Urgence réglementaire — Avant août 2026

AI Act 2026 : guide de conformité pour PME françaises

Le règlement européen sur l'IA entre pleinement en vigueur le 2 août 2026. Amendes jusqu'à 35 millions d'euros ou 7% du CA mondial. Ce guide vous explique exactement ce que vous devez faire — et ce que vous pouvez ignorer si vous êtes une PME.

15 min de lecture Mis à jour le 2026-03-17 Audit express 2 min →

Qu'est-ce que l'AI Act ?

L'AI Act (Règlement UE 2024/1689) est le premier cadre légal contraignant au monde dédié à l'intelligence artificielle. Adopté par le Parlement européen en juin 2024 et publié au Journal Officiel de l'Union Européenne le 12 juillet 2024, il s'impose progressivement à toutes les organisations opérant dans l'Union Européenne — qu'elles soient européennes ou non.

Principe fondamental : L'AI Act n'est pas une interdiction générale de l'IA. C'est une approche basée sur le risque : plus un système IA peut nuire à des personnes, plus les obligations sont strictes. La majorité des usages IA courants en PME sont à risque minimal ou limité — et donc peu contraignants.

AI Act vs RGPD : quelle différence ?

Les deux règlements sont complémentaires mais distincts. Le RGPD protège les données personnelles des individus — il s'applique dès que vous traitez des données sur des personnes (clients, employés, prospects). L'AI Act, lui, régule les systèmes IA eux-mêmes — leurs caractéristiques, leurs risques, leur transparence et leur supervisabilité humaine. Un projet d'IA peut tomber sous les deux règlements simultanément.

Concrètement : si vous déployez un chatbot IA qui traite des données de clients, vous devez respecter le RGPD (consentement, base légale, durée de conservation) et l'AI Act (transparence sur le caractère artificiel de l'assistant). Les deux ne s'annulent pas.

Portée géographique : qui doit s'y conformer ?

À l'image du RGPD, l'AI Act a une portée extraterritoriale. Il s'applique à :

  • Toute organisation établie dans l'UE utilisant ou fournissant des systèmes IA
  • Toute organisation non-européenne dont les systèmes IA sont utilisés dans l'UE
  • Les fournisseurs de systèmes IA dont les résultats sont utilisés dans l'UE

Résultat : OpenAI (américain), Anthropic (américain), Mistral (français) sont tous concernés en tant que fournisseurs. Et vous, en tant que PME française qui déployez leurs modèles, êtes concernés en tant que déployeur.

Qui est concerné par l'AI Act ?

L'AI Act distingue plusieurs rôles dans la chaîne de valeur de l'IA. Comprendre votre rôle est la première étape pour identifier vos obligations réelles.

Les fournisseurs (providers)

Ce sont les entreprises qui développent et mettent sur le marché des systèmes IA. Exemples : OpenAI avec GPT-4, Anthropic avec Claude, Mistral AI avec Mistral, Microsoft avec Copilot, Google avec Gemini. Ces acteurs ont les obligations les plus lourdes — documentation technique exhaustive, conformité avant mise sur le marché, enregistrement dans la base de données EU pour les IA à haut risque.

Les déployeurs (deployers)

Ce sont les entreprises qui utilisent un système IA dans leurs propres produits ou services destinés à des clients ou partenaires. C'est probablement vous si vous intégrez GPT-4 dans votre service client, si vous utilisez un outil de scoring IA pour évaluer vos prospects, ou si vous proposez un assistant IA à vos utilisateurs.

Test simple pour savoir si vous êtes déployeur : Est-ce que votre système IA est visible ou interagit avec des personnes externes à votre organisation (clients, candidats, fournisseurs) ? Si oui, vous êtes déployeur et l'AI Act s'applique.

Les utilisateurs finaux professionnels

Si vous utilisez un outil IA en interne — ChatGPT pour rédiger des emails, GitHub Copilot pour coder, Notion AI pour résumer des réunions — vous n'êtes pas déployeur au sens de l'AI Act. Vous êtes utilisateur final. Vos obligations sont minimales : simplement ne pas utiliser l'IA d'une manière qui violerait les règles (pas de manipulation, pas de discrimination).

