L'AI Act n'arrive pas — il est là. Le premier règlement mondial sur l'intelligence artificielle est entré en vigueur en août 2024, et les échéances de conformité se rapprochent à grande vitesse. Pourtant, selon une enquête de France Digitale de 2025, 67 % des PME et ETI françaises n'ont aucun plan concret de conformité à l'AI Act. Si vous êtes dirigeant, responsable conformité ou DRH d'une PME ou ETI, cet angle mort réglementaire pourrait vous coûter jusqu'à 35 millions d'euros ou 7 % de votre chiffre d'affaires annuel mondial.

Par Toni Dos Santos, Co-Fondateur, Spicy Advisory

En bref — Ce qu'il faut retenir : L'AI Act (Règlement 2024/1689) s'applique à toute entreprise utilisant l'IA dans les 27 États membres de l'UE — pas uniquement aux entreprises technologiques qui la développent. Si vous utilisez l'IA en RH, ventes, finance ou service client, vous avez des obligations légales à partir d'août 2026. Les sanctions peuvent atteindre 35 M€ ou 7 % du chiffre d'affaires mondial. Ce guide couvre le système de classification des risques, le calendrier de conformité, les obligations par taille d'entreprise (PME, ETI, grands groupes) et propose le Cadre SPICY de Conformité en 5 étapes. Contactez notre équipe pour un accompagnement personnalisé.

Pourquoi l'AI Act Concerne les Entreprises Qui Utilisent l'IA — Pas Seulement Celles Qui la Développent

Il existe un malentendu répandu : l'AI Act ne concernerait que les entreprises technologiques qui développent des systèmes d'IA. C'est une erreur dangereuse. Le règlement s'applique à l'ensemble de la chaîne de valeur de l'IA — y compris aux déployeurs, le terme juridique désignant les entreprises qui utilisent des systèmes d'IA dans leurs opérations. Si votre équipe commerciale utilise un CRM enrichi par l'IA, si votre DRH trie des CV avec des outils IA, ou si votre direction financière s'appuie sur l'IA pour le scoring crédit, vous avez des obligations au titre de l'AI Act.

Pour les PME et ETI françaises, l'enjeu est de taille. Selon l'INSEE, 35 % des entreprises françaises de 10 salariés ou plus utilisaient l'IA en 2024, un chiffre qui a probablement fortement augmenté depuis. Nombre de ces entreprises ont adopté des outils IA sans réfléchir aux implications réglementaires — et le compte à rebours de la conformité a déjà commencé.

Le Système de Classification des Risques : Comprendre Où Se Situent Vos Outils IA

L'AI Act introduit un cadre de risque par niveaux qui détermine vos obligations de conformité. Pensez-y comme au marquage CE pour les produits — mais appliqué à l'intelligence artificielle.

Risque Inacceptable (Pratiques Interdites)

Ces pratiques IA sont interdites depuis le 2 février 2025 :

Si l'un de vos outils IA entre dans ces catégories, vous devez cesser son utilisation immédiatement. Il n'y a aucun délai de grâce — l'interdiction est déjà en vigueur.

Risque Élevé (Obligations Strictes)

Les systèmes IA à haut risque sont soumis aux exigences de conformité les plus lourdes, applicables à partir du 2 août 2026. Il s'agit notamment de l'IA utilisée dans :

Pour les déployeurs de systèmes à haut risque, les obligations incluent : la réalisation d'analyses d'impact sur les droits fondamentaux, la garantie d'un contrôle humain, la tenue de registres, l'information des salariés lorsque l'IA est utilisée dans les décisions RH, et la coopération avec les autorités de régulation.

Risque Limité (Obligations de Transparence)

Les systèmes IA qui interagissent directement avec les personnes doivent satisfaire des exigences de transparence :

Risque Minimal (Aucune Obligation Spécifique)

Les applications IA comme les filtres anti-spam, les outils de rédaction assistée pour usage interne ou les systèmes d'optimisation de stocks ne sont soumis à aucune obligation spécifique au titre de l'AI Act — bien que les principes généraux d'utilisation responsable de l'IA restent applicables.

