systèmes d'IA en 4 niveaux de risque et impose des obligations proportionnelles à chaque niveau.
| Niveau | Exemples | Statut | Obligations |
|---|---|---|---|
| Risque inacceptable | Notation sociale, manipulation comportementale | Interdit depuis février 2025 | Usage impossible |
| Haut risque | RH (tri CV), scoring crédit, biométrie | Autorisé avec obligations lourdes | Documentation, supervision humaine, logs, évaluation |
| Risque limité | Chatbot, génération de contenu | Autorisé avec transparence | Informer l'utilisateur qu'il parle à une IA |
| Risque minimal | Filtre anti-spam, recommandations produit | Autorisé librement | Aucune obligation spécifique |
La clé : la plupart des PME sont en risque limité ou minimal. Seules celles qui utilisent l'IA sur des décisions sensibles (RH, crédit, santé, juridique, éducation) tombent en haut risque. Mais savoir où vous êtes, c'est votre responsabilité, pas celle de votre éditeur.
Calendrier 2026 — ce qui s'applique quand
| Date | Ce qui entre en vigueur |
|---|---|
| Février 2025 | Interdictions (usages à risque inacceptable) — déjà effectif |
| Août 2025 | Obligations sur les modèles à usage général (GPT, Claude, etc.) — sur les éditeurs |
| Août 2026 | Obligations sur les systèmes à haut risque — sur vous si concerné |
| Août 2027 | Obligations étendues sur certains cas spécifiques |
L'échéance qui compte pour une PME, c'est août 2026. Si vous déployez un système IA à haut risque, vous devez avoir tout prêt avant.
Sanctions — le chiffrage qui fait bouger les dirigeants
- Pratiques interdites : jusqu'à 35 M€ ou 7 % du CA mondial.
- Non-conformité haut risque : jusqu'à 15 M€ ou 3 % du CA mondial.
- Informations fausses aux autorités : jusqu'à 7,5 M€ ou 1 % du CA mondial.
Pour une PME à 5 M€ de CA, on parle potentiellement de 150 000 € de sanction. Les autorités françaises (CNIL principalement) ont déjà annoncé qu'elles commenceraient progressivement — mais « progressivement », ça veut dire « on commence par les plus visibles ». Ne pariez pas dessus.
Êtes-vous déployeur au sens de l'AI Act ?
Vous êtes déployeur si vous utilisez un système IA dans votre activité professionnelle, même si vous ne l'avez pas développé. Concrètement, si vous utilisez :
- Un outil de tri de CV automatisé (même si c'est une fonctionnalité de votre ATS).
- Un scoring de risque client automatique (crédit, solvabilité).
- Un agent IA qui prend des décisions opérationnelles (valider une demande, clôturer un ticket).
- Un système biométrique (reconnaissance faciale, empreintes).
- Un outil d'évaluation des salariés basé sur l'IA.
→ vous êtes déployeur d'un système potentiellement à haut risque.
Vous n'êtes pas concerné par les obligations haut risque si vous utilisez seulement :
- Un chatbot grand public sur votre site (risque limité — transparence suffit).
- ChatGPT ou Claude comme outil personnel de productivité (pas intégré à vos décisions métier).
- Un filtre anti-spam, un correcteur orthographique, une suggestion produit.
Les 5 étapes concrètes à cocher avant août 2026
1. Inventaire de vos systèmes IA (2 à 5 jours de travail)
Listez tout système IA utilisé dans votre entreprise. Tout, y compris les fonctionnalités IA dans vos SaaS classiques. Exemples souvent oubliés :
- « Scoring lead automatique » dans votre CRM.
- « Recommandation de candidats » dans votre ATS.
- « Prédiction de churn » dans votre outil client.
- Agents IA internes, chatbots, assistants de rédaction connectés à vos données.
Pour chaque système, notez : nom, éditeur, usage, données traitées, qui l'utilise.
2. Qualification du niveau de risque (1 à 2 jours)
Pour chacun, déterminez le niveau de risque selon la grille de l'AI Act. Les 8 domaines explicitement à haut risque (Annexe III du règlement) :
- Biométrie.
- Infrastructures critiques.
- Éducation et formation.
- Emploi, RH, gestion des travailleurs (tri CV, évaluation, licenciement).
- Accès à des services privés ou publics essentiels (crédit, assurance, assistance sociale).
- Application de la loi.
- Migration, asile, contrôle aux frontières.
- Administration de la justice et processus démocratiques.
Si aucun de vos systèmes ne touche ces 8 domaines, vous êtes probablement en risque limité ou minimal — obligations légères (transparence principalement).
