Qu'est-ce que l'AI Act ?
L'AI Act (Artificial Intelligence Act) est le règlement européen sur l'intelligence artificielle, adopté définitivement par le Parlement européen le 13 mars 2024. C'est le premier cadre juridique complet au monde qui régule l'utilisation de l'IA. Son objectif : encadrer le développement et l'utilisation des systèmes d'intelligence artificielle dans l'Union européenne, en garantissant la sécurité et les droits fondamentaux des citoyens.
Contrairement au RGPD qui porte sur les données personnelles, l'AI Act cible spécifiquement les systèmes d'IA en fonction de leur niveau de risque. Le règlement s'applique à tous les acteurs de la chaîne : les fournisseurs qui développent les systèmes d'IA, les déployeurs qui les utilisent (c'est probablement votre cas si vous êtes une PME), les importateurs et les distributeurs.
Un point essentiel : l'AI Act a une portée extraterritoriale, à l'image du RGPD. Toute entreprise qui met un système d'IA sur le marché européen ou dont les résultats sont utilisés dans l'UE est concernée, quelle que soit sa localisation.
Le calendrier 2026 : les dates clés pour les PME
L'entrée en vigueur de l'AI Act est progressive. Voici les échéances à retenir :
Février 2025 : pratiques interdites
Depuis le 2 février 2025, les pratiques d'IA interdites sont effectives. Cela inclut la manipulation subliminale, l'exploitation des vulnérabilités (âge, handicap), le scoring social par les autorités publiques et la reconnaissance faciale en temps réel dans les espaces publics (sauf exceptions). Si vous n'utilisez pas ce type de systèmes, cette échéance vous concerne peu.
Août 2025 : modèles d'IA à usage général (GPAI)
Depuis le 2 août 2025, les obligations sur les modèles d'IA à usage général (comme GPT, Claude, Mistral) s'appliquent aux fournisseurs de ces modèles. En tant que PME utilisatrice, vous n'êtes pas directement concernée par ces obligations, mais vous devez vous assurer que vos fournisseurs d'IA sont conformes.
2 août 2026 : systèmes à haut risque
C'est la date clé pour les PME. A partir du 2 août 2026, les obligations concernant les systèmes d'IA à haut risque s'appliquent pleinement. Cela inclut les systèmes utilisés pour le recrutement, l'évaluation des employés, le scoring de crédit, l'accès aux services publics, et bien d'autres domaines. Il vous reste donc moins de cinq mois pour vous préparer.
Les PME sont-elles concernées ?
Oui. C'est un point sur lequel il ne faut pas se faire d'illusions. Le terme "PME" est cité 38 fois dans le texte du règlement. Si le législateur européen a pris soin de mentionner les PME autant de fois, c'est précisément parce qu'elles sont dans le périmètre.
Il n'existe pas d'exemption générale pour les PME. Le règlement prévoit certains allégements (accès aux bacs à sable réglementaires, réduction des charges administratives, proportionnalité des sanctions), mais les obligations de fond s'appliquent à toutes les entreprises, quelle que soit leur taille.
Selon BPI France, 34% des PME françaises utilisent déjà l'IA dans au moins un de leurs processus. Et ce chiffre est en croissance rapide : Gartner estime que 40% des entreprises auront intégré l'IA dans leurs opérations d'ici fin 2026. En France, le taux de maturité IA des entreprises est estimé à 10%, contre 35% au niveau mondial. Cela signifie que beaucoup de PME françaises adoptent l'IA sans forcément avoir conscience des obligations réglementaires qui en découlent.
Fournisseur ou déployeur : comprendre votre rôle
L'AI Act distingue deux rôles principaux. Le fournisseur est celui qui développe ou met sur le marché un système d'IA. Le déployeur est celui qui utilise ce système dans un contexte professionnel. La plupart des PME sont des déployeurs : vous utilisez ChatGPT, un outil de scoring, un chatbot ou un système d'automatisation intégrant de l'IA. En tant que déployeur, vous avez des obligations spécifiques de transparence, de supervision et de documentation.
