ConformiaCommencer l'audit gratuit
← Blog·EU AI Act

L'EU AI Act expliqué simplement aux PME françaises

15 mars 2026·8 min de lecture

Le Règlement européen sur l'IA (EU AI Act) est entré dans le droit positif en 2024. Pour les PME françaises qui utilisent des outils d'intelligence artificielle, les obligations commencent à s'appliquer à partir de 2026. Voici un guide clair pour comprendre ce qui vous concerne vraiment.

Qu'est-ce que l'EU AI Act ?

L'EU AI Act (Règlement (UE) 2024/1689) est le premier cadre juridique mondial complet dédié à l'intelligence artificielle. Adopté par le Parlement européen en mars 2024 et publié au Journal officiel de l'UE en juillet 2024, il établit des règles uniformes pour le développement, la mise sur le marché et l'utilisation des systèmes d'IA dans l'Union européenne.

Contrairement au RGPD qui porte sur les données personnelles, l'EU AI Act s'intéresse aux systèmes d'IA eux-mêmes — à leurs risques potentiels pour les droits fondamentaux, la sécurité et la santé des personnes. Le règlement s'applique à toute entreprise qui développe, distribue ou utilise un système d'IA en Europe, qu'elle soit établie dans l'UE ou non.

Pourquoi les PME françaises sont concernées

Un usage courant de l'IA suffit pour être dans le périmètre du règlement. Vous êtes concerné si votre entreprise utilise un logiciel qui prend des décisions automatisées, filtre des candidatures, analyse des comportements clients, génère du contenu, ou automatise des tâches métier complexes. Cela inclut les outils SaaS courants : chatbots, outils de scoring, logiciels RH avec IA, systèmes de recommandation, OCR intelligent, etc.

Bon à savoir : vous n'avez pas besoin de développer vos propres algorithmes pour être concerné. Si vous utilisez un outil tiers qui embarque de l'IA, vous êtes "déployeur" au sens du règlement et avez des obligations à ce titre.

La classification par niveau de risque : le cœur du dispositif

L'EU AI Act classe les systèmes d'IA en quatre catégories selon leur niveau de risque. Cette classification détermine l'intensité de vos obligations.

Risque inacceptable — Interdits

Certains usages de l'IA sont purement et simplement interdits : la manipulation sublimale des comportements, la notation sociale généralisée des citoyens, ou encore la reconnaissance faciale en temps réel dans les espaces publics (sauf exceptions strictement encadrées). Ces interdictions s'appliquent depuis le 2 février 2025.

Risque élevé — Obligations strictes

C'est la catégorie la plus contraignante pour les PME. Elle concerne les systèmes d'IA qui affectent des domaines sensibles : recrutement et gestion RH, accès à l'éducation, crédit bancaire, assurance, justice, contrôle aux frontières, infrastructures critiques, dispositifs médicaux. Si votre outil IA trie des CV, évalue la solvabilité des clients, ou prend des décisions médicales, vous êtes probablement dans cette catégorie.

Les obligations pour les systèmes à risque élevé incluent :

  • Mise en place d'un système de gestion des risques documenté
  • Constitution et tenue d'une documentation technique complète
  • Journalisation automatique des événements (logs)
  • Transparence et fourniture d'informations aux utilisateurs
  • Supervision humaine effective des décisions IA
  • Garanties de robustesse, précision et cybersécurité
  • Enregistrement dans la base de données EU de l'UE

Risque limité — Obligations de transparence

Les chatbots, les outils de génération de contenu (images, textes, vidéos deepfakes) et certains systèmes d'IA générateurs doivent respecter des obligations de transparence. Concrètement : informer les utilisateurs qu'ils interagissent avec une machine, marquer les contenus générés par IA, dévoiler les recommandations algorithmiques sur demande.

Risque minimal — Libre utilisation

La grande majorité des applications d'IA (filtres anti-spam, correcteurs orthographiques, recommandations de contenu non sensibles, outils de traduction) relèvent du risque minimal. Aucune obligation spécifique ne s'applique, au-delà des règles de droit commun.

