📑 Sommaire
Le 2 août 2026, les obligations les plus lourdes de l'EU AI Act entreront en vigueur pour les systèmes d'IA à haut risque. Pourtant, la majorité des PME françaises n'ont pas commencé leur mise en conformité. Certaines ne savent même pas qu'elles sont concernées.
Cet article est un guide pratique. Pas de jargon juridique, pas de théorie — uniquement ce que vous devez savoir et faire pour préparer votre PME avant la deadline.
1. Qu'est-ce que l'EU AI Act ?
L'EU AI Act (Règlement (UE) 2024/1689) est le premier cadre réglementaire mondial sur l'intelligence artificielle. Adopté par l'Union européenne en 2024, il encadre le développement, le déploiement et l'utilisation de l'IA au sein de l'UE.
Son objectif : garantir que l'IA utilisée en Europe est sûre, transparente, et respectueuse des droits fondamentaux. Il s'applique à toute entreprise qui développe, déploie ou utilise des systèmes d'IA dans l'Union européenne — quelle que soit sa taille.
Point clé : l'EU AI Act ne concerne pas uniquement les entreprises technologiques. Si vos employés utilisent ChatGPT, Microsoft Copilot, Google Gemini, ou n'importe quel outil intégrant de l'intelligence artificielle, votre entreprise est concernée.
2. Votre PME est-elle concernée ?
La réponse courte : oui, presque certainement. L'EU AI Act adopte une définition large de l'IA qui couvre la plupart des outils numériques modernes.
Vous êtes concerné si votre entreprise :
- Utilise ChatGPT, Copilot, Gemini, Claude ou tout autre assistant IA
- Utilise des outils de recrutement avec de l'IA (tri de CV, scoring candidats)
- Utilise des chatbots sur votre site web ou votre support client
- Utilise des outils de génération de contenu (texte, image, vidéo)
- Utilise Notion AI, Slack AI, GitHub Copilot dans vos workflows
- Utilise des outils de scoring client, d'analyse prédictive, ou d'IA médicale
Les sanctions vont jusqu'à 35 millions d'euros ou 7% du chiffre d'affaires mondial annuel pour les pratiques interdites.
L'EU AI Act prévoit des mesures spécifiques pour les PME : frais réduits pour les évaluations de conformité, accès prioritaire aux sandboxes réglementaires, et templates simplifiés. Mais les obligations de base s'appliquent à tous.
3. Les 4 niveaux de risque de l'EU AI Act
L'EU AI Act classe chaque système d'IA dans l'un des 4 niveaux de risque. C'est cette classification qui détermine vos obligations :
| Niveau | Exemples | Obligations | Sanction |
|---|---|---|---|
| Inacceptable | Scoring social, manipulation comportementale, surveillance biométrique de masse | Interdit | 35M€ / 7% CA |
| Haut risque | Recrutement IA, scoring crédit, IA médicale, évaluation éducative, IA judiciaire | Documentation technique, supervision humaine, évaluation des risques, registre EU, conformité CE | 15M€ / 3% CA |
| Limité | Chatbots, deepfakes, génération de contenu IA | Obligation de transparence : informer l'utilisateur qu'il interagit avec une IA | 15M€ / 3% CA |
| Minimal | Filtres anti-spam, IA dans les jeux vidéo, autocorrection | Aucune obligation spécifique | — |
Pour les PME : la majorité des usages se situent dans les catégories « risque limité » (chatbots, assistants IA) ou « risque minimal ». Mais attention : l'utilisation d'outils de recrutement IA, de scoring client, ou d'IA dans la santé peut vous faire basculer en haut risque sans que vous le sachiez.
4. Les dates clés à retenir
L'EU AI Act s'applique progressivement. Certaines obligations sont déjà en vigueur :
| Date | Ce qui entre en vigueur | Impact PME |
|---|---|---|
| Fév. 2025 | Pratiques interdites + obligation de littératie IA (Article 4) | Déjà en vigueur. Vous devez sensibiliser vos équipes à l'IA. |
| Août 2025 | Règles GPAI (modèles IA à usage général) | Concerne principalement les fournisseurs de modèles IA. |
| 2 août 2026 | Obligations complètes pour les systèmes IA haut risque (Annexe III) | Deadline critique. Documentation, supervision, évaluation des risques, registre EU. |
| Août 2027 | IA embarquée dans les produits réglementés | Concerne les fabricants de produits intégrant de l'IA. |
L'obligation de littératie IA (Article 4) est en vigueur depuis le 2 février 2025. Si vous n'avez pas encore sensibilisé vos équipes, vous êtes déjà en retard.
