Le Règlement UE 2024/1689 sur l'IA, publié au Journal officiel de l'Union européenne le 12 juillet 2024, est entré en vigueur le 1er août 2024. Ce texte de 144 articles et 13 annexes est souvent présenté comme une bombe réglementaire. La réalité est plus nuancée : la majorité des TPE et PME françaises ne seront pas concernées par les obligations les plus lourdes — à condition de savoir où elles se situent. Ce que cet article veut faire, c'est vous donner une lecture honnête du texte : ni alarmiste, ni naïve. Parce qu'ignorer complètement l'AI Act en espérant que ça ne vous concerne pas, c'est prendre un risque. Et paniquer devant 400 pages de règlement européen, c'est perdre du temps.
Le calendrier réel d'application : quoi s'applique quand
L'AI Act ne s'applique pas d'un bloc. Il suit un calendrier progressif que beaucoup de dirigeants ignorent. Voici les dates clés issues du texte officiel :
- 1er août 2024 — Entrée en vigueur du règlement (J+20 après publication au JOUE).
- 2 février 2025 — Les pratiques interdites (article 5) sont applicables. C'est la première échéance concrète : certains usages de l'IA sont illégaux dès cette date.
- 2 août 2025 — Application aux systèmes d'IA à usage général (GPAI, chapitres I et II du titre VIII) — concernent surtout les fournisseurs de grands modèles de langage comme GPT ou Gemini, pas les TPE utilisatrices.
- 2 août 2026 — C'est l'échéance principale : les obligations liées aux systèmes à haut risque (annexe III) et aux obligations de transparence entrent pleinement en application.
- 2 août 2027 — Extension aux systèmes à haut risque dans les secteurs réglementés (ex. : dispositifs médicaux, véhicules autonomes).
Ce qu'il faut retenir : août 2026 est la vraie date cible pour la plupart des PME. Vous avez le temps de vous préparer — mais pas de tout remettre à plus tard. Les pratiques interdites, elles, sont effectives depuis février 2025.
Les 4 niveaux de risque : où se situe votre TPE ?
L'AI Act classe les systèmes d'IA en quatre catégories selon le risque qu'ils représentent pour les droits fondamentaux, la santé et la sécurité. Comprendre dans quelle case vous tombez est la première chose à faire — avant même de parler d'obligations.
Niveau 1 — Pratiques interdites (risque inacceptable)
L'article 5 du règlement liste les usages purement interdits : notation sociale généralisée des citoyens, reconnaissance faciale de masse dans l'espace public (sauf exceptions sécurité nationale strictement encadrées), manipulation subliminale, exploitation des vulnérabilités. Ces pratiques sont illégales depuis le 2 février 2025. Pour une TPE classique, aucun de ces cas ne devrait se poser — sauf à vouloir noter vos clients ou employés sur des critères comportementaux biométriques, ce qui relèverait de toute façon du bon sens et du RGPD.
Niveau 2 — Systèmes à haut risque (article 6 et annexe III)
C'est là que les obligations sont lourdes. Sont concernés les systèmes d'IA utilisés dans des contextes critiques : recrutement et gestion RH automatisée, accès aux services essentiels (crédit bancaire, assurances), éducation, administration de la justice, infrastructures critiques. L'article 6 définit les critères de classification, et l'annexe III liste les domaines concernés.
Exemples concrets pour une TPE/PME :
- Vous utilisez un logiciel RH qui classe automatiquement les CV et élimine des candidats sans intervention humaine → haut risque.
- Vous êtes un cabinet de courtage en crédit et vous utilisez un outil IA pour scorer la solvabilité de vos clients → haut risque.
- Vous avez un outil de surveillance des performances des salariés basé sur l'IA (suivi temps réel, alertes automatiques) → haut risque.
Niveau 3 — Obligations de transparence (article 50)
Ces systèmes ne sont pas dangereux en eux-mêmes, mais ils interagissent avec des humains qui doivent savoir qu'ils parlent à une machine. Cela inclut les chatbots, les systèmes qui génèrent du contenu susceptible d'être pris pour humain (deepfakes, textes IA), ou les assistants vocaux. L'obligation est simple : informer l'utilisateur.
