> Actualités

AI Act : ce qui est déjà interdit (et ce qui arrive) pour votre PME

Le règlement européen sur l'IA s'applique depuis février 2025. Voici ce que vous risquez concrètement si vous l'ignorez.

Par Paul Fauchille · · 6 min de lecture
Illustration d'un cadre réglementaire européen appliqué à l'intelligence artificielle en entreprise

Depuis le 2 février 2025, certaines pratiques d'intelligence artificielle sont purement et simplement interdites en Europe. Pas « encadrées ». Pas « soumises à déclaration ». Interdites, avec des amendes pouvant atteindre 35 millions d'euros ou 7 % du chiffre d'affaires mondial. Et pourtant, la majorité des PME françaises n'ont toujours pas vérifié si elles étaient concernées.

Le règlement européen sur l'intelligence artificielle — qu'on appelle AI Act — est entré en application par vagues. La première, en février 2025, concerne les pratiques interdites. La deuxième, en août 2025, vise les modèles d'IA à usage général. Et la troisième, initialement prévue pour août 2026, touche les systèmes classés « haut risque » — ceux qu'on utilise en recrutement, en notation de crédit, en santé. Cette dernière vague vient d'être repoussée à décembre 2027 par un vote du Parlement européen. Mais attention : ça ne change rien aux deux premières vagues, qui s'appliquent déjà.

Ce qui est interdit depuis février 2025

L'article 5 de l'AI Act dresse la liste des pratiques d'IA dites « à risque inacceptable ». Pas de mise en conformité possible ici : si votre système tombe dans cette catégorie, il doit être arrêté. Point.

Concrètement, trois familles d'interdictions :

  • La manipulation subliminale ou trompeuse. Un assistant vocal qui oriente subtilement un utilisateur vers une offre commerciale sans qu'il en soit conscient. Un chatbot qui exploite des biais cognitifs pour pousser à l'achat. Ce n'est plus de la vente — c'est de la manipulation, et c'est illégal.
  • La notation sociale (social scoring). Un système qui classe vos clients ou vos employés en fonction de leur comportement social, de leurs habitudes de consommation ou de traits de personnalité déduits par l'IA. Ça existe en Chine. En Europe, c'est désormais sanctionnable.
  • L'exploitation des vulnérabilités. Une IA marketing qui cible spécifiquement les enfants, les personnes âgées ou les personnes en situation de précarité pour les inciter à acheter un produit dont elles n'ont pas besoin. Si votre outil de ciblage publicitaire fait ça — même par effet de bord —, vous avez un problème.

Un dirigeant de PME pourrait se dire : « Ça ne me concerne pas, je ne fais pas de notation sociale. » Peut-être. Mais utilisez-vous un outil de scoring client qui attribue une note de fiabilité basée sur le comportement d'achat ? Un système de recommandation qui ajuste ses prix en fonction de la vulnérabilité perçue du client ? La frontière est plus fine qu'on ne le croit.

Les systèmes « haut risque » : le gros morceau (repoussé, mais pas annulé)

C'est la partie qui fait transpirer les DRH et les DSI. L'AI Act classe comme « haut risque » tout système d'IA utilisé dans :

  • Le recrutement et le tri de CV
  • L'évaluation des candidats et des employés
  • La notation de crédit
  • L'éducation et la formation
  • Les infrastructures critiques (énergie, transport)
  • La santé

Pour ces systèmes, les obligations sont lourdes : documentation technique exhaustive, gestion des risques formalisée, traçabilité des données d'entraînement, supervision humaine effective, audits de conformité. Le tout certifié et documenté.

Le cas Amazon reste l'exemple le plus cité — et le plus parlant. En 2018, le géant du e-commerce a dû abandonner un algorithme interne de tri de CV qui pénalisait systématiquement les candidatures féminines en dévalorisant les CV contenant le mot « women's ». Un outil de recrutement IA biaisé, déployé sans supervision humaine réelle. Exactement le type de scénario que l'AI Act veut empêcher.

Le 26 mars 2026, le Parlement européen a voté à 569 voix contre 45 le report de cette échéance, de août 2026 à décembre 2027 pour les systèmes listés en Annexe III. La raison invoquée : les standards harmonisés européens ne sont pas encore publiés, et les entreprises ne peuvent pas se conformer à des normes qui n'existent pas encore. Le vote ouvre une fenêtre de 16 mois supplémentaires.

