Vous utilisez ChatGPT. Vous êtes déjà concerné.

Moins de 30 % des PME européennes ont entamé une démarche de conformité à l’AI Act. Le règlement entre en application complète le 2 août 2026, dans moins de 4 mois. Les amendes atteignent jusqu’à 15 millions d’euros ou 3 % du chiffre d’affaires mondial.

La majorité des dirigeants de PME pensent ne pas être concernés. Leur raisonnement : « Nous n’avons pas développé notre propre IA. » C’est faux. Le règlement européen crée une catégorie spécifique : le déployeur. Si vous utilisez un outil IA, un chatbot sur votre site, un LLM via API, un logiciel RH alimenté par de l’IA, vous êtes déployeur. Et vous avez des obligations légales.

La vraie question n’est pas « L’AI Act s’applique-t-il à ma PME ? » Elle est : « Quelles sont mes obligations concrètes, et combien de temps me reste-t-il pour les remplir ? »

Ce que « déployeur » signifie vraiment

L’AI Act distingue deux rôles : le fournisseur (qui développe le système IA) et le déployeur (qui l’utilise dans un contexte professionnel). Pour 90 % des PME, c’est le second statut qui s’applique.

Concrètement, vous êtes déployeur si vous :

• Utilisez un chatbot alimenté par un LLM pour répondre à vos clients
• Intégrez une API OpenAI, Anthropic ou Mistral dans un de vos outils métier
• Recourez à un logiciel RH qui trie des CV ou évalue des performances via IA
• Utilisez un outil de scoring commercial ou de prédiction client

Ce statut crée des obligations réelles, indépendamment de la taille de votre structure. La CNIL a confirmé qu’elle intensifiera ses contrôles sur les systèmes RH à partir de l’automne 2026. Le délai entre l’échéance réglementaire et les premiers contrôles sera court.

Les 4 niveaux de risque : où se situent vos outils

L’AI Act classe les systèmes IA en quatre catégories. Votre niveau d’obligation dépend directement de ce classement.

Risque inacceptable : Interdit sur le sol européen. Concerne les systèmes de surveillance biométrique de masse ou de scoring social généralisé. Quasi inexistant dans les PME standard.

Risque élevé : Ce niveau touche directement les PME qui utilisent l’IA dans les RH (tri de CV, évaluation des performances), le scoring client ou crédit, et la gestion des réclamations. Obligations lourdes : documentation technique complète, journalisation automatique des décisions, contrôle humain permanent, marquage CE si le système est intégré à un produit. L’échéance pour ce niveau est le 2 août 2026.

Risque limité : Chatbots, outils de génération de contenu, assistants LLM. Obligation principale : transparence. L’utilisateur final doit savoir qu’il interagit avec une IA. Un chatbot sur votre site sans mention explicite « réponse générée par une IA » est déjà hors conformité.

Risque minimal Filtres anti-spam, recommandations de contenu. Aucune obligation spécifique.

Pour 80 % des PME françaises, les outils utilisés tombent dans les catégories « risque limité » ou « risque élevé ». Ce sont ces deux niveaux qui exigent une action avant août.

3 actions concrètes à mener avant le 2 août

1. Inventorier vos outils IA en 48 heures. Listez chaque outil qui utilise de l’IA dans votre structure : CRM avec scoring, chatbot site web, outils de rédaction assistée, logiciels RH, APIs LLM. L’objectif n’est pas la perfection c’est d’avoir une vue complète de votre exposition. Une PME de 20 personnes identifie en général 4 à 7 outils concernés.

2. Classifier chaque outil selon les 4 niveaux de risque. La classification détermine vos obligations. Un outil RH qui trie des candidatures automatiquement est à haut risque. Un assistant de rédaction marketing est à risque limité. Pour les cas ambigus, la Direction Générale des Entreprises (DGE) a publié un vérificateur de conformité officiel. Pour un outil à haut risque, exigez de votre fournisseur sa documentation technique et sa classification. Un fournisseur qui ne peut pas répondre à ces questions est un risque juridique pour vous.

3. Ajouter les mentions de transparence obligatoires. Pour tous vos outils à risque limité chatbots, assistants IA visibles par des tiers, la mention « réponse générée par une IA » est obligatoire dès le 2 août. Cette action se mesure en heures, pas en semaines. C’est la mise en conformité la plus rapide à déployer, et la plus facilement vérifiable par les autorités.

Le calcul du coût de l’inaction

Les amendes sont proportionnées à la taille de l’entreprise. Pour les PME, des plafonds réduits s’appliquent. Mais le risque financier n’est pas le seul.

Un système IA non conforme peut être interdit d’exploitation sur le marché européen. Si votre outil RH ou votre chatbot commercial tombe dans cette catégorie, l’interdiction d’exploitation coûte infiniment plus qu’un audit préventif. Les entreprises qui ont subi les coûts cachés d’une mise en conformité tardive sur le RGPD en 2018 connaissent ce mécanisme.

Le programme IA Booster de BPI France finance une partie de l’accompagnement à la conformité pour les PME. Ce dispositif existe depuis fin 2025 et reste sous-utilisé. La mise en conformité pour une PME standard inventaire, classification, documentation se compte en jours de travail, pas en mois. Le coût d’un accompagnement adapté est sans commune mesure avec le risque juridique d’une non-conformité.

Ce que Norisix fait différemment

Nous construisons des agents IA et des workflows d’automatisation qui intègrent dès la conception les contraintes de l’AI Act : traçabilité des décisions, journalisation des actions, documentation technique des systèmes déployés. Pas comme une couche ajoutée après coup. Comme une exigence d’architecture.

Pour les PME qui utilisent des agents IA connectés à leurs outils via le protocole MCP, cette architecture produit automatiquement les logs d’activité requis par le règlement. La conformité n’est pas un projet séparé — c’est une propriété du système.

Nous réalisons un audit de conformité AI Act adapté aux PME : cartographie de vos outils IA, classification du niveau de risque, plan d’action priorisé. Résultat livré en une semaine. Parlons-en →