Exemptions importantes

  • Usage strictement personnel : utilisation privée, non professionnelle → hors champ
  • Recherche et développement : les systèmes IA en phase de R&D pure → obligations allégées
  • Open source sous conditions : les modèles open source à usage général bénéficient d'exemptions partielles, sauf s'ils sont mis sur le marché avec des instructions spécifiques d'usage
  • Défense nationale : entièrement exclue du champ de l'AI Act

Cas concrets pour une PME française

Cas d'usage Votre rôle Obligations
ChatGPT pour rédiger des offres commerciales en interne Utilisateur final Aucune obligation spécifique AI Act
Chatbot GPT-4 intégré à votre site web pour répondre aux clients Déployeur (risque limité) Indiquer aux utilisateurs qu'ils parlent à une IA
Outil IA de tri de CV pour vos recrutements Déployeur (haut risque) Évaluation conformité, documentation, supervision humaine
Développement d'une solution IA revendue à des clients Fournisseur Obligations maximales selon le niveau de risque

Les 4 niveaux de risque de l'AI Act

L'AI Act classe tous les systèmes IA en 4 catégories selon leur potentiel de nuisance. Cette classification détermine directement l'intensité de vos obligations. Comprendre où se situe votre IA est l'étape la plus importante de votre démarche de conformité.

8 Pratiques interdites depuis fév. 2025
~5% Des usages IA sont à haut risque
~80% Des usages PME = risque limité ou minimal
35 M€ Amende max pour IA interdite
Niveau de risque Exemples d'IA Obligations Impact PME
Risque inacceptable Score social, manipulation comportementale, reconnaissance faciale espace public, exploitation des vulnérabilités INTERDITES depuis le 2 février 2025 Ne pas utiliser ces systèmes — aucune dérogation possible
Haut risque Recrutement IA, crédit scoring, systèmes médicaux, infrastructure critique, administration de justice Documentation technique, audit de conformité, registre EU, supervision humaine obligatoire Concerne peu de PME — vérifier si votre usage RH ou crédit est concerné
Risque limité Chatbots, générateurs de contenu, deep fakes, assistants virtuels, traduction automatique Obligation de transparence : informer les utilisateurs qu'ils interagissent avec une IA Cas le plus fréquent pour les PME — obligation simple et peu coûteuse
Risque minimal Filtres anti-spam, jeux vidéo avec IA, systèmes de recommandation, correcteurs orthographiques Aucune obligation réglementaire — application volontaire du code de bonne conduite Aucune action requise
Bonne nouvelle pour les PME : La très grande majorité des usages IA en PME (chatbots, assistants commerciaux, outils de génération de contenu, automatisation de workflows) tombent dans la catégorie "risque limité" ou "risque minimal". Les obligations concrètes restent donc légères.

Obligations concrètes pour les PME

Vos obligations dépendent directement du niveau de risque de vos systèmes IA. Voici ce que cela signifie concrètement selon les deux cas de figure les plus fréquents en PME.

Cas 1 : vous déployez des IA à risque limité (cas le plus fréquent)

Vous êtes dans cette situation si vous utilisez un chatbot, un assistant IA de service client, un générateur de contenu, un outil de synthèse ou de traduction pour vos clients ou partenaires.

  • Obligation de transparence : informer clairement et de manière visible que l'utilisateur interagit avec un système IA (pas enfouie dans les CGU — visible dès la première interaction)
  • Étiquetage des contenus IA : si vous produisez des images, vidéos ou textes générés par IA destinés à des tiers, ils doivent être identifiés comme tels
  • Pas de documentation technique lourde : contrairement aux IA à haut risque, aucun dossier technique exhaustif n'est exigé
  • Registre interne recommandé : l'AI Act ne l'impose pas formellement à ce niveau, mais maintenir un inventaire des IA utilisées est une bonne pratique de gouvernance
Exemple concret : Vous avez un chatbot "Julie" sur votre site e-commerce. Il suffit d'afficher dès le début de la conversation : "Je suis Julie, une assistante IA. Je peux vous aider avec vos commandes et questions." Pas besoin de rapport de conformité, pas de certification externe.

