L'essentiel en bref

  • Depuis le 2 février 2025, l'article 4 de l'AI Act impose une obligation de maîtrise de l'IA à toute entreprise qui utilise des systèmes d'IA.
  • Aucun seuil d'effectif n'exonère une PME de cette obligation, même une entreprise de quelques salariés est concernée.
  • Certains usages de l'IA sont interdits sans distinction de taille d'entreprise (notation sociale, manipulation comportementale).
  • La formation des équipes devient un élément de mise en conformité, pas seulement un investissement de confort.

Ce qu'est l'AI Act, en une phrase

L'AI Act est le règlement européen (UE) 2024/1689 qui encadre le développement et l'usage des systèmes d'intelligence artificielle dans l'Union européenne, avec une approche graduée selon le niveau de risque de chaque usage : plus l'usage présente de risques pour les droits des personnes, plus les obligations sont strictes.

L'obligation qui concerne toutes les PME : la maîtrise de l'IA

Depuis le 2 février 2025, l'article 4 du règlement impose à toute entreprise utilisant des systèmes d'IA, y compris des outils grand public comme ChatGPT, Microsoft Copilot ou Claude, de garantir un niveau suffisant de maîtrise de l'IA pour ses collaborateurs. Cette obligation ne dépend d'aucun seuil d'effectif : une entreprise de trois salariés qui utilise un assistant IA pour rédiger ses emails commerciaux est concernée exactement comme une entreprise de 200 personnes.

Concrètement, cette obligation transforme la formation à l'IA générative d'un simple avantage compétitif en un élément de conformité réglementaire. Une entreprise qui laisserait ses équipes utiliser l'IA sans aucune sensibilisation aux risques et aux bonnes pratiques prend un risque de non-conformité, indépendamment de sa taille.

Les usages interdits, quelle que soit la taille de l'entreprise

L'AI Act interdit certains usages de l'intelligence artificielle sans exception de taille d'entreprise, notamment :

  • La notation sociale des personnes à partir de leur comportement
  • Les systèmes de manipulation comportementale exploitant des vulnérabilités
  • Certaines formes de reconnaissance biométrique en temps réel dans l'espace public

Pour la grande majorité des PME qui utilisent l'IA générative pour de la rédaction, de l'analyse de données ou du support client, ces interdictions ne sont pas directement concernées. Elles marquent cependant les limites au-delà desquelles un usage devient illégal, quelle que soit l'intention initiale.

Comment se mettre en conformité concrètement

  1. Identifier les usages actuels de l'IA dans l'entreprise, y compris les usages informels que les salariés pratiquent sans en parler.
  2. Former les équipes aux bases : ce que l'outil peut et ne peut pas faire, ce qu'on a le droit d'y saisir, comment vérifier une réponse avant de l'utiliser.
  3. Documenter les règles d'usage dans une note interne simple, même sommaire, plutôt que de laisser les pratiques se développer sans cadre écrit.
  4. Croiser cette mise en conformité avec le RGPD, les deux réglementations se recoupent largement sur la question des données personnelles. Voir notre article sur le RGPD et l'IA générative.

Pourquoi ce n'est pas qu'une contrainte

Le lien entre obligation réglementaire et formation des équipes joue en réalité en faveur des PME qui s'y prennent tôt. Une entreprise qui forme ses équipes pour se conformer à l'AI Act obtient, dans le même mouvement, une meilleure qualité d'usage de l'IA générative au quotidien : moins d'erreurs, moins de temps perdu à corriger des réponses mal cadrées, et une réduction du risque de fuite de données sensibles. Voir notre article pourquoi et comment former ses équipes à l'IA.

Questions fréquentes

Une TPE de 3 salariés est-elle vraiment concernée par l'AI Act ?

Oui, pour l'obligation de maîtrise de l'IA prévue à l'article 4. Aucun seuil d'effectif n'exonère une entreprise de cette obligation générale.

Faut-il un document formel pour être en conformité ?

Une note interne décrivant les usages autorisés et les précautions à prendre constitue déjà une base sérieuse. L'essentiel est que les équipes aient reçu une information et, idéalement, une formation adaptée à leur usage réel.

L'AI Act et le RGPD se contredisent-ils ?

Non, ils sont complémentaires : le RGPD encadre la protection des données personnelles, l'AI Act encadre l'usage des systèmes d'IA en tant que tels. Une entreprise conforme au RGPD n'est pas automatiquement conforme à l'AI Act, et inversement.

Vous voulez vérifier où en est votre entreprise sur ces deux sujets ?

C'est un point que l'on passe en revue dès l'audit, gratuit ou complet.

Réserver mon appel découverte gratuit

Sources

  • Règlement (UE) 2024/1689 du Parlement européen et du Conseil (AI Act) — eur-lex.europa.eu