Nancy · 03 72 61 04 67 WhatsApp
Gouvernance IA

AI Act et PME : ce qui change vraiment pour vous d'ici 2027

·Par Sébastien Rattanatay
Tableau de bord de conformité AI Act sur ordinateur avec checklist et calendrier 2025-2027

Mardi matin, 9 h. Votre responsable RH passe dans votre bureau, sourire en coin. Elle a fait trier 80 CV pour le poste de commercial par ChatGPT en moins de dix minutes. Quatre candidats retenus, présélection bouclée. Sauf qu’à cet instant précis, votre PME vient de mettre en service un système d’IA classé “haut risque” au sens du règlement européen sur l’intelligence artificielle. Et selon le calendrier officiel, ça doit être documenté, encadré et conforme à plusieurs obligations spécifiques d’ici le 2 août 2026.

L’AI Act, c’est le règlement européen 2024/1689 sur l’intelligence artificielle, entré en vigueur en août 2024 et qui s’applique par étapes jusqu’en 2027. Il vous concerne, même en PME de quinze personnes sans DSI. On vous dit pourquoi vous êtes concerné, à partir de quand et avec quel plan d’action. Pour notre approche complète sur le sujet, voir notre page gouvernance IA.

Mini-test : suis-je concerné par l’AI Act dans ma PME ?

L’AI Act classe les usages de l’IA en quatre niveaux de risque : interdit, haut risque, limité, minimal. Pour une PME, la question pratique est simple : sur quels usages êtes-vous en “haut risque” ? Le test ci-dessous couvre les cinq cas les plus fréquents.

Faites-vous l’un de ces 5 usages ?

  1. Tri de CV via IA (ChatGPT, outil RH avec module IA, plateforme de présélection automatique). → Haut risque. L’Annexe III de l’AI Act le précise explicitement.
  2. Évaluation de vos collaborateurs assistée par IA (notation, scoring, génération d’avis annuel). → Haut risque.
  3. Scoring client / segmentation décisionnelle (refus de crédit, refus d’assurance, priorisation de SAV). → Haut risque selon l’usage.
  4. Génération de contenu marketing (articles, posts LinkedIn, emails) avec ChatGPT. → Risque limité. Obligation de transparence uniquement.
  5. Chatbot service client ou support interne alimenté par IA. → Risque limité. Obligation d’indiquer à l’utilisateur qu’il discute avec une IA.

Si vous cochez UN seul des trois premiers, vous êtes concerné par les obligations “haut risque” du règlement. Honnêtement, peu de PME aujourd’hui n’en cochent aucun. Pour creuser ce qui se passe déjà chez vous, voir notre article sur le Shadow AI dans votre PME.

Le calendrier AI Act, étape par étape

L’AI Act s’applique par paliers. Voici les dates qui comptent pour vous.

2 février 2025 : déjà en vigueur

Trois choses sont déjà entrées en application :

  • Les interdictions strictes (notation sociale, manipulation subliminale, exploitation des vulnérabilités).
  • Les définitions générales du règlement.
  • L’Article 4 : alphabétisation IA. Toute entreprise qui utilise un système d’IA, peu importe sa taille, doit former ses équipes à un niveau suffisant de compréhension de l’IA. Les sanctions, elles, démarrent en août 2026.

2 août 2025 : règles IA usage général

Les modèles d’IA à usage général (GPAI) entrent dans le cadre : ChatGPT, Claude, Gemini, Mistral. Les éditeurs doivent documenter leurs modèles. Les États membres désignent leurs autorités de contrôle. Côté PME utilisatrice, peu d’impact direct.

2 août 2026 : la date qui change tout pour une PME

C’est la date charnière. Toutes les règles applicables aux systèmes d’IA à haut risque entrent en application. Si vous utilisez un des trois premiers usages du mini-test, c’est cette date qui vous concerne. Les obligations de transparence pour les IA à risque limité s’appliquent aussi.

2 août 2027 : haut risque embarqué

Les IA haut risque intégrées dans des produits régulés (jouets, dispositifs médicaux, équipements industriels) entrent dans le cadre. Pour une PME standard, ça concerne peu d’usages directs.

Les obligations qui vous concernent vraiment en tant que PME

Tout l’AI Act ne s’applique pas à vous. Sur les sujets qui s’appliquent, voilà ce qui change.

La formation IA, déjà obligatoire

L’Article 4 du règlement vous demande de garantir un niveau suffisant de “littératie IA” à toute personne qui manipule un outil d’IA dans le cadre professionnel. Le règlement ne précise ni la durée, ni le format, ni la fréquence. C’est à vous de l’organiser selon votre contexte. Ce qui compte, c’est de documenter les actions menées : qui a été formé, quand, sur quoi. C’est ce dossier qui fera foi en cas de contrôle après août 2026.

Si vous faites du recrutement assisté par IA

Au-delà du 2 août 2026, plusieurs obligations s’imposent :

  • Information des candidats : ils doivent savoir qu’une IA intervient dans le processus.
  • Supervision humaine effective : une décision de refus ne peut pas être entièrement automatisée. Un recruteur humain doit pouvoir revoir, corriger, justifier.
  • Analyse d’impact préalable (FRIA, Fundamental Rights Impact Assessment) avant déploiement.
  • Journalisation des décisions : les logs doivent être conservés pour audit.

Si vous utilisez l’IA pour évaluer vos collaborateurs

Mêmes obligations que pour le recrutement, plus une consultation préalable du CSE si vous en avez un, et information individuelle des salariés concernés. Le RGPD continue de s’appliquer en parallèle.