Cas 2 : vous déployez des IA à haut risque

Vous êtes dans cette situation si vous utilisez une IA pour trier des candidatures, évaluer la solvabilité de clients, prendre des décisions sur l'accès à des services essentiels, ou gérer des infrastructures critiques (énergie, transport, santé).

  • Évaluation de conformité avant déploiement : vérifier que le système satisfait les exigences de l'AI Act — qualité des données, robustesse, précision
  • Documentation technique : tenir à jour un dossier décrivant le système, ses objectifs, ses données d'entraînement, ses performances et ses limites
  • Supervision humaine obligatoire : les décisions à fort impact doivent pouvoir être contestées et révisées par un humain — vous ne pouvez pas laisser l'IA décider seule
  • Enregistrement dans la base de données EU : les systèmes à haut risque doivent être déclarés dans le registre européen public avant leur mise sur le marché
  • Politique de gestion des risques : document écrit décrivant les risques identifiés et les mesures d'atténuation
Attention aux solutions SaaS tiers : Si vous achetez un logiciel RH avec IA de tri de CV intégré, le fournisseur (éditeur du logiciel) doit vous fournir toute la documentation de conformité. Vérifiez systématiquement que vos prestataires sont en règle avant d'acheter une solution IA à usage professionnel sensible.

IA interdites : les 8 pratiques prohibées depuis le 2 février 2025

Ces 8 types de systèmes IA sont interdits sans exception dans l'Union Européenne depuis le 2 février 2025. Aucune dérogation n'est possible pour les entreprises privées. Les violer expose à des amendes allant jusqu'à 35 millions d'euros ou 7% du CA mondial.

  1. Systèmes de notation sociale citoyenne : toute IA qui attribue un score général à des individus en fonction de leur comportement social, personnel ou professionnel sur une période étendue — à l'image du système chinois de "crédit social". Interdit dans tout contexte : employeurs, assureurs, administrations.
  2. Manipulation comportementale subliminale : tout système IA qui influence les décisions ou comportements d'une personne à son insu, en exploitant des mécanismes inconscients (techniques subliminales, dark patterns IA). Ne concerne pas la publicité ciblée classique, mais les systèmes de manipulation délibérée hors conscience.
  3. Exploitation des vulnérabilités : IA conçues pour exploiter des faiblesses spécifiques de personnes vulnérables — enfants, personnes âgées, personnes souffrant de troubles mentaux — afin d'influencer leur comportement à leur détriment.
  4. Identification biométrique à distance en temps réel dans les espaces publics : les systèmes de reconnaissance faciale en direct dans les rues, gares, centres commerciaux. Quelques exceptions très encadrées pour les forces de l'ordre (terrorisme, enfants disparus).
  5. Reconnaissance des émotions au travail et dans l'éducation : les systèmes qui tentent d'inférer l'état émotionnel de salariés (caméras en open space) ou d'étudiants (surveillance d'examens avec détection d'émotions). Interdit pour ces deux contextes spécifiques.
  6. Catégorisation biométrique à des fins sensibles : IA déduisant la race, l'orientation sexuelle, les opinions politiques ou les croyances religieuses d'une personne à partir de données biométriques (apparence physique, voix, démarche).
  7. Profilage prédictif criminel basé uniquement sur le profil : systèmes prédisant qu'une personne va commettre un crime en se basant uniquement sur ses caractéristiques personnelles (origine, lieu de résidence, comportement passé) sans acte délictueux avéré.
  8. Scraping massif de visages : la constitution de bases de données faciales par collecte non ciblée sur internet ou via des caméras de surveillance (CCTV scraping). Concernait notamment des pratiques de certaines entreprises de reconnaissance faciale américaines.
Pour une PME standard : ces 8 interdictions ne vous concernent pas directement si vous exercez une activité commerciale classique. Aucune raison légitime pour une PME de déployer un système de scoring social ou de reconnaissance faciale en espace public. Ces interdictions visent principalement des acteurs spécialisés dans la surveillance et la sécurité.

IA à haut risque : les systèmes qui vous concernent peut-être

Attention : Si vous déployez l'un des systèmes listés ci-dessous, vos obligations sont significativement plus lourdes. Vérifiez votre situation avant août 2026.

