neocell
ia act conformité règlement ia européen pme ai act 2026 obligations conformité ia france rgpd ia entreprise

IA Act : Conformité Entreprise, Guide Complet pour les PME (2025)

1 avril 2026 | 15 min de lecture
IA Act : Conformité Entreprise, Guide Complet pour les PME (2025)

Depuis le 2 février 2025, les premières obligations de l'IA Act sont entrées en vigueur. Et pourtant, selon une étude CPME de fin 2024, moins de 12 % des PME françaises avaient entamé un audit de leurs usages d'intelligence artificielle à cette date. Si vous dirigez une PME et que vous utilisez un chatbot, un outil de scoring RH, un logiciel de comptabilité augmentée ou même un simple assistant IA pour vos emails, la question de l'IA Act conformité entreprise vous concerne directement. Non, ce règlement européen n'est pas réservé aux GAFAM. Et non, vous n'avez pas besoin d'un cabinet d'avocats à 800 €/heure pour vous y conformer. Ce guide est conçu pour vous : dirigeant de PME, budget contraint, pas de direction juridique, mais la volonté de faire les choses correctement — et d'en tirer un avantage concurrentiel.

Qu'est-ce que l'IA Act et pourquoi les PME françaises sont concernées

Le premier cadre juridique mondial sur l'intelligence artificielle

L'IA Act (Règlement européen 2024/1689) est le premier texte législatif au monde à encadrer spécifiquement les systèmes d'intelligence artificielle. Adopté le 13 juin 2024 par le Parlement européen et le Conseil, publié au Journal officiel de l'UE le 12 juillet 2024, il est entré en application progressive à partir du 2 février 2025.

Son objectif : créer un cadre de confiance pour le développement et l'utilisation de l'IA en Europe, en classant les systèmes par niveaux de risque et en imposant des obligations proportionnées. Contrairement au RGPD qui régule les données personnelles, l'IA Act régule les systèmes eux-mêmes — leur conception, leur déploiement, leur supervision.

Pourquoi votre PME est dans le périmètre

Beaucoup de dirigeants de PME pensent — à tort — que l'IA Act ne concerne que les développeurs de modèles comme OpenAI ou les grandes entreprises technologiques. C'est une erreur de lecture du texte. Le règlement distingue trois rôles :

  • Fournisseur (provider) : celui qui développe ou met sur le marché un système d'IA.
  • Déployeur (deployer) : celui qui utilise un système d'IA dans un cadre professionnel. C'est le cas de la quasi-totalité des PME.
  • Importateur/distributeur : celui qui commercialise en Europe un système d��veloppé hors UE.

Si vous utilisez un chatbot pour votre service client, un outil de tri automatique de CV, un logiciel de détection de fraude ou un assistant IA pour la rédaction de contenu, vous êtes déployeur au sens de l'IA Act. Et à ce titre, vous avez des obligations.

Chiffre clé : Selon Eurostat (2024), 28 % des entreprises européennes de 10 à 249 salariés utilisaient au moins une technologie d'IA en 2024. En France, l'INSEE estime ce taux à 31 % pour les PME, en hausse de 9 points en un an. Le périmètre est massif.

Les sanctions ne sont pas symboliques

L'IA Act prévoit des amendes administratives pouvant atteindre :

Type d'infraction Amende maximale Pour une PME (plafond alternatif)
Pratiques interdites (art. 5) 35 M€ ou 7 % du CA mondial 7 % du CA mondial
Non-conformité systèmes à haut risque 15 M€ ou 3 % du CA mondial 3 % du CA mondial
Informations inexactes aux autorités 7,5 M€ ou 1,5 % du CA mondial 1,5 % du CA mondial

Pour une PME réalisant 5 M€ de chiffre d'affaires, une infraction sur un système à haut risque peut coûter jusqu'à 150 000 €. Ce n'est pas anodin. Et l'article 99(6) précise que les PME sont soumises au plafond proportionnel au CA — ce qui relativise le montant, mais ne l'annule pas.

