L'EU AI Act pour les PME : ce que vous devez vraiment faire avant août 2026

L'EU AI Act classe chaque système d'IA dans l'une de quatre cases de risque, et la charge de conformité est strictement proportionnelle à la case. La plupart des PME s'inquiètent pour la mauvaise case, ce qui gaspille le budget juridique sur des risques qu'elles n'ont pas et laisse une vraie exposition non traitée. Avant de dépenser un euro en conformité, sachez dans quelle case vous êtes.

Les quatre catégories sont risque inacceptable, haut risque, risque limité et risque minimal. Les systèmes à risque inacceptable sont purement interdits : notation sociale par les autorités publiques, certaines applications de police prédictive, reconnaissance émotionnelle au travail ou à l'école, scraping non ciblé d'images faciales pour des bases de données biométriques. Si vous lisez ceci parce que vous dirigez une entreprise logistique de 150 personnes ou un cabinet d'avocats de 40 personnes, vous ne construisez rien de tout cela. Vous pouvez sauter cette catégorie.

Le haut risque est là où les opérateurs PME se font piéger

Les systèmes à haut risque portent les obligations les plus lourdes : documentation, gestion des risques, supervision humaine, transparence, gouvernance des données, tests de précision et de robustesse, inscription à la base de données de l'UE. La catégorie inclut l'IA utilisée dans les décisions d'emploi (embauche, licenciement, notation de performance), l'accès aux services essentiels (crédit, assurance, prestations publiques), l'évaluation en éducation, l'application de la loi et les infrastructures critiques. Elle inclut aussi tout système d'IA qui fonctionne comme un composant de sécurité d'un produit réglementé : dispositifs médicaux, jouets, machines, véhicules.

La plupart de l'automatisation des processus se situe dans la catégorie risque limité ou risque minimal, mais les cas limites comptent. Un outil IA qui trie des CV est à haut risque. Un outil IA qui rédige des réponses aux plaintes clients est à risque limité. Un outil IA qui résume des notes de réunion internes est à risque minimal. Le même fournisseur peut produire des systèmes dans trois cases différentes.

• Le risque limité couvre les systèmes qui interagissent avec des humains, génèrent du contenu synthétique, ou utilisent la reconnaissance émotionnelle dans des contextes non réglementés. Obligation : transparence (dire à l'utilisateur qu'il interagit avec une IA).
• Le risque minimal couvre tout le reste : filtres anti-spam, moteurs de recommandation, prévision de stocks, la plupart de l'automatisation back-office. Obligation : aucune, au-delà des codes de conduite volontaires.

La liste des déclencheurs de haut risque dans l'Annexe III de l'Acte est précise et limitée. Ce n'est pas une ambiance. Les fournisseurs et consultants vendent de la panique en laissant entendre que tout usage sérieux de l'IA est à haut risque. Ce n'est pas le cas. La catégorie est énumérée, et si votre cas d'usage n'est pas sur la liste ou ne fonctionne pas comme un composant de sécurité d'un produit réglementé, vous n'êtes pas à haut risque.

L'Annexe III couvre huit domaines énumérés : identification biométrique, infrastructures critiques, éducation et formation, emploi et gestion des travailleurs, accès aux services essentiels, application de la loi, migration et contrôle des frontières, et administration de la justice. Les secteurs sont spécifiques et les cas d'usage à l'intérieur de chaque secteur sont encore resserrés. Une IA qui recommande une formation à un salarié est dans le périmètre. Une IA qui prévoit le besoin d'embauche du prochain trimestre au niveau département ne l'est pas.

La rumeur qui piège les PME

Une erreur de lecture courante : « nous utilisons l'IA en RH, donc nous sommes à haut risque ». Pas automatiquement. Les cas d'usage RH qui sont à haut risque au sens de l'Acte sont ceux qui affectent directement l'embauche, le licenciement, la promotion, l'allocation de tâches, ou le suivi de performance d'individus. Un chatbot qui répond aux questions des salariés sur la politique de congés n'est pas dans le périmètre. Un outil qui résume les entretiens de candidats pour le recruteur n'est pas automatiquement dans le périmètre, selon que le résumé fonctionne comme un intrant de décision ou non. Un outil qui note les candidats et les classe est dans le périmètre.

La seconde rumeur : « si nous traitons des données personnelles avec l'IA, nous sommes à haut risque au sens de l'AI Act ». Non. Ça, c'est le RGPD. L'AI Act se superpose au RGPD, il ne le remplace pas. Un système peut être pertinent RGPD et à risque minimal AI Act, ou l'inverse. Traitez-les comme deux régimes parallèles.

Si vous avez conclu que le système est à haut risque, l'ensemble d'obligations est concret et documentable. Six artefacts couvrent l'essentiel de ce qu'un régulateur ou un auditeur demandera. Aucun ne nécessite un consultant spécialisé si le système est bien compris en interne.

