L'AI Act européen, premier règlement mondial sur l'intelligence artificielle, déroule ses obligations entre 2025 et 2028. Pour les PME françaises, l'enjeu n'est pas de tout faire en même temps. C'est de comprendre ce qui s'applique à votre activité, à quelle date.
Pourquoi l'AI Act, et pourquoi maintenant
L'AI Act est entré en vigueur le 1er août 2024. Ses obligations s'appliquent par paliers jusqu'en août 2028. L'objectif : encadrer l'IA selon son niveau de risque, pas selon la technologie utilisée.
Concrètement, l'Europe ne dit pas "vous ne pouvez plus utiliser ChatGPT". Elle dit : "si vous utilisez l'IA pour des décisions sensibles (recrutement, crédit, surveillance), voici vos obligations".
À retenir
L'AI Act ne pénalise pas l'usage de l'IA. Il encadre les usages à fort impact humain. Pour 90 % des PME, les obligations sont raisonnables.
Les 4 niveaux de risque
Risque inacceptable, interdit
Notation sociale, manipulation comportementale, identification biométrique en temps réel dans l'espace public. Hors-jeu depuis février 2025.
Risque élevé, encadré strictement
IA en recrutement, scoring crédit, éducation, infrastructures critiques. Documentation, supervision humaine, audit. Échéance majoritaire : août 2026 (étendu pour certains usages jusqu'à décembre 2027).
Risque limité, transparence
Chatbots, contenus générés par IA, deepfakes. Obligation : informer clairement l'utilisateur qu'il interagit avec une IA. Échéance août 2026, avec une période de grâce de 3 mois pour le marquage des contenus.
Risque minimal, libre
Filtres anti-spam, IA dans jeux vidéo, recommandations produits. Aucune obligation spécifique. La majorité des usages PME tombent dans cette catégorie.
Les modèles "généralistes" (GPAI) : ChatGPT, Claude, Gemini
Depuis août 2025, les fournisseurs de modèles généralistes (OpenAI, Anthropic, Google, Mistral) ont des obligations : documentation technique, politique de respect du copyright, résumé des données d'entraînement.
Pour vous, utilisateur PME, ça veut dire une chose : vos fournisseurs IA sont désormais responsables. Vous pouvez exiger d'eux les éléments de conformité. Demandez-les si vous traitez des données sensibles.
Ce qui change en 2026 spécifiquement
- 2 août 2026 : pleine application pour la majorité des systèmes haut-risque (sauf produits réglementés comme jouets, ascenseurs : août 2028).
- 2 décembre 2026 : obligations de transparence sur les contenus IA-générés (marquage "généré par IA" pour vidéos, images, texte synthétique).
- 2 décembre 2027 : haut-risque dans biométrie, infrastructure critique, immigration, RH.
Bonne nouvelle PME
Le cadre allégé pour PME s'étend désormais aux entreprises jusqu'à 750 salariés et 150 M€ de CA. Vous bénéficiez de guides simplifiés, d'amendes réduites, d'un accès facilité aux "bacs à sable" réglementaires.
Que faire concrètement avant août 2026
1. Faire la cartographie de vos IA
Listez tous les usages IA dans votre boîte. Pas juste ChatGPT. Aussi : votre CRM avec IA intégrée, votre outil de recrutement automatisé, votre chatbot site, votre tool de scoring leads. Pour chaque usage, classez le niveau de risque.
2. Vérifier les obligations de transparence
Si votre site a un chatbot, l'utilisateur doit savoir qu'il parle à une IA. Si vous publiez du contenu généré ou retouché par IA, signalez-le. Si vous prenez des décisions automatisées impactant des personnes (RH, crédit), prévoyez la supervision humaine.
3. Documenter votre gouvernance
Qui est responsable des choix IA chez vous ? Qui valide les déploiements ? Quelles données entrent dans vos modèles ? Pas besoin d'un dossier de 200 pages. Un document clair, mis à jour, suffit pour la plupart des PME.
4. Former vos équipes (obligation depuis février 2025)
L'AI Act impose à toute entreprise utilisant l'IA d'avoir un niveau minimal de littératie IA dans ses équipes. C'est déjà en vigueur. Pas de seuil minimal de taille : tout le monde est concerné, dès le premier usage.
Sanctions : pour qui ?
Les amendes peuvent monter à 35 M€ ou 7 % du CA mondial pour les pratiques interdites, jusqu'à 15 M€ ou 3 % pour les manquements aux autres obligations.
En pratique, les PME ne sont pas la cible prioritaire. Les régulateurs visent d'abord les grandes plateformes et les usages clairement abusifs. Mais une plainte d'un salarié ou d'un client peut déclencher un contrôle. Mieux vaut être en règle.
Le verdict Growthappiness
L'AI Act n'est pas un frein à l'innovation pour les PME. C'est un cadre qui distingue les usages risqués des usages bénins. Pour la grande majorité d'entre vous, les obligations se résument à : transparence, formation des équipes, gouvernance documentée.
Le piège est l'inverse de ce qu'on pense. Ce ne sont pas les obligations qui coûtent. C'est l'utilisation non-cadrée de l'IA qui crée des risques (fuite de données, décisions opaques, contenus non signalés) — et ce sont ces risques qui finissent en contentieux. Mieux vaut un cadre simple et propre maintenant, plutôt qu'un nettoyage dans 12 mois.
C'est exactement le terrain qu'on couvre dans la Marche 3 — Formation : poser le cadre IA dans votre boîte, sans bureaucratie.