AI Act pour PME — Guide obligatoire 2026

L'AI Act (règlement (UE) 2024/1689 du 13 juin 2024) est la première réglementation légale globale au monde sur l'intelligence artificielle. Il oblige toutes les entreprises qui utilisent, développent ou commercialisent des systèmes d'IA dans l'UE — quelle que soit leur taille ou leur siège. Cela signifie : même un artisan de 12 salariés à Strasbourg est soumis à l'AI Act dès qu'il utilise des outils d'IA. Définition (directe, art. 3 AI Act) : un système d'IA est un système basé sur une machine qui, à partir d'un ensemble d'entrées, produit des sorties telles que des prédictions, recommandations, décisions ou contenus pouvant influencer des environnements physiques ou virtuels. En pratique, cela signifie : ChatGPT, les chatbots IA sur votre propre site web, les filtres automatisés de candidatures, les contrôles de crédit assistés par IA et la vidéosurveillance intelligente entrent tous dans cette définition. Qui est concerné ? Selon l'art. 2 de l'AI Act, le règlement s'applique à : — Fournisseurs (fabricants/développeurs de systèmes d'IA, y compris dans des pays tiers si le système est utilisé dans l'UE) — Déployeurs (entreprises qui utilisent des systèmes d'IA dans leurs propres opérations — la majorité des PME) — Importateurs et distributeurs de systèmes d'IA — Personnes concernées (non tenues à la conformité, mais définies comme objet de protection) Selon une étude Bitkom de 2025, 64 % des PME allemandes ignorent qu'elles sont concernées par l'AI Act. Pourtant, selon Statista (2025), 47 % des PME allemandes utilisent déjà au moins un outil d'IA dans leurs opérations — des chatbots IA aux logiciels de comptabilité automatisée, en passant par les outils RH assistés par IA. Particulièrement critique : le règlement ne fait pas de distinction selon la taille de l'entreprise. Une start-up de 3 personnes qui utilise un classifieur IA à haut risque pour le recrutement a les mêmes obligations de conformité qu'un grand groupe. Les exigences varient uniquement selon le risque du système d'IA, et non selon la taille de l'entreprise. Pourquoi l'AI Act est-il pertinent maintenant ? La loi entre en vigueur progressivement. La première grande vague est arrivée le 2 février 2025 avec les interdictions de risque inacceptable. Le 2 août 2026, les obligations centrales relatives au haut risque s'appliquent — c'est l'échéance à laquelle les PME doivent se préparer dès aujourd'hui. Selon la Commission européenne (2025), environ 15 000 PME en Allemagne sont directement concernées par les exigences à haut risque. Le ZEW (Centre Leibniz pour la recherche économique européenne) estime dans une étude de 2024 que les coûts uniques de conformité pour une PME peuvent se situer entre 50 000 et 400 000 €, selon le nombre et la classe de risque des systèmes d'IA utilisés. Une préparation anticipée permet d'économiser des coûts importants — ceux qui commencent seulement en 2026 paient plus cher.

