Guide AI Act pour les PME : ce qui s'applique vraiment.

Introduction

L'AI Act (Règlement UE 2024/1689) est entré en vigueur le 1er août 2024 avec une application progressive jusqu'en 2027. Pour les PME francophones qui déploient ou utilisent des systèmes d'intelligence artificielle, la question n'est plus « allons-nous être concernés » mais « qu'est-ce qui s'applique concrètement à nous aujourd'hui ». Ce guide répond à cette question de manière pratique, sans jargon juridique inutile.

La bonne nouvelle : la grande majorité des PME de services (cabinets comptables, bureaux d'études, ESN, cabinets d'avocats) n'utilisent pas de systèmes à haut risque au sens de l'AI Act. Cela ne signifie pas qu'il n'y a rien à faire. Cela signifie que vos obligations sont ciblées et gérables avec une méthode structurée en quelques semaines.

Ce guide couvre les 4 niveaux de risque, les cas d'usage PME les plus courants, une checklist de conformité en 12 points, le calendrier des obligations 2026-2027, et une FAQ courte sur les questions que posent le plus souvent nos clients. Il est conçu pour être lu et utilisé par un dirigeant ou un directeur financier, pas uniquement par un DSI.

Les 4 niveaux de risque AI Act

L'AI Act classe les systèmes d'IA en quatre catégories selon leur niveau de risque potentiel pour les droits fondamentaux et la sécurité des personnes. Cette classification détermine directement le niveau d'obligation qui s'applique à votre organisation.

Risque inacceptable (interdit depuis février 2025)

Ces pratiques sont simplement interdites sur le territoire de l'Union européenne. Elles incluent les systèmes de notation sociale, les systèmes de surveillance biométrique en temps réel dans les espaces publics (sauf exceptions sécurité nationale), les systèmes qui manipulent le comportement humain à l'insu des personnes concernées, et les systèmes qui exploitent les vulnérabilités de groupes spécifiques. Aucune PME de services standard n'utilise de tels systèmes. Si votre prestataire vous propose quelque chose qui ressemble à l'une de ces catégories, c'est un signal d'alarme immédiat.

Haut risque (obligations strictes)

Les systèmes à haut risque sont listés dans l'Annexe III de l'AI Act. Ils couvrent des domaines comme l'infrastructure critique, l'éducation et la formation professionnelle, l'emploi et la gestion des travailleurs, l'accès aux services essentiels, le maintien de l'ordre, la migration et la gestion des frontières, et l'administration de la justice. Dans ce périmètre, on trouve par exemple les systèmes de scoring de CV pour le recrutement, les systèmes d'évaluation de solvabilité pour les prêts, et les systèmes d'aide à la décision médicale. Si votre PME utilise un tel système, les obligations incluent une évaluation de conformité avant mise sur le marché, une documentation technique complète, un système de journalisation, une supervision humaine effective, et un enregistrement dans une base de données EU.

Risque limité (obligations de transparence)

Cette catégorie concerne principalement les chatbots, les deepfakes et les systèmes qui interagissent avec des humains sans que ces derniers en soient informés. L'obligation principale est la transparence : vous devez informer les utilisateurs qu'ils interagissent avec un système d'IA. Si votre PME déploie un chatbot de service client ou un assistant IA pour répondre aux demandes entrantes, cette obligation s'applique. C'est simple à mettre en œuvre : un message clair "Vous êtes en train d'interagir avec un assistant IA" suffit dans la plupart des cas.

Risque minimal (pas d'obligation spécifique AI Act)

La grande majorité des usages IA en PME tombent dans cette catégorie. Les filtres anti-spam, les systèmes de recommandation de contenus, les outils de détection de fraude interne, les assistants de productivité (résumés, reformulation, aide à la rédaction), les outils de traduction automatique : tout cela relève du risque minimal. Pas d'obligation spécifique AI Act, mais le RGPD continue de s'appliquer si des données personnelles sont traitées.

Ce qui s'applique à votre PME concrètement

Prenons les cas d'usage IA les plus courants dans les PME de services francophones et voyons ce que l'AI Act implique pour chacun.