Niveau 4 — Risque minimal (la grande majorité des usages)
Filtres anti-spam, recommandations de produits, traduction automatique, outils de rédaction assistée comme ChatGPT ou Notion AI utilisés en interne… La grande majorité des usages IA d'une TPE entrent dans cette catégorie. Aucune obligation spécifique de l'AI Act ne s'applique. Vous pouvez continuer à utiliser ces outils librement, dans le respect du RGPD.
Ce que votre TPE/PME doit concrètement faire — par niveau
Voici la lecture opérationnelle, sans jargon inutile.
Si vous êtes au niveau minimal (la majorité d'entre vous)
Rien d'obligatoire au titre de l'AI Act. Mais documentez quand même quels outils vous utilisez et pour quoi faire. Pas pour l'AI Act — pour votre propre registre RGPD, pour rassurer vos clients, et pour ne pas être pris de court si la réglementation évolue. Un simple tableau dans votre espace partagé suffit.
Si vous avez un chatbot ou un agent conversationnel (niveau transparence)
Trois obligations concrètes issues de l'article 50 :
- Informer clairement l'utilisateur qu'il interagit avec un système automatisé — dans les mentions légales et dans l'interface du chatbot lui-même.
- Si votre chatbot génère du contenu audio ou vidéo synthétique, labelliser ce contenu comme tel.
- Permettre à l'utilisateur de basculer vers un humain s'il le souhaite.
Ce n'est pas une montagne. La plupart des solutions de chatbot (Tidio, Crisp, Intercom…) permettent de configurer ça en quelques minutes. Si vous voulez qu'on vous aide à mettre ça en ordre proprement, décrivez-nous votre configuration — on vous répond sous 24h.
Si vous utilisez de l'IA dans vos RH (niveau haut risque)
C'est ici que les obligations deviennent sérieuses, et c'est là aussi que beaucoup de dirigeants se font surprendre. Si vous utilisez un logiciel qui filtre des candidatures, note des performances ou prend des décisions d'accès à l'emploi de façon automatisée, vous êtes fournisseur ou déployeur d'un système à haut risque. L'article 9 impose notamment :
- Un système de gestion des risques documenté et tenu à jour.
- Une gouvernance des données (qualité des données d'entraînement, biais potentiels).
- Une documentation technique du système (article 11).
- Une surveillance humaine effective — l'IA ne décide pas seule.
- Un enregistrement dans une base de données EU (obligatoire pour les fournisseurs).
La CNIL a publié ses premières recommandations sur l'IA en janvier 2024 sur cnil.fr, et elle est désignée comme l'une des autorités nationales compétentes pour l'AI Act en France. Elle insiste sur l'articulation avec le RGPD, notamment sur la base légale du traitement et le droit à l'explication des décisions automatisées.
Tableau récapitulatif des obligations par cas d'usage
| Cas d'usage TPE/PME | Niveau de risque | Obligation AI Act | Obligation RGPD associée |
|---|---|---|---|
| ChatGPT / IA générative en usage interne | Minimal | Aucune | Politique d'usage interne, pas de données clients dans le prompt |
| Chatbot client sur site web | Transparence | Mention "vous parlez à un robot", option de contact humain | Registre de traitement, base légale, cookies si tracking |
| Logiciel de tri de CV automatisé | Haut risque | Documentation, gestion des risques, supervision humaine, article 9 et 11 | Droit à l'explication (art. 22 RGPD), analyse d'impact AIPD |
| Scoring crédit / solvabilité client | Haut risque | Idem ci-dessus + enregistrement base EU | AIPD obligatoire, base légale explicite |
| Recommandations produits e-commerce | Minimal | Aucune | Consentement cookies si profilage comportemental |
| Traduction automatique (DeepL, etc.) | Minimal | Aucune | Vigilance si documents confidentiels transmis au prestataire |
| Outil de surveillance des salariés (productivité IA) | Haut risque | Documentation, supervision humaine, art. 9 | Information salariés, consultation CSE, AIPD probable |
| Génération de contenu marketing IA | Minimal / Transparence si deepfake | Labellisation si contenu synthétique trompeur | Droit à l'image si visages générés, droits d'auteur |
Mythes vs réalités : ce qu'on lit souvent et qui est faux
Mythe : "ChatGPT est interdit avec l'AI Act"
Non. ChatGPT est un système d'IA à usage général (GPAI). Son fournisseur — OpenAI — doit se conformer aux obligations du chapitre du règlement dédié aux GPAI depuis août 2025. Vous, en tant qu'utilisateur professionnel, n'avez aucune obligation spécifique liée à l'AI Act pour un usage interne bureautique. Ce qui reste interdit, c'est de coller des données personnelles de vos clients dans vos prompts sans base légale — et ça, c'est le RGPD qui le dit depuis 2018.