[[callout:Attention : ce report n'est pas encore définitif. Il doit être validé par le Conseil européen via un trilogue en cours. Si les négociations traînent au-delà d'août 2026, les échéances initiales s'appliquent.]]

Qui contrôle en France ?

En France, c'est la CNIL qui a été désignée comme autorité nationale de supervision de l'AI Act. Elle coordonne les contrôles, mais ne travaille pas seule :

  • CNIL : données personnelles, biométrie, supervision générale
  • DGCCRF : pratiques commerciales interdites et protection des consommateurs
  • ARCOM : contenus audiovisuels et deepfakes
  • ACPR : secteur financier
  • Inspection du travail : IA en milieu professionnel

La CNIL a déjà montré les dents sur le RGPD — 4 476 plaintes traitées en 2025, des sanctions allant jusqu'à plusieurs millions. Il n'y a aucune raison de penser qu'elle sera plus indulgente sur l'AI Act. D'autant qu'une vague de contrôles est annoncée pour mai 2026.

Ce que ça change concrètement pour une PME

Soyons directs : si vous êtes une PME de 15 personnes qui utilise [[link:chatgpt|ChatGPT]] pour rédiger des emails et [[link:claude-ai|Claude]] pour synthétiser des documents, vous n'êtes probablement pas en infraction. L'usage d'un modèle d'IA générative comme outil d'assistance bureautique ne tombe pas dans les catégories interdites ni dans le haut risque.

En revanche, vous êtes potentiellement concerné si :

  • Vous utilisez un logiciel de recrutement qui filtre automatiquement les CV avec de l'IA
  • Votre CRM intègre un scoring client alimenté par du machine learning
  • Vous déployez un chatbot qui collecte des données sensibles (santé, finances)
  • Vous utilisez de la reconnaissance faciale ou de l'analyse d'émotions (même « pour améliorer l'expérience client »)
  • Votre outil marketing cible des audiences sur la base de vulnérabilités détectées (âge, situation financière)

Le piège, c'est que beaucoup de ces fonctionnalités sont intégrées dans des outils SaaS que les PME utilisent sans toujours savoir ce qu'il y a sous le capot. Un outil d'évaluation des performances « boosté à l'IA » acheté sur étagère peut très bien tomber dans la catégorie haut risque — et c'est vous, le déployeur, qui portez la responsabilité, pas l'éditeur seul.

Les 4 actions à mener maintenant

Pas besoin d'un cabinet de conseil à 800 €/jour pour commencer. Voici ce qui est faisable en interne :

1. Cartographier vos usages d'IA

Listez tous les outils et logiciels utilisés dans votre entreprise qui intègrent de l'IA. Pas seulement ChatGPT — aussi votre CRM, votre ATS de recrutement, votre outil d'emailing, vos tableaux de bord analytiques. Demandez à chaque éditeur : « Votre produit utilise-t-il de l'IA pour prendre ou suggérer des décisions ? »

2. Vérifier les pratiques interdites

Passez chaque outil au crible de l'article 5 : manipulation, scoring social, exploitation de vulnérabilités. Si un doute existe, documentez-le et demandez un avis. Un outil de ciblage publicitaire qui segmente par « fragilité financière » est un signal d'alerte.

3. Identifier vos systèmes haut risque

Si vous utilisez l'IA dans le recrutement, l'évaluation des employés, la notation de crédit ou l'accès à des services essentiels, vous tombez dans l'Annexe III. Même avec le report à décembre 2027, mieux vaut s'y préparer maintenant : documentation technique, traçabilité des données, supervision humaine.

4. Nommer un référent IA

Ce n'est pas une obligation légale (pas encore), mais c'est du bon sens. Comme pour le RGPD avec le DPO, avoir une personne identifiée qui suit le sujet évite de se retrouver à improviser la veille d'un contrôle.

Le vrai risque n'est pas l'amende — c'est l'angle mort

35 millions d'euros ou 7 % du CA mondial, ça fait un bon titre. Mais pour une PME de 2 M€ de chiffre d'affaires, l'amende plafonne à 140 000 €. Ce n'est pas rien, mais ce n'est pas existentiel.

