L'EU AI Act pour les PME : ce qui change vraiment (et ce qui ne change pas)
Devez-vous, vous aussi, vous mettre en conformité avec l'AI Act ? Pour presque toutes les PME, la réponse est plus rassurante que prévu. Déployeur contre fournisseur, les quatre niveaux de risque, quand la charge devient sérieuse, le lien avec le RGPD et l'AIPD et le cadre italien du Garante (l'autorité italienne de protection des données) — en langage clair et sans alarmisme.
Depuis que l'EU AI Act est entré en vigueur, la question que nous entendons le plus souvent de la part des entrepreneurs et managers de PME est toujours la même, et elle naît de l'inquiétude : « dois-je m'y conformer moi aussi ? Et combien cela va-t-il me coûter ? ». La réponse courte, pour la grande majorité des petites et moyennes entreprises italiennes, est plus rassurante que ce que la presse laisse entendre — mais elle mérite d'être bien comprise, car « serein » ne veut pas dire « cela ne me concerne pas ».
Essayons de faire le point, en langage clair, sur ce qui change vraiment pour une PME et — tout aussi important — sur ce qui ne change pas.
Première distinction : vous êtes un utilisateur, pas un producteur
L'AI Act sépare nettement deux rôles, et pour comprendre vos obligations vous devez savoir dans lequel vous vous trouvez. Le fournisseur (provider) est celui qui développe ou met sur le marché un système d'IA : OpenAI, Google, un éditeur de logiciels qui vend son propre modèle. L'utilisateur (déployeur) est celui qui utilise ce système dans sa propre activité — l'entreprise qui adopte un copilote pour les ventes, un assistant pour le support client, un outil pour générer des contenus marketing.
Presque toutes les PME sont des déployeurs, pas des fournisseurs. C'est une bonne nouvelle : les obligations de l'article 26 de l'AI Act, celles qui pèsent sur ceux qui utilisent l'IA, sont réelles mais bien plus légères que celles imposées à ceux qui la construisent. L'essentiel du poids réglementaire reste en amont, sur le fournisseur.
Les quatre niveaux de risque (et où se retrouve presque toute l'IA d'une PME)
Le cœur de l'AI Act est une approche fondée sur le risque : tous les usages de l'IA ne sont pas traités de la même manière. La synthèse officielle du règlement définit quatre niveaux :
- Risque inacceptable — interdit. Des systèmes comme le social scoring de nature gouvernementale ou la manipulation comportementale. Ce n'est pas le terrain de l'entreprise : on ne peut tout simplement pas les utiliser.
- Haut risque — autorisé, mais avec de sérieuses obligations. Cela concerne des usages « sensibles » énumérés à l'Annexe III : sélection et gestion du personnel, scoring de crédit, identification biométrique, éducation, services essentiels. Ici, l'IA décide des droits et des opportunités des personnes.
- Risque limité — obligations de transparence. Le cas typique : un chatbot doit indiquer à l'utilisateur qu'il parle avec une machine ; un contenu généré par l'IA doit être signalé comme tel.
- Risque minimal — aucune obligation spécifique. Filtres antispam, suggestions internes, la plupart des copilotes de productivité.
-
Risque inacceptable
Interdit — social scoring, manipulation comportementale. Hors du terrain de l'entreprise.
-
Haut risque
Autorisé, mais avec de sérieuses obligations (Annexe III) : personnel, crédit, biométrie, services essentiels.
-
Risque limité
Obligations de transparence — un chatbot doit se déclarer comme tel, un contenu IA doit être signalé.
-
Risque minimal
Aucune obligation spécifique. C'est là que se retrouve presque toute l'IA d'une PME : copilotes, brouillons, antispam.
Le point qui renverse l'inquiétude initiale : les usages IA les plus courants dans une PME — un assistant pour les ventes, la génération de brouillons marketing, un bot de support interne, l'automatisation de tâches operations — relèvent presque toujours du risque limité ou minimal. La lourde machinerie de l'article 26 ne se déclenche que pour les usages à haut risque.
Quand la charge devient vraiment sérieuse
Il vaut la peine de savoir quand l'on entre dans la tranche exigeante, car c'est là qu'un projet doit être conçu avec attention dès le départ. Si vous utilisez l'IA pour des décisions relatives au personnel (tri de CV, évaluations, promotions), pour évaluer la solvabilité d'un client, ou pour l'identification biométrique, vous êtes très probablement dans le domaine du haut risque. Dans ce cas, l'article 26 demande au déployeur, entre autres, de :
- utiliser le système selon les instructions du fournisseur ;
- garantir une supervision humaine effective sur les décisions ;
- s'assurer que les données en entrée sont pertinentes au regard de la finalité ;
- surveiller son fonctionnement et conserver les logs pendant au moins six mois ;
- signaler les incidents graves.
Ce n'est pas une obligation impossible, mais ce n'est pas non plus « on allume l'outil et c'est parti ». La règle pratique est simple : les usages à haut risque doivent être tenus à part dès la conception du projet, et non découverts en aval. C'est la raison pour laquelle, dans notre méthode, chaque workflow porte avec lui un niveau de risque déclaré avant même de choisir l'outil.
