Le Règlement (UE) 2024/1689 — plus connu sous le nom de EU AI Act — est entré progressivement en vigueur depuis février 2025. Au 2 août 2026, la grande majorité de ses obligations s'appliqueront à toutes les entreprises utilisant de l'IA en Europe, y compris les PME.
Pourtant, plus de 60 % des PME européennes n'ont pas encore commencé leur mise en conformité. Ce guide vous explique, sans jargon juridique, ce que vous devez faire — et pourquoi agir maintenant est la meilleure stratégie.
Qui est concerné par le EU AI Act ?
Le EU AI Act s'applique à toute organisation qui développe, commercialise ou utilise un système d'intelligence artificielle dans l'Union européenne — quelle que soit sa taille.
Concrètement, votre PME est concernée si vous :
- Utilisez un chatbot de service client alimenté par l'IA
- Avez intégré un outil de recrutement avec scoring automatique
- Utilisez un logiciel d'analyse de données ou de prédiction
- Faites appel à des outils d'IA générative (rédaction, traduction, code)
- Avez développé ou fait développer une application intégrant de l'IA
En d'autres termes : si vous utilisez de l'IA d'une façon ou d'une autre dans votre activité professionnelle, vous êtes vraisemblablement concerné.
Fournisseur ou déployeur : quelle différence ?
Le règlement distingue deux rôles principaux :
Le fournisseur (provider) est celui qui développe et met sur le marché un système d'IA. Si vous avez créé un SaaS intégrant de l'IA, vous êtes fournisseur. Les obligations sont les plus lourdes : documentation technique (Annexe IV), marquage CE, enregistrement dans la base de données EU.
Le déployeur (deployer) est celui qui utilise un système d'IA dans le cadre de son activité professionnelle. La grande majorité des PME sont des déployeurs — elles utilisent des outils SaaS ou des API d'IA sans les avoir développés. Les obligations sont proportionnées : supervision humaine, information des utilisateurs, conservation des logs.
Certaines PME sont à la fois fournisseur et déployeur : par exemple, une agence qui développe des outils IA pour ses clients ET utilise des outils IA en interne.
Les 4 niveaux de risque selon l'Annexe III
Le EU AI Act classe les systèmes d'IA en quatre catégories, du plus au moins risqué :
🚫 Risque inacceptable (interdit depuis février 2025)
Ces pratiques sont purement et simplement interdites :
- Manipulation subliminale des comportements
- Exploitation des vulnérabilités (âge, handicap)
- Notation sociale généralisée par les pouvoirs publics
- Reconnaissance faciale en temps réel dans les espaces publics (sauf exceptions)
🔴 Haut risque (obligations strictes — deadline août 2026)
Les systèmes à haut risque listés à l'Annexe III incluent notamment :
- Logiciels de recrutement et tri de CV automatisé
- Systèmes de scoring de crédit
- Outils d'aide à la décision médicale
- Systèmes d'évaluation scolaire
- Outils utilisés par les forces de l'ordre
Pour ces systèmes, les obligations sont substantielles : évaluation des risques, documentation technique, supervision humaine obligatoire, enregistrement dans la base de données EU.
🟡 Risque limité (obligations de transparence)
Les chatbots, les deepfakes et les contenus générés par IA entrent dans cette catégorie. L'obligation principale est la transparence : l'utilisateur doit savoir qu'il interagit avec une IA.
🟢 Risque minimal (pas d'obligations spécifiques)
La grande majorité des outils IA du quotidien (filtres anti-spam, recommandations de contenu, outils de traduction) entrent dans cette catégorie. Aucune obligation réglementaire spécifique ne s'applique.
La deadline du 2 août 2026 : ce qui entre en vigueur
Le calendrier d'application est progressif :
| Date | Ce qui entre en vigueur |
|---|---|
| 2 février 2025 | Interdictions (risque inacceptable) + obligation de formation IA |
| 2 août 2025 | Obligations pour les modèles GPAI (usage général) |
| 2 août 2026 | Obligations de transparence (Art. 50) + systèmes haut risque (Annexe III) |
| 2 août 2027 | Systèmes haut risque intégrés dans produits réglementés (Annexe I) |
La deadline du 2 août 2026 est la plus importante pour les PME. Elle concerne les obligations de transparence (valables pour tous) et les systèmes à haut risque de l'Annexe III.
Le Digital Omnibus, accord politique du 11 mars 2026, propose un report maximal au 2 décembre 2027 pour certaines obligations des systèmes haut risque. Mais ce texte n'est pas encore du droit positif — et les obligations de transparence (Art. 50) restent inchangées au 2 août 2026.
Les sanctions en cas de non-conformité
Le EU AI Act prévoit un régime de sanctions progressif :
- Jusqu'à 35 M€ ou 7 % du CA mondial pour les pratiques interdites
- Jusqu'à 15 M€ ou 3 % du CA mondial pour la non-conformité des systèmes haut risque
- Jusqu'à 7,5 M€ ou 1 % du CA mondial pour la fourniture d'informations inexactes
Pour les PME, le règlement prévoit explicitement une application proportionnée (Article 62). Les autorités tiendront compte de la taille et des ressources de l'organisation. Mais l'exemption totale n'existe pas.
Par où commencer ? Les 3 étapes prioritaires
Étape 1 — Faites l'inventaire de vos systèmes IA
Listez tous les outils intégrant de l'IA que vous utilisez ou que vous avez développés : logiciels RH, CRM avec scoring, chatbots, outils de génération de contenu, API d'IA. Posez-vous la question : "Ce logiciel prend-il des décisions ou m'aide-t-il à en prendre ?"
Étape 2 — Identifiez votre niveau de risque
Pour chaque système, déterminez s'il figure dans les catégories à haut risque de l'Annexe III. Si vous n'êtes pas certain, commencez par le Compliance Checker officiel du Future of Life Institute — un outil gratuit qui détermine rapidement si votre système est en scope. AiCompliBot prend ensuite le relai pour vous fournir un plan d'action complet.
Étape 3 — Préparez votre documentation
Selon votre rôle et votre niveau de risque, vous devrez peut-être mettre en place une supervision humaine, informer vos utilisateurs de l'utilisation de l'IA, ou constituer un dossier de conformité. Commencez par les systèmes les plus risqués.
Conclusion : agir maintenant, c'est prendre de l'avance
Il reste 4 mois avant la deadline du 2 août 2026. C'est court — mais suffisant si vous commencez aujourd'hui. Les PME qui anticipent transforment une contrainte réglementaire en avantage compétitif : elles rassurent leurs clients, leurs partenaires et leurs investisseurs.
Le questionnaire AiCompliBot vous permet d'identifier vos obligations en 5 minutes, gratuitement. C'est la première étape vers une conformité sereine.