Les 4 niveaux de risque expliqués simplement
L'AI Act classe les systèmes d'IA en quatre catégories de risque. C'est le coeur du règlement et la première chose à comprendre pour évaluer votre situation.
Risque inacceptable (interdit)
Certaines utilisations de l'IA sont purement et simplement interdites : manipulation subliminale, exploitation des personnes vulnérables, scoring social généralisé, reconnaissance faciale en temps réel (sauf exceptions de sécurité). Ces interdictions sont en vigueur depuis février 2025.
Haut risque
C'est la catégorie qui concerne le plus les PME. Un système d'IA est considéré à haut risque s'il est utilisé dans des domaines sensibles : recrutement et gestion RH, évaluation de la solvabilité, accès à l'éducation, dispositifs médicaux, infrastructure critique, ou encore application de la loi. Les obligations sont lourdes : système de gestion des risques, données d'entraînement de qualité, documentation technique, traçabilité, supervision humaine, robustesse et cybersécurité.
Risque limité
Cette catégorie concerne principalement les systèmes d'IA qui interagissent avec des personnes : chatbots, systèmes de génération de contenu, deepfakes. L'obligation principale est la transparence : l'utilisateur doit savoir qu'il interagit avec une IA ou que le contenu a été généré par une IA.
Risque minimal
La grande majorité des systèmes d'IA (filtres anti-spam, recommandations de produits, outils d'optimisation interne) relèvent du risque minimal. Aucune obligation spécifique n'est imposée, mais le règlement encourage l'adoption de codes de conduite volontaires.
Obligations concrètes pour une PME qui utilise l'IA
En tant que déployeur d'un système d'IA, voici les obligations qui vous concernent directement, selon la catégorie de risque de vos outils.
Transparence
Obligation transversale quelle que soit la catégorie de risque. Vous devez informer les personnes qu'elles interagissent avec une IA. Si vous utilisez un chatbot sur votre site web, un système de réponse automatique par email ou un outil de génération de contenu, vos utilisateurs doivent le savoir. Cela concerne aussi les contenus générés par IA : images, textes, vidéos doivent être identifiés comme tels.
Supervision humaine
Pour les systèmes à haut risque, vous devez garantir une supervision humaine effective. Concrètement, un humain qualifié doit pouvoir comprendre les décisions de l'IA, les contester et les annuler. Cela signifie que vos équipes doivent être formées et que vos processus doivent prévoir des points de contrôle humain.
Documentation et traçabilité
Vous devez documenter votre utilisation de l'IA : quels systèmes vous utilisez, dans quels contextes, pour quelles décisions, avec quelles données. Les systèmes à haut risque doivent en plus assurer une traçabilité complète (logs des décisions, des données d'entrée, des résultats).
Évaluation d'impact
Pour les systèmes à haut risque, vous devez réaliser une analyse d'impact sur les droits fondamentaux avant la mise en service. Cette évaluation doit identifier les risques potentiels pour les personnes concernées et les mesures de mitigation mises en place.
Formation des équipes
L'AI Act impose que les personnes qui utilisent des systèmes d'IA disposent d'un niveau suffisant de maîtrise de l'IA (article 4). Ce n'est pas une simple recommandation : c'est une obligation. Vos collaborateurs qui utilisent des outils IA doivent comprendre le fonctionnement de base, les limites et les risques de ces outils.
Les sanctions en cas de non-conformité
Le régime de sanctions de l'AI Act est dissuasif, à l'image de celui du RGPD. Les amendes sont calculées en fonction de la gravité de l'infraction :
- Pratiques interdites : jusqu'à 35 millions d'euros ou 7% du chiffre d'affaires annuel mondial
- Non-respect des obligations : jusqu'à 15 millions d'euros ou 3% du CA mondial
- Informations inexactes aux autorités : jusqu'à 7,5 millions d'euros ou 1% du CA mondial
Un point important pour les PME : le règlement précise que les sanctions doivent être proportionnées à la taille de l'entreprise. Les autorités de contrôle doivent tenir compte des circonstances spécifiques, notamment les ressources financières de l'entreprise et sa taille. Cela ne signifie pas que les PME échappent aux sanctions, mais que le montant sera adapté.
