AI Act · Guide PME · 2026

L'AI Act arrive. Votre PME est-elle prête ?

Q: J'utilise ChatGPT au bureau, c'est un risque ?

Utiliser ChatGPT ou un assistant IA généraliste au quotidien relève du risque limité. L'obligation principale est la transparence : vos interlocuteurs doivent savoir qu'ils échangent avec une IA si c'est le cas. En revanche, si vous utilisez l'IA pour prendre des décisions automatiques sur des personnes (recrutement, notation…), le niveau de risque monte.

Q: Par où commencer ?

Commencez par lister tous les outils et systèmes que vous utilisez qui intègrent de l'IA. Ensuite, vérifiez si l'un d'eux entre dans la catégorie « haut risque ». Si c'est le cas, documentez-les. Si vous ne savez pas par où commencer, notre Audit Complet inclut une classification AI Act de tous vos systèmes.

L'Union européenne a créé un cadre pour encadrer l'intelligence artificielle. Certaines règles s'appliquent déjà. D'autres entreront en vigueur en août 2026. Pas de panique : la plupart des usages en PME ne sont pas concernés par les obligations les plus lourdes. Voici ce que vous devez savoir, simplement.

Vérifier ma conformité Comprendre l'AI Act

L'AI Act en 30 secondes

Quatre questions, quatre réponses. Le minimum pour comprendre de quoi on parle.

C'est quoi ?

Un règlement européen (le Règlement UE 2024/1689) qui encadre l'utilisation de l'intelligence artificielle. Il s'applique dans toute l'Europe, y compris en France.

Ça concerne qui ?

Toute entreprise qui utilise, développe ou met sur le marché un système d'IA en Europe. Oui, même les PME. Mais les obligations dépendent du niveau de risque de vos usages. Pour une vue d'ensemble, consultez le site EU AI Act.

Quand ?

L'entrée en vigueur est progressive depuis février 2025. L'étape majeure pour les entreprises arrive en août 2026, avec les obligations pour les systèmes IA à haut risque.

Pourquoi ?

Pour protéger les personnes face aux risques liés à l'IA, encadrer les usages les plus sensibles et créer un cadre de confiance pour tout le monde : entreprises, salariés, citoyens.

Le calendrier : ce qui est déjà actif et ce qui arrive

L'AI Act ne tombe pas d'un coup. Il s'applique par étapes. Voici où on en est.

1

Février 2025 — ACTIF

Interdiction des pratiques IA prohibées : scoring social, manipulation subliminale, exploitation de vulnérabilités. Ces usages sont déjà interdits.

2

Août 2025 — ACTIF

Obligations pour les modèles IA à usage général (comme les grands modèles de langage). Transparence sur les données d'entraînement, documentation technique.

3

Août 2026 — EN VIGUEUR

L'étape majeure. Obligations complètes pour les systèmes IA à haut risque (Annexe I) : documentation, contrôle humain, transparence, gouvernance IA en entreprise. C'est maintenant.

4

Août 2027 — À VENIR

Entrée en vigueur pour les systèmes haut risque de l'Annexe III : RH automatisées, scoring de crédit, biométrie, accès aux services essentiels.

Source : Règlement (UE) 2024/1689 du Parlement européen et du Conseil.

Les 4 niveaux de risque de l'AI Act

L'AI Act classe les systèmes IA selon leur niveau de risque. Plus le risque est élevé, plus les obligations sont fortes.

Risque inacceptable

INTERDIT. Scoring social par les pouvoirs publics, manipulation subliminale, exploitation de vulnérabilités, notation sociale. Ces pratiques sont purement et simplement interdites depuis février 2025.

Haut risque

OBLIGATIONS FORTES. Systèmes IA utilisés dans le recrutement, le scoring de crédit, la sécurité des produits, la biométrie. Obligation de documentation, de contrôle humain, de transparence et de gestion des risques.

Risque limité

OBLIGATIONS DE TRANSPARENCE. Chatbots, générateurs de contenu, deepfakes. L'obligation principale : informer clairement l'utilisateur qu'il interagit avec une IA ou que le contenu a été généré par une IA.

Risque minimal

PAS D'OBLIGATION SPÉCIFIQUE. Filtres anti-spam, correcteurs orthographiques, outils de recommandation, assistants IA internes. La grande majorité des usages IA en PME entre dans cette catégorie.

