L’EU AI Act entre en application progressive dès février 2025. Les PME françaises qui utilisent déjà des outils de scoring, de recrutement ou de génération de contenu risquent des amendes allant jusqu’à 7 % de leur chiffre d’affaires.
La majorité des dirigeants ignore encore si leurs outils actuels sont classés « haut risque ». Ils continuent à les déployer sans documentation ni contrôle humain obligatoire.
Voici une méthode précise pour cartographier, classer et sécuriser vos usages sans cabinet de conseil.
Listez tous les outils IA en une seule matinée
Organisez un atelier de 90 minutes avec les cinq managers clés. Demandez à chacun de remplir un tableau simple : nom de l’outil, usage précis, données traitées, fréquence d’utilisation.
Vous découvrirez en moyenne entre 7 et 14 outils différents dans une PME de 40 à 120 personnes. ChatGPT, Copilot, outils de parsing de CV, logiciels de pricing dynamique, générateurs de posts LinkedIn : tout doit apparaître.
Notez aussi les outils cachés utilisés par un seul collaborateur. Ces usages non déclarés représentent le principal risque de non-conformité.
Classez chaque usage selon les 4 niveaux de risque
L’AI Act définit quatre catégories : inacceptable, haut risque, risque limité, risque minimal.
Les systèmes interdits (catégorie inacceptable) incluent le scoring social ou la reconnaissance émotionnelle sur le lieu de travail. Supprimez-les immédiatement.
Les systèmes à haut risque concernent le recrutement, l’évaluation des performances, l’accès au crédit ou la priorisation des candidatures. Si vous utilisez un outil qui analyse des CV ou qui classe automatiquement les commerciaux, il tombe dans cette catégorie.
Pour ces usages, l’AI Act exige une évaluation des risques, un contrôle humain obligatoire, une traçabilité des décisions et une documentation technique complète.
Les chatbots et générateurs de texte sont à risque limité : ils doivent simplement informer l’utilisateur qu’il interagit avec une IA.
Créez votre registre des systèmes IA
Construisez un document unique qui recense chaque usage, son niveau de risque, le fournisseur, le lieu de stockage des données et le responsable interne.
Mettez ce registre à jour tous les trimestres. Il deviendra votre preuve de bonne foi en cas de contrôle.
Les autorités françaises (DGCCRF et CNIL) commenceront les premiers contrôles en 2026. Un registre tenu à jour réduit drastiquement le risque d’amende.
Pour les usages haut risque, ajoutez une ligne « contrôle humain » et nommez la personne qui valide les décisions automatisées. Cette simple mention vous met déjà en avance sur 80 % des PME.
Exigez la documentation de conformité de vos fournisseurs
Envoyez un email type à tous vos éditeurs d’IA actuels avec trois questions précises :
- Pouvez-vous fournir les fiches techniques exigées par l’AI Act ?
- Où sont stockées les données de nos salariés et clients ?
- Votre outil est-il classé haut risque et avez-vous réalisé l’évaluation de conformité ?
Les fournisseurs américains historiques répondent souvent de manière évasive. Ceux qui ne fournissent pas la documentation technique vous exposent directement.
Privilégiez les solutions européennes comme Mistral, qui intègrent dès la conception les exigences de transparence et de souveraineté des données. Le choix d’un modèle souverain réduit vos risques juridiques tout en maintenant des performances comparables.
Intégrez des garde-fous opérationnels dès maintenant
Pour chaque usage à risque limité, imposez le watermarking automatique des contenus générés. Ajoutez une mention visible : « Ce texte a été assisté par IA ».
Pour les usages haut risque, définissez un processus clair : l’IA propose, l’humain valide et signe. Conservez la trace de cette validation pendant 3 ans.
Formez vos managers en une session de 2 heures. Expliquez les obligations sans entrer dans le jargon juridique. Donnez-leur la responsabilité de signaler tout nouvel outil avant son déploiement.
Ces garde-fous ne ralentissent pas l’adoption. Ils la sécurisent.
La plupart des PME qui agissent maintenant gagneront un avantage concurrentiel. Elles pourront continuer à déployer de nouveaux cas d’usage pendant que leurs concurrents resteront bloqués par l’incertitude réglementaire.
L’AI Act n’interdit pas l’innovation. Il oblige simplement à la rendre traçable et responsable.
Commencez la semaine prochaine par l’atelier de recensement. Trois semaines plus tard, vous disposerez d’une vision claire et d’un plan d’action priorisé.
Essayez PilotCrew gratuitement pendant 14 jours.
