L'IA Act expliqué aux PME : ce que dit vraiment le règlement européen (et pourquoi il vous concerne)

Introduction

« L'IA Act, c'est pour les géants de la tech, pas pour nous. » Si cette phrase a déjà été prononcée dans votre entreprise, cette série d'articles est faite pour vous. Car c'est précisément l'erreur la plus répandue chez les dirigeants de PME : croire que le règlement européen sur l'intelligence artificielle ne concerne que ceux qui fabriquent de l'IA.

La réalité est différente : dès que votre entreprise utilise un outil d'IA — un chatbot sur votre site, un logiciel de tri de candidatures, un assistant qui rédige vos devis — vous entrez dans le champ du règlement. Avec des obligations dont certaines sont déjà en vigueur depuis février 2025.

Cet article ouvre une série de 10 publications pour comprendre l'IA Act sans jargon juridique, savoir où vous vous situez, et surtout savoir quoi faire. Pas de panique réglementaire ici : vous verrez que pour l'immense majorité des PME, la mise en conformité est tout à fait abordable — à condition de s'y prendre méthodiquement.

L'IA Act, c'est quoi exactement ?

L'IA Act (règlement UE 2024/1689) est le premier cadre juridique complet au monde sur l'intelligence artificielle. Adopté en 2024, il est entré en vigueur le 1er août 2024 et s'applique par paliers successifs jusqu'en 2028.

Trois caractéristiques essentielles à retenir :

C'est un règlement, pas une directive. Il s'applique directement dans tous les pays de l'Union européenne, sans transposition nationale. Les règles sont les mêmes pour une PME lilloise et une entreprise milanaise.

Il raisonne par niveaux de risque. L'IA Act ne réglemente pas « l'IA » en bloc : il classe les usages en quatre niveaux — inacceptable (interdit), haut risque (très encadré), risque limité (transparence obligatoire), risque minimal (libre). Plus l'usage peut affecter les droits des personnes, plus les obligations sont fortes. Nous y consacrons un article entier cette semaine.

Il distingue les rôles. Vos obligations ne sont pas les mêmes selon que vous êtes fournisseur (vous développez ou commercialisez un système d'IA) ou déployeur (vous utilisez un système d'IA dans votre activité). La plupart des PME sont des déployeurs — et oui, les déployeurs ont des obligations.

Pourquoi votre PME est concernée (oui, la vôtre)

Faites le test. Votre entreprise utilise-t-elle au moins un de ces outils ?

Un chatbot ou assistant conversationnel sur votre site web. Un outil d'IA générative pour rédiger des contenus, emails ou propositions. Un logiciel de présélection de candidatures ou d'évaluation RH. Un système de scoring ou de priorisation de clients. Un outil de génération d'images pour votre communication.

Si vous avez répondu oui à une seule de ces questions, l'IA Act vous concerne. Pas forcément avec des obligations lourdes — mais avec des obligations réelles, dont certaines s'appliquent déjà :

Depuis le 2 février 2025, les pratiques d'IA jugées inacceptables sont interdites, et l'obligation de « littératie IA » impose de former toute personne qui utilise des systèmes d'IA pour votre compte. Deux sujets que nous détaillerons dans cette série.

À partir du 2 août 2026, les obligations de transparence s'appliquent : vos clients devront savoir qu'ils parlent à une IA, et les contenus générés par IA devront être identifiables.

La bonne nouvelle que peu de monde a relayée

Le 7 mai 2026, l'Union européenne a conclu un accord (le « Digital Omnibus ») qui repousse les obligations les plus lourdes — celles des systèmes à haut risque — du 2 août 2026 au 2 décembre 2027. Si votre entreprise utilise de l'IA dans le recrutement, l'évaluation des salariés ou le scoring client, vous venez de gagner 16 mois.

Attention toutefois à la lecture trop rapide : ce report ne concerne pas tout. Les interdictions restent en vigueur, l'obligation de formation aussi, et l'échéance de transparence du 2 août 2026 est maintenue. Le calendrier complet et mis à jour fait l'objet de notre prochain article.

Autre point rassurant : le règlement prévoit des aménagements pour les PME — sanctions plafonnées en valeur absolue, documentation simplifiée, accès prioritaire aux « bacs à sable réglementaires » pour tester en conditions encadrées.

Ce qui vous attend dans cette série

Pendant deux semaines, un article par jour ouvré pour faire le tour complet du sujet :

Semaine 1 — Comprendre. Le calendrier réel après le report de décembre 2027. La pyramide des risques et où situer vos outils. Les pratiques interdites depuis février 2025. La distinction fournisseur / déployeur qui détermine vos obligations.

Semaine 2 — Agir. L'obligation de littératie IA et comment y répondre. Les règles de transparence applicables en août 2026. Le diagnostic « haut risque » pour vos outils RH et commerciaux. Les sanctions et le rôle de la CNIL. Et pour finir, un plan d'action conformité en 10 étapes.

Ce qu'il faut retenir

L'IA Act n'est pas une menace réservée aux géants du numérique : c'est un mode d'emploi européen de l'IA de confiance, qui s'applique aussi à votre PME dès lors qu'elle utilise des outils d'intelligence artificielle. Certaines obligations sont déjà en vigueur, d'autres arrivent en août 2026, les plus lourdes ont été repoussées à décembre 2027.

La conformité n'est ni hors de portée, ni facultative. Elle commence par une chose simple : savoir précisément quels outils d'IA votre entreprise utilise, et à quel niveau de risque ils correspondent. C'est exactement ce que nous faisons dans nos diagnostics hIAppy Vision — et ce que cette série va vous apprendre à faire vous-même.

Rendez-vous demain pour le calendrier complet, mis à jour après le report de décembre 2027.