Mon entreprise utilise uniquement ChatGPT de facon occasionnelle, suis-je concerne par l'AI Act ?

Oui, meme un usage occasionnel de ChatGPT vous oblige a respecter les obligations de transparence (information des utilisateurs, etiquetage des contenus generes) et a documenter vos usages. Le niveau de risque reste faible, mais vous devez avoir une fiche minimale et une charte interne.

Quelle est la difference entre une AIPD-RGPD et une AIPD-IA ?

L'AIPD-RGPD analyse les risques pour les donnees personnelles. L'AIPD-IA ajoute une analyse specifique aux algorithmes : biais, robustesse, supervision humaine, explicabilite. Pour les PME utilisant des systemes a risque eleve, les deux doivent etre realisees — souvent dans un document unique.

Que se passe-t-il si je n'ai rien fait le 2 aout 2026 ?

Techniquement, vous etes en infraction des le 2 aout 2026. En pratique, la CNIL et la future AI Office europeenne ne contrôleront pas toutes les PME en meme temps, mais elles priorisent les cas signales (clients, salaries, concurrents) et les secteurs sensibles (RH, finance, sante). Mieux vaut avoir commence la demarche, meme incomplete, que rien du tout.

Les outils open source (Llama, Mistral self-hosted) sont-ils exemptes ?

Non. L'AI Act s'applique a l'USAGE, pas au modele. Utiliser Llama en self-hosted pour trier des CV reste un usage a risque eleve qui exige la meme documentation qu'avec un outil proprietaire. Par contre, les fournisseurs de modeles open source ont des obligations allegees par rapport aux fournisseurs de modeles commerciaux.

Combien de temps dure un audit AI Act pour une PME ?

Pour une PME de 10 a 30 salaries, un audit complet realise par un expert dure entre 3 et 7 jours ouvres (cartographie, classification, documentation, recommandations). Realise en interne par un DPO non expert en IA, il faut compter 40 a 80 heures etalees sur 2 a 4 semaines.

AI Act J-120 : la checklist urgente pour les PME avant le 2 aout 2026

J-120 : l'AI Act arrive, et la majorite des PME ne sont pas pretes

Le 2 aout 2026, le reglement europeen sur l'intelligence artificielle (AI Act) entre pleinement en vigueur. Il s'agit de la premiere legislation mondiale qui encadre l'usage de l'IA dans les entreprises. Contrairement a ce que beaucoup pensent, il ne concerne pas seulement les geants de la tech : toute PME qui utilise ChatGPT, Claude, un outil de generation d'image, un chatbot ou un systeme de scoring automatise est potentiellement concernee.

Les chiffres sont preoccupants : selon une enquete de la CNIL et de la Commission europeenne publiee en fevrier 2026, 78 % des PME francaises utilisant des outils d'IA ne connaissent pas leurs obligations au titre de l'AI Act. Pire : moins de 12 % ont realise un audit interne de leurs usages IA.

A 120 jours de l'echeance, il reste juste assez de temps pour se mettre en conformite — a condition de commencer maintenant.

Ce qu'est vraiment l'AI Act (sans le jargon)

L'AI Act classe les systemes d'IA en quatre niveaux de risque :

Risque inacceptable (interdit) : notation sociale, manipulation cognitive, reconnaissance faciale en temps reel dans l'espace public, scoring emotionnel en entreprise/ecole.
Risque eleve (obligations lourdes) : IA utilisee pour le recrutement, l'evaluation d'employes, l'acces au credit, a l'education, a la sante, a la justice.
Risque limite (obligations de transparence) : chatbots, deepfakes, generation de contenu synthetique. L'utilisateur doit savoir qu'il interagit avec une IA.
Risque minimal (aucune obligation specifique) : filtres anti-spam, recommandations de produits.

Pour la plupart des PME, les usages tombent dans les categories "risque limite" et "risque eleve". Exemples concrets : - Un cabinet de recrutement qui utilise un outil IA pour trier des CV = RISQUE ELEVE. - Un e-commercant qui utilise un chatbot de support = RISQUE LIMITE. - Une PME qui utilise ChatGPT pour generer des contrats ou des devis = RISQUE LIMITE a ELEVE selon l'usage. - Une agence immobiliere qui utilise un scoring IA pour selectionner des locataires = RISQUE ELEVE.