Mythe : "Un chatbot sur mon site est un système à haut risque"
Non, sauf cas très particulier. Un chatbot qui répond à des questions sur vos horaires, vos produits ou qui qualifie une demande de devis est un système de faible risque soumis uniquement à l'obligation de transparence (article 50). Il devient haut risque uniquement s'il prend des décisions ayant un impact significatif sur les droits d'une personne — ce qui est rarement le cas d'un chatbot commercial standard.
Mythe : "Les PME sont exemptées de l'AI Act"
Partiellement vrai, partiellement faux. Le règlement prévoit des allègements pour les PME et les startups, notamment en matière d'accès aux bacs à sable réglementaires et d'accompagnement. Mais il n'y a pas d'exemption générale sur les obligations de fond. Si votre outil est à haut risque, vous êtes soumis aux mêmes règles qu'une grande entreprise. La différence, c'est que les sanctions seront proportionnées à votre taille.
Réalité : "Oui, il faut documenter si vous utilisez de l'IA dans vos RH"
C'est probablement l'obligation la plus concrète et la plus oubliée pour les PME. Dès lors qu'un outil IA participe à une décision d'embauche, de promotion ou d'évaluation, vous devez pouvoir documenter comment il fonctionne, quelles données il utilise, comment vous supervisez ses recommandations. L'article 9 est explicite là-dessus. Et la CNIL le rappelle dans ses recommandations publiées sur cnil.fr : une décision automatisée en RH doit pouvoir être expliquée à la personne concernée.
Mythe : "Je ne suis que déployeur, pas fournisseur, donc je ne risque rien"
La distinction fournisseur / déployeur existe bien dans le règlement. Mais le déployeur (celui qui met un système IA en production dans son activité) a aussi des obligations : notamment sur la surveillance humaine, l'information des utilisateurs et la remontée d'incidents au fournisseur. Acheter une solution IA sur étagère ne vous exonère pas entièrement.
Les sanctions : de quoi parle-t-on vraiment ?
L'AI Act prévoit trois paliers de sanctions administratives, que les autorités nationales pourront infliger :
- Jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial annuel (le plus élevé des deux) pour violation des pratiques interdites (article 5).
- Jusqu'à 15 millions d'euros ou 3 % du CA mondial pour non-respect des obligations sur les systèmes à haut risque, les GPAI ou les obligations de transparence.
- Jusqu'à 7,5 millions d'euros ou 1 % du CA mondial pour fourniture d'informations incorrectes aux autorités compétentes.
Pour les PME et les startups, le règlement prévoit explicitement que le montant maximal soit le plus bas entre le plafond absolu et le pourcentage du CA — ce qui signifie qu'une TPE réalisant 500 000 € de CA ne risque pas 35 millions d'euros. Mais 7 % de 500 000 €, c'est 35 000 € — et ce n'est pas rien non plus. Plus réaliste encore : les autorités commenceront probablement par des mises en demeure et des injonctions avant d'aller aux sanctions financières. Ce qui ne veut pas dire qu'on peut faire l'impasse.
Le portail economie.gouv.fr propose des ressources d'accompagnement pour les entreprises sur la mise en conformité IA, et le gouvernement français a annoncé des dispositifs de soutien aux PME pour cette transition.