Le cœur de l'AI Act est une approche basée sur le risque : plus le risque d'un système d'IA pour les droits fondamentaux et la sécurité est élevé, plus les exigences sont strictes. Il existe quatre classes de risque. 1. Risque inacceptable (systèmes d'IA interdits) — art. 5 AI Act Ces systèmes d'IA sont interdits depuis le 2 février 2025. Aucune entreprise ne peut les utiliser : — Notation sociale par les autorités publiques (comme connu en Chine) — Surveillance biométrique en temps réel dans les espaces publics par les autorités (avec des exceptions strictes) — Manipulation subliminale du comportement portant préjudice aux personnes — Exploitation des vulnérabilités (âge, handicap) pour influencer le comportement — Reconnaissance des émotions sur le lieu de travail et dans les établissements d'enseignement (avec quelques exceptions) — Systèmes d'IA de profilage de personnes basés sur des caractéristiques protégées Particulièrement pertinent pour les PME : ceux qui utilisent une analyse d'humeur ou d'émotion assistée par IA chez leurs salariés doivent la désactiver immédiatement. 2. Systèmes d'IA à haut risque — art. 6, annexe III AI Act Les systèmes à haut risque peuvent continuer à être utilisés, mais sont soumis à des exigences strictes. Ils sont listés à l'annexe III de l'AI Act. Domaines à haut risque pertinents pour les PME : — RH et gestion du personnel : systèmes de présélection automatique des candidats, évaluations de performance par IA, IA de recommandation salariale. Concerne toute PME utilisant l'IA dans le travail RH. — Octroi de crédit : contrôles de solvabilité et notation de crédit assistés par IA. Pertinent pour les fintechs et les entreprises avec des outils financiers IA. — Éducation et formation : systèmes d'IA pour évaluer les apprenants ou les décisions d'admission. Pertinent pour les organismes de formation. — Infrastructures critiques de sécurité : IA dans la distribution d'eau, l'énergie, les transports. — Justice et administration : IA d'aide à la décision dans les procédures juridiques. — Catégorisation biométrique : systèmes catégorisant des personnes selon des caractéristiques telles que la race, la nationalité, les opinions politiques. Obligations pour les déployeurs à haut risque : établir une documentation technique, effectuer une évaluation de conformité, apposer le marquage CE (pour les fournisseurs), mettre en œuvre un système de gestion des risques, assurer la transparence envers les utilisateurs, garantir la supervision humaine, obligation de notification en cas d'incidents graves. 3. Systèmes d'IA à risque limité — art. 50 AI Act Cette classe comprend les systèmes d'IA présentant un potentiel de tromperie faible mais réel. L'obligation principale est la transparence : — Les chatbots doivent indiquer que l'utilisateur communique avec une IA — Les deepfakes et médias synthétiques doivent être identifiés comme générés par IA — Les textes générés par IA à caractère informatif (actualités, communication officielle) doivent être marqués Pour la plupart des PME, c'est la classe la plus pertinente : ceux qui utilisent un chatbot IA sur leur site web doivent s'assurer que les utilisateurs savent qu'ils parlent à une IA. C'est simple à mettre en œuvre, mais déjà contrôlé par l'autorité de surveillance. 4. Risque minimal — pas d'obligations spécifiques La majorité des applications d'IA entrent dans cette catégorie : filtres anti-spam, personnages d'IA dans les jeux, IA simple de retouche d'images, algorithmes de recommandation sans contexte critique. Ici, il n'y a pas d'obligations de conformité — seulement des codes de conduite volontaires. Règle pratique pour les PME : vérifiez d'abord si vous utilisez de l'IA dans les domaines RH, crédit, éducation ou infrastructures critiques. Si oui, vous êtes probablement dans la zone à haut risque. Si vous n'utilisez l'IA que pour le marketing, le support client ou la génération de texte, vous êtes le plus souvent dans le risque limité ou minimal.

