Erreur n°1 : Croire que l'EU AI Act ne s'applique qu'aux entreprises tech
C'est l'erreur la plus répandue. L'EU AI Act ne cible pas uniquement les entreprises qui développent des algorithmes ou des modèles d'IA. Il s'applique à toute organisation qui utilise un système d'IA — ce qui inclut la quasi-totalité des PME françaises aujourd'hui. Si vous utilisez un logiciel RH qui trie des candidatures, un outil de crédit scoring, un chatbot client, un système de recommandation produit ou même un logiciel comptable avec détection d'anomalies par IA, vous êtes dans le périmètre du règlement.
Règle simple : si votre logiciel prend des décisions automatisées qui affectent des personnes (employés, clients, candidats, patients), il est probablement concerné par l'EU AI Act.
Comment éviter cette erreur : faites l'inventaire complet de vos outils logiciels et identifiez lesquels intègrent de l'IA. Posez la question directement à vos fournisseurs : "Votre solution intègre-t-elle de l'IA au sens du Règlement (UE) 2024/1689 ?" Un audit structuré comme celui proposé par Conformia permet de cartographier rapidement vos expositions.
Erreur n°2 : Déléguer entièrement la conformité au fournisseur
Beaucoup de PME pensent que si leur fournisseur de logiciel SaaS est conforme, elles le sont aussi. C'est faux. L'EU AI Act distingue clairement les "fournisseurs" (ceux qui développent et mettent sur le marché les systèmes d'IA) des "déployeurs" (ceux qui les utilisent dans un contexte professionnel). Vous êtes déployeur — et à ce titre, vous avez vos propres obligations, indépendamment de celles de votre fournisseur.
En tant que déployeur, vous devez notamment :
- Vérifier que les fournisseurs respectent les obligations qui leur incombent
- Mettre en place une supervision humaine des décisions automatisées
- Former les utilisateurs internes du système IA
- Tenir un registre des activités de traitement IA
- Signaler aux autorités tout incident sérieux impliquant l'IA
Comment éviter cette erreur : lisez attentivement les conditions d'utilisation et la documentation de conformité de vos fournisseurs d'IA. Demandez-leur explicitement ce qu'ils fournissent en matière de conformité EU AI Act et ce qui reste à votre charge.
Erreur n°3 : Confondre conformité RGPD et conformité EU AI Act
"On est déjà conformes RGPD, donc on est couverts." Cette logique, souvent entendue, est incorrecte. Le RGPD et l'EU AI Act sont deux cadres juridiques distincts qui coexistent et se cumulent. Le RGPD porte sur la protection des données personnelles — sur comment les données sont collectées, traitées et stockées. L'EU AI Act porte sur les systèmes d'IA eux-mêmes — sur leur conception, leur transparence, leur supervision et les risques qu'ils font courir aux personnes.
Un outil IA peut parfaitement être conforme RGPD (il traite correctement les données personnelles) et non conforme EU AI Act (il manque de supervision humaine, ou sa documentation technique est absente). L'inverse est aussi possible. Les deux cadres ont des logiques, des obligations et des autorités de contrôle différentes.
Comment éviter cette erreur : traitez l'EU AI Act comme un dossier de conformité distinct de votre RGPD. Associez votre DPO à la démarche, mais identifiez clairement ce qui relève de chaque règlement et désignez des responsables pour chacun.
Erreur n°4 : Ignorer les obligations de transparence envers les utilisateurs
Dès le 2 août 2026, certaines obligations de transparence sont obligatoires pour quasiment toutes les entreprises qui utilisent de l'IA. La plus basique : si vous déployez un chatbot ou un système qui interagit directement avec des clients ou des employés, ces personnes doivent savoir qu'elles interagissent avec une IA. Ce n'est pas optionnel. C'est inscrit à l'article 50 du règlement.
Les obligations de transparence concernent aussi :
- Les systèmes qui génèrent des images, vidéos ou audio synthétiques (deepfakes)
- Les systèmes qui manipulent des contenus existants de façon trompeuse
- Les recommandations algorithmiques dans certains contextes
- Les systèmes d'IA à usage général qui interagissent avec le public
Comment éviter cette erreur : auditez tous vos points de contact avec des tiers (clients, employés, partenaires) où de l'IA est impliquée. Ajoutez les mentions légales nécessaires. Formez vos équipes sur l'obligation de transparence.
Erreur n°5 : Attendre que les sanctions arrivent pour réagir
"On verra quand les premières amendes tomberont." Cette stratégie du dernier moment est particulièrement risquée avec l'EU AI Act. D'abord parce que les autorités de contrôle commencent à se structurer — en France, la CNIL est en train de construire son expertise sur l'IA. Ensuite parce que la mise en conformité prend du temps : documentation, formation, contrats fournisseurs, processus internes. Attendre, c'est se retrouver à courir en dernier.
Il faut aussi considérer les risques non liés aux sanctions directes : litiges contractuels si vos clients exigent votre conformité, perte de marchés si des appels d'offres intègrent des critères EU AI Act, et dommages réputationnels en cas d'incident impliquant votre IA.
Conformia permet de réaliser un audit EU AI Act complet en 10 minutes. Vous obtenez une évaluation de votre niveau de risque et un rapport de conformité que vous pouvez utiliser immédiatement. Commencez sur /audit — c'est gratuit.
Ce qu'il faut retenir
L'EU AI Act s'applique à votre PME, même si vous n'êtes pas une entreprise tech. La conformité est une responsabilité partagée avec vos fournisseurs, pas déléguée. Elle s'additionne à votre conformité RGPD sans la remplacer. Les obligations de transparence sont immédiatement applicables. Et attendre est la pire des stratégies. Mieux vaut commencer par un audit rapide pour savoir exactement où vous en êtes.