Cabinet de stratégie IA · 100 % remote · France & Europe
CHAPITRE 1 / 8 12 min de lecture Cadrage

Pourquoi l'IA Act
vous concerne.

Vous pensez peut-être : « Je n'ai pas développé d'IA, je ne suis qu'utilisateur de ChatGPT. Ça ne me concerne pas. »

C'est faux. Et ce chapitre va vous expliquer pourquoi, sans alarmisme, sans jargon juridique. Vous comprendrez à la fin exactement où vous vous situez dans le règlement.

1. Qu'est-ce que l'IA Act, en une phrase ?

L'IA Act (officiellement règlement (UE) 2024/1689, publié le 12 juillet 2024) est la première loi globale au monde qui encadre l'intelligence artificielle. Elle s'applique à tous les pays de l'Union européenne, y compris la France, et concerne tout système d'IA mis sur le marché ou utilisé sur le territoire européen, peu importe où il a été développé.

L'idée fondatrice est simple : plus un système d'IA peut causer de tort, plus ses obligations sont strictes. Un filtre anti-spam (faible risque) n'est pas traité comme un système de notation de candidats à un emploi (haut risque). Et un usage manifestement contraire aux droits fondamentaux (notation sociale par l'État, manipulation comportementale, biométrie temps réel non encadrée) est purement interdit.

Ce que la plupart des dirigeants ignorent : le règlement ne concerne pas que ceux qui développent l'IA. Il concerne aussi (et c'est crucial pour vous) ceux qui l'utilisent professionnellement. Et c'est là que la plupart des TPE et PME tombent, sans même le savoir.

2. Fournisseur ou déployeur : lequel êtes-vous ?

Le règlement distingue plusieurs rôles. Pour vous, deux comptent vraiment.

Le fournisseur

Le fournisseur (article 3, paragraphe 3) est celui qui développe un système d'IA ou le met sur le marché sous son nom. Exemples : OpenAI (qui développe ChatGPT), Anthropic (Claude), Google (Gemini), Mistral, mais aussi votre fournisseur de logiciel RH qui intègre une IA de tri de CV dans son produit.

Si vous n'avez pas développé un modèle IA en interne, vous n'êtes probablement pas fournisseur. Sauf si vous proposez à vos clients un service basé sur l'IA que vous avez ajusté significativement. Exemple : si vous prenez GPT-4 et que vous le revendez à vos clients sous votre marque avec un prompt spécialisé, la frontière devient floue. Dans le doute, considérez-vous comme déployeur.

Le déployeur

Le déployeur (article 3, paragraphe 4) est celui qui utilise un système d'IA dans le cadre de son activité professionnelle. Le règlement parle de "personne physique ou morale qui utilise un système d'IA sous sa propre autorité, sauf lorsque ce système est utilisé dans le cadre d'une activité personnelle non professionnelle".

Traduit en français courant : si vous utilisez l'IA au boulot, vous êtes déployeur. Si votre commercial utilise ChatGPT pour rédiger un email à un prospect, vous êtes déployeur. Si votre RH utilise un outil d'aide au tri de CV, vous êtes déployeur. Si votre service client a un chatbot, vous êtes déployeur.

Le déployeur a moins d'obligations que le fournisseur, mais il en a. Et ces obligations dépendent du niveau de risque du système (chapitre 2 du cours).

3. Les 4 mythes à oublier maintenant

Avant d'aller plus loin, balayons les mythes qui circulent et qui empêchent les dirigeants de TPE et PME d'agir.

Mythe 1 : « Je suis trop petit, je ne suis pas concerné. »

Faux. Le règlement ne fait pratiquement aucune distinction par taille d'entreprise pour les obligations principales. Une TPE de 3 salariés et un grand groupe sont logés à la même enseigne sur l'Article 50 (transparence) ou la tenue d'un registre interne. La seule exception : certaines obligations renforcées pour les systèmes à haut risque sont allégées pour les PME et microentreprises (article 56), mais ces allègements concernent surtout les fournisseurs, pas les déployeurs.

Mythe 2 : « Je n'utilise pas d'IA, j'utilise ChatGPT. »

C'est exactement la même chose. ChatGPT EST un système d'IA (et même un "modèle de fondation à usage général" au sens du règlement). Le copier-coller dans ChatGPT, c'est utiliser un système d'IA. Le règlement ne se soucie pas de votre niveau technique : il regarde si vous utilisez de l'IA pour des décisions ou productions professionnelles.

Mythe 3 : « C'est l'éditeur du logiciel qui est responsable, pas moi. »

Partiellement vrai, mais dangereux. Oui, OpenAI est responsable de la conception de ChatGPT. Mais vous êtes responsable de la manière dont vous l'utilisez. Si votre commercial envoie un email rédigé par IA à un prospect sans le mentionner, c'est votre entreprise qui viole l'Article 50, pas OpenAI. Si votre RH utilise ChatGPT pour évaluer un candidat sans transparence, c'est vous qui prenez le risque.

Mythe 4 : « C'est seulement applicable en 2027, j'ai le temps. »

Faux. Le règlement entre en vigueur par vagues. Les interdictions sont déjà applicables depuis le 2 février 2025. L'Article 50 (transparence) est applicable au 2 août 2026. Le calendrier complet est détaillé au chapitre 4 du cours, mais retenez : vous avez moins de temps que vous le pensez. Et surtout, vos clients B2B vont commencer à exiger des preuves de conformité dans leurs appels d'offres dès 2026.

4. Quatre exemples concrets de TPE/PME concernées

Pour ancrer tout ça dans le réel, voici quatre situations vues en accompagnement client. Si l'une vous parle, vous êtes concerné.