Les sanctions : jusqu'a 35 millions d'euros ou 7 % du CA mondial

L'AI Act prevoit trois paliers de sanctions parmi les plus lourds du droit europeen :

Usage d'IA interdite : jusqu'a 35 millions d'euros ou 7 % du CA mondial annuel (le plus eleve des deux).
Non-respect des obligations (systemes haut risque) : jusqu'a 15 millions d'euros ou 3 % du CA mondial.
Fournir des informations incorrectes aux autorites : jusqu'a 7,5 millions d'euros ou 1,5 % du CA mondial.

A titre de comparaison, le RGPD plafonne a 4 % du CA mondial. L'AI Act est donc 75 % plus severe que le RGPD sur les sanctions maximales.

Pour une PME de 2 millions d'euros de CA, un manquement grave peut theoriquement signifier 140 000 euros d'amende. La CNIL a deja annonce une "tolerance zero" pour les entreprises qui n'auront fait aucun effort de conformite apres le 2 aout 2026.

Checklist urgente : les 10 actions a mener avant le 2 aout 2026

1. Cartographier TOUS les outils IA utilises dans l'entreprise (J-120 a J-110)

Beaucoup de dirigeants ignorent ce que font reellement leurs equipes. Posez la question : quels outils IA utilisez-vous au quotidien ?

Les incontournables a verifier : - Outils de generation de texte : ChatGPT, Claude, Gemini, Mistral, Copilot - Outils de generation d'image : Midjourney, DALL-E, Stable Diffusion, Adobe Firefly - Outils de transcription : Otter, Fireflies, Whisper - Outils RH : ATS avec scoring IA, outils d'evaluation - Outils commerciaux : lead scoring, chatbots, IA de prospection - Outils internes : scripts Python avec API OpenAI, extensions navigateur, automatisations Make/Zapier avec IA

Action concrete : creer un tableau Excel listant chaque outil, son usage, les donnees qu'il traite, et le risque estime.

2. Classer chaque usage selon les 4 niveaux de risque (J-110 a J-100)

Pour chaque outil identifie, determinez la categorie AI Act. En cas de doute, considerez le scenario le plus defavorable.

Red flags automatiques (risque eleve) : - L'IA prend ou influence une decision concernant une personne (embauche, salaire, credit, acces a un service). - L'IA traite des donnees sensibles (sante, orientation sexuelle, religion, origine). - L'IA est utilisee pour surveiller des employes.

3. Documenter les usages (J-100 a J-90)

L'AI Act exige une documentation ecrite pour les systemes a risque eleve. Meme pour les systemes a risque limite, il est fortement recommande d'avoir : - Une fiche par outil : finalite, donnees traitees, fournisseur, conditions d'usage. - Un registre des usages IA (equivalent du registre des traitements RGPD). - Les mesures de protection appliquees.

4. Verifier la conformite des fournisseurs IA (J-90 a J-80)

Si vous utilisez un outil tiers (ChatGPT, Claude, Mistral, etc.), verifiez que le fournisseur lui-meme respecte l'AI Act. Les principaux acteurs publient desormais des fiches de conformite — a integrer dans votre dossier.

Attention : l'obligation ne se transfere PAS au fournisseur. Vous restez responsable de l'usage que vous faites de l'outil dans votre entreprise.

5. Informer les utilisateurs et clients (J-80 a J-70)

Pour les systemes a risque limite (la majorite des PME), l'obligation principale est la transparence : - Indiquer clairement quand un utilisateur interagit avec une IA (ex : "Ce chatbot est propulse par une IA"). - Etiqueter les contenus generes par IA (deepfakes, images synthetiques, textes d'article). - Mentionner l'usage d'IA dans les CGU et la politique de confidentialite.

6. Former les equipes (J-70 a J-60)

L'AI Act impose un niveau minimal de "litteratie IA" pour les personnes qui utilisent ou deploient ces systemes. Pour une PME, cela signifie : - Une formation initiale de 2 a 4 heures pour tous les utilisateurs reguliers. - Un brief specifique pour les managers qui valident les usages. - Une charte interne sur les bons usages de l'IA.

Digital Work propose une formation AI Act + RGPD combinee, conçue specifiquement pour les PME de moins de 50 salaries.