L'articulation avec le RGPD : ce qui change, ce qui ne change pas
Le RGPD et l'AI Act ne sont pas redondants — ils se complètent. Voici comment les lire ensemble :
Ce que le RGPD couvre déjà (et que l'AI Act ne double pas)
La base légale du traitement des données personnelles, le droit d'accès, le droit à l'effacement, le principe de minimisation des données, les transferts hors UE. Si vous traitez des données personnelles avec vos outils IA, vous étiez déjà soumis au RGPD. L'AI Act ne recrée pas ces obligations.
Ce que l'AI Act ajoute concrètement
Des obligations spécifiques sur la gouvernance des systèmes IA eux-mêmes (pas seulement les données) : qualité des données d'entraînement, robustesse technique, surveillance humaine, documentation des performances, exactitude. L'AI Act s'intéresse au système qui traite les données, là où le RGPD s'intéresse aux données elles-mêmes. Les deux se superposent, notamment sur les décisions automatisées (article 22 RGPD + article 9 AI Act).
Le point de friction : l'analyse d'impact
Si votre système IA tombe dans la catégorie haut risque ET traite des données personnelles, vous devrez probablement réaliser à la fois une Analyse d'Impact relative à la Protection des Données (AIPD) au titre du RGPD et une documentation des risques au titre de l'AI Act. En pratique, ces deux documents peuvent être rédigés conjointement — c'est d'ailleurs ce que recommande la CNIL dans ses fiches pratiques disponibles sur cnil.fr.
Si vous voulez aller plus loin sur le sujet de l'intégration IA dans votre entreprise, on a rédigé un guide complet pour choisir votre partenaire IA : Agence IA France PME 2026 : comment choisir le bon partenaire.
FAQ — Vos questions sur l'AI Act et les TPE/PME
L'AI Act s'applique-t-il à une entreprise qui utilise seulement des outils SaaS avec de l'IA intégrée (Notion, HubSpot, etc.) ?
En règle générale, si vous utilisez un outil SaaS "clé en main" sans en modifier les paramètres IA fondamentaux, vous êtes considéré comme un simple utilisateur final et les obligations lourdes incombent au fournisseur. Cependant, si vous configurez activement les comportements IA de l'outil pour prendre des décisions impactant des tiers (candidats, clients, employés), vous endossez un rôle de déployeur avec les obligations qui en découlent. La frontière est parfois floue — mieux vaut vérifier le contrat avec votre fournisseur SaaS.
Mon chatbot de support client est-il concerné par l'AI Act ?
Oui, mais de façon limitée. Un chatbot qui gère des demandes de support standard entre dans la catégorie "transparence obligatoire" (article 50 de l'AI Act). Concrètement : vous devez indiquer à vos utilisateurs qu'ils interagissent avec un système automatisé. Si votre chatbot prend des décisions ayant un impact sur les droits des personnes (refus d'un service, orientation vers un parcours différent), l'analyse se complique. Dans ce cas, consultez un juriste spécialisé ou contactez-nous pour un premier cadrage.
J'utilise un logiciel RH du marché (Lucca, BambooHR, etc.) — suis-je responsable de sa conformité AI Act ?
Le fournisseur du logiciel est responsable de la conformité du système IA en tant que fournisseur. Vous, en tant que déployeur, devez vous assurer que vous l'utilisez conformément à sa documentation, que vous exercez une supervision humaine sur les décisions automatisées, et que vos salariés concernés sont informés. Demandez à votre éditeur logiciel une déclaration de conformité AI Act — les sérieux sont en train de les préparer pour 2026.
Quelles sont les premières démarches concrètes à faire avant août 2026 ?
Trois étapes simples pour commencer : (1) Listez tous les outils IA que vous utilisez dans votre entreprise — même les "petits" comme les correcteurs automatiques ou les outils d'analyse de données. (2) Pour chaque outil, identifiez s'il prend des décisions impactant des humains (clients, employés, partenaires). (3) Pour ceux qui entrent dans les catégories transparence ou haut risque, commencez à documenter leur usage et à vérifier la posture de conformité de l'éditeur. Ce n'est pas un chantier de plusieurs mois — pour la plupart des TPE, c'est une demi-journée de travail.
