Conformité · 9 min
AI Act et PME : ce qui change concrètement pour vos outils IA en 2026
En bref
L'AI Act (règlement UE 2024/1689) classe les systèmes d'IA par niveau de risque. La grande majorité des outils IA d'une PME — agent qui qualifie des prospects, classe des tickets ou génère des devis — relèvent du risque minimal ou limité, sans obligation lourde, hormis la transparence (informer l'utilisateur qu'il interagit avec une IA). Les obligations strictes visent les systèmes à haut risque (recrutement, scoring de crédit, biométrie). Pour rester conforme, une PME doit surtout : héberger les données en UE, tenir un registre des traitements, et documenter quels modèles sont utilisés et sur quelles données.
Les quatre niveaux de risque de l'AI Act
L'AI Act ne régule pas l'IA en bloc : il classe chaque usage selon son risque pour les droits des personnes. Comprendre où se situe votre outil évite de sur-réagir.
- Risque inacceptable (interdit) : notation sociale, manipulation, biométrie de masse
- Haut risque (obligations strictes) : recrutement, crédit, éducation, infrastructures critiques
- Risque limité (transparence) : chatbots, agents conversationnels — informer qu'il s'agit d'une IA
- Risque minimal (libre) : la plupart des outils internes de productivité et d'automatisation
Où se situent les outils IA d'une PME ?
Un agent IA qui résume des e-mails, classe des tickets de support, pré-remplit un devis ou interroge votre base documentaire interne relève du risque minimal ou limité. Aucune procédure de conformité lourde n'est requise : il faut surtout informer les utilisateurs quand ils dialoguent avec une IA et garder un humain dans la boucle pour les décisions.
Le passage en « haut risque » se produit dès que l'IA décide à la place d'un humain sur un sujet sensible : trier des CV, accorder un crédit, évaluer un salarié. Si votre outil fait cela, des obligations de documentation, de supervision et d'évaluation s'ajoutent.
Le calendrier d'application
L'AI Act est entré en vigueur en août 2024 mais s'applique par étapes : interdictions des usages inacceptables depuis février 2025, obligations sur les modèles à usage général depuis août 2025, et obligations sur les systèmes à haut risque à compter d'août 2026 puis 2027. Pour une PME aux usages à risque minimal, il n'y a pas d'échéance contraignante — mais documenter dès maintenant évite tout rattrapage.
La checklist conformité d'une PME
Sans mobiliser un juriste, une PME peut couvrir l'essentiel avec quelques réflexes intégrés dès la conception de l'outil :
- Héberger les données dans l'Union européenne (Supabase Frankfurt, Neon EU)
- Tenir un registre des traitements et un DPA pour les données personnelles
- Informer les utilisateurs lorsqu'ils interagissent avec une IA
- Ne jamais envoyer de données réelles sensibles aux modèles en phase de développement
- Garder un humain décisionnaire sur tout ce qui touche aux personnes
FAQQuestions fréquentes
Ce que l'on nous demande
01 : Conformité
S'il automatise des tâches de productivité sans décider à la place d'un humain sur un sujet sensible, il relève du risque minimal ou limité : seule la transparence est requise (informer qu'il s'agit d'une IA).
L'hébergement UE n'est pas une obligation absolue de l'AI Act mais combiné au RGPD, c'est la voie la plus simple pour rester conforme sur les données personnelles. C'est l'approche par défaut recommandée.
Progressivement à partir d'août 2026 puis 2027 pour les systèmes à haut risque. Les usages PME à risque minimal ne sont pas soumis à échéance contraignante.
À propos de l'auteur
Jérôme Iavarone
Développeur d'applications métier · Consultant IA générative
Après dix ans entre le conseil, le corporate et la formation (1 000+ professionnels formés à Claude, ChatGPT et Gemini depuis 2020), je conçois des applications web métier sur-mesure pour les PME — seul, outillé à l'IA. Tout ce que j'écris ici vient de projets réellement livrés.
Voir le parcours complet