1. Documentation du système de gestion des risques

Une description écrite des risques que le système pose pour la santé, la sécurité et les droits fondamentaux. Les atténuations en place. Le risque résiduel après atténuation. La cadence de revue. Pour une entreprise de 200 personnes, c'est un document de cinq à dix pages, pas un traité de quatre-vingt-dix pages.

2. Documentation de gouvernance des données et données d'entraînement

Sur quelles données le système a été entraîné (si vous l'avez construit), ou sur quelles données il opère (si vous le déployez). Contrôles de qualité des données. Résultats des tests de biais. Gestion des catégories spéciales de données. Si vous êtes un déployeur d'un système tiers, c'est surtout le travail du fournisseur, mais vous documentez ce que le fournisseur vous a dit.

3. Documentation technique

Comment le système fonctionne à un niveau suffisant pour qu'un régulateur évalue la conformité. Architecture, finalité, métriques de précision, limites. Encore une fois, si vous êtes un déployeur, le fournisseur fournit l'essentiel de cela et vous en conservez une copie.

4. Journaux

Journalisation automatique du fonctionnement du système, conservée au moins six mois (ou plus dans certains secteurs). C'est une capacité de plateforme, pas un document que vous écrivez. Confirmez que votre fournisseur le fournit ou construisez-le en interne si vous déployez en interne.

5. Transparence et instructions d'usage

Si vous êtes un fournisseur, vous fournissez des instructions aux déployeurs. Si vous êtes un déployeur, vous documentez comment le système est réellement utilisé dans votre contexte et vous assurez que les individus concernés sont informés quand c'est requis.

6. Dispositifs de supervision humaine

Qui supervise le système. Ce qu'ils sont formés à faire. Quand ils interviennent. Comment ils peuvent outrepasser les sorties. Pour la plupart des déploiements PME, c'est un humain nommé avec un processus écrit, pas une équipe de réviseurs.

La plupart des déploiements IA en PME se situent en risque limité, et les obligations y sont modestes mais réelles. Ignorez-les et vous créez une exposition trivialement prouvable en audit. Le devoir central est la transparence : l'utilisateur doit savoir qu'il interagit avec une IA, et le contenu généré par l'IA doit être étiqueté là où l'utilisateur serait autrement trompé.

En pratique, cela signifie quelques choses concrètes. Si votre service client utilise un chatbot IA, le chatbot dit qu'il est une IA. Si vous utilisez l'IA pour générer des descriptions produit et que ces descriptions sont destinées aux consommateurs dans des marchés où cela compte, vous les étiquetez comme générées par IA. Si vous utilisez l'IA pour éditer des images de personnes réelles (usages proches du deepfake), vous les étiquetez. Les obligations pèsent sur le déployeur, qui dans la plupart des cas est vous, pas le fournisseur.

Supervision humaine là où elle n'est pas strictement requise

Même quand l'Acte n'exige pas de supervision humaine, le défaut raisonnable pour toute sortie générée par IA qui atteint un client, un régulateur ou un salarié est un point de contrôle humain. Ce n'est pas une exigence légale pour le risque limité, c'est une exigence de qualité. Les entreprises qui sautent le point de contrôle sont celles qui découvrent six mois plus tard que leur générateur de contrats IA a inséré la même erreur de clause dans chaque accord.

• Les chatbots IA doivent divulguer qu'ils sont des IA avant ou pendant l'interaction.
• Les images, vidéos et audios générés par IA qui pourraient être pris pour réels doivent être étiquetés.
• Le texte synthétique qui pourrait induire en erreur (un faux avis, un faux témoignage) est couvert par le droit de la consommation indépendamment du statut AI Act.
• Les usages internes (rédaction, résumé, analyse) n'ont pas d'obligation de divulgation, mais la plupart des entreprises adoptent une politique interne de toute façon.

La structure de sanctions de l'Acte paraît terrifiante sur le papier et est structurée pour monter en échelle avec la taille de l'entreprise. Les chiffres affichés supposent des contrevenants à l'échelle entreprise. L'exposition PME est plus petite en valeur absolue mais pas nulle, et les dégâts de réputation d'un constat public montent indépendamment de l'amende.

Amendes maximales : 35 millions d'euros ou 7 pour cent du chiffre d'affaires annuel mondial (le plus élevé des deux) pour les violations d'IA interdite. 15 millions ou 3 pour cent pour la plupart des autres violations. 7,5 millions ou 1 pour cent pour fourniture d'informations fausses aux régulateurs. Pour les PME, l'Acte instruit les autorités à prendre en compte la taille et les circonstances de l'entreprise, et pour les micro-entreprises, les plafonds s'appliquent sur la plus basse des deux valeurs plutôt que sur la plus haute. L'effet pratique pour une entreprise de 50 personnes est que les sanctions montent à quelque chose de survivable, pas au niveau de la faillite.

