Agents IA
Prompt engineering pour entreprises : les bases qui font la différence
Maîtrisez le prompt engineering pour obtenir des résultats professionnels avec GPT-4 et Claude. Techniques, templates et exemples concrets pour les équipes métier.
Il reste moins de 4 semaines. Le 2 août 2026, l’AI Act européen entre pleinement en vigueur pour les systèmes d’IA à risque élevé. Pourtant, selon une étude Bpifrance publiée en mai 2026, seulement 18 % des PME françaises ont engagé une démarche de mise en conformité. Les 82 % restantes s’exposent à des sanctions pouvant atteindre 35 millions d’euros ou 7 % du chiffre d’affaires mondial.
Ce guide est destiné aux dirigeants de PME qui utilisent — ou envisagent d’utiliser — des outils d’intelligence artificielle dans leurs opérations. Pas de jargon juridique inutile : des obligations concrètes, une checklist opérationnelle et un plan d’action sur 4 semaines.
Qu’est-ce que l’AI Act et qui est concerné ?
L’AI Act (Règlement UE 2024/1689) est le premier cadre légal mondial encadrant l’intelligence artificielle. Il s’applique à toute organisation — quelle que soit sa taille — qui déploie ou utilise des systèmes d’IA sur le territoire de l’Union européenne.
Le règlement classe les systèmes d’IA en quatre niveaux de risque :
| Niveau de risque | Exemples | Obligation principale |
|---|---|---|
| Inacceptable | Notation sociale, manipulation psychologique de masse | Interdit — usage prohibé sans exception |
| Élevé | Recrutement automatisé, scoring crédit, biométrie, dispositifs médicaux | Documentation complète, supervision humaine obligatoire, enregistrement dans la base EU |
| Limité | Chatbots, deepfakes déclarés | Obligation de transparence envers les utilisateurs |
| Minimal | Filtres spam, recommandations de contenu | Aucune obligation spécifique |
La majorité des PME françaises n’utilise pas de systèmes “inacceptables”. En revanche, le risque élevé concerne bien plus d’entreprises qu’on ne le croit.
Les PME françaises sont-elles vraiment concernées par l’AI Act ?
Oui — et bien plus directement que ce que pensent la plupart des dirigeants.
Voici les situations concrètes qui placent une PME dans le champ du risque élevé :
- Vous utilisez un logiciel RH qui trie des CV ou classe des candidats automatiquement (ex. : Workday, Recruitee avec scoring IA, solutions maison sous N8N)
- Vous avez intégré un outil de scoring crédit ou de détection de fraude dans votre processus de facturation ou de recouvrement
- Vous déployez un système de surveillance sur le lieu de travail (analyse des comportements, biométrie, suivi productivité par IA)
- Vous êtes dans le secteur santé, éducation ou infrastructure critique et utilisez l’IA pour des décisions automatisées
L’AI Act s’applique également aux utilisateurs finaux, pas seulement aux éditeurs de logiciels. Si vous déployez un système IA classé à risque élevé — même développé par un tiers — vous êtes considéré comme “déployeur” et devez respecter les obligations correspondantes.
Les 5 obligations concrètes pour les PME avant août 2026
-
Inventorier tous vos systèmes d’IA — Listez chaque outil utilisant de l’IA dans vos processus : recrutement, crédit, sécurité, prise de décision automatisée. Un tableur suffit pour commencer.
-
Classifier chaque système selon les catégories de risque — Pour chaque outil identifié, déterminez s’il entre dans une annexe à risque élevé de l’AI Act (Annexe III). En cas de doute, considérez qu’il l’est et documentez votre analyse.
-
Mettre en place une supervision humaine effective — Pour tout système à risque élevé, une personne compétente doit pouvoir comprendre, surveiller et si nécessaire désactiver le système. Cette supervision doit être documentée.
-
Établir une documentation technique minimale — Décrire l’objectif du système, les données utilisées, les mesures de performance et les risques identifiés. Les éditeurs de logiciels SaaS doivent vous fournir cette documentation.
-
Enregistrer vos systèmes à risque élevé dans la base EU AI — La base de données européenne EU AI Act Database est ouverte depuis janvier 2026. Les déployeurs de systèmes à risque élevé dans les secteurs publics et certains secteurs privés ont l’obligation de s’y enregistrer.
Quels outils IA sont classés à risque élevé ?
Voici un aperçu par secteur des usages IA les plus fréquents en PME et leur classification :
| Secteur | Outil / Usage | Risque AI Act |
|---|---|---|
| Ressources humaines | Tri automatique de CV, scoring de candidats | Élevé |
| Ressources humaines | Chatbot de présélection | Limité |
| Crédit / Finance | Scoring de solvabilité, détection de fraude | Élevé |
| Finance | Assistant comptable IA (catégorisation) | Minimal |
| Santé | Aide au diagnostic, dispositif médical IA | Élevé |
| Santé | Chatbot patient informatif | Limité |
| Sécurité | Vidéosurveillance biométrique | Élevé (voire inacceptable) |
| Éducation | Évaluation automatisée des apprenants | Élevé |
| Marketing | Recommandation produit, personnalisation | Minimal |
| Support client | Chatbot GPT déclaré comme IA | Limité |
Règle pratique : si votre outil IA prend ou influence directement une décision ayant un impact significatif sur une personne (embauche, crédit, soin, sécurité), il est probablement à risque élevé.