L'AI Act entre en vigueur de manière échelonnée. Les dates clés pour votre entreprise en un coup d'œil : 1er août 2024 — Entrée en vigueur Le règlement (UE) 2024/1689 est entré en vigueur le 1er août 2024. Le délai officiel de mise en œuvre a alors commencé. 2 février 2025 — Les interdictions de risque inacceptable s'appliquent Depuis le 2 février 2025 (6 mois après l'entrée en vigueur), toutes les pratiques d'IA interdites listées à l'art. 5 sont illégales. Les entreprises qui exploitent encore des systèmes à risque inacceptable — comme la reconnaissance d'émotions sur le lieu de travail ou la publicité IA manipulatrice — agissent illégalement depuis cette date et risquent des amendes immédiates. 2 août 2025 — Obligations GPAI et structure des autorités À partir du 2 août 2025 (12 mois après l'entrée en vigueur), les règles s'appliquent aux modèles d'IA à usage général (General Purpose AI, GPAI) tels que GPT-4, Claude ou Gemini. Les fournisseurs de ces modèles doivent fournir une documentation technique, publier des politiques de droits d'auteur et prendre des mesures de sécurité supplémentaires en cas de risques systémiques. Pour les PME en tant qu'utilisatrices de ces modèles, cela signifie : vous ne pouvez plus utiliser que des modèles GPAI de fournisseurs respectant les nouvelles exigences de conformité. Les LLM non conformes doivent être utilisés avec prudence à partir de cette date. Parallèlement, les autorités nationales de surveillance du marché deviennent opérationnelles. 2 août 2026 — L'échéance critique pour la plupart des PME À partir du 2 août 2026 (24 mois après l'entrée en vigueur), toutes les exigences de l'AI Act s'appliquent intégralement — y compris les obligations étendues à haut risque des art. 6 et suivants. Pour les déployeurs de systèmes d'IA à haut risque, cela signifie : — La documentation technique complète doit être disponible — L'évaluation de conformité doit être achevée — Le système de gestion des risques doit être mis en œuvre et documenté — La supervision humaine doit être ancrée institutionnellement — Les obligations de transparence et d'information envers les utilisateurs doivent être remplies — Les obligations de notification d'incidents auprès de l'autorité nationale doivent être établies Important : pour les systèmes à haut risque dans des domaines déjà réglementés (marquage CE selon d'autres directives), un délai transitoire prolongé jusqu'au 2 août 2027 s'applique. 2 août 2027 — Dernier délai transitoire Jusqu'au 2 août 2027, les fournisseurs et déployeurs de systèmes d'IA à haut risque déjà soumis à des procédures de marquage CE selon d'autres directives d'harmonisation (par ex. dispositifs médicaux, véhicules) ont le temps de remplir les nouvelles exigences de l'AI Act. Pour tous les autres : la conformité complète était déjà obligatoire à partir d'août 2026. Recommandation pour les PME : commencez dès maintenant par l'inventaire IA (quels outils d'IA est-ce que j'utilise ?), la classification des risques et la mise en place de la documentation de conformité. Ceux qui ne commenceront qu'au printemps 2026 ne pourront pas raisonnablement respecter l'échéance d'août.

L'AI Act prévoit l'un des régimes d'amendes les plus stricts du droit économique européen. Les amendes sont échelonnées selon la nature et la gravité de l'infraction (art. 99 AI Act) : Niveau le plus élevé : jusqu'à 35 M€ ou 7 % du chiffre d'affaires mondial annuel Ce plafond d'amende s'applique aux violations des interdictions de l'art. 5 (pratiques d'IA interdites) ainsi qu'aux violations graves des exigences de protection des données de l'AI Act. Pour une PME avec 10 M€ de chiffre d'affaires annuel, cela signifie : des amendes pouvant atteindre 700 000 € sont possibles — dès une seule violation prouvée. Niveau intermédiaire : jusqu'à 15 M€ ou 3 % du chiffre d'affaires annuel Ce plafond s'applique aux violations des exigences à haut risque (absence de gestion des risques, absence de documentation, obligations de transparence non remplies). C'est le domaine qui touchera la plupart des PME. Niveau le plus bas : jusqu'à 7,5 M€ ou 1 % du chiffre d'affaires annuel Pour des informations fausses ou trompeuses fournies aux autorités, par exemple lors de l'évaluation de conformité. Règle particulière pour les PME et start-ups : l'art. 99, par. 6 AI Act prévoit que la proportionnalité est prise en compte dans le calcul des amendes et que, pour les PME et start-ups, le plus bas des deux montants (plafond absolu ou pourcentage du chiffre d'affaires) s'applique. C'est un certain coussin de protection — mais pas un blanc-seing. Actions privées en dommages-intérêts : en plus des amendes administratives, les personnes concernées peuvent réclamer des dommages-intérêts au titre de l'art. 82 RGPD (et à l'avenir au titre du droit national de la responsabilité IA). L'EU AI Liability Act (encore en préparation, état mai 2026) étendra encore ces possibilités d'action. Application administrative : chaque État membre de l'UE doit désigner une autorité nationale de surveillance du marché pour l'IA. En Allemagne, la Bundesnetzagentur devrait probablement assumer ce rôle (décision attendue au ministère fédéral du Numérique et des Transports). L'autorité reçoit de larges pouvoirs d'enquête et d'application — y compris des audits inopinés. Atteinte à la réputation : outre les sanctions financières, les violations de l'AI Act entraînent des atteintes à la réputation considérables. L'AI Act prévoit une base de données européenne dans laquelle les systèmes à haut risque et les incidents sont accessibles au public. Une inscription pour violation de la conformité est préjudiciable à l'activité des entreprises B2B.