Par ailleurs, le vrai risque pour une PME n'est pas seulement financier. C'est le risque réputationnel et opérationnel : un client qui découvre que vos décisions RH sont prises par un algorithme non conforme, un partenaire bancaire qui exige des garanties de conformité, un appel d'offres public perdu faute de documentation IA. La conformité devient un avantage concurrentiel, pas seulement une contrainte.

Calendrier AI Act 2025-2026 : les obligations clés à chaque échéance

L'IA Act entre en vigueur de manière échelonnée. C'est à la fois une bonne et une mauvaise nouvelle. Bonne, car vous avez le temps de vous organiser. Mauvaise, car la complexité du calendrier pousse à la procrastination. Voici le calendrier inversé depuis les échéances les plus lointaines, conçu pour que vous puissiez prioriser vos actions immédiates.

Calendrier des échéances IA Act 2025-2026 pour la conformité des PME françaises

Le calendrier complet, étape par étape

Date Obligation Qui est concerné Urgence PME
2 février 2025 Interdiction des pratiques IA interdites (art. 5) — manipulation subliminale, scoring social, exploitation de vulnérabilités Tous les acteurs 🔴 Passé — vérifiez immédiatement
2 août 2025 Obligations de transparence pour les modèles d'IA à usage général (GPAI) — concerne les fournisseurs de type OpenAI, Mistral, Google Fournisseurs GPAI 🟡 Indirect — surveillez vos fournisseurs
2 août 2025 Mise en place des autorités nationales compétentes et des bacs à sable réglementaires États membres 🟡 Opportunité — bacs à sable PME
2 février 2026 Obligations de gouvernance et de compétences IA (art. 4) — formation du personnel utilisant des systèmes IA Tous les déployeurs 🔴 Imminent — lancez votre plan formation
2 août 2026 Application complète des obligations pour les systèmes IA à haut risque (Annexe III) — documentation technique, gestion des risques, supervision humaine Fournisseurs et déployeurs 🔴 Critique — audit et mise en conformité
2 août 2027 Extension aux systèmes IA à haut risque déjà régulés par des législations sectorielles (Annexe I) — dispositifs médicaux, équipements, etc. Secteurs réglementés 🟠 Si applicable

Ce que vous devez avoir fait MAINTENANT (avril 2026)

À la date de publication de cet article, voici votre situation :

  1. Pratiques interdites (depuis le 2 février 2025) — Vous devez avoir vérifié qu'aucun de vos outils IA ne relève des pratiques prohibées. Si vous utilisez un système de notation des consommateurs basé sur leur comportement social, un outil de manipulation émotionnelle dans vos tunnels de vente, ou un système d'identification biométrique en temps réel sans autorisation : vous êtes en infraction depuis plus d'un an.
  2. Compétences IA (depuis le 2 février 2026) — L'article 4 du règlement impose que « les fournisseurs et déployeurs de systèmes d'IA prennent des mesures pour garantir, dans toute la mesure du possible, un niveau suffisant de maîtrise de l'IA de leur personnel ». Concrètement, vos collaborateurs qui utilisent des outils IA doivent avoir reçu une formation adaptée. C'est le moment de structurer un véritable programme de formation à l'automatisation IA pour vos équipes.
  3. Systèmes à haut risque (échéance août 2026) — Vous avez 4 mois pour finaliser l'audit de vos systèmes IA à haut risque et préparer la documentation technique. C'est serré, mais faisable si vous commencez maintenant.

Conseil terrain : Ne cherchez pas à tout faire d'un coup. Commencez par l'inventaire de vos systèmes IA (voir section 5), puis classez-les par niveau de risque. Les PME qui ont suivi cette méthode rapportent un temps moyen de mise en conformité de 3 à 5 mois pour les cas les plus complexes.

