AI Act pour PME : la checklist en 12 points

Le règlement (UE) 2024/1689, dit « AI Act », entre en application progressive depuis février 2025 et atteint son palier critique le 2 août 2026. Les PME utilisant ou déployant des systèmes d'intelligence artificielle — y compris des outils SaaS courants comme Microsoft Copilot ou des modules RH automatisés — doivent désormais documenter, classifier et superviser ces systèmes. Voici la checklist opérationnelle en 12 points que tout dirigeant de PME devrait avoir cochée avant l'échéance.

1 — Cartographier vos systèmes IA en production

Premier réflexe : recenser tous les systèmes IA utilisés, déclarés ou non. L'angle mort le plus dangereux est le « Shadow AI » — selon le Microsoft Work Trend Index 2024, un outil IA sur trois en entreprise échappe à la DSI. ChatGPT utilisé par le service RH pour pré-trier des candidatures, un plugin Excel à base de GPT, un outil de scoring crédit chez un fournisseur tiers : tous sont des systèmes IA au sens de l'article 3 de l'AI Act.

2 — Classifier chaque système par niveau de risque (Art. 6-9)

Le règlement définit quatre niveaux : risque inacceptable (interdit), haut risque, risque limité, risque minimal. La grille de classification s'appuie sur l'annexe III : RH, scoring crédit, diagnostic médical, modération de contenu et systèmes biométriques sont presque toujours en haut risque. Une PME qui utilise un outil RH IA pour filtrer des CV se trouve immédiatement concernée.

3 — Préparer la documentation technique (Art. 11 + Annexe XI)

Pour chaque système haut risque, la PME doit produire un dossier technique : description du système, données d'entraînement, performances, limitations, mesures de gestion des risques. Cette documentation devra être présentée en cas de contrôle AESIA (FR) ou CNIL.

4 — Identifier un responsable de la conformité IA

Une personne nommée, en interne. Pas nécessairement un Chief AI Officer dédié pour une PME — souvent le DPO étend son périmètre, ou le DSI prend la casquette. Mais une personne, identifiée, joignable, avec un mandat écrit.

5 — Vérifier vos fournisseurs IA (clauses contractuelles)

Vos contrats avec OpenAI, Anthropic, Microsoft, Google, vos éditeurs SaaS RH/CRM doivent désormais inclure : clauses AI Act, DPA RGPD croisé, région d'hébergement, transparence des modèles, mécanismes de transfert de responsabilité. Beaucoup de contrats signés avant 2024 ne contiennent rien de cela. Renégociation obligatoire.

6 — Mettre en place le logging des décisions algorithmiques

Pour les systèmes haut risque, chaque décision doit être loggée de manière auditable et rejouable. Cela suppose une infrastructure de traçabilité : qui a demandé quoi, quel modèle a répondu, avec quel score de confiance, quelle a été la décision humaine de confirmation.

7 — Concevoir une procédure de supervision humaine (Art. 14)

Aucune décision haut risque ne peut être purement automatique. Une personne, formée et identifiée, doit pouvoir intervenir, comprendre la décision proposée, l'écarter si nécessaire. Cette procédure doit être documentée, testée, mise à jour.

8 — Former les équipes à la littératie IA (Art. 4)

Obligation déjà en vigueur depuis le 2 février 2025. Toutes les équipes opérant des systèmes IA, ou exposées à eux, doivent recevoir une formation à la compréhension des risques, des limites, et des obligations associées. Pas un module e-learning superficiel : une formation crédible, traçable.

9 — Préparer la transparence vis-à-vis des personnes exposées (Art. 50)

Tout utilisateur ou personne dont une décision est prise par un système IA doit être informé. Vos écrans, vos courriers, vos process RH doivent intégrer cette mention. Sanctions spécifiques en cas d'omission.

10 — Tester votre dispositif en simulation d'audit AESIA

L'AESIA (Agence Espagnole de Supervision de l'IA) et la CNIL (FR) peuvent demander à voir vos dossiers. Une simulation interne — ou par un prestataire externe spécialisé — permet d'identifier les manquements avant qu'ils ne deviennent des sanctions.

11 — Suivre les évolutions réglementaires (Digital Omnibus, guidelines sectorielles)

L'AI Act n'est pas figé : Digital Omnibus, lignes directrices sectorielles, jurisprudence européenne ajustent régulièrement les obligations. Une veille active — ou un service de veille tiers — est nécessaire pour ne pas être pris de court.

12 — Documenter votre approche en cas de contrôle

Tout ce qui précède doit être consolidé dans un dossier de preuves, prêt à être présenté. Politique IA interne, registre des systèmes, dossiers techniques, registres de formation, contrats fournisseurs, logs : un classeur, physique ou numérique, à jour.

Et si vous n'avez rien fait ?

Sanctions maximales prévues : 35 M€ ou 7% du CA mondial pour les pratiques interdites (Art. 5), 15 M€ ou 3% pour les autres manquements, 7,5 M€ ou 1% pour les informations trompeuses (Art. 99 §3). Mais bien plus probablement, à court terme : refus d'assurance cyber, blocage par un client grand compte exigeant la conformité, perte d'un appel d'offres public.

Le temps qui reste avant le 2 août 2026 se compte en semaines, pas en mois. La bonne nouvelle : un audit Express de conformité AI Act, dans la grande majorité des cas, prend une semaine et coûte entre 2 500 € et 4 000 € HT. Le pire scénario, c'est de découvrir un système à risque inacceptable utilisé sans le savoir — ce qui est précisément ce qu'un audit révèle.