L'AI Act oblige-t-il à nommer un "délégué IA" comme il y a un DPO pour le RGPD ?
Non. L'AI Act ne crée pas l'équivalent d'un DPO (Data Protection Officer). En revanche, pour les systèmes à haut risque, il faut désigner une personne responsable de la supervision humaine et de la remontée des incidents. Dans une TPE, c'est souvent le dirigeant lui-même ou le responsable RH selon le contexte. Pas besoin d'une nouvelle fonction — mais quelqu'un doit formellement "tenir le dossier".
Un artisan ou un commerçant qui utilise ChatGPT pour rédiger ses devis est-il concerné ?
Pratiquement pas. L'usage de ChatGPT pour rédiger des textes, répondre à des emails ou préparer des devis est un usage interne à risque minimal. Aucune obligation AI Act spécifique ne s'applique. La seule vigilance : ne pas coller dans vos prompts des informations personnelles sur vos clients (nom, adresse, données sensibles) sans avoir vérifié la politique de confidentialité d'OpenAI et l'avoir mentionné dans votre registre RGPD.
Le règlement s'applique-t-il aux IA développées en interne ?
Oui — et c'est souvent là que les PME sont les moins préparées. Si vous avez fait développer un outil IA sur mesure (par une agence ou en interne) et que vous le déployez pour prendre des décisions, vous endossez à la fois le rôle de fournisseur et de déployeur. C'est le cas le plus exigeant réglementairement. Si vous envisagez ce type de développement, intégrez les exigences AI Act dès la phase de conception — c'est beaucoup moins coûteux que de retrofitter ensuite.
Par où commencer — 3 actions concrètes avant août 2026
1. Cartographiez vos usages IA en 2 heures. Ouvrez un tableur, listez tous les outils de votre stack qui "font quelque chose d'automatique" — de l'anti-spam de votre messagerie au logiciel RH. Pour chacun, notez : est-ce que ça prend une décision qui impact une personne ? Oui / Non. Cette liste, c'est votre point de départ.
2. Vérifiez la posture de conformité de vos éditeurs. Pour chaque outil qui touche à des décisions (RH, crédit, accès à des services), demandez à l'éditeur sa feuille de route AI Act. Tout éditeur sérieux doit pouvoir vous répondre. Si vous n'obtenez rien, c'est un signal d'alarme.
3. Documentez et nommez un référent. Même pour une TPE de 5 personnes, désignez formellement quelqu'un (vous, votre DAF, votre RH) pour "tenir le dossier IA". Ce n'est pas une fonction à plein temps — c'est une responsabilité de quelques heures par an, qui vous protège en cas de contrôle.
Notre approche chez Sparkana
Chez Sparkana, quand on développe une solution IA sur mesure pour une TPE ou PME — qu'il s'agisse d'un agent conversationnel, d'un outil de qualification de leads ou d'une automatisation de workflow — on intègre dès la conception les exigences de l'AI Act et du RGPD : documentation technique, transparence utilisateur, supervision humaine. Ce n'est pas un surcoût, c'est une manière de travailler proprement.
Pour les automatisations et agents IA — mise en conformité de vos chatbots existants, documentation de vos systèmes, workflows sécurisés — nos setups démarrent entre 800 et 2 500 € HT pour des cas simples (livrés en 3 à 7 jours), et entre 3 000 et 8 000 € HT pour une stack multi-outils complète (2 à 4 semaines). Pour les développements sur mesure — application métier avec IA, CRM intégré, outil RH conforme — les fourchettes vont de 2 500 à 4 000 € HT pour un MVP (1 à 2 semaines) à 10 000 à 15 000 € HT pour une version complète avec intégrations API (4 à 6 semaines). L'hébergement et la maintenance sont assurés entre 30 et 150 € HT/mois selon la stack choisie.
On accompagne les TPE et PME partout en France — y compris dans le Gard et en Occitanie — sur des projets accessibles, livrés vite, et sans bullshit réglementaire.
Décrivez votre projet à Sparkana — diagnostic gratuit 30 min, devis sous 24h.