Qu’est-ce que l’AI Act et pourquoi il concerne votre PME #
Le Reglement europeen sur l’Intelligence Artificielle (AI Act, Reg. UE 2024/1689) est la premiere loi au monde a reglementer l’intelligence artificielle. Il ne concerne pas uniquement les Big Tech : il s’applique a quiconque developpe ou utilise des systemes d’IA dans l’Union Europeenne, de la startup au grand hopital.
Si votre entreprise utilise ChatGPT, un assistant IA, un systeme de classification automatique ou un chatbot pour les clients, l’AI Act vous concerne.
Pourquoi vous ne pouvez pas l’ignorer #
- Les sanctions peuvent atteindre 35 millions d’euros (ou 7 % du chiffre d’affaires mondial)
- L’obligation d’AI literacy est deja en vigueur depuis fevrier 2025
- Les obligations completes pour les systemes a haut risque entrent en vigueur en aout 2026
- Vos clients et partenaires commenceront a demander des preuves de conformite
Calendrier : ce qui change et quand #
L’AI Act s’applique progressivement. Voici les dates cles pour votre PME :
Deja en vigueur (fevrier 2025) #
Interdiction des pratiques d’IA inacceptables :
- Manipulation subliminale causant des dommages
- Exploitation de vulnerabilites (age, handicap)
- Notation sociale par les organismes publics
- Reconnaissance faciale en temps reel (avec exceptions pour la securite)
Obligation d’AI literacy (art. 4) : Toutes les organisations doivent garantir que le personnel qui utilise ou supervise des systemes d’IA dispose d’un “niveau suffisant d’alphabetisation en matiere d’IA”. Cela s’applique a toutes les entreprises, quelle que soit leur taille.
En pratique : si vos employes utilisent ChatGPT, Copilot ou tout autre outil d’IA, vous devez demontrer qu’ils ont recu une formation adequate.
Aout 2025 : modeles a usage general #
Les fournisseurs de modeles d’IA a usage general (GPAI) — comme GPT-4, LLaMA, Mistral — doivent :
- Documenter le processus d’entrainement
- Respecter les regles sur le droit d’auteur
- Publier un resume des donnees d’entrainement
Cela impacte indirectement les PME : les modeles que vous utilisez doivent etre conformes. Utiliser des modeles open-source documentes (comme ceux sur lesquels fonctionne ORCA) simplifie la verification.
Aout 2026 : obligations completes pour le haut risque #
C’est l’echeance critique. Les systemes d’IA classes a haut risque doivent respecter des exigences strictes.
Comment fonctionne la classification des risques #
L’AI Act classe les systemes d’IA en quatre niveaux. La categorie depend de l’usage, pas de l’outil.
Risque inacceptable (interdit) #
Pratiques completement interdites :
- Manipulation comportementale subliminale
- Notation sociale gouvernementale
- Police predictive basee uniquement sur le profilage
Haut risque #
Systemes d’IA qui impactent les droits fondamentaux des personnes :
| Domaine | Exemples |
|---|---|
| Selection du personnel | Tri automatique de CV, classement des candidats |
| Credit | Evaluation de la solvabilite |
| Sante | Aide au diagnostic, triage automatique |
| Education | Evaluation des etudiants, admissions |
| Infrastructures critiques | Gestion des reseaux electriques, transports |
| Justice | Systemes d’aide a la decision judiciaire |
Obligations pour les systemes a haut risque :
- Systeme de gestion des risques
- Gouvernance des donnees d’entrainement
- Documentation technique complete
- Enregistrement automatique des evenements (logging)
- Transparence et information des utilisateurs
- Supervision humaine
- Exactitude, robustesse et cybersecurite
- Enregistrement dans la base de donnees de l’UE
Risque limite #
Systemes avec obligations de transparence :
- Chatbot : l’utilisateur doit savoir qu’il interagit avec une IA
- Deepfake : doivent etre etiquetes
- Contenus generes par l’IA : doivent etre identifiables
Risque minimal #
