L'AI Act Expliqué aux Dirigeants de PME et ETI : Obligations, Risques et Plan d'Action

L'AI Act n'arrive pas — il est là. Le premier règlement mondial sur l'intelligence artificielle est entré en vigueur en août 2024, et les échéances de conformité se rapprochent à grande vitesse. Pourtant, selon une enquête de France Digitale de 2025, 67 % des PME et ETI françaises n'ont aucun plan concret de conformité à l'AI Act. Si vous êtes dirigeant, responsable conformité ou DRH d'une PME ou ETI, cet angle mort réglementaire pourrait vous coûter jusqu'à 35 millions d'euros ou 7 % de votre chiffre d'affaires annuel mondial.

Par Toni Dos Santos, Co-Fondateur, Spicy Advisory

Pourquoi l'AI Act Concerne les Entreprises Qui Utilisent l'IA — Pas Seulement Celles Qui la Développent

Il existe un malentendu répandu : l'AI Act ne concernerait que les entreprises technologiques qui développent des systèmes d'IA. C'est une erreur dangereuse. Le règlement s'applique à l'ensemble de la chaîne de valeur de l'IA — y compris aux déployeurs, le terme juridique désignant les entreprises qui utilisent des systèmes d'IA dans leurs opérations. Si votre équipe commerciale utilise un CRM enrichi par l'IA, si votre DRH trie des CV avec des outils IA, ou si votre direction financière s'appuie sur l'IA pour le scoring crédit, vous avez des obligations au titre de l'AI Act.

Pour les PME et ETI françaises, l'enjeu est de taille. Selon l'INSEE, 35 % des entreprises françaises de 10 salariés ou plus utilisaient l'IA en 2024, un chiffre qui a probablement fortement augmenté depuis. Nombre de ces entreprises ont adopté des outils IA sans réfléchir aux implications réglementaires — et le compte à rebours de la conformité a déjà commencé.

Le Système de Classification des Risques : Comprendre Où Se Situent Vos Outils IA

L'AI Act introduit un cadre de risque par niveaux qui détermine vos obligations de conformité. Pensez-y comme au marquage CE pour les produits — mais appliqué à l'intelligence artificielle.

Risque Inacceptable (Pratiques Interdites)

Ces pratiques IA sont interdites depuis le 2 février 2025 :

Systèmes de notation sociale évaluant les individus sur leurs caractéristiques personnelles ou leur comportement
IA exploitant les vulnérabilités de groupes spécifiques (âge, handicap, situation économique)
Identification biométrique en temps réel dans les espaces publics (exceptions étroites pour les forces de l'ordre)
Reconnaissance des émotions sur le lieu de travail et dans les établissements d'enseignement
Extraction non ciblée d'images faciales depuis internet ou la vidéosurveillance

Si l'un de vos outils IA entre dans ces catégories, vous devez cesser son utilisation immédiatement. Il n'y a aucun délai de grâce — l'interdiction est déjà en vigueur.

Risque Élevé (Obligations Strictes)

Les systèmes IA à haut risque sont soumis aux exigences de conformité les plus lourdes, applicables à partir du 2 août 2026. Il s'agit notamment de l'IA utilisée dans :

Emploi et RH : tri de CV, classement de candidats, évaluation de performance, décisions de promotion
Solvabilité et assurance : scoring crédit par IA, évaluation des risques, tarification
Éducation : évaluation des étudiants, décisions d'admission
Infrastructures critiques : systèmes de gestion de l'énergie, de l'eau, des transports
Forces de l'ordre et justice : police prédictive, évaluation de preuves

Pour les déployeurs de systèmes à haut risque, les obligations incluent : la réalisation d'analyses d'impact sur les droits fondamentaux, la garantie d'un contrôle humain, la tenue de registres, l'information des salariés lorsque l'IA est utilisée dans les décisions RH, et la coopération avec les autorités de régulation.