5. Shadow AI : le risque que vous ne voyez pas
Le Shadow AI est l'utilisation d'outils d'intelligence artificielle par les employés sans l'approbation formelle de l'entreprise. C'est le premier risque de conformité pour les PME — et le plus difficile à détecter.
Les chiffres sont parlants :
- 86% des employés utilisent l'IA au travail chaque semaine (source : Microsoft Work Trend Index 2024)
- 49% utilisent des outils IA non approuvés par leur employeur (source : Salesforce AI at Work Report)
Exemples concrets de Shadow AI en entreprise :
- Un commercial colle des données clients dans ChatGPT pour rédiger un email
- Le service RH utilise un outil de tri de CV avec de l'IA sans le déclarer
- Un développeur utilise GitHub Copilot sans que la DSI le sache
- Le marketing utilise MidJourney pour créer des visuels sans approbation
- Un manager utilise Notion AI pour résumer des comptes-rendus confidentiels
Les outils d'IA intégrés au poste de travail sont particulièrement à risque : Microsoft Copilot, Google Gemini, Notion AI, Slack AI accèdent à vos emails, fichiers, CRM, et données RH — souvent sans restrictions.
La solution : un inventaire systématique de tous les outils IA utilisés dans l'entreprise — approuvés ou non. C'est la première étape de toute démarche de conformité EU AI Act.
Pour un guide complet sur la détection et le traitement du Shadow AI dans votre PME, consultez notre article dédié au Shadow AI.
6. Les documents obligatoires
Pour prouver votre conformité à l'EU AI Act, vous devez disposer de plusieurs documents :
| Document | Contenu | Obligatoire ? |
|---|---|---|
| Registre des Systèmes IA | Liste de tous les systèmes IA, classification par niveau de risque, statut de conformité par système | Oui (pour tous) |
| Politique d'Utilisation de l'IA | Règles internes d'utilisation, outils autorisés/interdits, processus d'approbation | Oui (pour tous) |
| Guide de Sensibilisation IA | Formation des employés (Article 4), 7 règles d'or, attestation de lecture signée | Oui (Article 4 en vigueur) |
| Évaluation des Risques (FRIA) | Analyse des risques par système, mesures de mitigation, plan d'action | Oui (systèmes haut risque) |
| Documentation Technique (Annexe IV) | Spécifications techniques, données d'entraînement, métriques de performance | Oui (fournisseurs haut risque) |
| Plan d'Action Priorisé | Actions concrètes à mener, responsables et délais, suivi de progression | Recommandé |
7. Checklist de conformité en 90 jours
Voici un plan d'action concret pour préparer votre PME à l'EU AI Act :
Jours 1-30 : Découverte et inventaire
- Désigner un responsable conformité IA — DPO, DSI, ou dirigeant
- Inventorier TOUS les systèmes IA — outils approuvés ET non approuvés
- Classifier chaque système par niveau de risque — inacceptable / haut / limité / minimal
- Identifier les usages Shadow AI — sondage interne anonyme
Jours 31-60 : Documentation
- Rédiger le Registre des Systèmes IA
- Rédiger la Politique d'Utilisation de l'IA
- Rédiger le Guide de sensibilisation IA (Article 4 + attestation de lecture)
- Évaluer les risques par système (haut risque uniquement)
Jours 61-90 : Formation et suivi
- Former les équipes — distribuer le guide, faire signer l'attestation
- Mettre en place le monitoring — vérification régulière des usages
- Planifier la révision — minimum une fois par an
📄 Téléchargez la checklist complète
Notre guide PDF gratuit détaille chaque étape avec des exemples concrets et un template d'inventaire IA prêt à l'emploi.