L'Annexe III de l'AI Act liste les catégories de systèmes IA automatiquement classés "à haut risque". Voici ceux qui peuvent concerner des PME françaises :

Recrutement et gestion des ressources humaines

Tout système IA utilisé pour filtrer, trier ou classer des candidatures, évaluer des candidats lors d'entretiens (analyse de la voix, du visage, des réponses), prendre des décisions d'embauche, de promotion ou de licenciement, ou surveiller les performances des salariés à des fins d'évaluation automatisée.

Exemples concrets : logiciel de tri CV avec scoring IA, outil d'analyse vidéo d'entretien, système de scoring performance salarié, outil de détection de "flight risk" (risque de départ).

Accès à l'éducation et à la formation professionnelle

Systèmes IA qui décident de l'admission à une formation, évaluent les apprenants de façon automatisée, ou personnalisent le parcours éducatif avec impact sur les certifications. Concerne les organismes de formation professionnelle (OF) utilisant des outils IA adaptatifs.

Services essentiels : crédit et assurance

Tout système de scoring de crédit automatisé, d'évaluation de solvabilité, de tarification d'assurance basée sur le profilage IA, ou de décision d'octroi de prêt. Les fintech et les cabinets de courtage en crédit utilisant des modèles IA d'évaluation sont directement concernés.

Infrastructure critique

Systèmes IA dans la gestion de réseaux (eau, électricité, gaz, internet), les transports, les services financiers systémiques. Peu pertinent pour la majorité des PME sauf pour les opérateurs d'importance vitale (OIV).

Administration de la justice et démocratie

IA d'aide à la décision judiciaire, systèmes d'influence sur les campagnes électorales. Hors champ pour les PME commerciales classiques.

Si vous êtes concerné par le haut risque : commencez dès maintenant. Le dossier de conformité prend du temps à constituer. Un expert en conformité IA peut vous accompagner pour un audit de 1 à 3 jours qui identifie exactement ce que vous devez produire.

IA à risque limité : le cas le plus fréquent pour les PME

La bonne nouvelle : la grande majorité des PME françaises utilisant l'IA se trouvent dans cette catégorie. Chatbots de service client, assistants virtuels, outils de génération de contenu, traduction automatique, génération d'images — tous sont classés à risque limité.

Les obligations sont simples, peu coûteuses et peuvent être mises en place en quelques heures :

1. Afficher clairement le caractère IA de l'assistant

Dès le début de chaque interaction, l'utilisateur doit savoir qu'il parle à une IA. Le message doit être visible et explicite — pas en petits caractères en bas de page, pas dans les CGU que personne ne lit. Un simple message d'accueil suffit.

  • Correct : "Bonjour, je suis l'assistant IA de [votre entreprise]. Comment puis-je vous aider ?"
  • Non conforme : un chatbot qui se présente comme un humain ("Je suis Marie, conseillère") sans mentionner qu'il s'agit d'une IA
  • Non conforme : une mention IA uniquement dans les conditions générales d'utilisation

2. Permettre à l'utilisateur de demander un interlocuteur humain

Pour les chatbots de service client, l'utilisateur doit pouvoir facilement demander à parler à un humain. L'IA ne doit pas bloquer ou décourager ce choix. Une option claire "Parler à un conseiller" ou "Je veux un humain" doit être disponible.

3. Étiqueter les contenus générés par IA

Si vous produisez et diffusez des contenus synthétiques (images générées par IA, vidéos deep fake, voix synthétiques, textes entièrement générés présentés comme authentiques), ces contenus doivent être identifiés comme générés par IA.

Attention : ceci ne s'applique pas aux textes de blog écrits avec l'aide de l'IA — l'AI Act ne demande pas d'étiqueter chaque contenu où l'IA a assisté la rédaction. Cela concerne les contenus entièrement synthétiques présentés comme réels (photo d'une personne qui n'existe pas, discours audio d'une vraie personne généré par IA, etc.).

Coût de mise en conformité pour le risque limité : quelques heures de développement pour modifier les messages d'accueil de vos chatbots, et éventuellement la mise en place d'un registre interne des outils IA utilisés. Budget estimé : 0 à 500€ selon votre situation.

Calendrier d'application de l'AI Act

L'AI Act s'applique progressivement selon un calendrier échelonné sur 3 ans. Voici les dates clés que vous devez retenir pour planifier votre mise en conformité.