Le Calendrier de Conformité : Les Dates Clés à Connaître

L'AI Act se déploie par phases. Voici les échéances essentielles :

  1. 2 février 2025 : Entrée en vigueur des interdictions sur les pratiques IA à risque inacceptable. Toutes les pratiques interdites doivent avoir cessé.
  2. 2 août 2025 : Application des règles pour les modèles d'IA à usage général (GPAI). Si vous utilisez des modèles fondamentaux comme GPT-4, Claude ou Gemini, vos fournisseurs doivent se conformer aux exigences de transparence et de documentation.
  3. 2 août 2026 : L'essentiel du règlement entre en application. Les obligations pour les systèmes IA à haut risque deviennent exécutoires. Les autorités nationales de contrôle doivent être opérationnelles.
  4. 2 août 2027 : Entrée en vigueur des dispositions restantes pour les systèmes IA à haut risque intégrés dans d'autres produits réglementés par l'UE.

Pour la plupart des PME et ETI, août 2026 est l'échéance critique. Il vous reste moins de 18 mois pour inventorier vos systèmes IA, évaluer les niveaux de risque et mettre en place les mesures de conformité.

Le Déficit de Conscience : Pourquoi les PME et ETI Sont Exposées

Les grandes entreprises — en particulier les sociétés du CAC 40 — ont mobilisé leurs équipes juridiques et conformité autour de l'AI Act dès 2023. Les entreprises de taille intermédiaire et plus petites ne l'ont pas fait. Les données dressent un tableau préoccupant :

Ce déficit de sensibilisation crée un risque business réel. Quand l'application des sanctions commencera en août 2026, les autorités de régulation ne feront pas la différence entre les entreprises qui ne savaient pas et celles qui s'en moquaient.

Grands Groupes, ETI et PME : Différentes Échelles, Différents Défis

L'AI Act s'applique uniformément quelle que soit la taille de l'entreprise, mais les enjeux de conformité varient considérablement selon l'échelle et la maturité IA de votre organisation.

Grands Groupes (250+ salariés)

Les grandes entreprises et sociétés du CAC 40 disposent généralement des ressources nécessaires à la conformité — mais font face à des défis d'échelle. Avec des centaines de systèmes IA déployés dans tous les départements, le risque principal est le shadow AI : des équipes qui adoptent des outils IA sans supervision centralisée. Les grands groupes ont besoin de registres IA centralisés, de comités de gouvernance transversaux et de processus d'audit systématiques. La complexité des opérations multi-pays au sein de l'UE ajoute une couche supplémentaire. La formation des dirigeants à l'IA est essentielle pour garantir une compréhension au niveau du conseil d'administration.

ETI (50–250 salariés)

Les ETI sont le segment le plus exposé. Elles ont suffisamment d'usages IA pour déclencher des obligations significatives — notamment en RH, finance et service client — mais manquent souvent d'infrastructure de conformité dédiée. Seules 12 % ont désigné un responsable de la gouvernance IA. L'opportunité : les ETI sont assez petites pour évoluer rapidement et implémenter des changements dans toute l'organisation, mais assez grandes pour faire face à un risque réglementaire réel. C'est le segment où l'action proactive offre le meilleur retour sur investissement.

PME (moins de 50 salariés)

L'AI Act prévoit des amendes proportionnelles pour les PME, mais « proportionnel » peut signifier des centaines de milliers d'euros pour une entreprise réalisant 5 à 10 millions d'euros de chiffre d'affaires. Pour les PME, les zones de risque les plus courantes sont les outils de recrutement IA (catégorie haut risque) et les chatbots orientés clients (obligations de transparence). La bonne nouvelle : la plupart des usages IA des PME relèvent du risque minimal ou limité. La priorité est la sensibilisation — comprendre quels outils comportent des obligations et garantir le respect des exigences de transparence de base.

Un Règlement Européen à Mise en Œuvre Nationale : La France et Au-delà

Contrairement aux directives européennes qui nécessitent une transposition nationale, l'AI Act est un règlement — il s'applique directement et uniformément dans les 27 États membres de l'UE aux mêmes dates. Une entreprise conforme en France est conforme dans l'ensemble du marché unique européen.

