L'AI Act n'épargne pas les PME — mais il prévoit des aménagements spécifiques pour réduire leur charge de conformité. Depuis le 2 février 2025, certaines obligations sont déjà applicables à toutes les entreprises, quelle que soit leur taille. Voici ce que vous devez savoir si vous êtes une PME utilisant ou développant des systèmes d'IA.
PME et AI Act : le cadre d'ensemble
Contrairement au RGPD qui exempte explicitement les petites entreprises dans certains cas, l'AI Act ne prévoit pas d'exemption générale basée sur la taille. En revanche, plusieurs dispositifs allègent les obligations pour les petites structures.
L'AI Act s'applique à votre PME si vous :
- Développez un système d'IA destiné à être mis sur le marché de l'UE (vous êtes "fournisseur")
- Utilisez un système d'IA à haut risque développé par un tiers dans votre activité professionnelle (vous êtes "déployeur")
- Importez ou distribuez des systèmes d'IA dans l'UE
Attention : Même si votre prestataire IA (OpenAI, Google, un éditeur de logiciel RH...) assume la majorité des obligations en tant que fournisseur, vous avez des responsabilités propres en tant que déployeur.
Fournisseur vs Déployeur : une distinction cruciale
Le fournisseur (provider)
Le fournisseur est l'entité qui développe un système d'IA et le met sur le marché — ou en service pour son propre usage. Les obligations les plus lourdes lui incombent : documentation technique, évaluation de conformité, marquage CE, enregistrement dans la base de données européenne.
Exemple PME : Une startup développant un outil de scoring crédit basé sur l'IA est fournisseur. Elle doit satisfaire l'ensemble des exigences haut risque.
Le déployeur (deployer)
Le déployeur utilise un système d'IA sous sa propre responsabilité pour ses activités professionnelles. Ses obligations sont plus légères mais réelles.
Exemple PME : Une PME RH utilisant un ATS avec scoring IA pour trier des CV est déployeur d'un système à haut risque. Elle doit :
- S'assurer que le système est utilisé conformément à sa notice d'utilisation
- Assurer une supervision humaine effective
- Journaliser l'utilisation et conserver les logs
- Informer les personnes concernées (les candidats)
- Ne pas modifier le système de façon à augmenter son niveau de risque
Ce que cela signifie concrètement : Si vous utilisez un outil RH, un logiciel de prédiction de churn, un système de recommandation client ou tout autre IA ayant des effets significatifs sur des personnes, vous avez des obligations — même sans avoir écrit une seule ligne de code.
AI Literacy : l'obligation applicable depuis février 2025
L'Article 4 de l'AI Act introduit une obligation d'AI Literacy (compétences en IA) applicable depuis le 2 février 2025 — soit plus d'un an avant les obligations pour les systèmes à haut risque.
Texte de l'Article 4 : "Les fournisseurs et les déployeurs de systèmes d'IA prennent des mesures pour garantir, dans toute la mesure du possible, un niveau suffisant de compétence en matière d'IA pour leur personnel et les autres personnes traitant et utilisant les systèmes d'IA en leur nom."
Ce que cela impose en pratique :
- Former les collaborateurs utilisant des outils IA à leurs fonctionnalités, leurs limites et leurs risques
- S'assurer que les décideurs comprennent le fonctionnement général des systèmes utilisés
- Documenter les formations dispensées
- Adapter le niveau de formation au risque des outils utilisés
Ce que ce n'est pas : L'Article 4 n'impose pas de former tous vos salariés au machine learning. Il demande que les utilisateurs des outils IA comprennent ce qu'ils font et comment les utiliser de façon responsable.
Pour une PME de 20 personnes : Une formation de 2 heures couvrant les outils IA utilisés, leurs limitations, les risques de biais et les bonnes pratiques de supervision humaine est généralement suffisante.