Date Obligation entrant en vigueur Qui est concerné
12 juillet 2024 Publication au Journal Officiel UE — entrée en vigueur du texte Tous
2 février 2025 Interdictions des IA à risque inacceptable (8 pratiques prohibées) Tous — déjà applicable
2 août 2025 Règles pour les modèles d'IA à usage général (GPAI) : GPT-4, Gemini, Llama, Claude, Mistral Large Fournisseurs de GPAI — impact indirect pour les déployeurs
2 août 2026 Toutes les règles pour les systèmes IA à haut risque (Annexe III) Fournisseurs et déployeurs d'IA à haut risque
2 août 2026 Obligations de transparence pour les IA à risque limité (chatbots, deep fakes) Déployeurs d'IA à risque limité — concerne la majorité des PME
2 août 2027 Systèmes IA à haut risque déjà sur le marché avant août 2026 (période de transition) Fournisseurs d'IA haut risque en production avant 2026
Date critique pour les PME : 2 août 2026. C'est votre deadline principale si vous déployez des chatbots, des assistants IA ou des systèmes à haut risque. Vous avez jusqu'à cette date pour mettre en place les obligations de transparence et, le cas échéant, constituer votre dossier de conformité. Il reste moins de 6 mois — commencez maintenant.

Chronologie de l'application par les autorités nationales

En France, c'est la CNIL qui a été désignée comme autorité nationale compétente pour superviser l'application de l'AI Act, aux côtés d'autres régulateurs sectoriels selon les domaines (santé, finance, transport). La CNIL publie régulièrement des guides pratiques pour accompagner les entreprises françaises — à consulter sur son site officiel.

Amendes et sanctions : les montants réels pour une PME

Montants maximaux des amendes AI Act :
  • 35 000 000 € ou 7% du CA mondial (le plus élevé des deux) pour l'utilisation d'IA interdites (risque inacceptable)
  • 15 000 000 € ou 3% du CA mondial pour la violation des obligations générales (documentation, transparence, registre)
  • 7 500 000 € ou 1,5% du CA mondial pour la fourniture d'informations incorrectes aux autorités de contrôle

Ces montants sont des plafonds. En pratique, les autorités appliquent le principe de proportionnalité. Les sanctions réelles tiennent compte de plusieurs facteurs atténuants.

Type de violation Amende max (plafond) Exemple pour PME 2M€ CA Exemple pour ETI 20M€ CA
IA interdite utilisée (score social, manipulation) 35M€ ou 7% CA 140 000 € 1 400 000 €
Violations des obligations (transparence, doc, registre) 15M€ ou 3% CA 60 000 € 600 000 €
Informations incorrectes aux autorités 7,5M€ ou 1,5% CA 30 000 € 300 000 €

Facteurs atténuants qui réduisent les sanctions réelles

  • Bonne foi et effort de conformité : une PME qui a tenté de se conformer mais a commis des erreurs sera traitée plus favorablement qu'une entreprise qui a ignoré la réglementation
  • Coopération avec les autorités : répondre aux demandes d'information, accepter les audits
  • Taille de l'entreprise : l'AI Act prévoit explicitement des règles adaptées pour les PME et microentreprises
  • Phase de rodage : les premières années, les autorités privilégient la pédagogie — les sanctions lourdes cibleront d'abord les grandes entreprises et les violations graves
  • Correction rapide : avoir corrigé la non-conformité avant ou pendant le contrôle
Perspective réaliste : En 2025-2026, les régulateurs européens se concentreront d'abord sur les grands acteurs (GAFAM, fournisseurs d'IA, secteur financier) et sur les violations graves (IA interdites, haut risque non documenté). Une PME de bonne foi qui affiche la mention IA sur son chatbot et maintient un inventaire simple de ses outils IA a un risque de sanction proche de zéro dans les prochaines années.

Plan d'action en 5 étapes pour être conforme avant août 2026

Voici un plan concret, applicable par n'importe quelle PME française, pour atteindre la conformité AI Act avant la date limite du 2 août 2026. Prévoyez 1 à 2 jours de travail pour les étapes 1 à 4.