Calendrier en clair

1. 2 février 2025 : pratiques d'IA interdites bannies. Déjà en vigueur.
2. 2 août 2025 : obligations pour les modèles d'IA à usage général en vigueur. Côté fournisseur.
3. 2 août 2026 : obligations pour les systèmes d'IA à haut risque au titre de l'Annexe III s'appliquent. C'est l'échéance qui compte pour la plupart des déployeurs PME.
4. 2 août 2027 : obligations pour les systèmes à haut risque qui sont des composants de sécurité de produits réglementés (dispositifs médicaux, machines, etc.) s'appliquent.

Ce que les dispositions PME vous accordent réellement

L'Acte précise des mécanismes de soutien pour les PME et les startups : accès prioritaire aux bacs à sable réglementaires, options de documentation simplifiée, assistance gratuite ou peu coûteuse à l'évaluation de conformité dans certains États membres, campagnes de sensibilisation et programmes de formation des autorités nationales. Aucun ne vous exempte de la conformité de fond. Ils réduisent le coût et la complexité pour atteindre la conformité.

À quatre mois de l'échéance d'août 2026, le travail d'un starter pack suffit pour la plupart des déployeurs PME. Vous n'avez pas besoin d'une mission de conseil. Vous avez besoin d'un inventaire discipliné et d'un arbre de décision, porté par une personne qui y consacre trente pour cent de son temps.

Semaines 1 à 2 : inventaire

Listez chaque système d'IA en usage actif. Incluez les outils SaaS que vos équipes ont adoptés sans processus d'achat formel (le problème du shadow AI). Pour chaque système, enregistrez : fournisseur, cas d'usage, qui décide avec, s'il produit des sorties qui affectent une personne spécifique. Cet inventaire est l'artefact le plus important que vous produirez. Tout le reste en découle.

Semaines 3 à 4 : classification

Pour chaque système de l'inventaire, attribuez une catégorie de risque. Haut, limité ou minimal. Utilisez l'Annexe III de l'Acte comme référence. Pour les cas incertains, obtenez une consultation d'une heure avec un avocat spécialisé en vie privée ou en IA ; en 2026, cela coûte 300 à 600 euros pour un spécialiste qualifié. Documentez la justification de chaque classification, pas seulement la conclusion.

Semaines 5 à 8 : fermer les écarts sur les systèmes à haut risque

Pour chaque système à haut risque, déroulez la liste des six documents de la section 3 de ce guide. Dans la plupart des cas, trois des six documents sont fournis par le fournisseur et vous en gardez des copies. Les trois autres (votre gestion des risques, vos dispositifs de supervision, votre documentation technique côté déployeur) vous les écrivez vous-même.

Semaines 9 à 12 : transparence et supervision pour le risque limité

Pour chaque système à risque limité, ajoutez la divulgation là où elle manque. Mettez à jour les scripts de chatbot, les descriptions produit, les workflows de génération d'images. Rédigez une politique interne d'usage de l'IA sur une page qui couvre l'IA orientée salariés et la revue humaine attendue. C'est bon marché et cela ferme le constat d'audit le plus courant.

L'Acte trace une ligne nette entre fournisseurs (qui mettent des systèmes d'IA sur le marché) et déployeurs (qui les utilisent dans leurs opérations). La plupart des PME sont des déployeurs presque tout le temps. Comprendre la ligne vous évite de payer pour un travail de conformité qui n'est pas votre responsabilité légale et vous évite de supposer que le fournisseur a couvert quelque chose qu'il n'a pas couvert.

Le fournisseur est propriétaire de la documentation technique, de l'évaluation de conformité, du marquage CE (là où applicable), du suivi post-marché des performances de son système en environnement réel, et de l'inscription à la base de données de l'UE pour les systèmes à haut risque. Si vous achetez un outil de processus IA à un fournisseur, ces obligations sont les siennes, et la capacité du fournisseur à répondre à vos questions sur la conformité est elle-même un signal de son sérieux.

Le déployeur est propriétaire de l'usage

Le déployeur est propriétaire du déploiement spécifique : la finalité dans son contexte, le dispositif de supervision humaine, les données qu'il alimente au système, les instructions qu'il donne à ses salariés, les notices de transparence aux individus concernés. Un fournisseur ne peut pas prendre en charge ces obligations pour vous. Elles vivent à l'intérieur de votre opération par définition.

• Demandez au fournisseur : extrait de documentation technique, description de la gouvernance des données, déclarations de précision et de limites, instructions d'usage, déclaration de conformité ou déclaration UE de conformité pour les systèmes à haut risque.
• Vous conservez et produisez : évaluation des risques dans votre contexte, dispositif de supervision humaine, politique d'usage interne, notices de transparence pour vos utilisateurs ou clients, journaux de fonctionnement réel du système dans votre opération.
• Quand la responsabilité devient floue : si vous fine-tunez un modèle à usage général sur vos données, vous pouvez devenir fournisseur d'un nouveau système à haut risque. C'est l'escalade involontaire la plus courante que nous voyons.