Cependant, chaque État membre doit désigner des autorités nationales de contrôle d'ici août 2026. Le paysage de l'application prend forme :

Pour les entreprises opérant au-delà des frontières de l'UE, cela signifie qu'un seul cadre de conformité couvre tous les marchés — mais surveillez les pratiques d'application des autorités de chaque pays où vous opérez. Les entreprises basées hors de l'UE (Royaume-Uni, États-Unis, Suisse) qui placent des systèmes IA sur le marché européen sont également soumises aux dispositions extraterritoriales de l'AI Act, à l'instar du RGPD.

Le Cadre SPICY de Conformité AI Act : Votre Plan d'Action en 5 Étapes

Chez Spicy Advisory, nous avons développé une méthodologie structurée pour aider les PME et ETI à atteindre la conformité AI Act sans paralysie. Nous l'appelons le Cadre SPICY de Conformité — cinq étapes opérationnelles pour passer de l'incertitude à la préparation.

S — Scanner : Inventorier Vos Systèmes IA

Impossible de se conformer à une réglementation pour des systèmes qu'on ne connaît pas. Commencez par un inventaire complet de l'IA dans tous les départements. Cartographiez chaque outil IA, modèle et processus de décision automatisé. N'oubliez pas les outils SaaS tiers intégrant des fonctionnalités IA — ils comptent aussi. Le livrable : un registre complet des systèmes IA avec leur finalité, les données en entrée et la portée décisionnelle.

P — Prioriser : Classifier par Niveau de Risque

Appliquez la classification des risques de l'AI Act à chaque système de votre inventaire. Concentrez-vous d'abord sur les pratiques potentiellement interdites (action immédiate requise) puis sur les systèmes à haut risque (échéance août 2026). Créez une feuille de route de conformité priorisée par niveau de risque et proximité de l'échéance. N'essayez pas de tout traiter en même temps — séquencez vos efforts par urgence réglementaire.

I — Implémenter : Construire les Mesures de Conformité

Pour chaque système IA à haut risque, mettez en place les garde-fous requis : analyses d'impact sur les droits fondamentaux, mécanismes de contrôle humain, journalisation et documentation, mesures de transparence envers les personnes concernées. Pour les systèmes à risque limité, assurez le respect des obligations de transparence. Établissez une politique IA interne codifiant les usages acceptables et les procédures de gouvernance.

C — Contrôler : Surveiller et Auditer

La conformité n'est pas un exercice ponctuel. Mettez en place des processus de surveillance continue : audits réguliers de la performance et de la conformité des systèmes IA, mécanismes de signalement d'incidents, boucles de retour des employés et des personnes concernées, mises à jour documentaires à mesure que les systèmes IA évoluent. Intégrez cela à votre infrastructure qualité ou conformité existante — ne créez pas de bureaucratie parallèle.

Y — Y former : Former Vos Équipes

La dernière étape — et sans doute la plus importante. La réglementation ne vaut rien si vos collaborateurs ne la comprennent pas. Formez votre comité de direction aux obligations de l'AI Act et à leurs implications stratégiques. Formez les équipes RH aux obligations à haut risque pour l'IA dans le recrutement et l'évaluation. Formez l'ensemble des collaborateurs aux exigences de transparence et à l'usage responsable de l'IA. Ce n'est pas un atelier unique — c'est un programme continu de montée en compétences. Selon France Compétences, seules 15 % des entreprises françaises ont intégré la littératie IA dans leurs plans de formation 2026, malgré les exigences réglementaires croissantes.

« L'AI Act ne demande pas aux entreprises d'arrêter d'utiliser l'IA. Il leur demande de l'utiliser de manière responsable, transparente et avec un contrôle adapté. Pour la plupart des PME et ETI, le déficit de conformité ne relève pas de la technologie — il relève de la sensibilisation et des processus. » — Toni Dos Santos, Co-Fondateur, Spicy Advisory

Sanctions : Ce Qui Est Réellement en Jeu

La structure de sanctions de l'AI Act est conçue pour marquer les esprits :

Pour les PME et startups, le règlement prévoit des amendes proportionnelles — mais « proportionnel » pour une entreprise réalisant 50 millions d'euros de chiffre d'affaires représente tout de même potentiellement des millions d'euros. L'impact réputationnel d'une action coercitive peut s'avérer encore plus coûteux que l'amende elle-même.