En France, c'est la CNIL qui sera l'autorité compétente pour le contrôle de l'AI Act, comme elle l'est déjà pour le RGPD. Elle a d'ailleurs déjà publié des guides et recommandations pour aider les entreprises à se préparer.
Comment se mettre en conformité concrètement
Inutile de paniquer, mais il est temps d'agir. Voici un plan d'action concret en cinq étapes pour votre PME.
Étape 1 : Auditer vos usages IA
Commencez par recenser tous les outils et systèmes utilisant l'IA dans votre entreprise. Pensez au-delà de l'évident : votre CRM intègre peut-être du scoring prédictif, votre outil RH fait du tri automatique de CV, votre chatbot utilise un modèle de langage, et vos agents IA autonomes prennent peut-être des décisions opérationnelles. Listez chaque usage, le fournisseur, les données traitées et les personnes impactées.
Étape 2 : Cartographier les niveaux de risque
Pour chaque système identifié, déterminez sa catégorie de risque selon la classification de l'AI Act. La majorité de vos outils relèveront probablement du risque minimal ou limité. Mais si vous utilisez l'IA pour des décisions qui affectent les droits des personnes (recrutement, crédit, accès à des services), vous êtes dans le haut risque.
Étape 3 : Documenter
Créez un registre de vos systèmes d'IA avec pour chacun : la description du système, sa catégorie de risque, les données utilisées, les personnes impactées, les mesures de supervision humaine et les coordonnées du fournisseur. Ce registre sera votre pièce maîtresse en cas de contrôle.
Étape 4 : Former vos équipes
Organisez des sessions de sensibilisation pour tous les collaborateurs qui utilisent des outils IA. L'objectif n'est pas de faire d'eux des experts, mais de s'assurer qu'ils comprennent les bases : ce qu'est l'IA, ce qu'elle fait bien, ses limites, et les risques associés. Documentez ces formations.
Étape 5 : Profiter des bacs à sable réglementaires
L'AI Act prévoit la création de bacs à sable réglementaires (regulatory sandboxes) au niveau national, spécifiquement conçus pour aider les PME. Ces dispositifs permettent de tester vos systèmes d'IA dans un cadre supervisé, avec l'accompagnement des autorités. En France, la CNIL travaille à la mise en place de ces bacs à sable. C'est une opportunité à saisir pour valider votre conformité à moindre coût.
L'avantage de l'auto-hébergement et du no-code
Face aux obligations croisées du RGPD et de l'AI Act, le choix de vos outils d'automatisation prend une dimension stratégique. C'est là que l'approche n8n auto-hébergé prend tout son sens.
Maîtrise complète des données
Avec n8n en auto-hébergement, vos données restent sur vos serveurs, en France ou dans l'UE. Vous n'avez pas à vous soucier de transferts de données vers des pays tiers (problématique RGPD) ni de la localisation du traitement IA (problématique AI Act). Vous savez exactement où sont vos données et qui y a accès.
Traçabilité native
L'interface visuelle de n8n offre une traçabilité naturelle de vos workflows. Chaque étape est visible, documentée et auditable. Quand l'AI Act vous demande de documenter comment vos systèmes d'IA prennent des décisions, un workflow visuel n8n est une réponse bien plus claire qu'un code opaque. Chaque exécution est journalisée avec les données d'entrée, les traitements effectués et les résultats produits.
Transparence des workflows visuels
Un workflow no-code est lisible par n'importe qui dans l'entreprise, pas uniquement par les développeurs. Cela facilite la supervision humaine exigée par l'AI Act : vos managers peuvent comprendre et valider les processus IA sans compétences techniques. Cela répond également à l'obligation de formation : il est plus facile de former des équipes sur un outil visuel que sur du code.
Conformité RGPD + AI Act combinée
En combinant n8n auto-hébergé avec une approche documentée, vous cochez simultanément les cases RGPD (maîtrise des données, registre des traitements, minimisation) et AI Act (documentation, traçabilité, transparence). Au lieu de gérer deux conformités séparées, vous construisez un socle commun. Pour aller plus loin sur le choix entre les plateformes, consultez notre comparatif n8n vs Zapier.