Quelle est la première obligation AI Act à respecter pour une PME ?

La première obligation chronologique est la formation Article 4, qui entre en vigueur en août 2025. Tous les collaborateurs utilisant, supervisant ou déployant des systèmes IA doivent démontrer une 'maîtrise suffisante de l'IA'. Cette obligation s'applique avant même les exigences de documentation technique (août 2026).

Les PME ont-elles des allègements d'obligations par rapport aux grandes entreprises ?

Oui, l'AI Act prévoit des allègements spécifiques pour les PME : accès gratuit aux 'sandboxes réglementaires' pour tester la conformité, réduction des frais de certification pour les systèmes à haut risque, possibilité de documentation technique simplifiée dans certains cas, et accompagnement prioritaire par les autorités nationales. Cependant, les obligations fondamentales restent identiques.

Quelles obligations s'appliquent aux PME utilisant uniquement des chatbots ?

Les chatbots sont classés 'risque limité' avec des obligations allégées : obligation de transparence (informer l'utilisateur qu'il interagit avec une IA), formation Article 4 des équipes, et conservation des logs d'interaction. Pas besoin de documentation technique lourde ni de certification CE, contrairement aux systèmes à haut risque.

Quelles sont les obligations de documentation technique pour les PME ?

Pour les systèmes à haut risque, les PME doivent documenter : la description générale du système IA, les données d'entraînement utilisées, la logique algorithmique et les paramètres, les mesures de mitigation des risques, les résultats des tests de biais et de robustesse, les instructions d'utilisation et limites connues. Cette documentation doit être conservée 10 ans minimum.

L'obligation de supervision humaine concerne-t-elle toutes les PME ?

L'obligation de supervision humaine s'applique principalement aux systèmes à haut risque et aux décisions automatisées impactant les droits des personnes. Concrètement, une PME doit prévoir une intervention humaine possible pour : les décisions RH (recrutement, évaluation), les décisions de crédit, les diagnostics médicaux assistés par IA, et toute décision administrative automatisée.

Quelles sont les sanctions en cas de non-respect des obligations AI Act ?

Les sanctions sont graduées selon la gravité : jusqu'à 35M€ ou 7% du CA mondial pour les pratiques interdites, 15M€ ou 3% pour non-respect des obligations principales (documentation, formation), 7,5M€ ou 1,5% pour informations incorrectes. Les PME peuvent bénéficier de circonstances atténuantes si elles démontrent des efforts de conformité de bonne foi.

Les PME doivent-elles désigner un responsable IA ?

Ce n'est pas explicitement obligatoire dans l'AI Act, mais fortement recommandé. Un responsable IA (ou 'AI Officer') coordonne la conformité, sert d'interlocuteur avec les autorités, et supervise la formation des équipes. Pour les PME, ce rôle peut être cumulé avec celui de DPO ou de responsable qualité.

Quelles obligations pour une PME qui utilise des outils IA tiers (SaaS) ?

En tant que 'déployeur', la PME a des obligations même pour des outils tiers : vérifier la conformité du fournisseur, former ses équipes à l'utilisation, assurer la supervision humaine des décisions, informer les personnes concernées, conserver les logs d'utilisation. La responsabilité est partagée mais pas transférée au fournisseur.

Quel calendrier d'obligations pour une PME qui démarre sa conformité aujourd'hui ?

Calendrier recommandé : Mois 1-2 : Cartographie des systèmes IA et classification des risques. Mois 2-3 : Formation Article 4 des équipes (obligatoire août 2025). Mois 3-6 : Documentation technique des systèmes à haut risque. Mois 6-8 : Tests de conformité et audits. Mois 8-12 : Certification et enregistrement. Prévoyez 4 à 12 mois selon la complexité.

Obligations ia act pme - formation-ia-act

⚠️ Chiffre alarmant

82% des dirigeants de PME ne connaissent pas leurs obligations légales en matière d'IA.

Résultat ? Des sanctions pouvant atteindre 15 millions d'euros pour simple défaut de formation.

L'AI Act n'est pas qu'une réglementation de plus. C'est une transformation complète de la façon dont votre PME doit utiliser l'intelligence artificielle.

Contrairement au RGPD où les obligations étaient relativement uniformes, l'AI Act impose des devoirs différents selon votre rôle (fournisseur, déployeur, utilisateur) et le niveau de risque de vos systèmes.