La transparence, pour tous les autres usages IA

Vous utilisez un chatbot, vous générez du contenu IA pour votre site, vous synthétisez des réunions ? Obligations minimales : informer l’utilisateur qu’il interagit avec une IA, et marquer les contenus générés artificiellement (notamment images, vidéos et audio synthétiques).

Les sanctions : ce que vous risquez vraiment

Le règlement prévoit trois niveaux de sanctions, calibrés sur le CA mondial.

Le barème officiel

  • Pratiques interdites (notation sociale, manipulation, etc.) : jusqu’à 35 millions d’euros ou 7 % du CA mondial.
  • Non-conformité haut risque : jusqu’à 15 millions d’euros ou 3 % du CA mondial.
  • Informations incorrectes aux autorités : jusqu’à 7,5 millions d’euros ou 1 % du CA mondial.

À retenir : c’est le montant LE PLUS ÉLEVÉ entre la somme fixe et le pourcentage qui s’applique. Pour une PME de 5 M€ de CA, le risque max sur le haut risque, c’est 150 000 €. Franchement, ça vaut la peine de s’organiser.

Au-delà des amendes

Le risque amende n’est qu’une partie du tableau. Sur le terrain, ce qui touche en premier une PME, c’est :

  • L’assureur, qui demande de plus en plus de preuves de conformité IA avant de renouveler un contrat cyber.
  • Les gros clients, qui ajoutent des clauses AI Act dans leurs contrats fournisseurs.
  • Le CSE et les organisations syndicales, qui peuvent saisir l’inspection du travail si l’IA est utilisée sans information préalable.
  • La réputation, en cas de fuite ou de plainte publique.

Le plan d’action AI Act en 90 jours pour une PME

Cadrer la conformité AI Act ne demande pas un projet de six mois. Voici un plan en trois étapes, calé sur trois mois.

Mois 1 : cartographier vos usages IA actuels

Avant d’agir, savoir où vous en êtes. Quels outils IA sont utilisés chez vous, par qui, pour quoi. Un questionnaire anonyme à vos équipes vous donne 80 % de la réponse en une semaine.

Mois 2 : former vos équipes (Article 4)

L’obligation est déjà active depuis février 2025. Une session collective de deux heures, animée par un formateur compétent (en interne ou via un prestataire Qualiopi), couvre largement le périmètre exigé. Documentez : feuille de présence, supports, attestation par participant. Ce dossier sera votre preuve en cas de contrôle.

Mois 3 : documenter et encadrer

Trois livrables à produire :

  • Une charte d’usage IA d’une page (qui peut utiliser l’IA, sur quoi, avec quelles données interdites). Voir notre modèle de charte d’usage IA en une page.
  • Un inventaire des systèmes IA à haut risque que vous utilisez, avec leur fournisseur et leur statut de conformité.
  • Une procédure simple d’analyse d’impact (FRIA) pour les nouveaux usages haut risque que vous déploierez.

Le diagnostic, pour démarrer sans vous tromper

Notre diagnostic offert prend une heure dans vos locaux. On cartographie vos usages IA, on identifie ce qui tombe en haut risque, et on vous remet un plan d’action priorisé sur 90 jours. C’est sans engagement.

L’AI Act n’est pas un sujet de grande entreprise

Il est déjà chez vous, sous forme d’obligations actives depuis février 2025 et d’obligations renforcées à partir d’août 2026. La bonne nouvelle, c’est que pour une PME, le plan tient en trois mois : cartographier, former, documenter. Vos équipes gagnent en clarté, vous récupérez de quoi répondre à votre assureur, votre gros client ou un éventuel contrôle.

À Nancy et dans tout le Grand Est, on accompagne les PME comme la vôtre. Le diagnostic AI Act est offert et il prend une heure. Réservez votre créneau, on s’occupe du reste.

FAQ

Questions fréquentes

Une autre question ? On répond en moins de 4 h en heures ouvrées.

L'AI Act s'applique-t-il à une PME de 10 personnes ?
Oui. Le règlement ne fait aucune distinction de taille. Toute entreprise qui utilise un système d'IA dans un contexte professionnel est concernée, qu'elle ait 5 ou 5000 salariés. Les obligations sont identiques. Seules les capacités de mise en conformité varient selon la taille.
Si je n'utilise que ChatGPT en interne, suis-je concerné ?
Oui, mais à un niveau limité. ChatGPT en usage général (rédaction, synthèse, brainstorming) relève du risque limité ou minimal. Vos obligations se résument à la formation (Article 4) et à la transparence (informer vos utilisateurs si vous générez du contenu IA pour eux). Le passage en haut risque arrive uniquement si vous utilisez ChatGPT pour automatiser des décisions RH, des évaluations ou du scoring client.
Combien coûte la mise en conformité AI Act pour une PME ?
Pour une PME de 15 à 35 personnes, comptez, en gros, entre 3 000 € et 10 000 € de mise en place selon le niveau d'accompagnement. La formation est finçable via votre OPCO si vous passez par un prestataire Qualiopi. À comparer aux 150 000 € d'amende potentielle ou à la perte d'un gros client qui exigerait la conformité.
Que faire si l'outil RH IA est fourni par un éditeur tiers ?
Vous êtes "déployeur", pas "provider". Vos obligations sont allégées mais existent : information des utilisateurs, supervision humaine, conservation des logs fournis par l'éditeur. Exigez de votre éditeur sa documentation de conformité (déclaration de conformité, fiche technique) et conservez-la. Si l'éditeur n'est pas en règle, votre responsabilité reste engagée.