Télécharger le guide gratuit📋 Voir aussi : Plan d'action détaillé en 90 jours — semaine par semaine
8. RGPD et EU AI Act : les points communs
Si vous êtes déjà en conformité RGPD, vous avez une longueur d'avance. Les deux règlements partagent des principes communs :
| Thème | RGPD | EU AI Act |
|---|---|---|
| Inventaire | Registre des traitements | Registre des systèmes IA |
| Évaluation | DPIA (données personnelles) | FRIA (droits fondamentaux) |
| Transparence | Informer sur le traitement des données | Informer sur l'utilisation de l'IA |
| Supervision | DPO (optionnel pour PME) | Responsable conformité IA |
| Documentation | Politique de confidentialité | Politique d'utilisation IA + doc technique |
| Sanctions | Jusqu'à 20M€ ou 4% CA | Jusqu'à 35M€ ou 7% CA |
Conseil pratique : si vous avez un DPO, impliquez-le dans la démarche EU AI Act. Les compétences se recoupent largement.
9. Combien coûte la mise en conformité ?
Le coût varie selon la taille de l'entreprise et la complexité de vos usages IA :
| Solution | Coût | Pour qui |
|---|---|---|
| Solutions enterprise | 10 000 à 100 000€/an | Grands groupes, ETI, entreprises tech |
| Audit express PME | À partir de 1 500€ | PME qui veut un état des lieux rapide |
| Accompagnement complet PME | ~5 000€ | PME de moins de 100 employés, mise en conformité intégrale |
| Suivi continu | 500 à 1 000€/mois | PME souhaitant un monitoring régulier |
La bonne nouvelle : le coût de la conformité est très inférieur au coût d'une sanction. Et commencer tôt permet d'étaler l'effort sur plusieurs mois au lieu de tout faire dans l'urgence.
10. Questions fréquentes
Mon entreprise a moins de 50 employés, suis-je concerné ?
Oui. L'EU AI Act s'applique quelle que soit la taille de l'entreprise. Des mesures spécifiques existent pour les PME (frais réduits, templates simplifiés, accès aux sandboxes réglementaires), mais les obligations de base s'appliquent.
On utilise juste ChatGPT et Copilot, est-ce vraiment concerné ?
Oui. ChatGPT est un système d'IA à risque limité (obligation de transparence). Microsoft Copilot accède à l'ensemble de vos données d'entreprise — il doit être inventorié et encadré par une politique d'utilisation.
Dois-je embaucher un avocat spécialisé ?
Pas nécessairement. L'EU AI Act est une question opérationnelle avant d'être juridique. Un inventaire des systèmes IA, une politique d'utilisation, et un guide de sensibilisation nécessitent de la rigueur opérationnelle — pas de l'expertise juridique. Pour les aspects juridiques spécifiques, un avocat peut intervenir ponctuellement.
Combien de temps faut-il pour se mettre en conformité ?
Pour une PME typique (10-100 employés, 5-20 outils IA) : comptez 4 à 8 semaines pour un accompagnement complet. Un état des lieux rapide (audit express) peut être fait en 5 jours ouvrés.
Quelle est la différence entre l'EU AI Act et le RGPD ?
Le RGPD protège les données personnelles. L'EU AI Act encadre l'utilisation de l'intelligence artificielle. Les deux sont complémentaires : un système d'IA qui traite des données personnelles est soumis aux deux règlements. Les entreprises déjà conformes au RGPD ont une longueur d'avance.
Les sandboxes réglementaires, c'est quoi ?
Ce sont des environnements de test supervisés par les régulateurs, où les entreprises peuvent expérimenter avec l'IA sous supervision. Chaque État membre de l'UE doit en créer au moins un d'ici août 2026. Les PME y auront un accès prioritaire et gratuit.
11. Passer à l'action
La conformité à l'EU AI Act n'est pas un projet à remettre à demain. L'obligation de littératie IA (Article 4) est déjà en vigueur, et la deadline critique du 2 août 2026 approche rapidement.
Trois actions concrètes que vous pouvez mener cette semaine :
- Évaluez votre situation — notre questionnaire gratuit prend 10 minutes et vous recevrez un rapport personnalisé.
- Téléchargez le guide — notre guide PDF gratuit de 8 pages couvre tout ce que vous devez savoir.
- Échangez avec un expert — réservez 30 minutes pour discuter de votre situation, sans engagement.
Pour en savoir plus sur notre approche et nos offres, visitez complyla.com.
Prêt à évaluer votre conformité ?
Questionnaire gratuit · 10 minutes · Rapport personnalisé sous 5 jours
Commencer l'évaluation gratuite Réserver un échange de 30 minCe contenu constitue un guide informatif et ne constitue pas un avis juridique. Pour toute question juridique spécifique relative à l'EU AI Act, consultez un avocat spécialisé.