Ce guide détaille chaque obligation, son échéance exacte, et les sanctions en cas de non-respect. Pas de jargon juridique, uniquement des actions concrètes.

227 jours restants

12 Obligations clés

15M€ Sanction formation

Loïc Gros-Flandre - Expert conformité IA Act

Par Loïc Gros-Flandre

Directeur de Modernee - Agence IA et Fondateur de Soignant Voice Application médical. Expert en conformité IA et transformation digitale des entreprises.

🎯 Spécialiste AI Act • 💼 +50 PME accompagnées • ✅ Formateur certifié

                📋 Ce que vous allez découvrir
                → La checklist complète des 12 obligations PME
→ Les échéances précises (août 2025, 2026, 2027)
→ Les sanctions par type de manquement
→ Vos obligations selon votre rôle (fournisseur/déployeur/utilisateur)
→ Les allègements spécifiques aux PME
→ Un plan d'action priorisé par urgence

            

Infographie : Vue d'ensemble des 12 obligations AI Act pour PME par échéance

📜 Les 12 Obligations AI Act : Checklist Complète pour PME

L'AI Act structure les obligations autour de deux axes : votre rôle dans la chaîne de valeur IA et le niveau de risque de vos systèmes. Pour comprendre l'ensemble du cadre réglementaire, consultez notre guide sur les obligations IA Act générales.

Voici la liste exhaustive des obligations qui concernent les PME, classées par ordre de priorité.

🔴 Obligations Prioritaires (Août 2025)

Ces quatre obligations entrent en vigueur dans moins de 227 jours. Ce sont vos priorités absolues.

Formation Article 4 (Maîtrise de l'IA)

Ce que dit la loi : "Les fournisseurs et déployeurs de systèmes d'IA prennent des mesures pour garantir, dans toute la mesure du possible, un niveau suffisant de maîtrise de l'IA."

Qui est concerné : Tous les collaborateurs utilisant, supervisant ou déployant des systèmes IA.

Sanction : Jusqu'à 15M€ ou 3% du CA mondial.

Respect des Pratiques Interdites (Article 5)

Ce que dit la loi : Interdiction absolue de certaines pratiques IA : manipulation subliminale, exploitation des vulnérabilités, scoring social, identification biométrique de masse.

Qui est concerné : Toutes les entreprises, sans exception.

Sanction : Jusqu'à 35M€ ou 7% du CA mondial.

Cartographie des Systèmes IA

Ce que dit la loi : Obligation implicite de connaître tous les systèmes IA utilisés pour pouvoir les classifier et les documenter.

Qui est concerné : Toutes les PME utilisant au moins un système IA.

Sanction : Base des autres non-conformités, pas de sanction directe.

Désignation d'un Point de Contact IA

Ce que dit la loi : Les autorités doivent pouvoir identifier un interlocuteur responsable de la conformité IA.

Qui est concerné : Recommandé pour toutes les PME, obligatoire pour les systèmes à haut risque.

Sanction : Aggravation des autres sanctions en cas d'absence.

"La formation n'est pas une simple formalité. Lors des contrôles, nous vérifions les certificats ET nous testons les connaissances réelles des équipes."
— Claire Bertrand, Inspectrice DGCCRF spécialisée conformité numérique

🟡 Obligations Systèmes à Haut Risque (Août 2026)

Ces obligations concernent les PME utilisant des systèmes IA dans les domaines sensibles : RH, crédit, santé, éducation. Pour les spécificités IA RH, consultez notre guide dédié.

Obligation	Description	Responsable	Effort estimé
Documentation technique	Dossier complet : données, algorithmes, tests, limites	DSI / Data Team	4-8 semaines/système
Supervision humaine	Mécanisme d'intervention humaine sur décisions IA	Managers opérationnels	2-4 semaines
Gestion des risques	Processus d'identification et mitigation des risques IA	Direction / Qualité	2-3 semaines
Tests de conformité	Audits de biais, robustesse, sécurité	Externe / Interne	2-4 semaines
Journalisation	Conservation des logs pendant 6 mois minimum	DSI	1-2 semaines

⚠️ Attention aux Systèmes "Cachés"

De nombreux outils SaaS intègrent de l'IA à haut risque sans l'afficher clairement. Votre CRM avec scoring des leads ? Potentiellement à haut risque. Votre ATS de recrutement ? Probablement concerné.

Pour les obligations spécifiques aux API IA et aux solutions NLP, consultez nos guides dédiés.