Les 4 niveaux de risque IA et leurs exigences de conformité

Le cœur de l'IA Act repose sur une approche par les risques. Chaque système d'IA est classé dans l'une des quatre catégories, et les obligations varient considérablement d'un niveau à l'autre. Pour une PME, bien classifier ses outils, c'est éviter de surdimensionner la conformité (et le budget associé) autant que de sous-estimer les obligations.

Niveau 1 : Risque inacceptable — Interdiction totale

Ces systèmes sont purement et simplement interdits depuis le 2 février 2025. Pour une PME, la probabilité d'utiliser ces systèmes est faible mais pas nulle. Vérifiez :

  • Manipulation subliminale ou exploitation de vulnérabilités (âge, handicap) pour influencer des comportements.
  • Scoring social par les autorités publiques (ne concerne pas directement les PME privées, sauf prestataires du secteur public).
  • Identification biométrique à distance en temps réel dans l'espace public (sauf exceptions encadrées pour les forces de l'ordre).
  • Reconnaissance des émotions sur le lieu de travail et dans les établissements d'enseignement.
  • Catégorisation biométrique pour déduire des caractéristiques sensibles (race, orientation politique, etc.).

Action PME : Si l'un de vos outils utilise la reconnaissance d'émotions en entretien de recrutement, la catégorisation biométrique de vos clients ou la manipulation comportementale automatisée, désactivez-le immédiatement. Ce n'est pas négociable.

Niveau 2 : Risque élevé — Obligations lourdes

C'est ici que la majorité des enjeux de conformité se concentrent pour les PME. Un système est considéré « à haut risque » s'il relève de l'une des catégories listées à l'Annexe III du règlement :

Domaine (Annexe III) Exemples concrets pour une PME
Recrutement et gestion RH Tri automatique de CV, scoring de candidats, IA d'évaluation de performance
Accès aux services essentiels Scoring de crédit, évaluation de solvabilité client, tarification assurantielle IA
Éducation et formation Systèmes d'évaluation automatisée, orientation professionnelle IA
Infrastructures critiques Gestion automatisée de réseaux énergétiques, eau, transports
Application de la loi Évaluation de risque de récidive (concerne surtout le secteur public)
Migration et asile Évaluation automatisée de demandes (secteur public)
Justice et processus démocratiques Recherche juridique automatisée avec recommandations (cas spécifiques)

Pour les PME, les deux domaines les plus fréquemment concernés sont le recrutement/RH et l'accès aux services financiers. Si vous utilisez un outil d'intelligence artificielle pour vos processus RH — même un simple filtre de CV alimenté par IA — vous êtes potentiellement dans le périmètre du haut risque.

Les obligations pour les systèmes à haut risque (qui s'appliquent principalement aux fournisseurs, mais avec des responsabilités de supervision pour les déployeurs) incluent :

  • Système de gestion des risques (art. 9) — identifier et atténuer les risques tout au long du cycle de vie.
  • Gouvernance des données (art. 10) — qualité, pertinence, représentativité des données d'entraînement.
  • Documentation technique (art. 11) — description détaillée du système, de ses performances et de ses limites.
  • Journalisation (art. 12) — traçabilité des opérations du système.
  • Transparence et information (art. 13) — instructions claires pour les déployeurs.
  • Supervision humaine (art. 14) — un humain doit pouvoir comprendre, superviser et interrompre le système.
  • Exactitude, robustesse et cybersécurité (art. 15).

En tant que déployeur PME, vos obligations spécifiques sont (art. 26) :

  1. Utiliser le système conformément aux instructions du fournisseur.
  2. Assurer la supervision humaine par des personnes compétentes.
  3. Surveiller le fonctionnement et signaler les dysfonctionnements au fournisseur.
  4. Conserver les logs générés automatiquement pendant au moins 6 mois.
  5. Réaliser une analyse d'impact sur les droits fondamentaux (FRIA) avant la mise en service, si vous êtes un organisme de droit public ou un opérateur de services essentiels.
  6. Informer les personnes concernées qu'elles font l'objet d'une décision prise par un système à haut risque.