3. Documentation pour les systèmes à haut risque (5 à 15 jours)
Si vous avez au moins un système à haut risque, vous devez produire et tenir à jour :
- Une description technique (fonctionnement, données d'entraînement, limites connues).
- Un dossier de gestion des risques (risques identifiés, mesures de mitigation).
- Une procédure de supervision humaine (qui valide, quand, comment on override l'IA).
- Un journal de logs (traçabilité des décisions prises par le système).
- Une évaluation de conformité avant mise sur le marché ou déploiement.
Bonne nouvelle : si le système est fourni par un éditeur, une grande partie de la documentation vient de lui. Votre travail, c'est de la récupérer, la compléter avec vos conditions d'usage, et la tenir à jour.
4. Mise en place de la supervision humaine
Obligation clé : pour tout système à haut risque, une personne humaine doit pouvoir comprendre, surveiller et outrepasser les décisions de l'IA.
Ça veut dire concrètement :
- Un collaborateur formé sur le système (qui sait ce qu'il fait bien et mal).
- Une procédure de signalement si le système dérive.
- Un mécanisme pour annuler une décision IA a posteriori (remboursement, recours, validation manuelle).
- Un log consultable de ce que l'IA a décidé.
5. Information des personnes concernées
Pour tout système IA qui interagit avec une personne (client, candidat, salarié), vous devez informer. Exemples :
- Chatbot : « Vous discutez avec un assistant automatisé. »
- Tri CV : « Votre candidature est pré-filtrée par un système automatisé. Vous pouvez demander un examen humain. »
- Scoring crédit : « Cette décision est en partie automatisée. Vous pouvez demander l'intervention d'un humain et contester la décision. »
Cette information doit être claire, visible, avant l'interaction — pas cachée dans les CGU.
Ordres de grandeur budget
| Situation | Coût de mise en conformité |
|---|---|
| Risque minimal uniquement (95 % des PME) | 0 - 500 € (vérification inventaire) |
| Risque limité (chatbot, génération contenu) | 500 - 2 000 € (transparence, mentions) |
| Risque haut, 1 système | 3 000 - 8 000 € (doc, supervision, audit) |
| Risque haut, plusieurs systèmes | 8 000 - 20 000 € |
Ce sont les chiffres DGE (Direction Générale des Entreprises) pour une PME type. L'ordre de grandeur est cohérent avec ce que je vois en mission.
Ce qui ne déclenche PAS automatiquement une obligation haut risque
Deux confusions fréquentes :
1. « J'utilise un LLM donc je suis haut risque. » Faux. Le LLM en tant qu'outil est en risque limité (vous informez l'utilisateur). Vous devenez haut risque seulement si votre usage du LLM entre dans un des 8 domaines de l'Annexe III.
2. « C'est mon éditeur qui gère. » À moitié faux. L'éditeur a ses obligations (documentation, transparence). Mais en tant que déployeur, vous avez vos propres obligations qui ne peuvent pas être déléguées : supervision humaine, information des personnes concernées, journalisation de vos usages.
Grille de décision — 3 questions
Question 1 — Mes systèmes IA touchent-ils un des 8 domaines à haut risque ?
- Non : risque limité ou minimal. Mise en conformité légère (transparence, inventaire). Budget 0 à 2 k€.
- Oui, sur 1 système : haut risque ciblé. Documentation, supervision humaine, procédure. Budget 3 à 8 k€.
- Oui, sur plusieurs : haut risque étendu. Appelez un conseil spécialisé. Budget 8 à 20 k€.
Question 2 — Ai-je un inventaire à jour de mes outils IA ?
- Oui, mis à jour dans les 6 derniers mois : vous avez de l'avance, passez à la qualification.
- Non : commencez par ça. 2 à 5 jours de travail, c'est la base de tout.
Question 3 — Ai-je informé les personnes concernées ?
- Oui : vérifiez que c'est clair, visible, avant l'interaction.
- Non : à ajouter immédiatement, quel que soit le niveau de risque. C'est la seule obligation qui s'applique à tous les systèmes IA qui interagissent avec une personne.
Par où commencer
Si vous voulez faire le point avant août 2026, 30 minutes suffisent pour un premier inventaire. Je regarde vos outils, je vous dis quels systèmes sont potentiellement haut risque, et je vous chiffre honnêtement ce qu'il y a à faire. Pour les sujets purement juridiques pointus, je vous oriente vers un DPO ou un cabinet spécialisé — je ne joue pas l'avocat.
Si vous voulez creuser la sécurité en amont (choix de provider, souveraineté, données), la checklist sécurité IA couvre les choix techniques que j'applique à chaque mission.
Pour aller plus loin
- Service concerné : Agents IA sur mesure
- Articles connexes : Sécurité des données IA en PME · Intégrer l'IA dans une PME en 2026