  1. Étape 1 — Inventaire des systèmes IA utilisés

    Listez tous les systèmes IA que vous utilisez ou déployez — qu'ils soient développés en interne, achetés en SaaS ou intégrés via API. Ne vous limitez pas aux outils "officiellement IA" : incluez les outils de scoring, les chatbots, les outils de génération de contenu, les logiciels RH avec IA, les CRM avec scoring prédictif.

    Pour chaque outil, notez : nom, fournisseur, usage (interne / clients), données traitées, nombre d'utilisateurs concernés.

  2. Étape 2 — Classification du risque

    Pour chaque système IA identifié, déterminez son niveau de risque selon les critères de l'AI Act :

    • Est-il dans la liste des 8 pratiques interdites ? → Arrêtez immédiatement son utilisation
    • Est-il dans l'Annexe III (recrutement, crédit, santé, infrastructure critique) ? → Haut risque
    • Interagit-il directement avec des utilisateurs humains (chatbot, assistant) ? → Risque limité
    • Aucun des cas ci-dessus ? → Risque minimal, aucune obligation

  3. Étape 3 — Vérification des obligations selon le niveau

    Une fois la classification établie, identifiez précisément ce que vous devez faire. Pour la plupart des PME, cela se limitera à vérifier que vos chatbots affichent bien leur nature IA et que vous n'utilisez aucun des systèmes interdits. Si vous avez des IA à haut risque, consultez un expert pour constituer le dossier de conformité requis.

  4. Étape 4 — Mise en conformité opérationnelle

    Appliquez les mesures identifiées à l'étape 3 :

    • Ajoutez les mentions de transparence sur vos chatbots et assistants IA
    • Mettez à jour vos CGU pour mentionner l'usage de l'IA dans vos services
    • Si haut risque : lancez le processus d'évaluation de conformité
    • Vérifiez auprès de vos fournisseurs SaaS qu'ils sont eux-mêmes conformes

  5. Étape 5 — Documentation et gouvernance continue

    La conformité AI Act n'est pas un projet ponctuel — c'est un processus continu. Mettez en place une gouvernance légère mais efficace :

    • Registre des IA : un tableau simple (Google Sheets suffit) listant tous vos systèmes IA avec leur niveau de risque, statut de conformité et date de dernière vérification
    • Référent IA : désignez une personne (DSI, DG, responsable juridique) chargée de suivre les évolutions réglementaires et de maintenir le registre
    • Revue annuelle : chaque année, mettez à jour l'inventaire et vérifiez que les nouveaux outils IA adoptés sont bien classifiés
    • Clause contractuelle fournisseurs : ajoutez dans vos contrats avec les prestataires IA une clause de conformité AI Act — ils doivent vous informer de tout changement affectant la conformité de leurs systèmes
1-2j Pour compléter les étapes 1 à 4 (PME standard)
0€ Coût conformité pour risque limité (chatbot simple)
2-5k€ Budget accompagnement conformité IA haut risque
2 août 2026 Deadline finale pour la plupart des PME
Besoin d'aide pour votre mise en conformité AI Act ? AutomateIA accompagne les PME françaises dans l'audit de leurs usages IA et la mise en place d'une conformité opérationnelle. Contactez-nous pour un audit gratuit de votre situation.

Ressources officielles pour aller plus loin

Pour approfondir et rester informé des évolutions réglementaires, voici les sources officielles à consulter en priorité.

Textes officiels

  • Règlement UE 2024/1689 (texte intégral) : disponible sur EUR-Lex, le Journal Officiel de l'Union Européenne en ligne. Recherchez "AI Act" ou "2024/1689" sur eur-lex.europa.eu. Le texte complet en français fait environ 144 pages.
  • Portail officiel AI Act de la Commission Européenne : digital-strategy.ec.europa.eu — FAQ officielle, actualités réglementaires, guides sectoriels.

Ressources CNIL (France)

  • Guide CNIL sur l'AI Act : la CNIL publie régulièrement des fiches pratiques sur l'articulation AI Act / RGPD et les obligations pour les entreprises françaises. Disponible sur cnil.fr dans la rubrique "Intelligence artificielle".
  • Bac à sable réglementaire CNIL IA : programme d'accompagnement pour les projets IA innovants — permet de tester des usages en bénéficiant d'un accompagnement juridique avant déploiement.

