Retour au blog
Conformité & AI Act

AI Act : ce qui change concrètement  pour les PME en 2025-2027

6 min de lecture
AI Act : ce qui change concrètement pour les PME en 2025-2027

//L'essentiel à retenir

L'AI Act — officiellement le Règlement (UE) 2024/1689 — est le premier cadre juridique mondial encadrant l'intelligence artificielle. Entré en vigueur le 1er août 2024, il s'applique progressivement entre 2025 et 2027. Contrairement à une idée reçue, il ne concerne pas uniquement les grandes entreprises technologiques : toute organisation qui utilise, déploie ou distribue des systèmes d'IA sur le territoire européen est concernée, y compris les PME.

Selon une étude de la Commission européenne, plus de 80 % des PME européennes utilisent déjà au moins un outil intégrant de l'IA (assistants de rédaction, outils d'automatisation, CRM intelligents). Si votre entreprise utilise ChatGPT, Copilot, un chatbot client ou un outil de scoring, vous êtes concerné.

//Les 4 niveaux de risque de l'AI Act

Le règlement adopte une approche proportionnelle basée sur le risque. Plus le risque d'un système IA est élevé, plus les obligations sont strictes.

Risque inacceptable — Systèmes interdits

Certains usages de l'IA sont purement et simplement interdits depuis février 2025 :

  • Le scoring social (notation des citoyens par les pouvoirs publics)
  • La manipulation subliminale ou exploitant les vulnérabilités
  • La reconnaissance faciale en temps réel dans l'espace public (sauf exceptions judiciaires)
  • La catégorisation biométrique fondée sur des données sensibles

Impact PME : si vous utilisez un outil qui catégorise automatiquement des personnes selon des critères biométriques ou émotionnels, il est potentiellement illégal.

Haut risque — Obligations strictes

Les systèmes à haut risque sont soumis aux obligations les plus lourdes :

  • Secteurs concernés : ressources humaines (recrutement, évaluation), crédit et assurance, santé, éducation, justice, infrastructures critiques
  • Obligations : système de gestion des risques, gouvernance des données, documentation technique, transparence envers les utilisateurs, supervision humaine, robustesse et cybersécurité
  • Enregistrement dans la base de données européenne avant mise sur le marché

Impact PME : si vous utilisez un outil IA pour le tri de CV, le scoring client ou l'évaluation de risque crédit, vous opérez probablement un système à haut risque.

Risque limité — Obligations de transparence

Les systèmes à risque limité doivent respecter des obligations de transparence :

  • Les chatbots doivent indiquer clairement qu'ils sont des systèmes IA
  • Les deepfakes et contenus générés par IA doivent être étiquetés
  • Les systèmes de reconnaissance d'émotions doivent informer les personnes concernées

Impact PME : si vous avez un chatbot sur votre site ou si vous générez du contenu avec l'IA, vous devez le signaler.

Risque minimal — Pas d'obligations spécifiques

La majorité des usages courants en PME tombent dans cette catégorie :

  • Assistants de rédaction (ChatGPT, Claude, Gemini)
  • Outils d'automatisation de workflows (Zapier, Make)
  • Filtres anti-spam, correcteurs orthographiques IA

Bonne nouvelle : ces outils ne nécessitent pas de conformité spécifique à l'AI Act, mais restent soumis au RGPD pour les données personnelles.

//Le calendrier d'application détaillé

L'AI Act s'applique de manière progressive :

DateCe qui entre en vigueur
1er février 2025Interdiction des pratiques à risque inacceptable
2 août 2025Obligations pour les modèles d'IA à usage général (GPAI), dont les modèles fondamentaux comme GPT-4
2 août 2026Obligations complètes pour les systèmes à haut risque
2 août 2027Extension aux systèmes IA embarqués dans des produits réglementés

//Les sanctions prévues

L'AI Act prévoit des sanctions dissuasives, proportionnelles au chiffre d'affaires mondial :

  • Jusqu'à 35 millions d'euros ou 7 % du CA pour les pratiques interdites
  • Jusqu'à 15 millions d'euros ou 3 % du CA pour les autres infractions
  • Jusqu'à 7,5 millions d'euros ou 1,5 % du CA pour les informations inexactes

Pour les PME et startups, des plafonds réduits s'appliquent : le montant retenu est toujours le plus faible entre le pourcentage et le montant fixe.