Actions Concrètes à Lancer Cette Semaine

Inutile de monter un projet de six mois pour démarrer. Voici des actions immédiates :

  1. Désignez un responsable AI Act. Un membre de votre organisation — que ce soit votre DPO, votre responsable conformité ou un cadre dirigeant — doit porter ce sujet.
  2. Lancez un inventaire IA rapide. Envoyez un questionnaire simple aux directeurs de département : « Quels outils IA votre équipe utilise-t-elle ? » Les réponses vont probablement vous surprendre.
  3. Vérifiez les usages interdits. Croisez votre inventaire avec la liste des pratiques interdites. Si vous en trouvez, cessez immédiatement.
  4. Briefez votre comité de direction. Partagez cet article ou un résumé équivalent avec votre équipe dirigeante. La conformité commence par la prise de conscience.
  5. Évaluez vos risques RH majeurs. Si vous utilisez l'IA dans le recrutement, les évaluations de performance ou la planification de la main-d'œuvre, ce sont vos zones à plus haut risque. Priorisez-les pour un examen de conformité.

Pour les entreprises souhaitant construire un cadre de gouvernance IA plus large, le processus de conformité AI Act peut servir de fondation à un programme plus complet couvrant exigences réglementaires et bonnes pratiques opérationnelles.

N'attendez pas l'entrée en application pour vous préparer. Le programme de formation en Gouvernance IA de Spicy Advisory aide les PME et ETI à intégrer la conformité AI Act dans leurs opérations — de façon pratique, efficace, et sans jargon juridique. Réservez un appel découverte ou découvrez nos formations IA par métier.

Questions Fréquemment Posées

Mon entreprise est-elle concernée par l'AI Act ?

Presque certainement, si vous opérez dans l'UE et utilisez l'IA sous quelque forme que ce soit. L'AI Act ne s'applique pas seulement aux entreprises qui développent des systèmes d'IA, mais aussi aux « déployeurs » — les organisations qui utilisent des systèmes d'IA dans leurs activités professionnelles. Si vos équipes utilisent des outils IA pour le recrutement, le service client, l'analyse de données, la création de contenu ou toute autre fonction métier, vous avez des obligations au titre de l'AI Act. Même l'utilisation de produits SaaS tiers intégrant des fonctionnalités IA est concernée. Le périmètre est volontairement large : si l'IA influence des décisions qui affectent des personnes, le règlement s'applique.

Quelles sont les sanctions de l'AI Act ?

L'AI Act établit une structure de sanctions à trois niveaux. Les violations impliquant des pratiques IA interdites sont passibles d'amendes pouvant atteindre 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. La non-conformité aux obligations IA à haut risque peut entraîner des amendes jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires mondial. La fourniture d'informations incorrectes ou trompeuses aux autorités de régulation peut coûter jusqu'à 7,5 millions d'euros ou 1 % du chiffre d'affaires. Pour les PME et startups, les amendes sont proportionnelles mais peuvent tout de même représenter des millions d'euros. Au-delà des sanctions financières, l'impact réputationnel d'une action publique de mise en application peut significativement affecter les relations commerciales et la confiance du marché.

Quand l'AI Act entre-t-il en vigueur ?

L'AI Act est entré en vigueur le 1er août 2024, mais ses dispositions s'appliquent par phases. Les interdictions sur les pratiques IA à risque inacceptable ont pris effet le 2 février 2025 — elles sont déjà exécutoires. Les règles pour les modèles d'IA à usage général (comme GPT-4 et Claude) s'appliquent depuis le 2 août 2025. L'essentiel du règlement, incluant les obligations pour les systèmes IA à haut risque, devient exécutoire le 2 août 2026. Les dernières dispositions pour les systèmes IA intégrés dans des produits réglementés par l'UE prendront effet le 2 août 2027. Pour la plupart des entreprises, août 2026 est l'échéance clé de conformité.

Faut-il un DPO pour l'AI Act ?