Cas 1 : chatbot de service client ou d'accueil

Niveau de risque : limité. Obligation principale : transparence. Vous devez informer l'utilisateur qu'il interagit avec un agent IA. Cette information doit être donnée de manière claire et intelligible, au plus tard au moment du premier échange. La mention peut être dans l'interface, dans le premier message du bot, ou dans les conditions d'utilisation bien visibles. Recommandation UPia : ajouter un label "Assistant IA" dans l'interface et une phrase d'accueil explicite. Délai de mise en conformité : immédiat, applicable depuis août 2025.

Cas 2 : scoring ou évaluation automatisée (clients, fournisseurs, candidats)

Niveau de risque : potentiellement haut risque si le scoring influence des décisions significatives sur les personnes. Si votre système de scoring est utilisé pour des décisions d'embauche, d'accès au crédit ou d'accès à des services essentiels, vous êtes probablement en zone haut risque. Obligations : évaluation de conformité, documentation technique, supervision humaine explicite, mécanisme de recours. Si le scoring est purement interne (priorisation de leads commerciaux, évaluation de portefeuille client sans impact sur les droits des personnes), vous êtes généralement en risque minimal. La ligne de démarcation est : est-ce que ce système prend ou influence des décisions qui affectent les droits ou opportunités d'une personne physique ?

Cas 3 : outils de génération de contenu (GenAI)

Les outils GenAI (GPT, Claude, Gemini) utilisés en interne pour la productivité (rédaction, résumés, reformulation, aide au code) relèvent généralement du risque minimal. Si vous utilisez GenAI pour produire du contenu à destination du public (publications, rapports, communications client), l'obligation de transparence peut s'appliquer selon le contexte. Les contenus générés par IA et présentés comme du contenu humain doivent être signalés. En pratique, dans un contexte B2B PME, l'utilisation de GenAI comme outil de productivité interne n'engendre pas d'obligation AI Act spécifique, mais documentez votre usage dans votre registre interne.

Cas 4 : automatisation de processus internes (facturation, RH, reporting)

Les agents IA qui automatisent des processus internes (génération de factures, extraction de données, reporting automatique) relèvent généralement du risque minimal à limité. Les obligations principales sont : RGPD si des données personnelles sont traitées, documentation interne de l'agent, journalisation des décisions automatiques. Si l'agent prend des décisions ayant un impact direct sur des personnes (versement de salaires, décisions disciplinaires), une supervision humaine explicite est fortement recommandée même en dehors du périmètre haut risque strict.

Cas 5 : RAG et recherche documentaire interne

Les systèmes RAG (Retrieval-Augmented Génération) qui permettent à votre équipe de questionner une base documentaire interne (contrats, procédures, notes techniques) relèvent du risque minimal. Pas d'obligation AI Act spécifique. Veillez cependant à : sécuriser l'accès (RBAC), journaliser les requêtes si nécessaire à des fins d'audit interne, et vérifier que les documents sources ne contiennent pas de données personnelles non anonymisées si le système est accessible à du personnel non habilité.

Cas 6 : analyse prédictive et aide à la décision

Les systèmes d'aide à la décision qui produisent des prédictions (churn, prévision de trésorerie, scoring de risque projet) sont en général du risque minimal si la décision finale reste humaine et explicite. L'AI Act distingue les systèmes "aide à la décision" (humain décide in fine) des systèmes "prise de décision automatisée" (le système décide seul). Si votre système est dans la première catégorie, documentez la supervision humaine. Si votre système prend des décisions automatiques avec impact sur des personnes, vous approchez du haut risque.

Checklist conformité 12 points

Cette checklist couvre les actions prioritaires pour une PME qui commence sa mise en conformité AI Act. Elle n'est pas exhaustive pour les systèmes à haut risque, mais couvre l'essentiel pour les PME utilisatrices (pas développeuses) de systèmes IA.