//Ce que votre PME doit faire maintenant

Quelle que soit la taille de votre organisation, voici les 5 actions prioritaires :

1. Inventorier vos systèmes IA

Dressez la liste de tous les outils IA utilisés dans votre organisation. N'oubliez pas les IA "cachées" : Copilot dans Microsoft 365, les fonctionnalités IA de votre CRM, les outils utilisés de manière informelle par vos équipes (shadow AI).

2. Classifier chaque système par niveau de risque

Pour chaque outil, déterminez s'il relève du risque minimal, limité, haut ou inacceptable. En cas de doute, consultez les lignes directrices de la Commission européenne.

3. Documenter les données et les décisions

Pour les systèmes à haut risque, documentez les données utilisées, les décisions prises par le système, et les mesures de supervision humaine en place.

4. Former vos équipes

L'article 4 de l'AI Act impose une obligation de culture IA (AI literacy) : les personnes utilisant des systèmes IA doivent avoir un niveau suffisant de compréhension. Découvrez nos formations adaptées aux PME.

5. Désigner un responsable conformité IA

Identifiez une personne référente — votre DPO peut endosser ce rôle — qui supervisera la conformité IA au même titre que la conformité RGPD.

//AI Act et RGPD : quelle articulation ?

L'AI Act ne remplace pas le RGPD. Les deux règlements se complètent :

  • Le RGPD protège les données personnelles utilisées par les systèmes IA
  • L'AI Act encadre les systèmes IA eux-mêmes, indépendamment des données
  • Une violation peut relever des deux règlements simultanément

Si vous êtes déjà en conformité RGPD, vous avez une longueur d'avance : les processus de documentation, de gouvernance des données et de désignation d'un DPO sont directement réutilisables.

//FAQ

L'AI Act concerne-t-il les PME qui utilisent simplement ChatGPT ?

Oui, mais de manière limitée. L'utilisation de ChatGPT ou Claude pour la rédaction relève du risque minimal et ne nécessite pas de conformité spécifique à l'AI Act. En revanche, l'obligation de culture IA (article 4) s'applique : vos collaborateurs doivent comprendre les limites de ces outils.

Mon entreprise est belge. L'AI Act s'applique-t-il ?

Oui. L'AI Act est un règlement européen d'application directe. Il s'applique dans tous les États membres de l'UE sans transposition nationale. En Belgique, l'Autorité de protection des données (APD) et le SPF Économie coordonnent la mise en œuvre.

Quelles sont les différences entre l'AI Act et le RGPD ?

Le RGPD protège les données personnelles, l'AI Act encadre les systèmes d'IA. Un système IA qui traite des données personnelles doit respecter les deux. L'AI Act ajoute des obligations spécifiques : classification des risques, transparence sur l'usage de l'IA, supervision humaine.

Existe-t-il des exemptions pour les PME ?

Oui. L'AI Act prévoit des allègements pour les PME : bacs à sable réglementaires (regulatory sandboxes), plafonds de sanctions réduits, et des obligations simplifiées de documentation. Cependant, les obligations fondamentales (interdictions, transparence) s'appliquent à tous.

Envie d'évaluer votre niveau de conformité ? Notre quiz AI Act gratuit vous donne un premier diagnostic en 2 minutes. Pour un accompagnement complet, contactez nos experts.

Partager :

Envie d'aller plus loin ?

Évaluez votre conformité AI Act ou contactez-nous pour un accompagnement personnalisé.

Quiz AI ActNous contacter