Le chemin vers la conformité AI Act n'est pas un projet ponctuel, mais un processus structuré. Voici une approche éprouvée en 6 phases pour les PME : Phase 1 : Établir un inventaire IA (semaines 1–2) Commencez par un inventaire complet de tous les systèmes d'IA utilisés. Cela semble trivial, mais ne l'est pas : de nombreuses PME sous-estiment le nombre d'outils d'IA en service. Les angles morts typiques sont les fonctions IA dans des logiciels standard (par ex. la notation IA dans HubSpot, l'aide à la rédaction IA dans Microsoft 365, la priorisation automatisée dans le système d'assistance). Créez un tableau avec : nom de l'outil, fournisseur, finalité d'utilisation, service concerné, nombre de personnes concernées et catégorie de risque préliminaire. Selon une enquête McKinsey (2024), 73 % des entreprises se considérant comme « peu intensives en IA » ont identifié, après un inventaire systématique, plus de 15 fonctions d'IA distinctes. Phase 2 : Classification des risques (semaines 3–4) Classifiez chaque système d'IA identifié selon les quatre classes de risque de l'AI Act. Travaillez avec le texte concret de l'annexe III du règlement et les lignes directrices de la Commission européenne (état actuel : acte délégué relatif aux systèmes à haut risque, octobre 2024). En cas de doute sur la classification, il est recommandé de consulter un avocat spécialisé en droit de l'IA. Phase 3 : Analyse des écarts et priorisation (semaines 5–6) Pour chaque système à haut risque : examinez l'état actuel de conformité par rapport aux exigences des art. 9 à 15 AI Act. Lacunes typiques dans les PME : — Aucune documentation technique disponible — Aucun système formel de gestion des risques — Aucune responsabilité définie (AI Officer ou équivalent) — Aucune documentation de transparence utilisateur — Aucun processus d'escalade défini en cas d'erreurs IA Phase 4 : Mise en œuvre des mesures techniques et organisationnelles (mois 2–5) Mise en œuvre des mesures identifiées par ordre de priorité. Mesures immédiates éprouvées : — Politique de gouvernance de l'IA : directive interne pour l'utilisation de l'IA (modèle disponible chez Wito AI) — Désigner un AI Officer : au moins une personne au niveau de la direction portant la responsabilité de la conformité — Documentation technique : établir, pour chaque système à haut risque, la documentation requise par l'AI Act — Processus de supervision humaine : définir comment et par qui les décisions IA sont vérifiées — Mentions de transparence : identifier tous les points de contact utilisateurs avec l'IA Phase 5 : Évaluation de conformité (mois 5–6) Pour les systèmes à haut risque que vous développez ou modifiez de manière significative : effectuer une évaluation de conformité formelle selon l'art. 43 AI Act (dans de nombreux cas possible en auto-évaluation). Pour les systèmes à haut risque que vous utilisez uniquement en tant que déployeur : vérifiez la déclaration de conformité du fournisseur et assurez-vous que celui-ci est conforme à l'art. 16 AI Act. Phase 6 : Suivi continu et gestion des incidents (à partir du mois 7) La conformité n'est pas un projet ponctuel. Mettez en œuvre : — Revue annuelle de l'inventaire IA — Journalisation des décisions IA (dans la mesure du techniquement possible) — Processus d'escalade pour les incidents IA avec chaîne de signalement vers la future autorité nationale — Formations régulières pour les salariés utilisant les systèmes d'IA — Suivi des mises à jour : l'AI Act évolue par des actes délégués Charge typique pour une PME : selon la Bundesverband IT-Mittelstand (BITMi, 2025), les PME de 50 à 249 salariés ont besoin en moyenne de 120 à 280 heures pour la première documentation de conformité. Avec un soutien externe, cette charge se réduit à 40 à 80 heures.

