PI & IA – AI Act : ce que les TPE et PME doivent faire avant le 2 août 2026

— Droit des nouvelles technologies & IA

10 mai 2026 · 7 min de lecture

Le règlement européen sur l’intelligence artificielle, dit AI Act, est entré en vigueur le 1^er août 2024. Beaucoup de dirigeants pensent qu’il ne concerne que les géants de la tech. Erreur. Dès que vous utilisez un outil d’IA dans votre entreprise — recrutement, scoring de clients, chatbot — vous êtes potentiellement concerné. Voici ce qui s’applique, à quelle date et ce qu’il faut anticiper.

Ce qu’il faut retenir

→ L’AI Act (Règlement UE 2024/1689) est entré en vigueur le 1^er août 2024 et s’applique à toute entreprise utilisant un système d’IA dans l’Union européenne — TPE et PME comprises.

→ L’application est échelonnée : 2 février 2025 (pratiques interdites), 2 août 2025 (IA à usage général type ChatGPT, Mistral), 2 août 2026 (systèmes d’IA à haut risque).

→ Les usages classés à haut risque incluent le recrutement automatisé, l’évaluation de salariés, le scoring de crédit et certaines décisions clients — domaines fréquents en TPE/PME.

→ Les sanctions vont jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial pour les pratiques interdites, et jusqu’à 15 millions ou 3 % pour les obligations IA à haut risque.

→ Une PME bénéficie d’une application proportionnée — pas d’une dispense. Mieux vaut s’organiser dès aujourd’hui que subir un contrôle dans 12 mois.

Êtes-vous concerné ? Probablement plus que vous ne pensez

L’AI Act s’applique à tout opérateur — fournisseur, déployeur, importateur ou distributeur — qui développe ou utilise un système d’intelligence artificielle dans l’Union européenne. La définition retenue est large : tout système algorithmique conçu pour fonctionner avec un niveau d’autonomie et générer des sorties (prédictions, recommandations, décisions, contenus) à partir d’entrées.

Concrètement, sont concernés : un cabinet qui utilise un outil de tri de CV automatisé pour ses recrutements, une PME qui déploie un chatbot client, un commerce qui s’appuie sur un système de scoring pour accorder des facilités de paiement, une entreprise qui utilise ChatGPT pour rédiger ses contrats ou ses analyses (spoiler alert : recourir à une IA généraliste pour rédiger des documents juridiques peut sembler une bonne idée — les résultats paraissent souvent convaincants — mais sans prompts maîtrisés, bibliothèque de modèles et relecture par un professionnel du droit, le risque d’erreur, d’hallucination ou de déséquilibre juridique est très élevé). Le simple usage d’un outil d’IA déjà existant — sans le développer — fait de vous un « déployeur » au sens du règlement, avec des obligations propres.

Le calendrier d’application : trois échéances clés

2 février 2025 — pratiques interdites : notation sociale, manipulation comportementale, identification biométrique en temps réel dans l’espace public, déduction d’émotions au travail. Ces usages sont totalement prohibés depuis cette date.

2 août 2025 — modèles d’IA à usage général : obligations applicables aux fournisseurs des grands modèles (GPT, Claude, Mistral, Gemini) — transparence, documentation technique, respect du droit d’auteur des données d’entraînement.

2 août 2026 — systèmes d’IA à haut risque : c’est l’échéance majeure pour la plupart des entreprises. Système de gestion des risques documenté, qualité des données d’entraînement, journalisation, transparence, supervision humaine, robustesse et cybersécurité.

Les usages classés à haut risque qui touchent les TPE/PME

L’annexe III du règlement liste les systèmes d’IA dont l’usage est qualifié à haut risque. Plusieurs catégories concernent directement les TPE/PME : le recrutement et la sélection de candidats (tri de CV, classement, entretiens automatisés) ; l’évaluation des salariés et la gestion de carrière (productivité, attribution de tâches) ; le scoring de crédit et l’évaluation de la solvabilité ; certains accès aux services essentiels (santé, énergie, télécommunications).

Si vous utilisez un outil tombant dans l’une de ces catégories — y compris fourni par un tiers —, vous devez à l’échéance du 2 août 2026 être en mesure de démontrer une supervision humaine effective, informer les personnes concernées, conserver les journaux d’utilisation pendant six mois, et avoir évalué l’impact du système sur les droits fondamentaux.

En pratique : nos conseils

1. Cartographiez vos usages d’IA : recensez tous les outils utilisant de l’IA dans votre entreprise — y compris ceux fournis par vos prestataires (logiciel RH, outil de recouvrement, CRM, chatbot). Sans cette cartographie, vous ne saurez pas quelles obligations s’appliquent.

2. Classez chaque usage par niveau de risque : usage prohibé, haut risque (annexe III), risque limité (transparence) ou risque minimal. La majorité des outils tombent dans les deux derniers niveaux, mais le recrutement et l’évaluation des salariés relèvent du haut risque.

3. Sécurisez vos contrats fournisseurs IA : intégrez des clauses imposant à votre prestataire de fournir la documentation technique, les fiches d’information utilisateurs et les éléments nécessaires à votre conformité. Sans cela, vous serez en première ligne en cas de contrôle.

4. Formez vos équipes : l’AI Act impose une « culture de l’IA » suffisante chez les utilisateurs. Une formation interne courte sur les bonnes pratiques (vérification des résultats, alertes, traçabilité) constitue le socle minimal.

5. Choisissez officiellement vos outils d’IA — et encadrez leur usage : ne pas choisir, c’est laisser vos salariés utiliser l’IA à votre insu, sur leurs comptes personnels, le plus souvent sous licence gratuite — avec, en contrepartie, des données de l’entreprise potentiellement réutilisées pour entraîner les modèles. C’est catastrophique en termes de confidentialité, de secret des affaires et de conformité RGPD. En déployant officiellement un ou plusieurs outils d’IA dans l’entreprise, sous licence professionnelle, et en faisant signer une charte d’usage de l’IA à vos collaborateurs, vous garantissez que les données de votre activité sont traitées dans le cadre que vous avez vous-même défini.

6. Articulez avec le RGPD : la quasi-totalité des systèmes d’IA traite des données personnelles. La conformité AI Act suppose une analyse d’impact (AIPD) déjà exigée par le RGPD pour les traitements à risque. Mutualisez les démarches.

Pour les entreprises développant elles-mêmes des produits intégrant de l’IA, les enjeux sont encore plus lourds (marquage CE, base de données européenne, gestion des risques formalisée). Notre cabinet accompagne les dirigeants de TPE/PME dans cette mise en conformité, depuis la cartographie initiale jusqu’à la rédaction des clauses contractuelles et la formation des équipes.