- Toute entreprise qui utilise un outil d'IA dans un cadre professionnel (pas uniquement celles qui développent de l'IA) est un « déployeur » au sens du règlement (UE) 2024/1689 et a déjà des obligations légales actives.
- La conformité est atteignable en cinq étapes concrètes : inventaire, classification, formation, documentation, veille.
- Deux obligations sont déjà en vigueur : l'article 4 (culture en matière d'IA) et l'article 5 (pratiques interdites), depuis le 2 février 2025.
- La plupart des PME peuvent réaliser les étapes 1 à 4 en moins d'une semaine avec un outil structuré, sans recourir à un cabinet juridique externe.
- Ce guide détaille chaque étape avec les preuves concrètes attendues par un régulateur ou un investisseur.
Si votre entreprise utilise un outil d'IA (chatbot, outil de présélection de recrutement, tableau de bord analytique, assistant de rédaction), elle est déjà soumise au règlement européen sur l'IA. La question n'est plus de savoir s'il faut s'y conformer, mais comment le faire efficacement. Ce guide découpe le processus en cinq étapes qu'une petite équipe peut réaliser sans service juridique dédié.
Selon le Baromètre France Num 2025 , 26 % des TPE/PME européennes utilisent déjà au moins un outil d'IA dans leurs opérations. La plupart n'ont pas encore documenté leurs obligations au titre de l'article 4, contraignant depuis le 2 février 2025.
Étape 1 : Recenser tous les outils d'IA utilisés par l'entreprise
La conformité commence par la visibilité. Impossible de classifier ou documenter un risque non identifié.
Ce qu'il faut recenser :
- Fonctionnalités d'IA intégrées aux logiciels déjà utilisés (scoring CRM, présélection ATS, détection de fraude, chatbots, génération de contenu, analyse prédictive)
- Outils d'IA adoptés de manière informelle par les équipes (ChatGPT, Copilot, Midjourney, etc.)
- Composants d'IA au sein de votre propre produit, si vous développez un logiciel
Qui interroger : ne vous fiez pas uniquement à la DSI ; sondez les responsables de chaque service (RH, ventes, marketing, opérations). L'adoption informelle d'outils d'IA (« shadow AI ») est fréquente.
Résultat de cette étape : un tableau simple listant le nom de l'outil, le service utilisateur, l'usage, et s'il traite des données personnelles. Cette base servira à toutes les étapes suivantes.
Étape 2 : Classifier le niveau de risque de chaque outil
Le règlement IA répartit les systèmes d'IA en niveaux de risque, et vos obligations augmentent avec le niveau.
| Niveau de risque | Exemples | Niveau d'obligation |
|---|---|---|
| Inacceptable (interdit) | Notation sociale, manipulation subliminale, surveillance biométrique de masse en temps réel dans l'espace public | Interdit depuis le 2 février 2025 |
| Haut risque | Scoring RH/recrutement, évaluation de crédit, identification biométrique, gestion d'infrastructures critiques | Obligations complètes (gestion des risques, documentation technique, surveillance humaine). Calendrier mis à jour par le Digital Omnibus finalisé (juin 2026) : systèmes de l'Annexe III d'ici le 2 décembre 2027 ; systèmes de l'Annexe I d'ici le 2 août 2028 |
| Risque limité | Chatbots, générateurs de deepfakes | Obligations de transparence : informer l'utilisateur qu'il interagit avec une IA |
| Risque minimal | Filtres anti-spam, prévision des stocks | Aucune obligation spécifique au-delà des dispositions générales |
Pour la plupart des PME, l'inventaire est dominé par des outils à risque limité ou minimal, avec une exposition à haut risque concentrée sur les fonctions RH/recrutement et crédit (précisément là où les erreurs de classification coûtent le plus cher).
Étape 3 : Documenter la formation Article 4 (culture en matière d'IA)
L'article 4 impose à tout déployeur de veiller à ce que le personnel utilisant des systèmes d'IA dispose d'une « culture suffisante en matière d'IA ». Cette obligation ne comporte aucune exemption de taille et s'applique à toute entreprise depuis le 2 février 2025.
À quoi ressemble une documentation adéquate :
- Une courte session de formation interne (30 à 60 minutes suffisent) portant sur les outils d'IA réellement utilisés
- Une feuille de présence avec la date de formation
- Une fiche d'une page par outil : ce qu'il fait, ses limites, et le contact en cas de doute
Les régulateurs n'attendent pas un programme de certification formel d'une entreprise de 15 personnes ; ils attendent la preuve que l'obligation a été prise au sérieux et appliquée proportionnellement à la taille de l'entreprise.
Étape 4 : Constituer le dossier de conformité
C'est le document que vous présenteriez à un régulateur, à un investisseur en due diligence, ou au service achats d'un grand compte. Il doit inclure :
- L'inventaire des outils d'IA (étape 1)
- La classification de risque de chaque outil (étape 2)
- Les preuves de formation Article 4 (étape 3)
- Une analyse d'écarts : quelles obligations ne sont pas encore remplies, et un calendrier de remédiation
- Pour tout outil à haut risque : documentation technique et plan de supervision humaine
Constituer ce dossier manuellement avec un cabinet juridique coûte généralement entre 5 000 et 30 000 € pour un premier engagement. Une plateforme de conformité structurée peut produire la même documentation (avec des citations précises de l'article de règlement à l'origine de chaque recommandation) en moins de deux minutes par outil, pour une fraction du coût.
Étape 5 : Assurer une veille réglementaire continue
Le règlement IA n'est pas figé. Les règlements d'exécution, les normes techniques (CENELEC, ETSI) et les orientations du Bureau européen de l'IA sont publiés en continu, et la proposition « Digital Omnibus » a finalisé les échéances des obligations à haut risque depuis mi-2026.
Une conformité exacte en janvier peut être incomplète au moment de votre prochain conseil d'administration. Le minimum recommandé est une revue trimestrielle de votre inventaire et de votre classification au regard des dernières orientations, idéalement automatisée par un outil qui signale les changements réglementaires pertinents pour les outils de votre inventaire, plutôt que de suivre chaque publication vous-même.
À qui cela s'applique-t-il : vérification rapide du périmètre
| Profil d'entreprise | Applicable ? |
|---|---|
| PME européenne utilisant un outil d'IA | Oui : obligations complètes du déployeur |
| Micro-entreprise (moins de 10 salariés) | Oui : aucune exemption générale de taille |
| Entreprise non européenne dont les résultats d'IA atteignent des utilisateurs de l'UE | Oui : portée extraterritorial au titre de l'article 2(1)(c)-(d) |
| Entreprise d'un pays candidat à l'UE (Balkans occidentaux, Ukraine, Moldavie) | Pas encore en droit interne, mais les investisseurs et acheteurs européens exigent de plus en plus des preuves d'alignement |
Point clé : Le règlement IA ne contient aucune exemption générale pour les PME ou micro-entreprises. Le Bureau européen de l'IA a publié des lignes directrices sur la proportionnalité, mais l'obligation elle-même n'est pas levée pour les petites structures.
Questions fréquentes
Themio.ai automatise les cinq étapes (inventaire des outils d'IA, classification des risques, documentation de la formation Article 4, analyse d'écarts et veille réglementaire continue) pour les PME européennes et les entreprises des pays candidats à l'UE. Analyse complétée en moins de deux minutes par outil, hébergement 100 % Europe, et citation de l'article de règlement précis derrière chaque recommandation.