7. Mettre a jour les contrats (J-60 a J-45)

Vos contrats doivent integrer les usages IA : - Contrats de travail : clause sur l'utilisation d'outils IA, protection des donnees employes, droit a l'information. - Contrats clients : mention explicite si l'IA est utilisee pour generer des livrables, traiter des donnees clients, ou automatiser des decisions. - Contrats fournisseurs : garanties AI Act chez vos prestataires IA.

8. Realiser une analyse d'impact IA (J-45 a J-30)

Pour les systemes a risque eleve, une AIPD-IA (Analyse d'Impact Proportionne) est obligatoire. Elle reprend la logique de l'AIPD RGPD mais ajoute : - Evaluation des biais algorithmiques. - Tests de robustesse et de fiabilite. - Mesures de supervision humaine. - Plan de gestion des incidents.

9. Designer un referent IA (J-30 a J-15)

Ce n'est pas une obligation stricte pour les PME < 250 salaries, mais c'est fortement recommande. Le referent IA est souvent le DPO (s'il existe) ou un dirigeant designe. Son role : centraliser les usages, valider les nouveaux outils, assurer le lien avec les autorites.

10. Auditer et corriger (J-15 a J-1)

Dans les deux dernieres semaines : - Relire tout le dossier de conformite. - Verifier que chaque outil identifie a une fiche et un niveau de risque. - S'assurer que les equipes sont formees et informees. - Tester un scenario de contrôle CNIL.

Pourquoi externaliser cet audit a un expert (et ce que ca coute vraiment)

Realiser cette checklist en interne demande entre 40 et 80 heures de travail pour une PME de 10 a 30 salaries. Pour un dirigeant ou un DPO interne deja surcharge, c'est souvent impossible a tenir en parallele de l'activite courante.

Externaliser un audit AI Act + accompagnement a un expert independant coûte en moyenne entre 1 500 € et 4 500 € pour une PME — a comparer avec les amendes potentielles qui demarrent a 7,5 millions d'euros.

Digital Work propose un audit AI Act express pour les PME : 5 jours ouvres, livrable de conformite complet, checklist personnalisee, formation des equipes incluse. Tarif forfaitaire a partir de 2 400 € HT.

Le lien avec le RGPD : ne pas refaire les memes erreurs

En 2018, les PME avaient aussi 2 ans pour se preparer au RGPD. Resultat : en 2026, 60 % d'entre elles ne sont toujours pas conformes, et la CNIL a prononce 1,15 milliard d'euros d'amendes en 2025.

L'AI Act arrive dans le meme contexte, mais avec deux differences majeures : - Des sanctions encore plus lourdes (jusqu'a 7 % du CA mondial). - Une attention mediatique et politique beaucoup plus forte (IA = sujet "chaud").

Les PME qui attendront les premieres sanctions pour agir seront clairement la cible privilegiee des autorites, qui cherchent a faire des exemples pedagogiques rapidement apres le 2 aout.

Ne pas confondre AI Act et RGPD : les deux s'appliquent

C'est une confusion frequente : "je suis conforme RGPD, donc je suis conforme AI Act". C'est FAUX. Les deux reglementations coexistent et ont des finalites differentes :

Le RGPD protege les donnees personnelles (qui, quoi, comment).
L'AI Act regule les systemes d'IA (pourquoi, quel risque, quelle transparence).

Un outil d'IA peut etre parfaitement conforme RGPD (donnees anonymisees, consentement, etc.) mais NON conforme AI Act (opacite, absence de supervision humaine, pas d'information utilisateur).

La bonne approche : traiter les deux en meme temps, car ils partagent 60 % de la documentation (registres, analyses d'impact, politiques).

Conclusion : 120 jours, pas un de plus

L'AI Act est une opportunite autant qu'une contrainte. Les PME qui s'y prennent maintenant beneficient de trois avantages :
Moins de stress : etaler le travail sur 120 jours est largement tenable.
Un avantage commercial : pouvoir dire "notre PME est conforme AI Act" devient un argument de vente aupres des grands comptes et administrations, qui exigent desormais cette conformite chez leurs fournisseurs.
Des risques mesures : pas de zone grise, pas de panique au dernier moment, pas de risque juridique.

Les PME qui attendent le 1er aout paniquent, baclent, et sont les premieres cibles des contrôles.