La majorite des systemes d’IA. Aucune obligation specifique :
- IA pour les brouillons d’emails
- Traduction automatique
- Correction orthographique
- Brainstorming et generation d’idees
Ce que votre PME doit faire maintenant #
1. Cartographiez les outils d’IA utilises #
Faites un inventaire de tous les outils d’IA utilises dans l’entreprise — y compris ceux non autorises (shadow AI). Pour chaque outil, documentez :
- Qui l’utilise et pour quoi
- Quelles donnees sont traitees
- Si les decisions impactent des personnes physiques
2. Classifiez les usages par niveau de risque #
Le meme outil peut relever de categories differentes selon l’usage :
| Usage de ChatGPT | Niveau de risque |
|---|---|
| Rediger des brouillons d’emails | Minimal |
| Resumer des documents internes | Limite (obligation de transparence) |
| Selectionner des candidats dans un pool | Haut risque |
| Classer des patients par priorite | Haut risque |
3. Lancez la formation AI literacy #
L’obligation est deja en vigueur. La formation doit couvrir :
- Ce qu’est l’IA et comment elle fonctionne (concepts de base)
- Risques et limites des outils d’IA
- Politique d’entreprise sur l’utilisation de l’IA
- Obligations RGPD et AI Act pertinentes pour le poste
4. Redigez une politique d’entreprise sur l’IA #
Le document doit definir :
- Quels outils d’IA sont autorises
- Quelles donnees peuvent etre traitees avec l’IA
- Qui supervise l’utilisation de l’IA
- Comment signaler des problemes ou des incidents
- Procedures pour les usages a haut risque
5. Evaluez l’infrastructure IA #
Si vous utilisez ChatGPT ou d’autres services cloud americains pour traiter des donnees sensibles, vous avez un double probleme : RGPD (transfert hors UE) et AI Act (manque de controle). Une solution d’IA privee resout les deux.
Comment l’IA privee simplifie la conformite #
L’IA privee — on-premise ou en cloud europeen — n’est pas qu’une question de confidentialite. C’est l’outil qui rend la conformite a l’AI Act gerable pour une PME.
RGPD + AI Act : deux problemes, une solution #
| Exigence | ChatGPT (cloud USA) | IA privee (on-premise/UE) |
|---|---|---|
| Transfert de donnees hors UE | Oui (risque) | Non |
| Piste d’audit complete | Partielle | Oui |
| Supervision humaine | Limitee | Integree |
| Documentation technique | Non disponible | Sous votre controle |
| Gouvernance des donnees | Deleguee a OpenAI | Sous votre controle |
| AI literacy | Votre responsabilite | Supportee par le fournisseur |
Les solutions HTX pour la conformite #
ORCA — le chatbot d’entreprise prive. Comme ChatGPT, mais les donnees restent en Europe. Conforme RGPD et AI Act by design. Pour les usages a risque minimal et limite.
KOI — classification IA pour la sante. Aide a la decision avec supervision humaine integree, piste d’audit complete. Concu pour les usages a haut risque en milieu clinique. Actuellement Research Use Only (RUO), dispositif medical prevu pour 2027.
MANTA — interrogez vos bases de donnees en langage naturel. Requetes SQL validees et nettoyees, aucun acces non autorise. Pour la business intelligence conforme.
Tous fonctionnent sur PRISMA, l’infrastructure d’IA privee de HTX : on-premise ou cloud europeen, chiffrement de bout en bout, zero fuite de donnees.
Les bacs a sable reglementaires : une opportunite pour les PME #
L’AI Act prevoit des bacs a sable reglementaires (art. 57) : des environnements controles ou les PME peuvent tester des systemes d’IA innovants sous la supervision des autorites, sans risquer de sanctions pendant l’experimentation.
Chaque Etat membre de l’UE doit etablir au moins un bac a sable d’ici aout 2026. Les PME ont un acces prioritaire.
En Italie, le Garant de la vie privee a deja lance des consultations pour definir les bacs a sable. Pour les PME qui veulent innover avec l’IA sans risques, c’est une opportunite a suivre.