1. Inventaire des systèmes IA : listez tous les systèmes IA utilisés dans votre organisation (outils SaaS inclus, pas uniquement les développements internes).
2. Classification de niveau de risque : pour chaque système, identifiez sa catégorie AI Act (inacceptable / haut risque / limité / minimal).
3. Transparence chatbot : vérifiez que tous vos chatbots et assistants IA en interaction avec des tiers affichent clairement leur nature artificielle.
4. Supervision humaine : pour chaque système qui prend ou influence des décisions impactant des personnes, documentez le processus de supervision humaine.
5. Journalisation : mettez en place une journalisation des décisions automatiques, au minimum pour les systèmes haut risque.
6. Documentation technique : pour les systèmes haut risque, produisez ou obtenez la documentation technique requise par l'AI Act.
7. RGPD alignment : vérifiez que votre DPIA (Data Protection Impact Assessment) couvre les usages IA impliquant des données personnelles.
8. Registre AI Act interne : créez un registre interne documentant vos systèmes IA, leur niveau de risque, et vos mesures de conformité.
9. Formation équipes : formez les équipes qui utilisent des systèmes IA aux obligations de base et aux limites des outils.
10. Contrats fournisseurs : vérifiez que vos contrats avec les fournisseurs IA (OpenAI, Anthropic, éditeurs SaaS) incluent des clauses de conformité AI Act.
11. Mécanisme de recours : pour les systèmes impactant des personnes, documentez le mécanisme permettant à une personne de contester une décision automatique.
12. Révision annuelle : planifiez une révision annuelle de votre registre et de votre conformité, en lien avec les mises à jour de l'AI Act et l'évolution de vos systèmes.

Calendrier des obligations 2026-2027

L'AI Act s'applique de manière progressive. Voici les étapes clés pour les PME utilisatrices de systèmes IA.

• Février 2025 : interdiction des pratiques d'IA à risque inacceptable. Si vous utilisez l'un de ces systèmes (notation sociale, surveillance biométrique en temps réel, manipulation comportementale), vous devez avoir cessé depuis cette date.
• Août 2025 : obligations de transparence pour les systèmes à risque limité (chatbots, deepfakes). L'information aux utilisateurs sur la nature IA du système est obligatoire.
• Août 2026 : obligations complètes pour les systèmes à haut risque. Documentation technique, évaluation de conformité, enregistrement dans la base de données EU, supervision humaine formalisée.
• Août 2027 : obligations pour les systèmes d'IA générale à usage général (GPAI). Concerne principalement les développeurs et fournisseurs de modèles fondamentaux, moins les PME utilisatrices.

Pour la grande majorité des PME de services, l'échéance critique est août 2026 si elles utilisent des systèmes à haut risque. Si vos usages sont classifiés risque limité ou minimal, les obligations de transparence (août 2025) sont la priorité immédiate.

Comment se faire accompagner

La mise en conformité AI Act n'est pas un projet juridique abstrait. C'est un projet opérationnel qui commence par un inventaire de vos systèmes et se traduit par de la documentation, des ajustements d'interfaces, et des processus de supervision clairs. UPia accompagne les PME sur ces trois dimensions : inventaire et classification, documentation technique et registre AI Act, et ajustements opérationnels.

Notre Audit IA intègre systématiquement un volet conformité : classification AI Act de vos systèmes existants ou planifiés, identification des obligations applicables, et production d'un registre conforme prêt à l'emploi. À la livraison de tout projet agent, la documentation conformité est incluse dans les livrables.

FAQ courte

Mon PME est-elle concernée par l'AI Act ?

Oui, si vous utilisez des systèmes d'IA dans l'Union européenne, vous êtes concerné. Le niveau d'obligation dépend du niveau de risque du système. La grande majorité des PME de services utilisent des systèmes à risque minimal ou limité, avec des obligations légères. L'inventaire de vos systèmes est la première étape pour le savoir.

Quand les obligations entrent-elles en vigueur ?

Les pratiques interdites (risque inacceptable) sont interdites depuis février 2025. Les obligations de transparence (risque limité) s'appliquent depuis août 2025. Les obligations pour les systèmes à haut risque entrent en vigueur en août 2026. Planifiez votre mise en conformité maintenant si vous n'avez pas encore démarré.

Qu'est-ce que la documentation technique obligatoire AI Act ?

Pour les systèmes à haut risque, l'AI Act exige une documentation décrivant les caractéristiques du système, les données utilisées, les tests de performance, les mesures de supervision humaine et un registre de conformité. UPia produit cette documentation à chaque livraison de projet agent. Si vous utilisez un système haut risque d'un fournisseur tiers, ce dernier doit vous fournir cette documentation.