Conformité

AI Act et PME : obligations, exemptions et checklist

AI Act et PME : exemptions, obligations réduites, AI Literacy obligatoire dès 2025, différence provider/deployer et checklist 10 points.

12 avril 20267 min de lectureWarDek Team

L'AI Act n'épargne pas les PME — mais il prévoit des aménagements spécifiques pour réduire leur charge de conformité. Depuis le 2 février 2025, certaines obligations sont déjà applicables à toutes les entreprises, quelle que soit leur taille. Voici ce que vous devez savoir si vous êtes une PME utilisant ou développant des systèmes d'IA.

PME et AI Act : le cadre d'ensemble

Contrairement au RGPD qui exempte explicitement les petites entreprises dans certains cas, l'AI Act ne prévoit pas d'exemption générale basée sur la taille. En revanche, plusieurs dispositifs allègent les obligations pour les petites structures.

L'AI Act s'applique à votre PME si vous :

Attention : Même si votre prestataire IA (OpenAI, Google, un éditeur de logiciel RH...) assume la majorité des obligations en tant que fournisseur, vous avez des responsabilités propres en tant que déployeur.

Fournisseur vs Déployeur : une distinction cruciale

Le fournisseur (provider)

Le fournisseur est l'entité qui développe un système d'IA et le met sur le marché — ou en service pour son propre usage. Les obligations les plus lourdes lui incombent : documentation technique, évaluation de conformité, marquage CE, enregistrement dans la base de données européenne.

Exemple PME : Une startup développant un outil de scoring crédit basé sur l'IA est fournisseur. Elle doit satisfaire l'ensemble des exigences haut risque.

Le déployeur (deployer)

Le déployeur utilise un système d'IA sous sa propre responsabilité pour ses activités professionnelles. Ses obligations sont plus légères mais réelles.

Exemple PME : Une PME RH utilisant un ATS avec scoring IA pour trier des CV est déployeur d'un système à haut risque. Elle doit :

Ce que cela signifie concrètement : Si vous utilisez un outil RH, un logiciel de prédiction de churn, un système de recommandation client ou tout autre IA ayant des effets significatifs sur des personnes, vous avez des obligations — même sans avoir écrit une seule ligne de code.

AI Literacy : l'obligation applicable depuis février 2025

L'Article 4 de l'AI Act introduit une obligation d'AI Literacy (compétences en IA) applicable depuis le 2 février 2025 — soit plus d'un an avant les obligations pour les systèmes à haut risque.

Texte de l'Article 4 : "Les fournisseurs et les déployeurs de systèmes d'IA prennent des mesures pour garantir, dans toute la mesure du possible, un niveau suffisant de compétence en matière d'IA pour leur personnel et les autres personnes traitant et utilisant les systèmes d'IA en leur nom."

Ce que cela impose en pratique :

Ce que ce n'est pas : L'Article 4 n'impose pas de former tous vos salariés au machine learning. Il demande que les utilisateurs des outils IA comprennent ce qu'ils font et comment les utiliser de façon responsable.

Pour une PME de 20 personnes : Une formation de 2 heures couvrant les outils IA utilisés, leurs limitations, les risques de biais et les bonnes pratiques de supervision humaine est généralement suffisante.

Exemptions et allègements pour les PME

Allègements dans les obligations de haut risque

Si votre PME est fournisseur d'un système à haut risque (elle développe l'IA), plusieurs allègements s'appliquent :

Allègements dans les obligations de conformité

Pour les systèmes à risque minimal (la grande majorité des outils utilisés par les PME) :

Support des États membres

L'AI Act impose aux États membres de :

En France, l'ANSSI et la CNIL sont les autorités compétentes pour accompagner les entreprises.

Checklist 10 points pour une PME conforme à l'AI Act

Point 1 : Inventaire des systèmes IA

Listez tous les systèmes IA utilisés dans votre organisation : outils de recrutement, CRM avec scoring, chatbots, outils de prédiction, logiciels de comptabilité avec automatisation...

Point 2 : Classification des risques

Pour chaque système, déterminez son niveau de risque selon les 4 niveaux de l'AI Act. La majorité tombera en risque minimal ou limité.

Point 3 : Vérification fournisseur

Pour chaque système à haut risque identifié, vérifiez que votre fournisseur a bien effectué l'évaluation de conformité (marquage CE, enregistrement dans la base de données européenne de l'AI Office).

Point 4 : Lecture des notices d'utilisation

L'Article 13 oblige les fournisseurs de systèmes à haut risque à fournir une notice détaillée. Lisez-la — elle définit les conditions d'utilisation sûre et vos obligations en tant que déployeur.

Point 5 : Supervision humaine

Pour chaque système à haut risque déployé, identifiez les personnes responsables de la supervision humaine. Ces personnes doivent comprendre le fonctionnement du système et avoir l'autorité d'ignorer ou de corriger ses outputs.

Point 6 : Journalisation

Activez les fonctions de journalisation disponibles dans les systèmes à haut risque. Conservez les logs selon les durées recommandées (minimum 6 mois).

Point 7 : Information des personnes concernées

Si votre utilisation d'une IA affecte des personnes (candidats, clients, employés), informez-les. L'Article 26 impose cette transparence.

Point 8 : Formation AI Literacy

Organisez une formation pour les utilisateurs d'outils IA. Documentez la participation. Mettez à jour annuellement ou en cas de changement d'outil.

Point 9 : Procédure de signalement

Définissez une procédure interne pour signaler les incidents ou dysfonctionnements des systèmes IA. Pour les systèmes à haut risque, certains incidents doivent être notifiés aux autorités.

Point 10 : Mise à jour du registre RGPD

Si vous utilisez une IA traitant des données personnelles, mettez à jour votre registre des traitements RGPD en conséquence.

Les risques d'inaction pour une PME

L'AI Act prévoit des sanctions proportionnées mais significatives :

Ces montants concernent des violations significatives. Pour une PME, le risque immédiat est plutôt celui d'une mise en demeure suivie d'une obligation de mise en conformité rapide — avec les coûts associés.

WarDek AI Act Assessment

WarDek propose un module d'assessment AI Act spécialement conçu pour les PME. En répondant à une vingtaine de questions sur vos systèmes IA, vous obtenez :

Commencez par un scan WarDek pour identifier les outils numériques présents sur votre site et évaluer votre exposition à l'AI Act.

Pour aller plus loin

#ai-act#pme#conformite#ai-literacy#intelligence-artificielle

Scannez votre site gratuitement

WarDek détecte les vulnérabilités mentionnées dans cet article en quelques secondes.

Retour à Conformité