🟢 Obligations de Transparence (Tout système IA)

Ces obligations s'appliquent même aux systèmes à risque minimal. C'est le socle commun pour toutes les PME.

📢 Information IA — Informer l'utilisateur qu'il interagit avec une IA
🏷️ Marquage contenus — Identifier les contenus générés par IA (textes, images, audio)
📊 Traçabilité — Conserver les logs d'utilisation selon les durées légales
📝 Droit d'explication — Pouvoir expliquer comment une décision IA a été prise

👤 Vos Obligations Selon Votre Rôle dans l'Écosystème IA

L'AI Act distingue trois rôles, chacun avec des obligations distinctes. Une même PME peut cumuler plusieurs rôles.

🏭 Rôle 1 : Fournisseur (Provider)

Définition : Vous développez ou faites développer un système IA que vous mettez sur le marché sous votre nom.

Exemples PME : Éditeur de logiciel avec fonctions IA, startup développant un chatbot, agence créant des outils IA sur mesure.

Vos obligations spécifiques :

✅ Documentation technique complète avant mise sur marché
✅ Évaluation de conformité (auto-certification ou organisme notifié)
✅ Marquage CE pour systèmes à haut risque
✅ Enregistrement dans la base de données européenne
✅ Surveillance post-marché et reporting d'incidents
✅ Conservation documentation 10 ans après fin de vie

Pour les obligations fournisseurs IA détaillées, consultez notre guide spécialisé.

🚀 Rôle 2 : Déployeur (Deployer)

Définition : Vous utilisez un système IA dans un cadre professionnel, que vous l'ayez développé ou acheté.

Exemples PME : Entreprise utilisant un CRM avec IA, cabinet RH utilisant un ATS, commerce avec chatbot.

Vos obligations spécifiques :

✅ Utilisation conforme aux instructions du fournisseur
✅ Supervision humaine des décisions automatisées
✅ Information des personnes concernées
✅ Conservation des logs selon durées légales
✅ Signalement des dysfonctionnements au fournisseur
✅ Évaluation d'impact pour systèmes à haut risque (FRIA)

💡 Conseil Pratique

En tant que déployeur, exigez de vos fournisseurs IA la preuve de leur conformité AI Act. Intégrez des clauses contractuelles spécifiques et demandez les certificats de conformité.

📱 Rôle 3 : Utilisateur Final (User)

Définition : Vous utilisez un système IA sans responsabilité sur son déploiement (usage personnel ou accès fourni par l'employeur).

Exemples : Employé utilisant ChatGPT via son entreprise, assistant utilisant un outil de traduction IA.

Vos obligations : Principalement la formation Article 4 si vous utilisez des systèmes à haut risque dans un cadre professionnel.

📊 Tableau Récapitulatif par Rôle

Obligation	Fournisseur	Déployeur	Utilisateur
Formation Article 4	✅ Obligatoire	✅ Obligatoire	✅ Si haut risque
Documentation technique	✅ Complète	⚠️ Vérification	❌ Non
Supervision humaine	✅ Conception	✅ Mise en œuvre	❌ Non
Certification CE	✅ Obligatoire	❌ Non	❌ Non
Enregistrement UE	✅ Obligatoire	⚠️ Selon cas	❌ Non
Conservation logs	✅ 10 ans	✅ 6 mois min	❌ Non

🎯 Connaissez-vous vos obligations ? (Quiz 5 min)

🎯 Plan d'Action : Respectez Vos Obligations en 90 Jours

Vous n'avez pas besoin de tout faire en même temps. Voici un plan priorisé qui respecte les échéances réglementaires tout en restant réaliste pour une PME.

📅 Phase 1 : Fondations (Semaines 1-4)

Objectif : Poser les bases de votre conformité et respecter les obligations immédiates.

Semaine 1

Audit initial — Listez TOUS vos systèmes IA : outils internes, SaaS, solutions développées. N'oubliez pas les fonctions IA "cachées" dans vos logiciels.

Semaine 2

Classification des risques — Pour chaque système, déterminez le niveau de risque selon l'Annexe III de l'AI Act. Priorisez les systèmes à haut risque.

Semaine 3

Nomination responsable IA — Désignez un point de contact unique. Peut être le DPO, le DSI, ou un profil dédié selon votre structure.

Semaine 4

Plan de formation — Identifiez les collaborateurs à former et planifiez les sessions. Budget : environ 500€/personne.

