Vous dirigez une PME. Vous n'avez pas de juriste spécialisé en droit du numérique, pas de Chief AI Officer, et probablement pas de DPO à temps plein. Et vous entendez parler de l'AI Act depuis des mois sans savoir précisément ce qu'il implique pour vous. Ce guide vous permet d'identifier vos obligations réelles en moins de 15 minutes — et de savoir par où commencer.
La première erreur à ne pas commettre : croire que vous n'êtes pas concerné
Selon le Baromètre Privacy 2026, 48 % des organisations n'ont pas identifié leurs systèmes d'IA au sens du règlement, et 32 % supplémentaires n'ont réalisé qu'une cartographie partielle sans analyse de risque. La raison principale : la conviction que l'AI Act ne concerne que les éditeurs de logiciels et les grandes entreprises technologiques.
C'est faux. En tant que déployeur — c'est-à-dire en tant qu'entreprise qui utilise un système IA dans ses processus métier, même si elle l'a acheté sur étagère — vous avez des responsabilités opérationnelles réelles. Et ces responsabilités s'appliquent dès aujourd'hui pour certaines obligations, et au plus tard en août 2026 pour les plus importantes.
Un « système d'IA » au sens de l'AI Act n'est pas forcément un logiciel développé sur mesure avec des algorithmes complexes. C'est tout système qui, à partir de données d'entrée, génère des sorties (recommandations, décisions, prédictions) susceptibles d'affecter des personnes physiques. Votre outil de tri de CV, votre système de scoring crédit ou votre chatbot de service client peuvent tous entrer dans cette définition.
Le test en trois questions : êtes-vous concerné par les obligations haut risque ?
Question 1 : votre entreprise utilise-t-elle un logiciel ou un service intégrant de l'intelligence artificielle ? Cela inclut les outils de tri de CV, les chatbots de service client, les outils de scoring crédit, les systèmes de recommandation, les outils d'analyse prédictive, et même les fonctionnalités IA intégrées dans vos logiciels métier (CRM, ERP, outils RH).
Question 2 : ce système est-il utilisé dans l'un des huit domaines de l'Annexe III de l'AI Act ? Recrutement, évaluation de crédit, éducation, santé, infrastructures critiques, application de la loi, migration, justice.
Question 3 : les décisions produites par ce système affectent-elles significativement les droits ou la situation de personnes physiques — salariés, candidats, clients ?
Si vous répondez oui à ces trois questions, vous êtes concerné en tant que déployeur d'un système à haut risque. Vos obligations sont concrètes et vérifiables.
Vos cinq obligations de déployeur
1. Vérifier la conformité de votre fournisseur. Demandez à votre fournisseur sa documentation technique, son évaluation de conformité et son marquage CE. S'il ne peut pas les produire, c'est un signal d'alerte majeur — et une exposition juridique pour votre entreprise.
2. Maintenir une supervision humaine effective. Désignez les personnes habilitées à comprendre, contester et contredire les recommandations du système, et documentez cette procédure.
3. Documenter vos usages. Quels processus utilisent le système, quelles données sont traitées, quelles décisions en découlent. Cette documentation est vérifiable lors d'un contrôle.
4. Informer les personnes concernées. Salariés, candidats, clients doivent savoir qu'un système IA intervient dans les décisions qui les concernent.
5. Signaler les incidents graves. Tout dysfonctionnement ayant un impact sur la santé, la sécurité ou les droits des personnes doit être signalé aux autorités compétentes.
Plan d'action à 30 jours : concret, séquencé, faisable
Semaine 1 : dressez la liste de tous les outils IA utilisés dans votre organisation, y compris informellement (Shadow AI). 80 % des organisations n'ont pas cette vision claire.
Semaine 2 : pour chaque outil, vérifiez s'il entre dans le périmètre haut risque en utilisant le test des trois questions.
Semaine 3 : contactez vos fournisseurs pour obtenir leur documentation de conformité AI Act. Trois questions suffisent : votre système est-il classé haut risque ? Disposez-vous d'une évaluation de conformité ? Pouvez-vous nous fournir la documentation technique requise ?
Semaine 4 : formalisez votre supervision humaine et informez les personnes concernées. Si vous avez un DPO, associez-le à la démarche : l'articulation RGPD/AI Act est un facteur clé de succès.
Le Diag Data IA de Bpifrance, financé à 50 %, est une mission d'accompagnement délivrée par un expert qui peut vous aider à structurer cette démarche. Le programme France 2030 IA Clusters dispose de 360 millions d'euros pour soutenir la montée en compétences. N'attendez pas un contrôle pour agir : la mise en conformité proactive est toujours moins coûteuse qu'une mise en conformité sous contrainte.