Risque Limité (Obligations de Transparence)

Les systèmes IA qui interagissent directement avec les personnes doivent satisfaire des exigences de transparence :

Les chatbots doivent indiquer qu'ils sont des IA et non des humains
Les contenus générés par IA (deepfakes, textes synthétiques) doivent être étiquetés
Les systèmes de reconnaissance d'émotions ou de catégorisation biométrique doivent informer les utilisateurs

Risque Minimal (Aucune Obligation Spécifique)

Les applications IA comme les filtres anti-spam, les outils de rédaction assistée pour usage interne ou les systèmes d'optimisation de stocks ne sont soumis à aucune obligation spécifique au titre de l'AI Act — bien que les principes généraux d'utilisation responsable de l'IA restent applicables.

Le Calendrier de Conformité : Les Dates Clés à Connaître

L'AI Act se déploie par phases. Voici les échéances essentielles :

2 février 2025 : Entrée en vigueur des interdictions sur les pratiques IA à risque inacceptable. Toutes les pratiques interdites doivent avoir cessé.
2 août 2025 : Application des règles pour les modèles d'IA à usage général (GPAI). Si vous utilisez des modèles fondamentaux comme GPT-4, Claude ou Gemini, vos fournisseurs doivent se conformer aux exigences de transparence et de documentation.
2 août 2026 : L'essentiel du règlement entre en application. Les obligations pour les systèmes IA à haut risque deviennent exécutoires. Les autorités nationales de contrôle doivent être opérationnelles.
2 août 2027 : Entrée en vigueur des dispositions restantes pour les systèmes IA à haut risque intégrés dans d'autres produits réglementés par l'UE.

Pour la plupart des PME et ETI, août 2026 est l'échéance critique. Il vous reste moins de 18 mois pour inventorier vos systèmes IA, évaluer les niveaux de risque et mettre en place les mesures de conformité.

Le Déficit de Conscience : Pourquoi les PME et ETI Sont Exposées

Les grandes entreprises — en particulier les sociétés du CAC 40 — ont mobilisé leurs équipes juridiques et conformité autour de l'AI Act dès 2023. Les entreprises de taille intermédiaire et plus petites ne l'ont pas fait. Les données dressent un tableau préoccupant :

67 % des PME françaises n'ont aucune feuille de route de conformité AI Act (France Digitale, 2025)
Seules 12 % des ETI ont désigné un responsable de la gouvernance IA (McKinsey France AI Survey, 2025)
73 % des professionnels français se sentent sous-qualifiés en IA (Salesforce, 2025), un déficit qui s'étend à la connaissance réglementaire
En parallèle, la CNIL a reçu plus de 16 000 plaintes en 2023 — preuve que les régulateurs français sont actifs et que les citoyens sont de plus en plus conscients de leurs droits en matière d'IA et de données

Ce déficit de sensibilisation crée un risque business réel. Quand l'application des sanctions commencera en août 2026, les autorités de régulation ne feront pas la différence entre les entreprises qui ne savaient pas et celles qui s'en moquaient.

Le Cadre SPICY de Conformité AI Act : Votre Plan d'Action en 5 Étapes

Chez Spicy Advisory, nous avons développé une méthodologie structurée pour aider les PME et ETI à atteindre la conformité AI Act sans paralysie. Nous l'appelons le Cadre SPICY de Conformité — cinq étapes opérationnelles pour passer de l'incertitude à la préparation.

S — Scanner : Inventorier Vos Systèmes IA

Impossible de se conformer à une réglementation pour des systèmes qu'on ne connaît pas. Commencez par un inventaire complet de l'IA dans tous les départements. Cartographiez chaque outil IA, modèle et processus de décision automatisé. N'oubliez pas les outils SaaS tiers intégrant des fonctionnalités IA — ils comptent aussi. Le livrable : un registre complet des systèmes IA avec leur finalité, les données en entrée et la portée décisionnelle.