Le vrai danger, c'est de découvrir qu'un outil que vous utilisez depuis deux ans est non conforme, et de devoir l'arrêter du jour au lendemain. Un ATS de recrutement désactivé en pleine campagne d'embauche. Un scoring client retiré alors qu'il alimente votre pipeline commercial. C'est le scénario qui fait mal.

D'après l'étude PwC 2026 sur l'IA en entreprise, 75 % des gains économiques liés à l'IA sont captés par seulement 20 % des entreprises — celles qui ont structuré leur gouvernance IA. Les autres bricolent, et ce sont elles qui prendront les amendes.

Le message est clair : l'AI Act ne punit pas ceux qui utilisent l'IA. Il punit ceux qui l'utilisent n'importe comment. La conformité n'est pas un frein — c'est un avantage concurrentiel pour les PME qui s'en saisissent tôt.

FAQ

Ma PME utilise ChatGPT et Claude au quotidien : suis-je concernée par l'AI Act ?
Si vous utilisez ces outils comme assistants de rédaction, synthèse ou recherche, vous n'êtes pas en infraction. L'AI Act cible les pratiques interdites (manipulation, scoring social) et les systèmes à haut risque (recrutement IA, notation de crédit). En revanche, si vous branchez un modèle d'IA sur un processus de décision automatisé touchant des personnes (tri de CV, évaluation d'employés), vous entrez dans le périmètre réglementaire.
Quelles sont les amendes prévues par l'AI Act pour les PME ?
Les sanctions varient selon la gravité : jusqu'à 35 millions d'euros ou 7 % du CA mondial pour les pratiques interdites, jusqu'à 15 millions ou 3 % du CA pour les obligations liées aux systèmes à haut risque. Pour les PME, le pourcentage du CA est souvent le plafond effectif. Une entreprise à 2 M€ de CA risque jusqu'à 140 000 € pour une pratique interdite.
L'échéance d'août 2026 sur les systèmes haut risque est-elle reportée ?
Le Parlement européen a voté le 26 mars 2026 un report à décembre 2027 pour les systèmes de l'Annexe III (recrutement, crédit, éducation). Mais ce report doit encore être validé par le Conseil européen dans le cadre d'un trilogue en cours. Si les négociations n'aboutissent pas avant août 2026, les échéances initiales s'appliquent. Ne misez pas tout sur ce délai.
Qui contrôle l'application de l'AI Act en France ?
La CNIL est l'autorité nationale de supervision, coordonnant les contrôles avec la DGCCRF (pratiques commerciales), l'ARCOM (contenus audiovisuels), l'ACPR (finance) et l'Inspection du travail. Des contrôles sont annoncés dès mai 2026. La CNIL a déjà prouvé sur le RGPD qu'elle n'hésitait pas à sanctionner.
Par où commencer pour se mettre en conformité avec l'AI Act ?
Quatre actions immédiates : 1) Cartographier tous les outils intégrant de l'IA dans votre entreprise. 2) Vérifier qu'aucun ne tombe dans les pratiques interdites (article 5). 3) Identifier ceux qui relèvent du haut risque (recrutement, évaluation, scoring). 4) Nommer un référent interne pour suivre le sujet. Ces étapes sont faisables sans consultant externe.
Partager
Vous aimerez aussi
Actualités 6 min

Musk veut s'allier à Mistral : ce que ça change pour l'IA en Europe

Elon Musk négocie un partenariat entre xAI, Mistral et Cursor. Un deal à 60 milliards qui redessine la carte de l'IA — et pose la question de la souveraineté européenne.

15 avril 2026 Lire l'actu →
Actualités 7 min

Mistral AI : de 20 à 400 M$ de revenus en un an, ce que ça change pour vous

Mistral AI a multiplié ses revenus par 20 en douze mois. Avec Small 4, Forge et Voxtral TTS, la startup française devient une alternative crédible à OpenAI pour les PME européennes.

13 avril 2026 Lire l'actu →
Actualités 6 min

Étude PwC : 20 % des entreprises captent 74 % des gains de l'IA

Selon PwC, 20 % des organisations raflent les trois quarts de la valeur économique de l'IA. Leur secret : viser la croissance, pas juste la réduction de coûts.

9 avril 2026 Lire l'actu →