Bonne nouvelle : la plupart des usages IA en PME relèvent du risque minimal ou limité. Concrètement, cela signifie peu ou pas d'obligations supplémentaires pour la majorité d'entre vous. La CNIL propose également des ressources pour accompagner les entreprises dans leur mise en conformité.

Ce que votre PME doit vérifier maintenant

Trois questions simples pour savoir où vous en êtes.

1

Utilisez-vous de l'IA ?

Chatbot sur votre site, tri automatique de CV, scoring de prospects, assistant de rédaction, outil de traduction automatique... Faites la liste de tous les outils qui intègrent de l'intelligence artificielle.

2

Ces usages sont-ils « haut risque » ?

L'IA prend-elle des décisions qui affectent directement des personnes ? Recrutement, notation, accès au crédit, biométrie ? Si oui, vous avez probablement des obligations à respecter.

3

Avez-vous documenté vos systèmes IA ?

Pour les systèmes à haut risque, l'AI Act exige une documentation technique, une analyse des risques et un système de contrôle humain. Si ce n'est pas fait, il est temps de s'y mettre.

Besoin d'aide ? Notre Audit Complet inclut la classification AI Act de tous vos systèmes IA, avec un plan d'action daté pour chaque obligation.

Les sanctions en cas de non-conformité

L'AI Act prévoit des amendes proportionnelles au chiffre d'affaires. Comme le RGPD, mais avec des plafonds différents.

6 %du CA mondial pour les pratiques prohibées

3 %du CA mondial pour non-conformité haut risque

1,5 %du CA mondial pour fausses déclarations

Pour rappel, le RGPD expose déjà à des amendes allant jusqu'à 4 % du CA mondial ou 20 millions d'euros. Les deux règlements se cumulent. En savoir plus sur la double conformité RGPD + AI Act.

Comment Kirohq vous aide

Notre Audit Complet inclut un volet AI Act intégral. On fait le travail avec vous, pas à votre place.

1

On identifie vos systèmes IA

On passe en revue tous vos outils, processus et fournisseurs pour repérer ceux qui intègrent de l'intelligence artificielle.

2

On les classe selon les 4 niveaux de risque

Chaque système est évalué et classé : risque minimal, limité, haut ou inacceptable. Vous savez exactement où vous en êtes.

3

On vous donne un plan d'action daté

Pour chaque obligation identifiée, vous recevez une feuille de route claire : quoi faire, quand, comment. Pas de jargon, pas d'ambiguïté.

Demander un audit avec volet AI Act Voir les formules d'audit

Questions fréquentes sur l'AI Act et les PME

Ma PME est-elle concernée par l'AI Act ?

Si vous utilisez ou développez un système d'intelligence artificielle en Europe, oui. Mais la grande majorité des usages en PME relèvent du risque minimal ou limité, avec peu ou pas d'obligations supplémentaires. Seuls les systèmes classés « haut risque » imposent des obligations fortes.

J'utilise ChatGPT au bureau, c'est un risque ?

Utiliser ChatGPT ou un assistant IA généraliste relève du risque limité. L'obligation principale : vos interlocuteurs doivent savoir qu'ils échangent avec une IA. En revanche, si vous utilisez l'IA pour prendre des décisions automatiques sur des personnes (recrutement, notation...), le niveau de risque monte. Consultez notre guide IA et RGPD pour PME.

Quelle différence entre RGPD et AI Act ?

Le RGPD protège les données personnelles. L'AI Act encadre les systèmes d'intelligence artificielle, qu'ils traitent des données personnelles ou non. Les deux se complètent. Un système IA qui traite des données personnelles doit respecter les deux. Plus de détails dans notre page RGPD + AI Act : la double conformité.

Par où commencer ?

Listez tous les outils et systèmes qui intègrent de l'IA dans votre entreprise. Vérifiez si l'un d'eux entre dans la catégorie « haut risque ». Si c'est le cas, documentez-les. Si vous ne savez pas par où commencer, notre Audit Complet inclut une classification AI Act complète. Vous pouvez aussi consulter la page de la CNIL sur l'intelligence artificielle.

Ressources utiles

Liens officiels

Guides Kirohq

L'AI Act vous concerne ? Parlons-en.

Décrivez-nous vos usages IA. On vous dira en quelques minutes si vous êtes concerné par les obligations de l'AI Act — et ce qu'il faut faire.