Vous dirigez une PME qui utilise ou développe des systèmes d'intelligence artificielle ? L'EU AI Act vous concerne. Mais pas de panique : le règlement prévoit des allègements pour les petites structures, et la mise en conformité est tout à fait atteignable avec une approche méthodique.
Ce guide vous donne un plan d'action en 10 étapes concrètes, avec des estimations de coûts et de temps réalistes. Pour le contexte réglementaire complet, reportez-vous à notre guide complet de l'AI Act.
Ce que l'AI Act prévoit spécifiquement pour les PME
Le législateur européen n'a pas oublié que 99 % du tissu économique européen est composé de PME. Plusieurs dispositions allègent la charge — et c'est une bonne nouvelle.
| Disposition | Article | Ce que ça change pour vous |
|---|---|---|
| Bacs à sable réglementaires | Art. 57-62 | Accès prioritaire pour tester vos systèmes dans un cadre supervisé, à coûts réduits |
| Amendes plafonnées | Art. 99§5 | C'est toujours le montant le plus bas qui s'applique (pourcentage du CA vs montant fixe) |
| Documentation simplifiée | Art. 62§2 | La Commission doit fournir des modèles adaptés — pas besoin de réinventer la roue |
| Frais de conformité réduits | Art. 43§4 | Les organismes notifiés doivent adapter leurs honoraires à votre taille |
| Accompagnement | Art. 62§1 | Les autorités nationales doivent vous fournir orientations et assistance |
| Accès aux sandboxes | Art. 57§7 | Frais proportionnés — un sandbox n'est pas réservé aux grandes entreprises |
Étape 1 : Inventorier tous vos systèmes d'IA
Première action — et sans doute la plus sous-estimée : savoir exactement ce que vous utilisez. L'IA s'est infiltrée partout, y compris dans des outils que vous ne soupçonnez pas.
Passez en revue vos outils SaaS avec composante IA (CRM prédictif, chatbots, outils marketing), vos développements internes utilisant des API IA (OpenAI, Claude, Mistral), les fonctionnalités IA intégrées dans vos logiciels métiers (ERP, comptabilité, logistique), et — point souvent oublié — les outils d'IA que vos employés utilisent à titre individuel sans que vous le sachiez. Le fameux « shadow AI ».
Créez un registre simple : nom de l'outil, fournisseur, données traitées, finalité, utilisateurs internes. Un tableur suffit à ce stade.
Étape 2 : Classifier chaque système par niveau de risque
Pour chaque système identifié, déterminez son niveau de risque selon les critères de l'AI Act. Notre guide des obligations par niveau de risque détaille la méthode.
La bonne nouvelle ? Dans la grande majorité des cas, les outils IA utilisés par les PME tombent en « risque minimal » ou « risque limité ». Seules les PME opérant dans les 8 domaines de l'Annexe III — RH/recrutement, crédit/assurance, éducation, infrastructures critiques, justice, immigration, forces de l'ordre, biométrie — auront des systèmes à haut risque sur les bras.
Étape 3 : Évaluer les écarts (gap analysis)
Comparez votre situation actuelle avec les exigences applicables. Six questions à vous poser sans détour :
- Avez-vous une documentation technique pour vos systèmes à haut risque ?
- Vos utilisateurs savent-ils qu'ils interagissent avec une IA quand c'est le cas ?
- Avez-vous un processus de contrôle humain sur les décisions automatisées ?
- Conservez-vous les logs d'activité de vos systèmes IA ?
- Avez-vous audité les biais potentiels de vos systèmes ?
- Vos équipes ont-elles reçu une formation en littératie IA — même basique — comme l'exige l'article 4 ?
Si vous avez répondu « non » à plus de trois questions, il y a du travail. Mais c'est normal à ce stade.
Étape 4 : Nommer un référent AI Act
Comme pour le RGPD avec le DPO, désignez une personne responsable. Ce n'est pas une obligation légale — contrairement au DPO — mais c'est une bonne pratique indispensable.
Dans une PME, ce rôle peut être tenu par le DPO existant, le responsable juridique, le CTO ou le responsable qualité. L'essentiel : cette personne doit comprendre le règlement et avoir une visibilité sur tous les systèmes IA utilisés. Si personne en interne n'a ce profil, un consultant externe peut vous accompagner le temps de la mise en conformité.
Étape 5 : Former vos équipes — c'est obligatoire depuis février 2025
L'article 4 impose une obligation de « littératie en matière d'IA » qui s'applique à tous les opérateurs depuis le 2 février 2025. Quelle que soit votre taille, quel que soit le niveau de risque de vos systèmes.
Ce que ça veut dire concrètement : vos collaborateurs qui touchent à des systèmes d'IA doivent comprendre ce qu'est l'IA, ses capacités, ses limites et ses risques. Pas besoin d'un master en data science — une sensibilisation structurée de quelques heures suffit.