5. Le piège du « j'attends de voir »

Beaucoup de dirigeants de TPE et PME adoptent une posture d'attente : « Je vais voir comment ça se passe pour les autres avant de me lancer. » C'est compréhensible, mais c'est une mauvaise stratégie pour trois raisons.

Raison 1 : la pression vient des clients, pas des contrôles. Les contrôles CNIL/AI Office sur des TPE seront rares au début. En revanche, vos clients B2B (surtout les grands comptes) vont vous demander, dès 2026, des engagements de conformité dans leurs contrats. Si vous n'avez rien préparé, vous perdez des appels d'offres au profit de concurrents qui ont anticipé.

Raison 2 : la conformité de base est rapide à atteindre. Pour 80 % des TPE et PME en risque limité, on parle de 1 à 2 jours de travail répartis sur 2 à 4 semaines. Mettre une mention "généré avec l'aide de l'IA" sur les emails clients prend littéralement 5 minutes. Tenir un registre simple en fichier Excel prend 1 heure par mois. Ce n'est pas une montagne.

Raison 3 : agir maintenant, c'est se différencier. Vos concurrents qui anticipent la conformité vont la mettre en avant comme un argument commercial. « Notre cabinet est conforme à l'IA Act » sur un site web ou une plaquette commerciale, c'est un signal de sérieux qui rassure les clients en 2026. Attendre, c'est se faire dépasser.

6. Ce que vous allez apprendre dans la suite

Maintenant que vous savez que vous êtes concerné, les 7 chapitres suivants vous donnent exactement ce dont vous avez besoin pour vous mettre en conformité, sans jargon ni cabinet d'avocats.

  • Chapitre 2 : les 4 classes de risque expliquées simplement, avec des exemples pour identifier la vôtre
  • Chapitre 3 : l'Article 50, la transparence obligatoire, et comment l'appliquer en pratique
  • Chapitre 4 : le calendrier 2025-2027, les vagues d'application, vos jalons
  • Chapitre 5 : auto-évaluation pratique avec questionnaire pour situer votre PME
  • Chapitre 6 : le registre des modèles IA, template prêt à l'emploi
  • Chapitre 7 ⭐ : conformité pragmatique avec n8n auto-hébergé (page pilier)
  • Chapitre 8 : sanctions, contrôles, posture intelligente face à la CNIL

À la fin du cours, vous aurez : identifié votre niveau de risque, mis à jour vos conditions générales, formé vos équipes à la transparence client, démarré un registre simple, et compris comment n8n auto-hébergé peut vous éviter beaucoup d'obligations sur les sujets sensibles.

7. Action immédiate (5 minutes)

Avant de passer au chapitre 2, prenez 5 minutes pour faire ce qui suit. Cet exercice vous prépare aux chapitres suivants et vous donne une vision claire de votre exposition.

Cette liste sera la base de votre auto-évaluation au chapitre 5 et de votre registre au chapitre 6. Si vous l'avez maintenant, le reste du cours sera bien plus utile.

QUESTIONS FRÉQUENTES

Sur ce chapitre.

Comment savoir si je suis fournisseur ou simplement déployeur ?

Si vous achetez un abonnement ChatGPT Plus, Claude Pro, ou un logiciel SaaS qui intègre l'IA : vous êtes déployeur. Vous devenez fournisseur uniquement si vous prenez un modèle IA, l'ajustez significativement (fine-tuning, prompt engineering avancé combiné à du traitement de données) et le revendez ou le mettez à disposition sous votre marque. La frontière est fine, mais en pratique 95 % des TPE et PME sont uniquement déployeurs.

Et si j'ai un site web qui ne fait que du Google Analytics, suis-je concerné ?

Non, Google Analytics n'est pas un système d'IA au sens du règlement. Il fait du tracking et de l'analyse statistique, pas de l'IA au sens où la définit l'article 3. Vous devez en revanche respecter le RGPD pour le tracking, mais c'est une autre affaire.

Si je suis basé hors UE mais que j'ai des clients européens, je suis concerné ?

Oui. Le règlement est extra-territorial. Si le résultat de votre système d'IA est utilisé dans l'UE (votre client lit un email généré par IA à Paris), vous êtes concerné, peu importe où votre entreprise est domiciliée. C'est le même principe que le RGPD.

Mon avocat me dit que ce n'est pas urgent, qui croire ?

Votre avocat n'a probablement pas tort sur le fond juridique : les contrôles proactifs sur les TPE/PME seront rares au début. Mais il sous-estime l'effet client. Si vous travaillez en B2B, vos clients exigeront la conformité dans leurs contrats avant que la CNIL ne sonne à votre porte. Préparer la conformité maintenant prend peu de temps et vous protège commercialement. C'est moins du droit que de la stratégie.

Quelle différence entre l'IA Act et le RGPD ?

Ce sont deux règlements complémentaires. Le RGPD (2018) protège les données personnelles : qui collecte, dans quel but, combien de temps, avec quel consentement. L'IA Act (2024) encadre les systèmes d'IA : transparence, supervision, classes de risque, obligations selon l'usage. Concrètement, si vous utilisez ChatGPT avec des données clients, vous êtes concerné par les deux : le RGPD pour le traitement des données, l'IA Act pour la transparence sur l'usage IA.

← SOMMAIRE

Retour au sommaire du cours

CHAPITRE 2 →

Les 4 classes de risque expliquées simplement

Bientôt en ligne.

VOUS VOULEZ ÊTRE GUIDÉ ?

Audit conformité IA Act en 45 minutes.

45 minutes pour cartographier vos usages IA, identifier votre niveau de risque et repartir avec un plan d'action concret. Gratuit, sans engagement.

Réserver l'audit