De nombreuses PME demandent : « Nous sommes déjà conformes au RGPD — n'est-ce pas suffisant ? » La réponse claire : non. Le RGPD et l'AI Act sont des cadres réglementaires complémentaires mais autonomes, avec des objectifs différents. RGPD (depuis 2018) : régit la protection des données à caractère personnel. L'accent est mis sur la minimisation des données, la limitation des finalités, les droits des personnes concernées (accès, suppression, opposition). S'applique à toute opération de traitement de données personnelles — avec ou sans IA. AI Act (à partir de 2025/2026) : régit l'utilisation des systèmes d'IA selon leur niveau de risque. L'accent est mis sur la transparence, la supervision humaine, la documentation et l'évaluation de conformité. S'applique aux systèmes d'IA — même s'ils ne traitent pas de données personnelles. Recoupements : pour les systèmes d'IA traitant des données personnelles, les DEUX cadres s'appliquent simultanément. Un outil RH IA pour la sélection de candidats est à la fois pertinent au regard du RGPD (traitement de données candidats) et de l'AI Act (classification haut risque). Les obligations de conformité s'additionnent, elles ne se substituent pas. Différences clés en un coup d'œil : — Le RGPD s'applique à tous les traitements de données, l'AI Act uniquement aux systèmes d'IA — Le RGPD n'a pas d'approche par produit, l'AI Act est lié au produit — Amendes RGPD : jusqu'à 4 % du chiffre d'affaires annuel mondial ; AI Act : jusqu'à 7 % (pratiques interdites) ou 3 % (haut risque) — La responsabilité RGPD incombe au responsable de traitement, l'AI Act différencie entre fournisseur et déployeur Conseil pratique : utilisez votre documentation RGPD existante comme base. De nombreux éléments — analyse d'impact relative à la protection des données (AIPD), registre des traitements, mesures techniques de sécurité — peuvent être réutilisés et complétés pour l'AI Act, plutôt que de repartir de zéro.

Wito AI est une agence numérique et IA full-service axée sur les PME. Nous accompagnons les PME à travers les six phases de conformité — du premier inventaire au suivi continu. Ce que nous livrons concrètement : — Diagnostic numérique gratuit : notre évaluation en ligne (ass.wito.ai) identifie en 3 minutes votre utilisation actuelle de l'IA et fournit une première estimation de la pertinence AI Act. 100 % gratuit, sans inscription requise. — Inventaire IA et classification des risques : nous établissons avec vous une liste complète de tous les systèmes d'IA et les classons selon l'AI Act. — Documentation de conformité : documentations techniques, politique de gouvernance IA, système de gestion des risques selon l'art. 9 AI Act — tout en main. — Formations pour votre équipe : ateliers pratiques sur les bases de l'AI Act, la classification des risques et la maintenance continue de la conformité. — Modèle CDOaaS continu : en tant que Chief Digital Officer externe, nous accompagnons votre entreprise durablement et maintenons votre conformité à jour face aux évolutions réglementaires. Pourquoi Wito AI ? Nous combinons l'expertise technique en IA avec une compréhension juridique de la conformité. Notre équipe a déjà accompagné plus de 40 PME dans la conformité RGPD et IA. Nous ne parlons pas le jargon juridique — nous traduisons les exigences réglementaires en mesures pragmatiques pour l'entreprise. Avec le modèle CDOaaS à partir de 990 €/mois, les petites et moyennes entreprises bénéficient d'un expert externe qui traite la conformité comme un sujet permanent — et non comme un projet ponctuel.