L'Europe s'est dotée de la première grande réglementation au monde sur l'intelligence artificielle : l'AI Act (règlement européen 2024/1689), entré en vigueur en août 2024 et applicable progressivement. Inutile d'en faire un épouvantail : pour la plupart des entreprises, les obligations sont légères. Encore faut-il savoir dans quelle case on se trouve.

Une logique par niveaux de risque. L'AI Act ne traite pas toutes les IA de la même façon. Il les classe selon le risque qu'elles présentent pour les personnes :

  • Risque inacceptable → interdit. Notation sociale, manipulation, certaines surveillances biométriques. Ces pratiques sont prohibées depuis début 2025.
  • Haut risque → obligations strictes. Concerne des usages précis : recrutement, biométrie, accès au crédit, éducation, justice, infrastructures critiques. Documentation, supervision humaine, gestion des risques sont exigées.
  • Risque limité → obligation de transparence. Il faut signaler qu'un contenu est généré par une IA, ou qu'on parle à un agent conversationnel.
  • Risque minimal → aucune obligation spécifique. C'est le cas de la grande majorité des usages bureautiques.

Où se situe une PME ordinaire ? Si vous utilisez l'IA pour rédiger, résumer, assister la relation client ou automatiser des tâches, vous êtes le plus souvent « déployeur » d'outils à risque limité ou minimal. Vos obligations principales : la transparence et la culture de l'IA — c'est-à-dire vous assurer que vos équipes comprennent les outils qu'elles utilisent. Cette obligation de « littératie IA » s'applique déjà à tous depuis 2025.

Un calendrier qui a bougé. Les obligations les plus lourdes, pesant sur les systèmes à haut risque, étaient initialement prévues pour août 2026. Un paquet de simplification (« Digital Omnibus ») adopté en 2026 a repoussé ces échéances — la plupart vers fin 2027, et 2028 pour les IA intégrées à des produits. Comme ce calendrier a encore évolué récemment, vérifiez l'échéance exacte applicable à votre cas auprès des sources officielles (CNIL en France, AI Office au niveau européen) avant toute décision.

Des sanctions dissuasives. Les manquements les plus graves peuvent coûter jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial. De quoi prendre le sujet au sérieux — sans pour autant céder à la panique, puisque l'essentiel des PME relève des catégories les moins contraignantes.

Et dans les DROM ? Les territoires ultramarins font partie de l'Union européenne : l'AI Act y est pleinement applicable, dans les mêmes conditions qu'en métropole.

Que faire concrètement ? Identifiez vos usages de l'IA, repérez s'il en existe à « haut risque » (rare en PME, mais le recrutement par exemple en relève), formez vos équipes, et documentez vos pratiques. Un audit IA inclut ce volet de cadrage.

Cet article est informatif et ne constitue pas un conseil juridique. Pour votre situation précise, consultez un professionnel.

Vous voulez sécuriser vos usages IA ? Faisons le point.