P — Prioriser : Classifier par Niveau de Risque

Appliquez la classification des risques de l'AI Act à chaque système de votre inventaire. Concentrez-vous d'abord sur les pratiques potentiellement interdites (action immédiate requise) puis sur les systèmes à haut risque (échéance août 2026). Créez une feuille de route de conformité priorisée par niveau de risque et proximité de l'échéance. N'essayez pas de tout traiter en même temps — séquencez vos efforts par urgence réglementaire.

I — Implémenter : Construire les Mesures de Conformité

Pour chaque système IA à haut risque, mettez en place les garde-fous requis : analyses d'impact sur les droits fondamentaux, mécanismes de contrôle humain, journalisation et documentation, mesures de transparence envers les personnes concernées. Pour les systèmes à risque limité, assurez le respect des obligations de transparence. Établissez une politique IA interne codifiant les usages acceptables et les procédures de gouvernance.

C — Contrôler : Surveiller et Auditer

La conformité n'est pas un exercice ponctuel. Mettez en place des processus de surveillance continue : audits réguliers de la performance et de la conformité des systèmes IA, mécanismes de signalement d'incidents, boucles de retour des employés et des personnes concernées, mises à jour documentaires à mesure que les systèmes IA évoluent. Intégrez cela à votre infrastructure qualité ou conformité existante — ne créez pas de bureaucratie parallèle.

Y — Y former : Former Vos Équipes

La dernière étape — et sans doute la plus importante. La réglementation ne vaut rien si vos collaborateurs ne la comprennent pas. Formez votre comité de direction aux obligations de l'AI Act et à leurs implications stratégiques. Formez les équipes RH aux obligations à haut risque pour l'IA dans le recrutement et l'évaluation. Formez l'ensemble des collaborateurs aux exigences de transparence et à l'usage responsable de l'IA. Ce n'est pas un atelier unique — c'est un programme continu de montée en compétences. Selon France Compétences, seules 15 % des entreprises françaises ont intégré la littératie IA dans leurs plans de formation 2026, malgré les exigences réglementaires croissantes.

« L'AI Act ne demande pas aux entreprises d'arrêter d'utiliser l'IA. Il leur demande de l'utiliser de manière responsable, transparente et avec un contrôle adapté. Pour la plupart des PME et ETI, le déficit de conformité ne relève pas de la technologie — il relève de la sensibilisation et des processus. » — Toni Dos Santos, Co-Fondateur, Spicy Advisory

Sanctions : Ce Qui Est Réellement en Jeu

La structure de sanctions de l'AI Act est conçue pour marquer les esprits :

Pratiques IA interdites : Jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial
Non-conformité IA à haut risque : Jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial
Informations incorrectes aux autorités : Jusqu'à 7,5 millions d'euros ou 1 % du chiffre d'affaires mondial

Pour les PME et startups, le règlement prévoit des amendes proportionnelles — mais « proportionnel » pour une entreprise réalisant 50 millions d'euros de chiffre d'affaires représente tout de même potentiellement des millions d'euros. L'impact réputationnel d'une action coercitive peut s'avérer encore plus coûteux que l'amende elle-même.

Actions Concrètes à Lancer Cette Semaine

Inutile de monter un projet de six mois pour démarrer. Voici des actions immédiates :

Désignez un responsable AI Act. Un membre de votre organisation — que ce soit votre DPO, votre responsable conformité ou un cadre dirigeant — doit porter ce sujet.
Lancez un inventaire IA rapide. Envoyez un questionnaire simple aux directeurs de département : « Quels outils IA votre équipe utilise-t-elle ? » Les réponses vont probablement vous surprendre.
Vérifiez les usages interdits. Croisez votre inventaire avec la liste des pratiques interdites. Si vous en trouvez, cessez immédiatement.
Briefez votre comité de direction. Partagez cet article ou un résumé équivalent avec votre équipe dirigeante. La conformité commence par la prise de conscience.
Évaluez vos risques RH majeurs. Si vous utilisez l'IA dans le recrutement, les évaluations de performance ou la planification de la main-d'œuvre, ce sont vos zones à plus haut risque. Priorisez-les pour un examen de conformité.