Niveau 3 : Risque limité — Obligations de transparence

Ce niveau concerne la majorité des outils IA utilisés par les PME au quotidien. Les obligations sont plus légères mais réelles :

  • Chatbots et agents conversationnels : vous devez informer l'utilisateur qu'il interagit avec un système d'IA (art. 50). Si vous déployez un chatbot IA sur votre site web, un bandeau ou un message clair suffit.
  • Contenus générés par IA (texte, image, audio, vidéo) : les deepfakes et contenus synthétiques doivent être étiquetés comme tels.
  • Systèmes de reconnaissance d'émotions ou de catégorisation biométrique (lorsqu'ils ne sont pas interdits) : information préalable des personnes.

C'est le niveau le plus courant pour les PME qui utilisent des outils comme ChatGPT, des générateurs d'images IA ou des assistants de rédaction. Si vous vous interrogez sur la fiabilité de ces outils, notre analyse sur la fiabilité de ChatGPT et les précautions à prendre est un bon complément.

Niveau 4 : Risque minimal — Aucune obligation spécifique

Les systèmes d'IA à risque minimal (filtres anti-spam, optimisation logistique, recommandations de contenu non personnalisées, etc.) ne sont soumis à aucune obligation spécifique au titre de l'IA Act. La Commission européenne encourage néanmoins l'adoption volontaire de codes de conduite.

Tableau récapitulatif : niveaux de risque et actions PME

Niveau de risque Exemples PME Obligations Budget estimé de mise en conformité
Inacceptable Scoring social, manipulation subliminale Interdiction totale 0 € (arrêtez l'outil)
Élevé Tri de CV IA, scoring crédit Documentation, supervision, FRIA, logs 5 000 à 25 000 €
Limité Chatbots, contenus générés IA Transparence, étiquetage 500 à 3 000 €
Minimal Anti-spam, recommandations Aucune (codes volontaires) 0 €

Estimations basées sur les retours de PME accompagnées par Neocell et les données du rapport CEPS (Centre for European Policy Studies) sur le coût de conformité IA Act, 2024.

Conformité IA et RGPD : comment articuler les deux règlements en entreprise

C'est l'angle mort de la quasi-totalité des guides sur l'IA Act : comment articuler concrètement IA Act et RGPD quand on est une PME qui n'a ni DPO à plein temps, ni cabinet d'avocats en stand-by. Les deux textes se chevauchent significativement, et ignorer cette intersection, c'est risquer la double sanction.

Schéma d'articulation entre conformité IA Act et RGPD pour les PME françaises

Pourquoi les deux règlements se croisent

L'IA Act régule les systèmes. Le RGPD régule les données personnelles. Or, la grande majorité des systèmes d'IA traitent des données personnelles : CV de candidats, comportements d'achat de clients, historiques de navigation, données financières. Quand vous déployez un système IA qui traite des données personnelles, vous êtes soumis aux deux textes simultanément.

Le considérant 10 de l'IA Act le dit explicitement : « Le présent règlement ne devrait pas être interprété comme réduisant ou limitant de quelque manière que ce soit le droit à la protection des données à caractère personnel garanti par le RGPD. »

Les 5 points de friction IA Act / RGPD

Sujet Obligation RGPD Obligation IA Act Action PME
Base légale du traitement Consentement, intérêt légitime, contrat, etc. (art. 6 RGPD) Pas de base légale spécifique, mais obligation de qualité et gouvernance des données (art. 10) Vérifiez que votre base légale RGPD couvre l'usage IA des données
Décision automatisée Droit de ne pas être soumis à une décision entièrement automatisée (art. 22 RGPD) Obligation de supervision humaine pour les systèmes à haut risque (art. 14) Garantissez une intervention humaine significative sur les décisions IA impactantes
Transparence Information claire sur le traitement (art. 13-14 RGPD) Information que l'on interagit avec une IA + étiquetage contenus (art. 50) Fusionnez vos mentions d'information RGPD et IA Act dans un document unique
AIPD / FRIA Analyse d'impact relative à la protection des données (AIPD, art. 35 RGPD) Analyse d'impact sur les droits fondamentaux (FRIA, art. 27 IA Act) Réalisez les deux analyses en parallèle — les périmètres se recouvrent à 60-70 %
Conservation des données Limitation de la durée de conservation (art. 5(1)(e) RGPD) Conservation des logs au moins 6 mois (art. 26(6)) Alignez vos durées de conservation en prenant la durée la plus longue, avec justification documentée

