Depuis le 1er août 2024, le règlement européen sur l'intelligence artificielle est en vigueur. L'IA Act va s'appliquer progressivement jusqu'en 2027. Et contrairement à ce qu'on entend souvent, il ne concerne pas que les grandes entreprises ou les éditeurs de logiciels. Si votre PME utilise des outils IA, vous êtes concerné.

Voici ce que ça signifie concrètement, sans jargon juridique.

Ce qu'est l'IA Act en deux phrases

L'IA Act est le premier cadre réglementaire au monde qui encadre l'usage de l'intelligence artificielle. Son principe de base : plus un système IA présente de risques pour les personnes, plus les obligations sont strictes. Il distingue quatre niveaux de risque : inacceptable, élevé, limité et minimal.

Les PME sont-elles vraiment concernées ?

Oui, dès lors qu'elles utilisent un outil IA dans leur activité professionnelle.

L'IA Act distingue deux rôles : les fournisseurs (ceux qui développent et commercialisent un système IA, comme OpenAI ou Microsoft) et les déployeurs (ceux qui utilisent ces systèmes dans un contexte professionnel). En tant que PME qui utilise ChatGPT, Copilot ou un assistant IA pour son activité, vous êtes déployeur.

Ce statut implique des obligations concrètes. Les règles de transparence s'appliquent à partir d'août 2026. Pour les systèmes à risque élevé (Annexe III), le Digital Omnibus (accord provisoire Parlement/Conseil de mai 2026) a repoussé les obligations à décembre 2027, les normes techniques harmonisées n'étant pas disponibles à temps.

Quelles obligations pour les déployeurs ?

Pour les outils IA courants (rédaction, résumé, analyse de documents), les obligations restent raisonnables.

Informer vos collaborateurs. Si vos employés interagissent avec un système IA, ils doivent en être informés. Pas besoin de note de service complexe, mais l'usage ne peut pas être implicite ou caché. Un cabinet comptable de 12 personnes qui utilise un assistant IA pour générer des synthèses de bilans doit en informer ses collaborateurs : une simple mention dans la charte informatique ou une note interne suffit dans la plupart des cas.

Maintenir une supervision humaine. Les décisions importantes (recrutement, évaluation, contrats) ne peuvent pas être déléguées entièrement à un outil IA. Un humain doit rester dans la boucle et pouvoir contester ou corriger le résultat. Un gérant qui demande à ChatGPT de rédiger une réponse à un appel d'offres doit relire et valider le document avant envoi. L'IA suggère, l'humain décide et signe.

Garder un minimum de traçabilité. Pour certains usages, vous devrez être capable d'expliquer comment l'IA a été utilisée dans un processus de décision. Pas nécessairement un rapport détaillé, mais au moins la capacité de répondre à la question : "Qui a utilisé quel outil, sur quelles données, pour prendre quelle décision ?"

Les usages à risque élevé : attention particulière

Certains usages entrent dans la catégorie "risque élevé" et déclenchent des obligations renforcées. Pour les PME, les cas les plus fréquents concernent :

  • Les ressources humaines : recrutement assisté par IA, évaluation des performances, décisions sur les conditions de travail
  • L'accès au crédit : scoring automatisé de solvabilité
  • La gestion de l'accès à des services essentiels : assurance, éducation, soins

Si votre PME utilise un outil IA pour trier des candidatures ou évaluer des collaborateurs, vous êtes en zone de risque élevé. Les obligations deviennent alors plus contraignantes : documentation formelle, évaluation de conformité, enregistrement dans une base de données européenne.

Exemple concret : un responsable RH d'une PME industrielle utilise un plugin IA pour présélectionner des CV parmi 80 candidatures. Cet usage entre dans la catégorie risque élevé, même si l'outil est simple et que le responsable valide ensuite manuellement. Les obligations de documentation et de supervision humaine explicite s'appliquent dès la mise en usage.

Le RGPD reste applicable, en plus de l'IA Act

L'IA Act ne remplace pas le RGPD. Les deux s'appliquent simultanément.

Concrètement : si vous utilisez ChatGPT pour analyser des données clients, des contrats ou des dossiers personnels, vous êtes soumis à la fois aux règles de l'IA Act (en tant que déployeur) et aux règles du RGPD (traitement de données personnelles). Et les données traitées par des outils cloud étrangers transitent vers des serveurs hors Union européenne, ce qui soulève des questions de conformité RGPD que votre DPO, ou votre prestataire informatique, doit avoir documentées.

Exemple : un avocat qui colle dans ChatGPT un contrat contenant le nom d'une partie, son adresse et ses conditions financières transfère des données personnelles vers des serveurs OpenAI aux États-Unis. Ce transfert hors UE doit être encadré juridiquement et documenté dans le registre des traitements de données de l'entreprise. Dans les faits, très peu de PME l'ont fait.

Pourquoi une IA locale simplifie la conformité

Une infrastructure IA locale répond structurellement aux deux contraintes que l'IA Act et le RGPD font peser sur les PME : le contrôle des données et la traçabilité des usages.

Avec un assistant IA installé dans vos locaux sur du matériel qui vous appartient, vous gardez le contrôle total sur les données traitées. Elles ne quittent pas votre infrastructure. Vous savez précisément ce qui est traité, par quel modèle, dans quel contexte. La traçabilité est plus simple à documenter. Et vous n'avez pas de sous-traitant cloud à déclarer à votre DPO pour chaque traitement.

Cela ne vous dispense pas de respecter l'IA Act. Les obligations de transparence et de supervision humaine s'appliquent quelle que soit la solution. Mais la conformité RGPD est structurellement plus simple quand les données ne bougent pas.

Ce qu'il faut faire maintenant

Vous n'avez pas besoin d'un juriste spécialisé en IA pour commencer. Quelques questions simples permettent de faire un premier état des lieux :

  1. Quels outils IA utilisent vos équipes aujourd'hui, même informellement ?
  2. Ces outils traitent-ils des données personnelles (noms, contrats, dossiers RH) ?
  3. Avez-vous informé vos collaborateurs de ces usages ?
  4. Certains processus de décision reposent-ils en partie sur des résultats générés par IA ?

Si vous ne savez pas répondre à ces questions, c'est le bon moment pour faire le point. Les règles de transparence s'appliquent dès août 2026. Les obligations pour les systèmes à risque élevé ont été repoussées à décembre 2027 par le Digital Omnibus, mais les autorités de contrôle commencent déjà à regarder les pratiques des entreprises.

En résumé

L'IA Act ne va pas bloquer votre usage de l'IA. Il encadre cet usage, avec des obligations proportionnées au niveau de risque. Pour la plupart des PME, les obligations sont accessibles : transparence envers les collaborateurs, supervision humaine, traçabilité minimale.

L'enjeu principal n'est pas juridique, c'est opérationnel : savoir ce que vos outils IA font de vos données, et être capable de le documenter si nécessaire.