💡 Ressource Gratuite

Téléchargez notre template de cartographie IA au format Excel, inclus dans la formation certifiante. Il inclut la classification des risques et le calcul automatique des obligations.

📅 Phase 2 : Formation (Semaines 5-8)

Objectif : Respecter l'obligation Article 4 avant l'échéance d'août 2025.

📚 Formation direction — Sensibilisation COMEX aux enjeux AI Act (2h)
👥 Formation utilisateurs — Tous les collaborateurs utilisant l'IA (4-8h)
🔧 Formation technique — Équipes IT et data sur les obligations spécifiques (8-16h)
📜 Certification — Obtention des certificats individuels

Pour l'ensemble des obligations IA Act entreprises, la formation est le socle indispensable.

📅 Phase 3 : Documentation (Semaines 9-16)

Objectif : Constituer les dossiers techniques pour vos systèmes à haut risque.

Dossier Technique Standard

Pour chaque système à haut risque, documentez : description générale, données d'entraînement, logique algorithmique, mesures de sécurité, résultats de tests, instructions d'utilisation.

Évaluation d'Impact (FRIA)

Pour les systèmes impactant les droits fondamentaux : analyse des risques potentiels sur les personnes concernées, mesures de mitigation, procédures de recours.

Procédures de Supervision

Documentez comment et quand un humain peut intervenir dans les décisions IA. Définissez les seuils d'alerte et les procédures d'escalade.

📅 Phase 4 : Tests et Validation (Semaines 17-24)

Objectif : Valider la conformité de vos systèmes avant les contrôles.

🧪 Tests de biais — Vérifier l'absence de discrimination algorithmique
🛡️ Tests de robustesse — S'assurer de la fiabilité face aux cas limites
🔐 Tests de sécurité — Auditer les vulnérabilités potentielles
📋 Audit interne — Vérifier la complétude de la documentation

Pour les systèmes IoT avec IA et les solutions d'IA explicable, des tests spécifiques sont nécessaires.

"Les PME qui documentent leurs efforts de conformité bénéficient systématiquement de circonstances atténuantes lors des contrôles. Même une conformité partielle bien documentée vaut mieux qu'une non-conformité totale."
— Marc Lefèvre, Avocat spécialisé droit du numérique

💰 Calculez le Coût de Vos Obligations

Nombre d'employés à former

Nombre de systèmes IA à documenter

Niveau de risque le plus élevé

❓ Questions Fréquentes sur les Obligations PME

Les questions les plus courantes que je reçois lors de mes accompagnements, avec des réponses directes et actionnables.

Quelles sont les 5 obligations principales de l'AI Act pour les PME ?

Les 5 obligations incontournables sont :

1. Formation Article 4 — Tous les utilisateurs d'IA doivent démontrer une maîtrise suffisante (août 2025).

2. Classification des risques — Chaque système IA doit être classé selon les 4 niveaux définis.

3. Documentation technique — Obligatoire pour les systèmes à haut risque (août 2026).

4. Transparence — Informer les utilisateurs qu'ils interagissent avec une IA.

5. Supervision humaine — Prévoir une intervention humaine possible pour les décisions impactantes.

La formation Article 4 est-elle vraiment obligatoire pour toutes les PME ?

Oui, dès lors que votre PME utilise des systèmes IA dans un cadre professionnel. L'Article 4 ne prévoit pas d'exemption de taille.

Concrètement, tout collaborateur qui utilise, supervise ou déploie un système IA doit être formé. Cela inclut les utilisateurs de ChatGPT, les managers supervisant des outils IA, et les équipes techniques.

Le niveau de formation requis dépend du rôle : sensibilisation générale pour les utilisateurs simples, formation approfondie pour les équipes techniques et décideurs.

Quelles obligations pour une PME qui n'utilise que des outils SaaS ?

Même en utilisant uniquement des outils tiers, vous restez un "déployeur" avec des obligations propres :

Obligatoire : Formation Article 4, supervision humaine des décisions, information des personnes concernées, conservation des logs.

Recommandé : Vérifier la conformité AI Act de vos fournisseurs, intégrer des clauses contractuelles spécifiques, documenter vos cas d'usage.

La responsabilité est partagée avec le fournisseur mais pas transférée. Vous ne pouvez pas vous défausser sur "c'est l'outil qui décide".

Comment savoir si mon système IA nécessite une documentation technique ?

La documentation technique complète est obligatoire uniquement pour les systèmes à "haut risque" listés à l'Annexe III de l'AI Act.