Pour les entreprises souhaitant construire un cadre de gouvernance IA plus large, le processus de conformité AI Act peut servir de fondation à un programme plus complet couvrant exigences réglementaires et bonnes pratiques opérationnelles.

N'attendez pas l'entrée en application pour vous préparer. Le programme de formation en Gouvernance IA de Spicy Advisory aide les PME et ETI à intégrer la conformité AI Act dans leurs opérations — de façon pratique, efficace, et sans jargon juridique. Réservez un appel découverte.

Questions Fréquemment Posées

Mon entreprise est-elle concernée par l'AI Act ?

Presque certainement, si vous opérez dans l'UE et utilisez l'IA sous quelque forme que ce soit. L'AI Act ne s'applique pas seulement aux entreprises qui développent des systèmes d'IA, mais aussi aux « déployeurs » — les organisations qui utilisent des systèmes d'IA dans leurs activités professionnelles. Si vos équipes utilisent des outils IA pour le recrutement, le service client, l'analyse de données, la création de contenu ou toute autre fonction métier, vous avez des obligations au titre de l'AI Act. Même l'utilisation de produits SaaS tiers intégrant des fonctionnalités IA est concernée. Le périmètre est volontairement large : si l'IA influence des décisions qui affectent des personnes, le règlement s'applique.

Quelles sont les sanctions de l'AI Act ?

L'AI Act établit une structure de sanctions à trois niveaux. Les violations impliquant des pratiques IA interdites sont passibles d'amendes pouvant atteindre 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. La non-conformité aux obligations IA à haut risque peut entraîner des amendes jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires mondial. La fourniture d'informations incorrectes ou trompeuses aux autorités de régulation peut coûter jusqu'à 7,5 millions d'euros ou 1 % du chiffre d'affaires. Pour les PME et startups, les amendes sont proportionnelles mais peuvent tout de même représenter des millions d'euros. Au-delà des sanctions financières, l'impact réputationnel d'une action publique de mise en application peut significativement affecter les relations commerciales et la confiance du marché.

Quand l'AI Act entre-t-il en vigueur ?

L'AI Act est entré en vigueur le 1er août 2024, mais ses dispositions s'appliquent par phases. Les interdictions sur les pratiques IA à risque inacceptable ont pris effet le 2 février 2025 — elles sont déjà exécutoires. Les règles pour les modèles d'IA à usage général (comme GPT-4 et Claude) s'appliquent depuis le 2 août 2025. L'essentiel du règlement, incluant les obligations pour les systèmes IA à haut risque, devient exécutoire le 2 août 2026. Les dernières dispositions pour les systèmes IA intégrés dans des produits réglementés par l'UE prendront effet le 2 août 2027. Pour la plupart des entreprises, août 2026 est l'échéance clé de conformité.

Faut-il un DPO pour l'AI Act ?

L'AI Act n'exige pas spécifiquement la désignation d'un Délégué à la Protection des Données (DPO) pour la conformité IA. Cependant, si vous disposez déjà d'un DPO au titre du RGPD, il est le candidat naturel pour coordonner la conformité AI Act compte tenu du chevauchement significatif entre protection des données et réglementation IA — notamment autour des analyses d'impact sur les droits fondamentaux, des obligations de transparence et de la gouvernance des données. Pour les PME et ETI sans DPO, la désignation d'un « référent conformité IA » est recommandée. Cette personne n'a pas besoin d'être juriste — elle doit comprendre vos systèmes IA, le cadre réglementaire, et disposer de l'autorité nécessaire pour piloter les processus de conformité à travers les départements.