L'AI Act n'exige pas spécifiquement la désignation d'un Délégué à la Protection des Données (DPO) pour la conformité IA. Cependant, si vous disposez déjà d'un DPO au titre du RGPD, il est le candidat naturel pour coordonner la conformité AI Act compte tenu du chevauchement significatif entre protection des données et réglementation IA — notamment autour des analyses d'impact sur les droits fondamentaux, des obligations de transparence et de la gouvernance des données. Pour les PME et ETI sans DPO, la désignation d'un « référent conformité IA » est recommandée. Cette personne n'a pas besoin d'être juriste — elle doit comprendre vos systèmes IA, le cadre réglementaire, et disposer de l'autorité nécessaire pour piloter les processus de conformité à travers les départements.

Quelle est la différence entre l'AI Act et le RGPD ?

Le RGPD protège les données personnelles tandis que l'AI Act réglemente les systèmes d'IA, qu'ils traitent ou non des données personnelles. Les deux sont complémentaires — un système IA traitant des données personnelles doit se conformer aux deux textes. L'AI Act ajoute des exigences en matière d'évaluation des risques, de transparence, de contrôle humain et de documentation système qui vont au-delà de la protection des données. Les entreprises ayant une bonne conformité RGPD sont mieux positionnées pour la conformité AI Act, car de nombreux processus de gouvernance se recoupent.

L'AI Act s'applique-t-il en dehors de la France ?

Oui, l'AI Act s'applique dans les 27 États membres de l'UE en tant que règlement directement applicable. Il a également une portée extraterritoriale — toute entreprise plaçant des systèmes IA sur le marché européen ou dont les résultats IA sont utilisés dans l'UE doit s'y conformer, quel que soit le siège de l'entreprise. Cela est similaire à la portée extraterritoriale du RGPD. Les entreprises au Royaume-Uni, aux États-Unis ou dans d'autres pays hors UE qui servent des clients européens ou emploient des travailleurs basés dans l'UE sont concernées.

Qu'est-ce qu'un déployeur au sens de l'AI Act ?

Un déployeur est toute personne physique ou morale qui utilise un système d'IA dans un cadre professionnel. Cela inclut les entreprises qui utilisent des outils IA tiers comme ChatGPT, Microsoft Copilot ou des logiciels RH alimentés par l'IA dans leurs opérations. Les déployeurs ont des obligations spécifiques au titre de l'AI Act, notamment pour les systèmes à haut risque : réaliser des analyses d'impact sur les droits fondamentaux, assurer un contrôle humain, maintenir la transparence envers les personnes concernées et conserver des journaux d'utilisation. La plupart des PME, ETI et grands groupes sont des déployeurs et non des fournisseurs.

Comment se préparer à l'AI Act si j'utilise des outils IA de fournisseurs américains ?

Les fournisseurs d'IA comme OpenAI, Microsoft, Google et Anthropic opérant sur le marché européen doivent respecter les obligations fournisseur, incluant la documentation des modèles, les évaluations de risques et les exigences de transparence. En tant que déployeur, vos obligations restent les mêmes quel que soit le pays d'origine de votre fournisseur IA. Vous devez vérifier que vos fournisseurs prennent des mesures de conformité AI Act, inclure des exigences de conformité dans vos contrats d'approvisionnement, et maintenir votre propre documentation sur l'utilisation de ces systèmes dans vos opérations.

Sources et Références :

  • Parlement européen et Conseil, Règlement (UE) 2024/1689 — l'Artificial Intelligence Act (2024)
  • France Digitale, « Enquête AI Readiness : PME françaises et l'AI Act » (2025)
  • McKinsey & Company, « France AI Survey : Maturité de la gouvernance IA en entreprise » (2025)
  • Salesforce, « Global AI Skills Report » (2025)
  • INSEE, « Adoption de l'intelligence artificielle par les entreprises en France » (2024)
  • CNIL, Rapport annuel d'activité 2023
  • France Compétences, « Baromètre de la formation professionnelle et des compétences IA » (2026)
  • Commission européenne, Lignes directrices et FAQ sur la mise en œuvre de l'AI Act (2025)

À propos de Spicy Advisory

Spicy Advisory accompagne les PME, ETI et grands groupes en France et en Europe dans leur adoption de l'IA à travers des formations pratiques, du conseil en gouvernance et un accompagnement à la conformité. Notre programme de formation en Gouvernance IA fait le pont entre la réglementation et la mise en œuvre concrète — sans consultants juniors, sans jargon juridique, avec des résultats opérationnels dès le premier jour.

Réserver un bilan de conformité AI Act