AI Act et PME en 2027. Ce qui s'applique vraiment à votre entreprise.
L'AI Act est entré en vigueur en 2025 et déploie ses obligations par phases jusqu'à 2027-2028. Pour une PME française, beaucoup d'obligations ne s'appliquent pas, mais certaines, oui. Voici comment savoir où vous en êtes, et quoi faire en priorité.
Rappel : qu'est-ce que l'AI Act et pourquoi ça vous concerne
L'AI Act (règlement européen 2024/1689) est entré en vigueur en août 2024 et s'applique progressivement jusqu'à 2027. Il classe les systèmes d'IA en 4 niveaux de risque et impose des obligations à proportion. Contrairement au RGPD qui s'applique à tous les traitements de données, l'AI Act s'applique uniquement aux systèmes d'IA tels que définis par le règlement (article 3).
Pour une PME, l'AI Act vient en complément du RGPD : si vos systèmes IA traitent des données personnelles, vous devez respecter les deux.
Les sanctions sont lourdes : jusqu'à 7% du chiffre d'affaires mondial pour les usages interdits, 3% pour les manquements graves. Mais les contrôles ciblent en priorité les acteurs majeurs et les usages à haut risque, pour la majorité des PME, l'enjeu est plus de prouver sa bonne foi en cas de plainte.
Les 4 catégories de risque AI Act
Risque inacceptable (interdit). Notation sociale, manipulation subliminale, identification biométrique en temps réel dans l'espace public (avec exceptions police). Aucune PME ne devrait utiliser ces systèmes. Si vous y êtes : urgence absolue.
Risque élevé (haut risque). Recrutement et gestion des employés, accès à l'éducation, accès aux services essentiels (crédit, assurance), éducation, justice, infrastructures critiques. Obligations fortes : analyse d'impact, documentation, supervision humaine, registre.
Risque limité. Chatbots, deepfakes, systèmes de génération de contenu. Obligation principale : informer l'utilisateur qu'il interagit avec une IA. Documentation légère.
Risque minimal. Tout le reste (filtres anti-spam, recommandations produits, optimisation logistique). Pas d'obligation spécifique AI Act, mais le RGPD continue de s'appliquer.
Usages PME typiques et leur classification
| Cas d'usage IA en PME | Catégorie AI Act | Obligations |
|---|---|---|
| Tri automatique de CV | Risque élevé | DPIA + supervision humaine + registre + transparence vers candidats |
| Scoring de leads commerciaux | Risque limité (en général) | Information de la personne concernée si elle le demande |
| Assistant chat client | Risque limité | Information explicite que c'est une IA |
| Génération de devis automatisée | Risque minimal | Aucune obligation AI Act spécifique |
| Synthèse automatique de réunions | Risque minimal | RGPD oui (consentement), AI Act non |
| Surveillance comportementale d'employés | Risque élevé | Obligations fortes, à éviter en pratique |
| Décision automatisée de crédit interne | Risque élevé | DPIA + supervision + droit de recours |
| Filtre anti-spam | Risque minimal | Aucune |
La majorité des cas d'usage PME tombent en risque limité ou minimal. Mais certains (recrutement, scoring d'employés) basculent en risque élevé et demandent une vraie mise en conformité.
Vos obligations concrètes en 2027
Si vous avez un usage à risque élevé (typiquement le tri de CV) :
- Analyse d'impact (DPIA) documentée et conservée
- Documentation technique du système (architecture, données d'entrainement, métriques de performance)
- Supervision humaine effective : la décision finale doit être humaine, pas seulement validation automatique
- Information transparente des personnes concernées
- Inscription au registre tenu par le fournisseur de l'IA
- Procédure de recours : la personne peut demander l'examen humain de la décision
- Procédure de gestion des incidents (logs, alertes, correctifs)
Si vous avez un usage à risque limité (chatbot, scoring marketing) :
- Information visible que l'utilisateur interagit avec une IA (mention en début de chat, ou en pied d'email pour les agents email)
- Possibilité d'escalader vers un humain
Si vous êtes en risque minimal : pas d'obligation AI Act spécifique, mais conservez la documentation technique pour démontrer votre bonne foi en cas de question.
Documentation à produire
Pour les usages à risque élevé, voici le minimum vital :
1. Description du système IA. Quel modèle (Mistral, Llama, etc.), quelle taille, quelles données d'entrainement (si vous avez fait du fine-tuning), quelles intégrations avec vos systèmes existants.
2. Analyse d'impact (DPIA). Risques pour les personnes concernées, mesures de mitigation, plan d'action en cas de défaillance.
3. Métriques de performance. Taux de précision sur un échantillon de validation, taux de faux positifs, taux de faux négatifs. À mesurer en continu, pas qu'à la mise en production.
4. Procédure de supervision humaine. Qui examine les décisions, sous quel délai, avec quelle autorité de modification.
5. Logs d'audit. Conservation des décisions prises par l'IA, avec leur contexte, pour pouvoir investiguer en cas de plainte.
Pour Coadjoint, ces documents sont produits au démarrage de chaque mission qui implique un usage à risque élevé. Ils sont remis au client et restent à jour pendant la maintenance.
Sanctions et contrôle
L'autorité de contrôle française est la CNIL (avec articulation possible avec d'autres autorités sectorielles). Les contrôles sont déclenchés par :
- Plainte d'une personne concernée (candidat refusé qui pense le tri biaisé)
- Signalement d'un employé (whistleblower)
- Auto-saisine de la CNIL sur des secteurs jugés à risque
- Audit dans le cadre d'une certification (ISO, SOC2)
En pratique : la CNIL est plus pédagogue que punitive sur les premiers contrôles, surtout en PME. Mais elle attend de pouvoir constater une démarche structurée. Si vous n'avez aucun document, c'est mauvais signe. Si vous avez un dossier complet (même imparfait), c'est généralement résolu par des recommandations.
Notre recommandation : produire la documentation dès le démarrage du projet, pas après une plainte. C'est plus simple et c'est inclus dans les forfaits Coadjoint pour les usages à risque élevé.
Questions fréquentes
Mon agent répond aux mails clients sans tri de CV. Je suis en risque limité ?
Oui. Information visible que l'utilisateur parle à une IA + possibilité d'escalader à un humain. Documentation technique conseillée mais pas obligatoire.
L'AI Act s'applique-t-il aux modèles open-weight comme Mistral ?
Oui, l'AI Act s'applique au système IA déployé, indépendamment du modèle sous-jacent. Mais les obligations pèsent sur l'entité qui déploie (vous), pas sur l'éditeur du modèle (Mistral, Meta).
Comment savoir si mon usage est à risque élevé ?
L'annexe III de l'AI Act liste les usages à risque élevé. En cas de doute, le réflexe : si l'IA prend ou influence fortement une décision concernant une personne (embauche, crédit, accès à un service), c'est probablement risque élevé. Demandez à un avocat spécialisé pour confirmer.
Lire aussi
Vous voulez en parler ?
30 minutes au téléphone, sans engagement. Si on n'est pas le bon partenaire, on vous le dit.
Réserver un appel →