Le Règlement européen sur l'intelligence artificielle (AI Act), entré en vigueur en 2024, constitue la première grande tentative mondiale de régulation du développement et de l'usage des systèmes d'IA. Pensé dès le départ avec une attention particulière aux PME, ce texte offre à la fois des opportunités et des obligations qu'il convient de comprendre.
Une réglementation pensée pour les petites structures
Le texte mentionne les PME 38 fois (contre 7 pour le mot « industrie »). Les microentreprises, startups et TPE sont donc clairement dans le viseur du législateur européen – mais dans une logique de souplesse plus que de sanction.
Les mesures spécifiques incluent :
- Des sandboxes réglementaires (espaces d'expérimentation) : chaque État membre doit mettre en place au moins un bac à sable d'ici 2026, accessible en priorité et gratuitement pour les PME. Ces espaces permettent de tester des IA dans des conditions réelles, sous supervision, sans risquer d'amendes administratives.
- Des frais réduits et proportionnés pour les évaluations de conformité.
- Une documentation simplifiée pour les petites structures, acceptée par les autorités nationales.
- Des programmes de formation et des canaux dédiés d'accompagnement pour comprendre et appliquer la loi.
Des obligations ajustées selon la taille des entreprises
L'AI Act applique le principe de proportionnalité. Autrement dit, plus l'entreprise est petite, plus les obligations sont allégées.
C'est notamment le cas pour :
- Les fournisseurs de modèles d'IA à usage général (comme ceux qui écrivent, codent ou résument des textes).
- Les modèles présentant un risque systémique (puissance de calcul extrême, impacts potentiels sur la santé publique, les droits fondamentaux ou la société). Ces derniers doivent répondre à des obligations strictes : évaluation des risques, tests, cybersécurité renforcée, etc.
Mais pour la grande majorité des PME, ce qui compte, ce n'est pas la puissance du modèle d'IA, mais l'usage prévu de leur solution. L'entreprise devra se positionner dans l'une des trois catégories de risque de l'AI Act :
- Systèmes interdits
- Systèmes à haut risque
- Systèmes avec obligations de transparence spécifiques
À quoi les entreprises doivent-elles faire attention ?
Voici quelques conseils de vigilance pour ne pas tomber dans les pièges courants :
- Ne pas sous-estimer la catégorisation de son système : certaines fonctionnalités banales (ex. : tri automatique de CV, diagnostic assisté) peuvent basculer en « haut risque ».
- Anticiper la documentation : même simplifiée, elle nécessite une certaine rigueur et doit être construite dès les premières étapes du projet.
- Séparer fournisseur et utilisateur final : même si vous intégrez un modèle développé par un tiers (comme GPT-4o, Mistral ou Gemini), vous pouvez être considéré comme responsable du système final.