Le 2 août 2026, le règlement européen sur l’IA entre pleinement en application. Ce jour-là, les sanctions deviennent effectives — et elles ne font pas de distinction de taille : une PME de 5 personnes qui utilise un outil d’IA pour rédiger ses devis est soumise aux mêmes obligations qu’un grand groupe industriel. Moins de 30 % des PME européennes ont entamé une démarche de conformité. Il reste exactement 62 jours. Voici ce qu’il faut faire, dans l’ordre.

Pourquoi le 2 août concerne votre PME, même si vous “juste utilisez ChatGPT”

Le règlement AI Act s’applique à tous les déployeurs de systèmes d’IA — c’est-à-dire toute organisation qui utilise un outil d’IA dans un contexte professionnel. Vous n’avez pas besoin de développer votre propre modèle pour être concerné. ChatGPT pour rédiger vos emails, Copilot pour analyser vos données Excel, un outil de scoring client, un chatbot sur votre site : tous ces usages entrent dans le champ du règlement.

L’article 4 de l’AI Act impose une obligation d’AI Literacy : vous devez prendre “les mesures nécessaires pour garantir que le personnel exposé à des systèmes d’IA dispose d’un niveau suffisant de compétences en matière d’IA.” Pas de format imposé, mais l’obligation est réelle — avec des sanctions pouvant atteindre 7,5 millions d’euros ou 1,5 % du chiffre d’affaires annuel mondial en cas de non-conformité.

La bonne nouvelle : les obligations de base sont accessibles à une PME. Voici comment les remplir méthodiquement.

La checklist en 5 étapes

✅ Étape 1 — Inventoriez vos outils IA (avant le 15 juin)

Avant tout, sachez ce que vous utilisez. Listez tous les outils d’IA déployés dans votre structure : par service, par poste, par usage. Incluez les outils “gratuits” ou “en test” — leur usage professionnel les rend soumis au règlement.

Ce qu’il faut noter pour chaque outil :

  • Nom de l’outil et fournisseur
  • Service ou collaborateur qui l’utilise
  • Usage principal (rédaction, analyse, décision, autre)
  • Données traitées (données personnelles ? données clients ?)

Un tableur simple suffit. L’objectif est d’avoir une vue complète pour les étapes suivantes.

✅ Étape 2 — Classifiez les risques

L’AI Act distingue trois niveaux de risque. Pour chaque outil de votre inventaire, identifiez dans quelle catégorie il tombe.

Risque limité (la majorité des outils PME) : chatbots, générateurs de texte, assistants IA. Obligation principale : informer les utilisateurs qu’ils interagissent avec une IA.

Haut risque : outils qui influencent des décisions importantes — recrutement, scoring de crédit, évaluation des performances, gestion des réclamations à enjeu. Ces usages déclenchent des obligations plus lourdes : documentation technique, journalisation, supervision humaine obligatoire.

Risque inacceptable : catégories interdites (manipulation comportementale, notation sociale, reconnaissance faciale en temps réel dans les espaces publics). A priori absent des usages PME standards.

Pour la grande majorité des PME, les outils utilisés tomberont en catégorie “risque limité”. L’essentiel de l’effort portera sur les étapes 3 à 5.

✅ Étape 3 — Organisez une session de sensibilisation (AI Literacy)

C’est l’obligation centrale de l’article 4. Elle ne nécessite pas un programme de formation de 35 heures — elle nécessite que vos collaborateurs comprennent les bases : ce qu’est une IA, comment elle fonctionne, ce qu’elle peut faire, ce qu’elle ne peut pas faire, et quels risques elle présente.

Format minimal recommandé :

  • Une session collective de 2 à 3 heures
  • Contenu : définitions, cas d’usage dans l’entreprise, erreurs à éviter, réflexe “vérification humaine”
  • Trace écrite : liste des participants, date, contenu abordé — conservez-la en cas de contrôle

Si vous êtes formateur ou si vous faites appel à un intervenant extérieur, assurez-vous que la session aborde spécifiquement les outils utilisés dans votre structure. Une formation générique “ChatGPT pour tous” ne suffit pas : elle doit être contextualisée à vos usages.

✅ Étape 4 — Mettez à jour vos documents internes

Deux documents à adapter ou à créer :

La charte informatique (ou charte d’utilisation numérique) : ajoutez une section sur l’usage des outils IA — quels outils sont autorisés, dans quels contextes, quelles données ne doivent jamais être saisies dans un outil IA (données confidentielles, données personnelles de tiers, secrets d’affaires).

Les mentions d’information : si vous utilisez un chatbot ou un outil IA en contact avec des clients ou des tiers, ils doivent savoir qu’ils interagissent avec une IA. Ajoutez une mention claire sur votre site, dans vos emails automatiques ou dans l’interface concernée.

Ces deux documents sont votre preuve de démarche raisonnable. En cas de contrôle, c’est ce que l’on vous demandera en premier.

✅ Étape 5 — Désignez un référent IA interne

L’AI Act ne parle pas de DPO de l’IA, mais une PME sérieuse a besoin d’un point de contact unique pour les questions de conformité IA. Ce rôle peut être tenu par le DPO existant, le responsable informatique, un office manager, ou même le dirigeant dans une très petite structure.

Ce que fait ce référent :

  • Tient l’inventaire des outils à jour
  • Organise les sessions de sensibilisation annuelles
  • Reçoit les alertes internes sur les nouveaux usages IA
  • Suit l’évolution du cadre réglementaire

C’est un rôle, pas un temps plein. Quelques heures par trimestre suffisent pour une PME avec un usage IA de base.

Exemple concret : une agence de communication de 8 personnes

L’agence utilise : ChatGPT Plus (rédaction), Midjourney (visuels), Notion AI (gestion de projet), et un outil de CRM avec module de scoring clients.

Application de la checklist :

  • Inventaire : 4 outils identifiés — ChatGPT, Midjourney, Notion AI (risque limité), CRM scoring (risque potentiellement élevé selon les critères)
  • Classification : CRM avec scoring → vérifier si le scoring influence des décisions contractuelles. Si oui, obligations renforcées.
  • Sensibilisation : demi-journée interne avec l’équipe, focus sur les bons réflexes (vérification des contenus générés, ne pas saisir de données clients dans ChatGPT)
  • Documents : charte mise à jour + mention sur le site (“Ce site utilise des outils d’IA pour…”)
  • Référent : l’office manager désigné pour 2h/mois de veille

Temps total : 1 journée de travail répartie sur 3 semaines. C’est accessible, et ça protège l’entreprise.

À retenir

  • Toutes les PME sont concernées : utiliser ChatGPT ou Copilot dans un contexte professionnel suffit à tomber sous l’AI Act — pas besoin de développer votre propre modèle
  • L’obligation de formation est réelle dès maintenant : l’article 4 (AI Literacy) est applicable depuis février 2025 ; les sanctions, elles, s’activent le 2 août 2026
  • La conformité de base est accessible : inventaire + session de sensibilisation + mise à jour des documents internes = l’essentiel des obligations pour une PME à usage IA standard

Sources