Depuis l’entrée en application progressive de l’AI Act en août 2024, on a vu fleurir une nouvelle catégorie de prestataires : les experts AI Act. Comme les RGPD-compliance officers d’il y a sept ans, beaucoup vendent surtout de l’anxiété. La réalité réglementaire pour une PME qui utilise ChatGPT, Copilot ou un outil RAG interne est nettement moins effrayante que ce que prétend la quatrième de couverture du dernier livre blanc d’un cabinet de conseil.
On va démêler ça en deux temps : ce qui s’applique vraiment à vous, et ce qui n’a aucune chance de vous concerner. Spoiler : pour 95 % des usages, vous avez déjà fait 80 % du travail.
L’architecture de l’AI Act en 60 secondes
Le règlement européen 2024/1689 classe les systèmes d’IA en quatre niveaux de risque : inacceptable (interdit), élevé (lourdement encadré), limité (transparence obligatoire), minimal (libre). Le piège du débat public : tout le monde parle des deux premiers niveaux comme s’ils étaient la norme. Or 99 % des cas d’usage en PME tombent dans les deux derniers.
Le risque inacceptable concerne le social scoring à la chinoise, la manipulation cognitive subliminale, la reconnaissance d’émotions dans l’éducation et le travail, ou l’identification biométrique en temps réel dans les espaces publics. Si votre PME fait l’une de ces choses, on n’est plus dans un article de blog, on est dans un dossier pour la DGCCRF.
Le risque élevé vise les systèmes de tri de CV automatisé, le scoring de crédit, certains dispositifs médicaux, ou la sélection à l’éducation. Là on commence à toucher du concret pour des grosses ETI. Mais une PME qui demande à Claude de résumer un compte rendu de réunion, on est dans le risque minimal – c’est-à-dire libre de contraintes spécifiques.
Les trois obligations qui vous concernent vraiment
Si votre PME utilise des outils d’IA générative dans son workflow quotidien (rédaction d’e-mails, analyse de contrats, génération d’images marketing, support client, etc.), voici la liste exhaustive de ce que l’AI Act vous demande :
1. Le marquage des contenus générés par IA (article 50). Si vous publiez sur votre site une image, un texte ou une vidéo générée à plus de 50 % par une IA, vous devez le signaler de manière claire. Ce n’est pas un tampon « ATTENTION IA » au milieu de la page. Une mention discrète en bas d’article, une métadonnée dans le fichier, un disclaimer général dans vos mentions légales suffisent dans la majorité des cas. Pour les deepfakes (visages, voix), la mention doit être plus visible.
2. L’information des personnes interagissant avec un chatbot (article 50, §1). Si vous mettez en place un agent conversationnel sur votre site qui parle aux clients, vous devez les informer qu’ils discutent avec une IA et non un humain. Une phrase d’accueil suffit. Pas besoin de pop-up, pas besoin de consentement explicite.
3. La littératie IA des salariés (article 4). Voilà l’obligation la plus floue – et la plus intéressante. Toute organisation qui déploie de l’IA générative en interne doit s’assurer que ses collaborateurs disposent d’un niveau suffisant de connaissances sur les outils qu’ils utilisent. Pas de certification obligatoire, pas de quotas d’heures de formation. Mais en cas de litige, vous devrez prouver que vous avez fait l’effort. C’est exactement le terrain de jeu de notre Académie.
Le piège : confondre AI Act et RGPD
Beaucoup de PME pensent que parce qu’elles ont mis ChatGPT à disposition de leurs équipes, elles ont un problème d’AI Act. Faux. Si ce problème existe, il est d’abord RGPD. L’AI Act ne dit pas grand-chose sur le fait qu’un commercial colle un appel d’offre client confidentiel dans ChatGPT. Le RGPD, lui, hurle.
Le bon réflexe n’est donc pas de lancer un audit AI Act. C’est de remettre à jour vos chartes d’usage, votre politique de classification des données, et de mettre en place une instance d’IA générative « bunkérisée » (Azure OpenAI privé, Mistral via OVH, ou un Claude pour entreprise). L’AI Act suivra naturellement.
Le calendrier réel à connaître
L’AI Act s’applique par paliers. Les interdictions (risque inacceptable) sont en vigueur depuis février 2025. Les obligations sur les modèles à usage général (GPAI) sont entrées en application en août 2025. Les exigences pour les systèmes à haut risque seront pleinement applicables à partir d’août 2026. Pour 95 % des PME, c’est cette dernière date qui compte – et elle ne vous concerne probablement pas.
Les sanctions ? Jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial pour les interdictions. Jusqu’à 15 millions ou 3 % pour les non-conformités sur les systèmes à haut risque. Pour les obligations de transparence (votre cas), on est sur 7,5 millions ou 1,5 %. Sur le papier c’est dissuasif. En pratique, les premières amendes viseront évidemment les grosses plateformes, pas la PME de Mâcon qui a oublié de marquer ses visuels IA sur LinkedIn.
Le plan d’action pragmatique en 4 points
Pour rester serein sans bloquer vos projets, voici la checklist minimaliste qu’on recommande à nos clients PME :
D’abord, faites un inventaire honnête. Listez les 5 à 10 outils d’IA générative réellement utilisés dans votre organisation (ChatGPT, Gemini, Copilot, DeepL, des plugins WordPress, des modules métier comme Pennylane qui intègrent de l’IA). Vous serez surpris : la moitié sont des comptes perso non déclarés.
Ensuite, classez par criticité business. Distinguez ce qui touche à des données clients, des données RH, ou de la création publique. Le risque AI Act est concentré sur le dernier tiers.
Ajoutez les trois mentions légales obligatoires : marquage IA dans les CGU, info chatbot, ligne sur la formation IA dans votre politique RH. 3 paragraphes au total. Et formez vos key users – c’est l’investissement qui rapporte le plus, AI Act ou pas.
Le bon réflexe : moins de panique, plus de méthode
L’AI Act n’est pas un piège tendu aux PME. C’est un cadre qui se concentre sur les usages à fort impact sociétal, dont la quasi-totalité ne vous concernera jamais. On parle plus longuement de ce périmètre dans notre analyse sur l’illusion de l’IA souveraine. Vos vrais risques juridiques sur l’IA en 2026 restent : la fuite de données via les outils publics, la propriété intellectuelle des productions générées, et la responsabilité contractuelle quand vous livrez à un client un livrable issu d’IA sans le dire.
Le bon réflexe ce n’est pas de payer un cabinet 25 000 € pour un audit AI Act. C’est de mettre 30 minutes à votre Comex pour cartographier vos usages, et de former concrètement vos collaborateurs. Tout le reste suivra.
