Depuis son entrée en vigueur officielle en août 2024, l'EU AI Act — le règlement européen sur l'intelligence artificielle — fait beaucoup parler de lui. Souvent présenté comme une contrainte réservée aux grandes entreprises technologiques, il suscite pourtant des interrogations légitimes chez les dirigeants de PME et de TPE : suis-je concerné ? Que dois-je faire concrètement ? Ai-je le temps de me mettre en conformité avant l'échéance du 2 août 2026 ? Cet article vous apporte des réponses claires, factuelles et actionnables.
L'EU AI Act : un règlement qui s'applique aussi aux petites structures
Première idée reçue à dissiper : l'EU AI Act ne cible pas uniquement les géants du numérique comme Google, Microsoft ou les grandes ESN. Le règlement s'applique à toute organisation qui développe, déploie ou utilise des systèmes d'intelligence artificielle dans l'Union européenne, quelle que soit sa taille. Une PME industrielle qui utilise un outil d'IA pour trier des CV, une TPE du secteur médical qui exploite un logiciel d'aide à la décision, ou encore un cabinet de conseil qui automatise l'analyse de données clients : tous sont potentiellement dans le périmètre du règlement.
Le texte distingue plusieurs catégories d'acteurs : les fournisseurs (ceux qui développent ou mettent sur le marché un système d'IA), les déployeurs (ceux qui utilisent un système d'IA dans un contexte professionnel) et les importateurs ou distributeurs. En tant que PME, vous êtes très souvent dans la position de déployeur — et cette position emporte des obligations concrètes.
Une approche par les risques : tout le monde n'est pas logé à la même enseigne
L'une des grandes intelligences de l'EU AI Act est son architecture fondée sur le niveau de risque des systèmes d'IA. Concrètement, quatre niveaux sont définis :
- Risque inacceptable : ces systèmes sont purement et simplement interdits (notation sociale généralisée, manipulation subliminale, etc.). Votre PME n'est probablement pas concernée.
- Risque élevé : c'est ici que les obligations sont les plus lourdes. Sont visés, entre autres, les systèmes d'IA utilisés dans les ressources humaines (recrutement, évaluation de performance), dans l'éducation, dans la santé, dans les infrastructures critiques ou encore dans l'accès à des services essentiels comme le crédit. Si vous déployez ce type d'outil, vous devez notamment mettre en place une surveillance humaine, tenir une documentation technique et réaliser une évaluation des risques.
- Risque limité : des obligations de transparence s'appliquent, notamment pour les chatbots — l'utilisateur doit savoir qu'il interagit avec une IA.
- Risque minimal : pas d'obligation spécifique au-delà du droit commun. Les filtres anti-spam ou les outils de recommandation de contenu entrent généralement dans cette catégorie.
Pour la majorité des PME et TPE, les outils d'IA utilisés au quotidien (assistants rédactionnels, outils d'analyse de données, chatbots de service client) relèvent du risque limité ou minimal. Mais attention : l'utilisation d'un logiciel RH basé sur l'IA pour filtrer des candidatures, par exemple, peut faire basculer votre situation dans la catégorie à risque élevé.
Les obligations concrètes qui vous concernent en tant que déployeur
Si vous n'êtes pas développeur d'IA mais simple utilisateur professionnel d'un système tiers, vos obligations sont allégées par rapport à celles d'un fournisseur. Néanmoins, le règlement impose aux déployeurs de systèmes à risque élevé plusieurs mesures pratiques :
- Utiliser le système conformément aux instructions du fournisseur et ne pas le détourner de son usage prévu.
- Assurer une supervision humaine effective : une décision importante ne peut pas être entièrement déléguée à l'IA sans contrôle humain.
- Informer les personnes concernées lorsqu'elles sont soumises à une décision automatisée significative.
- Réaliser une évaluation d'impact sur les droits fondamentaux avant de déployer certains systèmes à risque élevé dans des contextes sensibles.
- Tenir un registre des systèmes d'IA déployés dans votre organisation.
Ces obligations peuvent sembler techniques, mais elles s'inscrivent dans une logique de bon sens : savoir ce que vous utilisez, comment vous l'utilisez, et pouvoir en rendre compte. Pour une PME bien organisée, une grande partie de ce travail peut être réalisée en quelques semaines avec la bonne méthode.
Le calendrier de mise en conformité : ne pas attendre le dernier moment
L'EU AI Act s'applique de façon progressive. Les interdictions relatives aux systèmes à risque inacceptable sont entrées en vigueur dès février 2025. Les obligations concernant les systèmes d'IA à risque élevé, elles, s'appliqueront pleinement à partir du 2 août 2026. C'est la date butoir à retenir pour la grande majorité des PME et TPE.
Cela peut sembler lointain, mais la mise en conformité demande du temps : il faut d'abord identifier tous les systèmes d'IA utilisés dans votre entreprise (y compris ceux intégrés dans des logiciels métiers), les classifier selon leur niveau de risque, puis mettre en place les mesures requises. Sans oublier que vos fournisseurs de solutions IA doivent eux-mêmes être en conformité — et qu'il est dans votre intérêt de le vérifier contractuellement.
Les entreprises qui attendent 2026 pour commencer ce travail prendront un risque réel : les sanctions prévues par le règlement peuvent atteindre des montants significatifs, et des autorités nationales de surveillance seront désignées dans chaque État membre pour contrôler l'application du texte.
Ce que l'EU AI Act change réellement pour votre quotidien
Au-delà de la conformité réglementaire, l'EU AI Act est aussi une opportunité pour les PME de structurer leur usage de l'IA de façon plus responsable et plus transparente. Les entreprises qui sauront documenter leurs pratiques, former leurs équipes et communiquer sur leur démarche de conformité disposeront d'un avantage concurrentiel réel — notamment vis-à-vis de grands donneurs d'ordre ou de clients institutionnels qui exigeront bientôt des garanties de leurs fournisseurs.
En résumé, l'impact de l'EU AI Act sur les PME et TPE est réel mais gérable, à condition d'agir avec méthode et sans attendre. La bonne nouvelle : vous n'êtes pas seul face à ce défi.
Conclusion : passez à l'action avant l'échéance de 2026
L'EU AI Act n'est pas une menace abstraite réservée aux grandes entreprises. Il concerne votre PME ou TPE dès lors que vous utilisez des outils d'intelligence artificielle dans vos opérations — ce qui est le cas de la quasi-totalité des entreprises aujourd'hui. La clé est de commencer par comprendre votre exposition réelle, identifier vos systèmes d'IA et prioriser les actions à mener.
Audityo a été conçu précisément pour accompagner les PME et TPE européennes dans cette démarche, sans jargon juridique inutile et avec des étapes concrètes. Faites dès aujourd'hui votre diagnostic de conformité gratuit sur audityo.eu et sachez en quelques minutes où vous en êtes par rapport aux exigences de l'EU AI Act.