Ressources pratiques pour les PME

  • EU AI Act Compliance Checker : outil en ligne proposé par plusieurs cabinets et institutions académiques — permet de qualifier rapidement le niveau de risque de votre système IA en répondant à une série de questions.
  • BPIFrance — Diagnostic IA : BPIFrance propose des outils de diagnostic et des financements pour accompagner les PME dans leur transformation IA, y compris les aspects conformité. Consultez bpifrance.fr rubrique "Intelligence artificielle".
  • France Num : portail gouvernemental de la transformation numérique des PME — guides pratiques, webinaires et accompagnement sur l'IA et la réglementation.
Mise à jour réglementaire : L'AI Act est un texte vivant — la Commission Européenne publie régulièrement des actes délégués qui précisent certaines obligations. Abonnez-vous aux newsletters de la CNIL et de la Commission Européenne pour rester informé des nouvelles exigences sans avoir à surveiller vous-même les publications officielles.

Questions fréquentes

Mon chatbot GPT-4 est-il concerné par l'AI Act ?
Oui si vous le déployez dans un usage professionnel. Un chatbot de service client utilisant un LLM comme GPT-4 ou Claude est considéré comme un système IA à risque limité. Vous devez informer les utilisateurs qu'ils interagissent avec une IA (obligation de transparence). En revanche, aucune documentation technique lourde n'est requise pour ce niveau de risque.
Quelles sont les amendes réelles pour une PME ?
Les amendes maximales sont proportionnelles : 7% du CA mondial pour les violations les plus graves (IA interdites), 3% pour non-respect des obligations générales, 1,5% pour fourniture d'informations inexactes aux autorités. Pour une PME de 2M€ de CA, cela représente respectivement 140 000€, 60 000€ et 30 000€. En pratique, les premières années seront orientées vers la pédagogie plutôt que la sanction pour les PME de bonne foi.
ChatGPT, Copilot, Gemini utilisés en interne sont-ils concernés ?
Non directement. L'AI Act cible les fournisseurs de systèmes IA et les déployeurs professionnels. Si vous utilisez ChatGPT comme outil de productivité interne (rédaction, résumé), vous n'avez pas d'obligation réglementaire spécifique. OpenAI (fournisseur) est responsable de la conformité de son modèle. En revanche, si vous intégrez ces outils dans vos propres produits ou services clients, vous devenez déployeur et des obligations s'appliquent.
Quand dois-je être en conformité ?
Le calendrier est progressif : interdictions des IA à risque inacceptable → 2 février 2025 (déjà en vigueur). Obligations pour les modèles d'IA à usage général (GPAI) → 2 août 2025. Toutes les autres règles pour les IA à haut risque → 2 août 2026. Les PME déployant des IA à risque limité (chatbots, génération de contenu) ont jusqu'en 2027 pour les systèmes déjà en production avant août 2026.
Dois-je nommer un 'AI Officer' dans mon entreprise ?
L'AI Act ne rend pas l'AI Officer obligatoire pour les PME déployant des IA à risque limité. Cette obligation concerne principalement les déployeurs d'IA à haut risque (recrutement, crédit, justice). Cela dit, désigner un référent IA interne est une bonne pratique qui facilite le suivi de conformité et rassure vos clients et partenaires.

Aller plus loin

Checklist AI Act PME

10 points à vérifier pour être conforme. Format checklist pratique téléchargeable.

 💰 Financer sa conformité avec BPIFrance

BPIFrance peut prendre en charge jusqu'à 50% de votre projet de mise en conformité IA.

 🔒 IA et RGPD : rester conforme

Comment utiliser l'IA en respectant le RGPD — complémentaire à l'AI Act.
🎯
Découvrez votre potentiel d'automatisation

Répondez à 5 questions — obtenez votre score et 3 recommandations personnalisées en 2 minutes

⚡ Résultat immédiat 🔒 Sans engagement
Lancer l'audit express

Prêt à automatiser votre entreprise ?

Obtenez un audit gratuit de vos processus en 48h. Nos experts identifient les opportunités d'automatisation et estiment votre ROI potentiel.

Audit express 2 min ⚡ Parler à un expert →

Sans engagement · Réponse sous 24h · 100% gratuit