- Formation générale IA pour tous les employés concernés (2-3 heures)
- Formation spécifique pour les utilisateurs de systèmes à haut risque
- Formation technique pour les équipes de développement
- Formation juridique pour le management
Étape 6 : Mettre en place la transparence (art. 50)
Si vous utilisez des chatbots, des systèmes de génération de contenu ou tout outil IA qui interagit directement avec des personnes, vous devez les informer. La mise en œuvre est simple : un bandeau clair sur vos interfaces IA (« Cet assistant utilise l'intelligence artificielle »), un étiquetage du contenu généré par IA quand il porte sur des sujets d'intérêt public, et une documentation de vos pratiques de transparence.
Étape 7 : Auditer vos fournisseurs IA
Vous utilisez des systèmes d'IA développés par des tiers ? C'est le cas de la majorité des PME. Vous êtes alors « déployeur » au sens du règlement, et vos obligations dépendent en partie de la conformité de vos fournisseurs.
Actions concrètes : demandez à chaque fournisseur IA sa feuille de route de conformité AI Act. Vérifiez que vos contrats incluent les clauses nécessaires — accès à la documentation, responsabilités respectives. Pour les systèmes à haut risque, exigez le certificat de conformité et la déclaration UE. Et prévoyez des alternatives si un fournisseur ne peut pas se conformer.
Étape 8 : Documenter (systèmes à haut risque)
Si vous développez un système à haut risque, la documentation technique est le cœur de votre dossier de conformité. L'Annexe IV du règlement détaille le contenu attendu. La Commission a promis des modèles simplifiés pour les PME (art. 62§2) — mais mieux vaut ne pas attendre qu'ils sortent.
Les éléments incontournables : description du système et de sa finalité, architecture et algorithmes utilisés, données d'entraînement et de test, métriques de performance et limites connues, mesures de gestion des risques et de contrôle humain, instructions d'utilisation pour les déployeurs.
Étape 9 : Réaliser l'évaluation de conformité
Pour les systèmes à haut risque, l'article 43 prévoit deux voies :
| Voie | Qui la réalise | Quand | Coût estimé PME |
|---|---|---|---|
| Auto-évaluation (Annexe VI) | Vous-même | La plupart des cas (systèmes Annexe III hors biométrie) | 5 000 - 20 000 € |
| Organisme notifié (Annexe VII) | Tiers accrédité | Biométrie à distance, composants de sécurité produits Annexe I | 15 000 - 50 000 € |
L'auto-évaluation est la voie la plus courante pour les PME. Elle consiste à vérifier méthodiquement que toutes les exigences du Chapitre III, Section 2 sont respectées, et à rédiger la déclaration de conformité UE.
Étape 10 : Mettre en place la surveillance continue
La conformité AI Act n'est pas un exercice ponctuel — c'est un processus continu. L'article 72 impose un système de surveillance post-commercialisation proportionné au risque.
Pour une PME, ça signifie surveiller les performances du système en production (drift, biais émergents), collecter et analyser les retours utilisateurs, mettre à jour la documentation en cas de modification, signaler les incidents graves à l'autorité nationale dans les délais, et réviser l'analyse de risque au moins une fois par an.
Combien ça coûte ? Estimation par taille
| Taille | Systèmes typiques | Budget conformité estimé | Temps estimé |
|---|---|---|---|
| Micro (1-9 salariés) | Outils SaaS IA (chatbot, marketing) | 1 000 - 3 000 € | 2-4 semaines |
| Petite (10-49 salariés) | SaaS IA + développements internes | 5 000 - 15 000 € | 1-3 mois |
| Moyenne (50-249 salariés) | Systèmes multiples, potentiellement haut risque | 15 000 - 60 000 € | 3-6 mois |
| ETI (250+ salariés) | Portefeuille IA significatif | 50 000 - 200 000 € | 6-12 mois |
Ces chiffres couvrent l'audit initial, la documentation, la formation et l'évaluation de conformité. Ils n'incluent pas les éventuelles modifications techniques de vos systèmes.
Pour comprendre ce que vous risquez en cas de non-conformité, consultez notre analyse des sanctions et amendes de l'AI Act. Et pour les échéances précises, voir notre calendrier d'application.
Questions fréquentes
Oui, mais de manière limitée. Votre obligation principale est celle de l'article 4 (littératie IA) : vos employés doivent comprendre ce qu'est l'IA et ses limites. Si vous utilisez ChatGPT en chatbot client, l'article 50 impose d'informer vos interlocuteurs. Si vous l'utilisez pour du recrutement ou du scoring, les obligations haut risque s'appliquent. Pour un usage bureautique interne (rédaction, résumé), les obligations sont minimales.
Pour une micro-entreprise en risque minimal ou limité : entre 1 000 et 3 000 euros, principalement pour la formation des équipes et les mentions de transparence. Pour une PME avec des systèmes à haut risque : entre 15 000 et 60 000 euros. Les bacs à sable réglementaires (art. 57) permettent de réduire ces coûts grâce à l'accompagnement public.
Non — les dates d'application sont les mêmes pour tous. Mais les PME bénéficient d'allègements concrets : accès prioritaire aux bacs à sable, documentation simplifiée, amendes plafonnées, frais proportionnés. La meilleure stratégie est de commencer maintenant par les étapes simples (inventaire, formation) pour étaler l'effort.