Exemptions et allègements pour les PME
Allègements dans les obligations de haut risque
Si votre PME est fournisseur d'un système à haut risque (elle développe l'IA), plusieurs allègements s'appliquent :
- Documentation technique allégée : format simplifié pour les microentreprises (moins de 10 salariés et moins de 2M€ de CA)
- Sandbox réglementaires : accès facilité pour tester des systèmes innovants dans un cadre encadré par les régulateurs nationaux
- Voies d'accès simplifiées pour l'évaluation de conformité des PME innovantes
- Délais supplémentaires pour certaines certifications
Allègements dans les obligations de conformité
Pour les systèmes à risque minimal (la grande majorité des outils utilisés par les PME) :
- Aucune évaluation de conformité
- Aucune documentation technique obligatoire
- Aucun enregistrement dans la base de données européenne
- Codes de conduite volontaires suffisants
Support des États membres
L'AI Act impose aux États membres de :
- Mettre à disposition des PME des conseils et formation
- Créer des points de contact dédiés
- Faciliter l'accès aux sandboxes réglementaires
En France, l'ANSSI et la CNIL sont les autorités compétentes pour accompagner les entreprises.
Checklist 10 points pour une PME conforme à l'AI Act
Point 1 : Inventaire des systèmes IA
Listez tous les systèmes IA utilisés dans votre organisation : outils de recrutement, CRM avec scoring, chatbots, outils de prédiction, logiciels de comptabilité avec automatisation...
Point 2 : Classification des risques
Pour chaque système, déterminez son niveau de risque selon les 4 niveaux de l'AI Act. La majorité tombera en risque minimal ou limité.
Point 3 : Vérification fournisseur
Pour chaque système à haut risque identifié, vérifiez que votre fournisseur a bien effectué l'évaluation de conformité (marquage CE, enregistrement dans la base de données européenne de l'AI Office).
Point 4 : Lecture des notices d'utilisation
L'Article 13 oblige les fournisseurs de systèmes à haut risque à fournir une notice détaillée. Lisez-la — elle définit les conditions d'utilisation sûre et vos obligations en tant que déployeur.
Point 5 : Supervision humaine
Pour chaque système à haut risque déployé, identifiez les personnes responsables de la supervision humaine. Ces personnes doivent comprendre le fonctionnement du système et avoir l'autorité d'ignorer ou de corriger ses outputs.
Point 6 : Journalisation
Activez les fonctions de journalisation disponibles dans les systèmes à haut risque. Conservez les logs selon les durées recommandées (minimum 6 mois).
Point 7 : Information des personnes concernées
Si votre utilisation d'une IA affecte des personnes (candidats, clients, employés), informez-les. L'Article 26 impose cette transparence.
Point 8 : Formation AI Literacy
Organisez une formation pour les utilisateurs d'outils IA. Documentez la participation. Mettez à jour annuellement ou en cas de changement d'outil.
Point 9 : Procédure de signalement
Définissez une procédure interne pour signaler les incidents ou dysfonctionnements des systèmes IA. Pour les systèmes à haut risque, certains incidents doivent être notifiés aux autorités.
Point 10 : Mise à jour du registre RGPD
Si vous utilisez une IA traitant des données personnelles, mettez à jour votre registre des traitements RGPD en conséquence.
Les risques d'inaction pour une PME
L'AI Act prévoit des sanctions proportionnées mais significatives :
- Jusqu'à 35 millions d'euros ou 7% du CA mondial pour les violations relatives aux pratiques interdites
- Jusqu'à 15 millions d'euros ou 3% du CA mondial pour les manquements aux obligations fournisseurs/déployeurs haut risque
- Jusqu'à 7,5 millions d'euros ou 1,5% du CA mondial pour les informations incorrectes fournies aux autorités
Ces montants concernent des violations significatives. Pour une PME, le risque immédiat est plutôt celui d'une mise en demeure suivie d'une obligation de mise en conformité rapide — avec les coûts associés.
WarDek AI Act Assessment
WarDek propose un module d'assessment AI Act spécialement conçu pour les PME. En répondant à une vingtaine de questions sur vos systèmes IA, vous obtenez :
- Une classification automatique de chaque système
- Un score de conformité par niveau de risque
- Un plan d'action priorisé
- Les modèles de documentation requis
Commencez par un scan WarDek pour identifier les outils numériques présents sur votre site et évaluer votre exposition à l'AI Act.
Pour aller plus loin
- Classification des risques AI Act : les 4 niveaux expliqués avec des exemples concrets
- Checklist audit IA : 20 points de contrôle pour auditer vos systèmes