L'AI Act européen est officiellement entré en vigueur en août 2024, avec une montée en charge progressive jusqu'en 2027. Il ne concerne pas uniquement les grands groupes technologiques qui développent des LLM : il s'applique aussi aux PME qui déploient ou utilisent des systèmes IA dans leur activité.

La logique de l'AI Act : une approche par le risque

Risque inacceptable

Interdit. Manipulation subliminale, notation sociale, reconnaissance faciale en temps réel dans les espaces publics. Ne déployez jamais ces systèmes.

Risque élevé

Systèmes utilisés dans le recrutement, le crédit, les décisions d'immigration, l'éducation, les infrastructures critiques. Obligations très strictes.

Risque limité

Chatbots, systèmes de génération de contenu. Obligations de transparence : informer les utilisateurs qu'ils interagissent avec une IA.

Risque minimal

Filtres anti-spam, recommandations de contenu. Aucune obligation spécifique au-delà du droit commun.

Êtes-vous "fournisseur" ou "déployeur" ?

Fournisseur

Vous développez et mettez sur le marché un système IA vendu à des tiers. Obligations les plus lourdes : documentation technique complète, enregistrement dans la base de données de l'UE, marquage CE pour les systèmes à risque élevé.

Déployeur

Vous utilisez un système IA fourni par un tiers dans votre activité. C'est le cas de la grande majorité des PME. Les obligations sont allégées mais réelles.

Obligations concrètes pour les PME déployeuses

Pour les systèmes IA à risque élevé (tri de CV, évaluation de solvabilité…)

—Utiliser le système uniquement conformément aux instructions du fournisseur.
—Maintenir une surveillance humaine appropriée.
—Effectuer une analyse d'impact sur les droits fondamentaux avant déploiement.
—Informer les personnes concernées qu'elles font l'objet d'une décision automatisée.
—Signaler les incidents graves à la CNIL.

Le calendrier de mise en conformité

Août 2024Entrée en vigueur. Interdiction des pratiques IA inacceptables.

Août 2025Obligations applicables aux systèmes IA à usage général (GPAI).

Août 2026Obligations complètes pour les systèmes à risque élevé.

Août 2027Pleine application, y compris pour les systèmes existants.

Sanctions : jusqu'à 35 M€ ou 7 % du CA mondial pour les violations les plus graves. Pour les manquements aux obligations des systèmes à risque élevé : jusqu'à 15 M€ ou 3 % du CA.

L'AI Act n'est pas une contrainte insurmontable pour les PME. Pour la majorité d'entre elles qui utilisent des outils IA à risque limité ou minimal, les obligations se résument à de la transparence et de la documentation. L'essentiel est de commencer à documenter maintenant, avant que les autorités de contrôle ne soient pleinement opérationnelles.