Checklist de conformité AI Act pour PME
Avant le 2 août 2026, vérifiez les 10 points suivants :
- Inventaire complet de tous les systèmes IA utilisés dans l’entreprise
- Classification de risque documentée pour chaque système identifié
- Contrats fournisseurs vérifiés : l’éditeur SaaS fournit-il la documentation AI Act requise ?
- Personne référente désignée pour la conformité IA en interne (peut être le DPO ou le DSI)
- Procédure de supervision humaine formalisée pour les systèmes à risque élevé
- Registre des incidents IA créé (même vide initialement)
- Notice d’information utilisateurs rédigée pour les systèmes à transparence obligatoire (chatbots, etc.)
- Enregistrement EU AI Act Database effectué si applicable
- Formation minimale des équipes utilisant des outils IA classés risque élevé
- Procédure de retrait documentée : comment désactiver un système IA défaillant en urgence
Quelles sanctions en cas de non-conformité ?
L’AI Act prévoit trois niveaux d’amendes, appliquées par les autorités nationales compétentes (en France, la CNIL est en cours de désignation comme autorité pilote) :
| Infraction | Amende maximale |
|---|---|
| Utilisation d’un système IA interdit (risque inacceptable) | 35 millions € ou 7 % du CA mondial annuel |
| Non-respect des obligations pour risque élevé | 15 millions € ou 3 % du CA mondial annuel |
| Fourniture d’informations inexactes aux autorités | 7,5 millions € ou 1,5 % du CA mondial annuel |
Pour les PME, le plafond s’applique au pourcentage le plus bas. Une PME réalisant 5 M€ de CA s’expose à des amendes pouvant atteindre 350 000 € pour une infraction sur risque élevé — avant même les éventuels recours de personnes lésées.
Les autorités ont annoncé une période de tolérance progressive jusqu’en janvier 2027 pour les PME de bonne foi qui peuvent démontrer une démarche active de mise en conformité. Cette tolérance ne s’applique pas aux systèmes interdits.
Comment se mettre en conformité rapidement ?
Un plan d’action réaliste sur 4 semaines pour une PME sans équipe juridique dédiée :
Semaine 1 — Cartographier Listez tous vos outils numériques. Pour chacun, répondez : utilise-t-il de l’IA ? Prend-il des décisions automatisées ? Contactez vos éditeurs SaaS pour obtenir leur documentation AI Act.
Semaine 2 — Classifier et prioriser Identifiez les systèmes à risque élevé. Concentrez vos efforts sur ces outils. Pour les systèmes à risque limité, rédigez une notice de transparence simple (2-3 lignes suffisent pour informer les utilisateurs qu’ils interagissent avec une IA).
Semaine 3 — Documenter et organiser Désignez un référent interne. Créez un registre IA (format tableur ou Notion). Formalisez la procédure de supervision humaine. Archivez les échanges avec vos fournisseurs.
Semaine 4 — Vérifier et déclarer Vérifiez les 10 points de la checklist ci-dessus. Enregistrez vos systèmes à risque élevé dans la base EU AI Act si obligatoire. Planifiez une révision dans 6 mois.
FAQ
Mon éditeur SaaS dit que c’est lui qui est responsable de la conformité AI Act. Est-ce vrai ?
Partiellement. L’éditeur (fournisseur) est responsable de la conformité du système en tant que produit. Mais vous, en tant que déployeur, êtes responsable de l’usage que vous en faites, de la supervision humaine et de la transparence envers vos utilisateurs. Les deux responsabilités coexistent.
Nous utilisons ChatGPT ou Claude via API pour automatiser des tâches internes. Sommes-nous concernés ?
Si vous utilisez ces modèles pour des tâches internes à faible impact (résumés, rédaction, traduction), vous êtes généralement en risque minimal ou limité. En revanche, si vous construisez un système de prise de décision automatisée sur ces bases — par exemple un outil qui filtre des candidatures ou évalue des clients — vous devenez fournisseur d’un système à risque élevé et les obligations s’appliquent pleinement.
L’AI Act s’applique-t-il aux TPE de moins de 10 salariés ?
Oui, mais avec des allègements. Les micro-entreprises et PME bénéficient de guides simplifiés publiés par l’Union européenne, de délais de mise en conformité légèrement étendus, et les autorités sont instruites de proportionner les sanctions à la taille de l’entreprise. Cela ne signifie pas zéro obligation, mais une charge administrative réduite.
L’AI Act n’est pas une contrainte administrative de plus : c’est un cadre qui protège vos clients, vos salariés et votre entreprise contre les dérives des systèmes automatisés. Les PME qui anticipent cette conformité avant le 2 août 2026 transforment une contrainte en avantage compétitif vis-à-vis de concurrents moins préparés.
Vous souhaitez un diagnostic rapide de votre situation au regard de l’AI Act ? Contactez-nous pour un audit de conformité IA — nous identifions vos systèmes à risque et vous accompagnons dans la mise en conformité.