Votre système est probablement à haut risque s'il intervient dans : le recrutement ou la gestion RH, l'attribution de crédits ou assurances, l'éducation et formation professionnelle, la santé et le diagnostic médical, l'accès aux services publics.

En cas de doute, partez du principe que c'est haut risque. Il vaut mieux documenter par excès que subir une sanction pour sous-classification.

Puis-je être sanctionné si je ne savais pas qu'un outil contenait de l'IA ?

Malheureusement, oui. L'AI Act impose une obligation de connaissance de vos systèmes. L'ignorance n'est pas une excuse légale.

C'est pourquoi la cartographie initiale est si importante. Contactez chacun de vos fournisseurs pour leur demander si leurs solutions intègrent des composants IA.

Cela dit, les autorités devraient être plus clémentes si vous démontrez une démarche proactive de mise en conformité, même si vous découvrez tardivement certains systèmes.

Les allègements PME réduisent-ils vraiment mes obligations ?

Les allègements concernent principalement les modalités de mise en conformité, pas les obligations elles-mêmes :

Ce qui est allégé : Accès gratuit aux sandboxes réglementaires, réduction des frais de certification, documentation technique potentiellement simplifiée, accompagnement prioritaire des autorités.

Ce qui reste identique : Formation obligatoire, respect des pratiques interdites, transparence, supervision humaine, signalement des incidents.

En résumé : mêmes obligations, mais accompagnement facilité et coûts réduits.

Quel délai réaliste pour être conforme en partant de zéro ?

Cela dépend de votre situation, mais voici des estimations réalistes :

PME avec systèmes à risque minimal uniquement : 2-3 mois (principalement formation + transparence)

PME avec quelques systèmes à risque limité : 3-4 mois (+ documentation allégée)

PME avec systèmes à haut risque : 6-12 mois (documentation complète + tests + certification)

Avec 227 jours restants avant la première échéance majeure, commencer maintenant vous laisse suffisamment de temps pour les obligations 2025.

Que se passe-t-il si je suis partiellement conforme lors d'un contrôle ?

Une conformité partielle documentée est toujours mieux vue qu'une non-conformité totale.

Les autorités tiennent compte de : l'existence d'un plan de mise en conformité, les actions déjà réalisées (formation, documentation en cours), la bonne foi et la coopération lors du contrôle.

Les PME qui démontrent des efforts sincères bénéficient généralement de délais supplémentaires plutôt que de sanctions immédiates. Mais ne comptez pas dessus comme stratégie !

Mes obligations changent-elles si je modifie mon système IA ?

Oui, toute modification "substantielle" d'un système IA peut déclencher de nouvelles obligations.

Modifications substantielles : Changement des données d'entraînement, modification de l'algorithme, extension du périmètre d'utilisation, changement de niveau de risque.

Conséquences : Mise à jour de la documentation technique, nouveaux tests de conformité, potentiellement nouvelle certification.

C'est pourquoi l'AI Act impose une surveillance continue, pas juste une conformité ponctuelle.

Comment prouver que mes équipes sont bien formées ?

L'AI Act n'impose pas de format spécifique, mais vous devez pouvoir démontrer la formation de façon crédible :

Recommandé : Certificats nominatifs délivrés par un organisme de formation reconnu, registre des formations avec dates et contenus, évaluations de connaissances documentées.

Insuffisant : Simple déclaration "mes équipes sont formées", webinaires sans évaluation, documentation uniquement.

Une formation certifiante avec attestation nominative est le standard de preuve le plus robuste en cas de contrôle.

"Les premières sanctions AI Act seront exemplaires. Les autorités voudront marquer les esprits comme elles l'ont fait avec les premières amendes RGPD."
— Isabelle Falque-Pierrotin, ancienne Présidente de la CNIL

🎯 Conclusion : Vos 3 Priorités Immédiates

Face à la complexité de l'AI Act, concentrez-vous sur l'essentiel. Voici les 3 actions à lancer cette semaine :

1️⃣ Cartographiez vos systèmes IA — Vous ne pouvez pas être conforme sans connaître votre périmètre
2️⃣ Planifiez la formation Article 4 — C'est l'obligation la plus urgente (août 2025)
3️⃣ Désignez un responsable IA — Un point de contact unique facilite tout le reste

Le temps presse pour respecter vos obligations. N'attendez pas les contrôles pour agir.