Attention : le RGPD n'a pas disparu
Une erreur fréquente consiste à penser que l'AI Act remplace la protection de la vie privée. C'est l'inverse : il s'y ajoute. Si votre usage de l'IA traite des données personnelles — et c'est presque toujours le cas — le RGPD reste en jeu, avec une étape souvent négligée : l'analyse d'impact (AIPD) de l'article 35. Elle est obligatoire lorsque le traitement est « susceptible d'engendrer un risque élevé », et trois cas la déclenchent automatiquement : les décisions automatisées produisant des effets juridiques ou significatifs, le traitement à grande échelle de catégories particulières de données, la surveillance systématique de zones publiques.
Il y a un détail que les modèles d'AIPD génériques manquent : ils sont nés avant l'IA et ne couvrent pas les risques spécifiques aux systèmes intelligents — l'opacité du modèle, la mémorisation des données d'entraînement, la dérive des réponses dans le temps, le conflit entre le droit à l'effacement et un modèle déjà entraîné. Une AIPD sérieuse pour l'IA a besoin d'une section dédiée à ces risques, et non du sempiternel formulaire recopié.
En Italie : le Garante est déjà à l'œuvre
En Italie, le cadre n'est pas seulement européen. Le Garante pour la protection des données personnelles (l'autorité italienne de protection des données) tient une page thématique sur l'intelligence artificielle qu'il met à jour fréquemment, et il est activement engagé dans des contrôles sur l'usage de l'IA. Sur le plan législatif, le pays s'est doté de son propre cadre de principes généraux en matière d'intelligence artificielle qui, entre autres, élargit le champ de l'analyse d'impact par rapport à la seule base RGPD. C'est un domaine en mouvement : avant de tenir pour acquise une obligation spécifique, il convient toujours de vérifier le texte en vigueur, car les règles et les sanctions sont en train de se définir en ce moment même.
Et les échéances ? La vérité, c'est qu'elles sont une cible mouvante
Beaucoup d'articles alarmistes tournent autour d'une date précise. La réalité est plus nuancée : l'AI Act n'est pas entré en vigueur d'un seul coup, mais par étapes réparties sur plusieurs années, et une partie du calendrier a été rouverte et renégociée par les institutions européennes — certaines échéances pour les usages à haut risque ont été repoussées au moment où nous écrivons. Traduit pour celui qui dirige une entreprise : courir après une date isolée est moins utile que de connaître la direction.
La direction est claire et ne changera pas : transparence sur les usages visibles, supervision humaine sur les usages qui touchent les personnes, traçabilité de ce que l'IA décide. Celui qui met bien en place ces trois choses est prêt, quelle que soit la date définitive.
Que faire maintenant, en pratique
Pas besoin d'un projet de conformité de grande entreprise. Pour une PME, le parcours raisonnable est court :
- Faites l'inventaire des endroits où vous utilisez déjà l'IA (souvent plus que vous ne le pensez : outils de rédaction, CRM, support). Pour chacun, demandez-vous dans quel niveau de risque il se situe.
- Isolez les usages sensibles — personnel, crédit, biométrie : ce sont les seuls qui requièrent la machinerie de l'article 26. Traitez-les à part, avec des contrôles dédiés.
- Mettez en place transparence et supervision humaine là où l'IA parle avec les clients ou pèse sur une décision. Ce sont les contrôles au meilleur rendement et au coût le plus bas.
- Vérifiez si vous avez besoin d'une AIPD et, si oui, qu'elle couvre les risques spécifiques de l'IA et pas seulement le RGPD générique.
C'est exactement la logique de notre overlay de conformité : à chaque AI Workflow Design que nous concevons, nous rattachons le niveau de risque AI Act, le contrôle AIPD, l'étiquette de risque selon une taxonomie reconnue (MIT AI Risk Repository) et la note italienne là où c'est nécessaire. La conformité n'est pas un chapitre séparé à traiter après coup : elle fait partie de la conception, dès le premier jour.
Le point de départ est toujours le même
Avant même la conformité vient le positionnement : comprendre où vous en êtes et par quel service il vaut mieux commencer. Si vous ne l'avez pas encore fait, la première étape consiste à mesurer votre AI readiness — puis, service par service, on choisit quoi automatiser et avec quels contrôles autour. Automatiser sans contrôles est le moyen le plus rapide de devoir s'arrêter ensuite ; automatiser avec les bons contrôles est ce qui rend une « greffe » capable de prendre et de durer.
Nous avons transformé cette première étape en une évaluation self-serve et gratuite : quelques questions et une indication sur par où commencer, avec quel niveau d'attention à la conformité. Faites l'évaluation d'AI-readiness — puis, si cela a du sens, nous en parlons.
Cet article a une visée purement indicative et reflète le cadre réglementaire à un stade où plusieurs échéances de l'EU AI Act sont encore en cours de définition : il ne constitue ni un conseil juridique ni une évaluation de conformité. Pour les obligations concrètes de votre entreprise, référez-vous au texte en vigueur du règlement, aux indications du Garante et à un accompagnement juridique qualifié.
Continuez la lecture
D'autres analyses sur l'adoption de l'IA dans une PME.
De la théorie à votre entreprise. Greffons l'IA.
Vous voulez comprendre par quel service il vaut mieux commencer dans votre entreprise ? L'évaluation gratuite vous donne une première réponse en deux minutes — puis, si cela a du sens, nous en parlons.