La stratégie « un audit, deux conformités »

Pour une PME, la bonne approche n'est pas de mener deux projets de conformité séparés. C'est de fusionner les démarches. Voici comment :

  1. Registre unique IA + traitements de données : Étendez votre registre des traitements RGPD (que vous devriez déjà avoir) en ajoutant une colonne « système IA utilisé » et « niveau de risque IA Act ». Un seul document, deux conformités.
  2. AIPD augmentée : Si vous devez réaliser une AIPD au titre du RGPD (traitement à grande échelle, données sensibles, profilage), intégrez directement les critères de l'analyse d'impact sur les droits fondamentaux (FRIA) exigée par l'IA Act. Les méthodologies sont compatibles.
  3. DPO + référent IA : Nommez la même personne comme point de contact pour les deux sujets. Dans une PME de 20 à 250 salariés, c'est souvent le DAF, le responsable IT ou le dirigeant lui-même. L'article 4 de l'IA Act exige une « maîtrise de l'IA » du personnel — formez cette personne en priorité.
  4. Politique de transparence unifiée : Créez une page unique « Nos engagements IA et données personnelles » sur votre site, qui couvre à la fois les obligations d'information RGPD et les obligations de transparence IA Act.

Si vous opérez dans le secteur financier, l'intersection IA Act / RGPD se complexifie encore avec les réglementations sectorielles. Notre guide sur la conformité financière et l'automatisation réglementaire détaille les spécificités bancaires et assurantielles.

Point clé : La CNIL a publié en 2024 ses premières recommandations sur l'articulation RGPD/IA Act. Elle confirme qu'elle sera autorité compétente conjointe avec l'autorité nationale de surveillance IA (en cours de désignation en France). Une non-conformité RGPD sur un système IA pourra donc déclencher un contrôle IA Act, et vice versa. Raison de plus pour traiter les deux simultanément.

Plan d'action en 5 étapes pour mettre votre PME en conformité avec l'IA Act

Assez de théorie. Voici le plan d'action que nous déployons chez Neocell avec les PME que nous accompagnons. Il est conçu pour être exécutable en 3 à 5 mois, avec un budget maîtrisé et sans recours obligatoire à un cabinet d'avocats.

Étape 1 : Inventaire exhaustif de vos systèmes IA (Semaines 1-2)

Vous ne pouvez pas mettre en conformité ce que vous ne connaissez pas. L'erreur la plus fréquente : oublier des outils. Beaucoup de PME utilisent de l'IA sans le savoir — un CRM avec du scoring prédictif, un outil de comptabilité avec de la catégorisation automatique, un plugin WordPress avec de l'optimisation IA.

Méthode :

  • Listez tous les logiciels et services cloud utilisés dans l'entreprise.
  • Pour chacun, vérifiez dans les CGU ou la documentation si le terme « intelligence artificielle », « machine learning », « algorithme prédictif » ou « modèle » apparaît.
  • Interrogez vos fournisseurs : « Votre outil intègre-t-il des composants d'IA au sens du règlement 2024/1689 ? »
  • N'oubliez pas les

Test gratuit — 5 minutes

Où en est votre entreprise
avec l'IA ?

Obtenez un diagnostic personnalisé avec des recommandations concrètes pour votre activité.

Faire le diagnostic gratuit

Partager cet article

Retour au blog
Et vous ? Faites le test