Les quatre niveaux de risque, en clair
- Risque inacceptable — interdit, point. Notation sociale généralisée, manipulation comportementale ciblée, reconnaissance biométrique en temps réel dans l’espace public hors exceptions de sécurité. Concerne très peu d’entreprises françaises classiques.
- Risque élevé — autorisé, mais sous obligations lourdes : analyse d’impact, journalisation, supervision humaine, documentation technique. Concerne les systèmes IA utilisés en RH (tri de CV), en éducation (notation), en accès au crédit, en infrastructures critiques, en justice, en migration.
- Risque limité — obligations de transparence. Vos utilisateurs doivent savoir qu’ils interagissent avec une IA (chatbot, assistant), et qu’un contenu généré est généré (deepfake, image synthétique).
- Risque minimal — aucune obligation spécifique. La grande majorité des usages internes en PME tombe ici : recherche documentaire, aide à la rédaction, synthèse de réunion, classement automatique.
Qui est concerné, vraiment, dans votre organisation
Pour une PME, le seul cas qui mérite vigilance immédiate, c’est le tri automatisé de candidatures. Dès qu’une IA filtre des CV ou note des candidats, vous tombez en risque élevé. Si vous l’utilisez sans le savoir via un ATS qui a intégré “l’IA” en silence, vous portez la responsabilité du déployeur.
Pour un cabinet d’expertise comptable, l’aide à la rédaction, à la recherche dans la doctrine, ou à l’analyse documentaire interne reste en risque minimal. La frontière se déplace si vous proposez à vos clients une IA qui prend des décisions à leur place (notation de risque, score de solvabilité).
Pour une collectivité, l’attention porte sur l’accès aux droits et services publics. Un assistant qui répond aux administrés sur les démarches reste en risque limité (transparence). Une IA qui pré-classerait des demandes d’aide sociale ou d’accès au logement passerait en risque élevé.
Calendrier 2026-2027 — ce qui tombe quand
- Février 2025 — interdictions du risque inacceptable, déjà appliquées.
- Août 2025 — obligations sur les modèles à usage général (GPAI) : transparence sur les données d’entraînement, gestion du risque systémique. Concerne les fournisseurs, pas les déployeurs.
- Août 2026 — application générale à tous les systèmes IA, y compris les obligations de transparence côté déployeur (risque limité).
- Août 2027 — entrée en vigueur des obligations sur les systèmes à risque élevé déjà en service avant 2026.
Cartographier vos systèmes IA en cinq étapes
- 1. Lister. Tous les outils où il y a “IA”, “assistant”, “génératif”, “modèle prédictif”, “scoring automatique”. Internes comme externes (SaaS). Incluez ceux que vous n’avez pas activement choisis — ATS, antispam, outils marketing.
- 2. Qualifier. Pour chaque outil, à quoi sert-il, qui en est l’utilisateur final, quelle décision il influence ? Une recherche documentaire interne ≠ un tri de candidats.
- 3. Classer. Affecter un niveau de risque à chaque outil, avec justification d’une ligne. Si l’outil est tangent, traitez-le comme le niveau supérieur le temps de trancher.
- 4. Documenter. Pour les outils à risque limité ou plus, formaliser : qui est responsable, comment les utilisateurs sont informés, quelles sont les modalités de supervision humaine.
- 5. Réviser. Tous les six mois, ou à chaque ajout d’outil. La liste vieillit vite.
Sur la conformité côté données personnelles, voir RGPD et assistants IA : les clés de la conformité.
Les sanctions réelles
L’AI Act prévoit des amendes administratives proportionnelles, avec un plafond à 35 millions d’euros ou 7 % du chiffre d’affaires mondial pour les pratiques interdites — ce qui ne concernera quasi-personne en pratique. Pour les manquements aux obligations sur les systèmes à risque élevé, le plafond descend à 15 M€ ou 3 %. Pour les fausses informations transmises aux autorités, 7,5 M€ ou 1 %.
Plus probable que l’amende elle-même : la publication de la décision, et l’effet réputationnel. Pour les collectivités et acteurs publics, le risque politique pèse autant que le risque financier.
Ce qui ne change presque rien pour vous
Si vous utilisez une plateforme d’assistants IA cadrée pour la recherche documentaire, l’aide à la rédaction, la synthèse, l’analyse documentaire — sans décision automatisée à enjeu — vous restez en risque minimal. Aucune obligation spécifique à anticiper, en dehors de la transparence basique (“c’est une IA qui vous répond”) déjà couverte par les pratiques honnêtes.
Le travail réel se résume à : documenter ce que vous faites déjà, et savoir le ressortir si on vous le demande.
L’AI Act remplace-t-il le RGPD ?
Non. L’AI Act s’ajoute au RGPD. Le RGPD régit les données personnelles, l’AI Act régit les systèmes d’IA. Un système peut être conforme RGPD et non conforme AI Act, et inversement. Les deux se cumulent.
Une PME doit-elle nommer un référent IA ?
Pas d’obligation formelle pour les usages à risque minimal. Pour les systèmes à risque élevé, oui en pratique : il faut quelqu’un qui réponde devant l’autorité (probablement la CNIL pour la France) sur la documentation et la supervision humaine. Une PME peut confier ce rôle au DPO ou au DSI.
Et si mon outil SaaS dit qu’il est “AI Act ready” ?
C’est une promesse, pas une preuve. La responsabilité de classer votre usage et de documenter votre déploiement reste chez vous (le déployeur), pas chez le fournisseur. Demandez la documentation technique fournie, lisez-la, et conservez-la.
Trente minutes pour cartographier vos usages IA et identifier ceux qui méritent une documentation prioritaire.
Réserver une démo→