Sanctions : ce que risquent les entreprises non conformes #
Les sanctions de l’AI Act sont proportionnees a la gravite et a la taille de l’entreprise :
| Type de violation | Sanction maximale |
|---|---|
| Pratiques interdites (art. 5) | 35 millions d’euros ou 7 % du chiffre d’affaires mondial |
| Systemes a haut risque non conformes | 15 millions d’euros ou 3 % du chiffre d’affaires |
| Informations erronees aux autorites | 7,5 millions d’euros ou 1 % du chiffre d’affaires |
Pour les PME et les startups, c’est toujours le montant le plus bas entre le montant fixe et le pourcentage du chiffre d’affaires qui s’applique. Mais meme ainsi, les montants sont significatifs pour une PME europeenne.
La bonne nouvelle : les autorites ont declare que l’approche initiale sera orientee vers l’accompagnement et le guidage, et non vers la sanction immediate. Mais cela ne signifie pas que vous pouvez attendre.
Checklist AI Act pour les PME #
- Inventaire IA complete : tous les outils d’IA cartographies
- Classification des risques : chaque usage classe (minimal/limite/haut)
- Formation AI literacy : personnel forme (obligation depuis fev. 2025)
- Politique d’entreprise IA : document redige et communique
- Evaluation RGPD : transferts hors UE identifies et geres
- Infrastructure : solution d’IA privee evaluee pour les usages sensibles
- Bac a sable : opportunite de bac a sable reglementaire suivie
- Calendrier : echeances d’aout 2026 planifiees
Vous voulez en savoir plus ? #
Si votre PME utilise des outils d’IA et que vous souhaitez comprendre comment vous conformer a l’AI Act sans bloquer l’innovation, ecrivez-nous. Nous vous aidons a cartographier les risques, choisir la bonne infrastructure et former votre equipe.
Cet article a ete redige par l’equipe de HTX — Human Technology eXcellence. Nous concevons des systemes d’intelligence artificielle privee pour la sante et l’industrie, depuis notre datacenter a Trieste. Les informations contenues dans cet article ont un caractere informatif et ne constituent pas un conseil juridique.
Questions frequentes #
L'AI Act s'applique-t-il aux PME ?
Oui. L'AI Act s'applique a toutes les organisations qui developpent ou utilisent des systemes d'IA dans l'UE, quelle que soit leur taille. Les PME beneficient de bacs a sable reglementaires et de sanctions proportionnees, mais les obligations de base — comme l'AI literacy — sont identiques.
Quelles sont les echeances principales de l'AI Act ?
Fevrier 2025 : interdiction des pratiques inacceptables et obligation d'AI literacy. Aout 2025 : obligations pour les modeles a usage general (GPAI). Aout 2026 : obligations completes pour les systemes a haut risque, incluant transparence, supervision humaine et evaluation d'impact.
L'AI Act concerne-t-il aussi l'utilisation de ChatGPT en entreprise ?
Oui. L'AI Act reglemente aussi bien les fournisseurs que les utilisateurs de systemes d'IA. Si vous utilisez ChatGPT pour prendre des decisions qui impactent les personnes (selection du personnel, evaluation de credit, diagnostic), l'usage releve de la categorie a haut risque avec des obligations specifiques.
Que risque une PME qui ne se conforme pas a l'AI Act ?
Les sanctions vont de 7,5 millions (informations erronees) a 35 millions d'euros (pratiques interdites). Pour les PME, le montant le plus bas entre le montant fixe et le pourcentage du chiffre d'affaires s'applique toujours, mais meme celui-ci peut etre significatif.
Comment l'IA privee simplifie-t-elle la conformite a l'AI Act ?
L'IA privee (on-premise ou cloud UE) elimine le transfert de donnees hors UE, garantit une piste d'audit complete, facilite la supervision humaine et simplifie la documentation requise par l'AI Act. Avec des solutions comme ORCA de HTX, la conformite est integree des la conception.