Le calendrier d'application pour 2025-2026

  1. 2 février 2025 : Interdictions de pratiques inacceptables applicables
  2. 2 août 2025 : Obligations liées aux modèles d'IA à usage général (GPAI) applicables
  3. 2 août 2026 : Application complète du règlement — systèmes à risque élevé inclus
  4. 2 août 2027 : Obligations pour les systèmes à risque élevé utilisés dans des produits réglementés déjà sur le marché

La date clé pour la plupart des PME est le 2 août 2026. À partir de cette date, les systèmes à risque élevé devront être conformes, et les autorités nationales (en France, probablement la CNIL en coordination avec d'autres régulateurs sectoriels) pourront contrôler et sanctionner les entreprises non conformes.

Les sanctions : jusqu'à 35 millions d'euros ou 7 % du CA mondial

Les amendes prévues par l'EU AI Act sont significatives, même pour une PME. En cas de violation des interdictions (risque inacceptable), l'amende peut atteindre 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial. Pour les autres violations, le plafond est de 15 millions d'euros ou 3 % du CA. Les PME bénéficient théoriquement d'une proportionnalité dans l'application des sanctions, mais le risque juridique demeure réel.

Par où commencer ? Les 3 premières étapes pratiques

  1. Faites l'inventaire de vos outils IA : listez tous les logiciels que vous utilisez et identifiez lesquels intègrent de l'IA.
  2. Évaluez le niveau de risque de chaque outil : demandez-vous s'il prend des décisions qui affectent des personnes dans un domaine sensible.
  3. Réalisez un audit de conformité structuré : utilisez un outil comme Conformia pour évaluer vos obligations spécifiques et obtenir un rapport documenté.

L'audit de conformité Conformia analyse votre système d'IA en 10 minutes, identifie votre niveau de risque EU AI Act, et génère un rapport professionnel que vous pouvez utiliser avec votre DPO, votre avocat ou votre équipe IT. Essayez l'audit gratuit sur /audit.

Ce que l'EU AI Act ne couvre pas

Le règlement ne s'applique pas aux systèmes d'IA utilisés exclusivement à des fins militaires ou de défense nationale, ni à ceux utilisés dans des pays tiers hors UE (à condition qu'ils n'impactent pas des personnes dans l'UE). La recherche scientifique bénéficie également d'un régime allégé, tout comme les systèmes open source non commercialisés sous certaines conditions.

Conclusion : anticiper plutôt que subir

L'EU AI Act n'est pas une menace à ignorer ni une bureaucratie inutile. C'est un cadre destiné à encadrer une technologie qui impacte de plus en plus les droits des personnes. Pour les PME françaises, la bonne nouvelle est que la plupart des usages courants de l'IA relèvent du risque minimal ou limité — et les obligations restent proportionnées. Mais l'audit préalable est indispensable pour le savoir avec certitude.

Évaluez la conformité de votre IA maintenant

Audit gratuit en 10 minutes. Rapport de conformité EU AI Act à 49 € TTC.

Démarrer l'audit gratuit →

Sans inscription · Résultat immédiat · Rapport disponible à 49 €

Autres articles

10 mars 2026

Chatbot conforme à l'EU AI Act : la checklist 2026

Les chatbots sont parmi les outils d'IA les plus répandus en entreprise. Ils sont aussi directement visés par l'EU AI Act, notamment sur les obligations de transparence. Cette checklist vous aide à vérifier la conformité de votre chatbot avant la date butoir du 2 août 2026.

5 mars 2026

EU AI Act : 5 erreurs que font les PME (et comment les éviter)

Depuis que l'EU AI Act est entré en vigueur, beaucoup de PME françaises adoptent la même posture : attendre de voir ce qui se passe. C'est souvent la première erreur d'une série. Voici les 5 pièges les plus fréquents — et comment les éviter avant le 2 août 2026.

28 février 2026

Amendes EU AI Act : qui risque quoi et combien ?

L'EU AI Act n'est pas qu'un cadre de bonnes pratiques : c'est un règlement européen doté de sanctions financières significatives. Jusqu'à 35 millions d'euros d'amende ou 7 % du chiffre d'affaires mondial. Qui risque vraiment quoi ? Décryptage complet.