- L'article 4 du règlement IA de l'UE (obligation de culture en matière d'IA) est en vigueur depuis le 2 février 2025. Toute PME utilisant des outils d'IA dans un contexte professionnel est déjà un « déployeur » soumis à des obligations (et pas uniquement les entreprises qui développent l'IA).
- Le marché propose désormais quatre catégories d'outils de conformité à l'AI Act, avec des différences substantielles en termes de périmètre, de tarification et d'adéquation aux PME européennes.
- La majorité des plateformes de gouvernance d'entreprise n'ont pas été conçues pour le cadre réglementaire européen ni pour les PME ; choisir la mauvaise catégorie crée une fausse sécurité et de vraies lacunes.
- Les critères clés pour les PME françaises : hébergement des données en Europe, couverture multi-réglementaire (AI Act + RGPD + NIS2 dans un seul workflow), tarification proportionnée à la taille de l'entreprise.
- Ce guide explique ce que chaque catégorie d'outil peut et ne peut pas faire, et comment identifier l'approche adaptée au profil réel de votre entreprise.
Si vos équipes utilisent un outil d'IA dans leur travail, le règlement européen sur l'IA vous est déjà applicable.
Ce n'est pas une échéance future ni une hypothèse théorique : c'est la position juridique actuelle au titre du règlement (UE) 2024/1689. Depuis le 2 février 2025, l'article 4 du règlement IA impose à toute organisation qui déploie des systèmes d'IA dans un contexte professionnel de veiller à ce que son personnel dispose d'une culture suffisante en matière d'IA : connaissance de ce que le système fait, de ce qu'il ne peut pas faire, de la manière d'interpréter ses résultats et des risques qu'il présente.
Un déployeur, au sens du règlement IA, est toute entreprise qui utilise un système d'IA dans un contexte professionnel. Si vos équipes utilisent un logiciel de recrutement avec notation automatisée, un assistant de génération de contenu, un chatbot de service client, un module d'analyse prédictive ou un ERP enrichi par l'IA, votre entreprise est un déployeur. Selon le Baromètre France Num 2025 , 26 % des TPE et PME européennes utilisent désormais au moins un outil d'IA dans leur activité. La majorité ignore que cela les place sous des obligations réglementaires contraignantes dès aujourd'hui.
La question pour la plupart des PME n'est donc plus de savoir si elles doivent se mettre en conformité, mais comment, et quels outils rendent cette conformité atteignable sans disposer d'un service juridique dédié.
Ce que le règlement IA impose dès maintenant aux PME déployeuses
Déjà en vigueur (2025) :
- Article 4 : Culture en matière d'IA (en vigueur depuis le 2 février 2025) : Tout déployeur doit veiller à ce que le personnel utilisant des systèmes d'IA dispose de connaissances suffisantes sur les capacités du système, ses limites et son utilisation appropriée. Aucune exemption liée à la taille de l'entreprise.
- Article 5 : Pratiques d'IA interdites (en vigueur depuis le 2 février 2025) : Certaines applications sont prohibées sans exception : systèmes de manipulation subliminale, d'exploitation des vulnérabilités, de notation sociale de masse. Mise à jour (juin 2026) : cette liste comprend désormais également une interdiction totale à l'échelle de l'UE des applications de type "nudifier" et du matériel d'abus sexuel sur enfants généré par IA (systèmes qui créent des images, vidéos ou audios intimes ou sexuellement explicites non consentis d'une personne identifiable, ou CSAM), ajoutée dans le cadre du paquet législatif "Digital Omnibus" approuvé par le Parlement européen (16 juin 2026) et le Conseil (29 juin 2026). Les fournisseurs et les déployeurs ont jusqu'au 2 décembre 2026 pour mettre les systèmes existants en conformité. Ces interdictions s'appliquent à toutes les entreprises.
- Chapitre V : Modèles d'IA à usage général (en vigueur depuis le 2 août 2025) : Règles applicables aux entreprises qui développent des applications sur la base de modèles fondationnels (GPT, Claude, Gemini, Mistral, etc.).
À venir (2027–2028) :
Obligations complètes pour les systèmes d'IA à haut risque (articles 9–15, 26) : Gestion des risques, documentation technique, gouvernance des données, surveillance humaine obligatoire, pour les déployeurs d'IA dans des catégories à haut risque (recrutement et gestion RH, évaluation de la solvabilité, identification biométrique, gestion d'infrastructures critiques, éducation et formation professionnelle, accès aux services essentiels). Mise à jour (juin 2026) : l'échéance initiale du 2 août 2026 ne s'applique plus. Sous le paquet finalisé "Digital Omnibus sur l'IA" (approuvé par le Parlement européen le 16 juin 2026 et validé définitivement par le Conseil le 29 juin 2026), les obligations suivent désormais un calendrier en deux étapes : les systèmes d'IA à haut risque autonomes (Annexe III) doivent s'y conformer d'ici le 2 décembre 2027, tandis que les systèmes d'IA à haut risque intégrés comme composants de sécurité dans des produits réglementés (Annexe I) ont jusqu'au 2 août 2028.
Pour une PME type n'opérant pas dans des catégories formellement classifiées comme à haut risque, la priorité 2025 est concrète : inventorier les outils d'IA en usage, documenter la formation Article 4, évaluer si un outil relève d'une catégorie à haut risque, et construire un dossier de conformité. Un outil de conformité devrait automatiser ces quatre étapes.
Périmètre géographique du règlement IA
| Profil | AI Act applicable ? | Notes |
|---|---|---|
| PME française ou européenne utilisant un outil d'IA | ✅ Oui | Obligations du déployeur : articles 4–5 et chapitre III |
| Entreprise EEE (Norvège, Islande, Liechtenstein) | ✅ Oui | AI Act intégré dans l'espace EEE via le Comité mixte de l'EEE |
| Entreprise non européenne dont les résultats d'IA sont utilisés dans l'UE | ✅ Oui | Portée extraterritoriale : article 2(1)(c)–(d) |
| Entreprise des pays candidats à l'UE (Balkans occidentaux, Ukraine, Moldavie) | ⚠️ Partiel | Non directement soumise sauf si les résultats atteignent le marché européen ; les investisseurs et acheteurs européens exigent de plus en plus des preuves d'alignement |
| SME dans l'UE n'utilisant aucun outil d'IA | ⚠️ Minimal | L'interdiction des pratiques d'IA interdites s'applique tout de même ; pas d'autres obligations actives |
| Micro-entreprise (moins de 10 salariés) | ✅ Oui | Aucune exemption générale ; proportionnalité applicable à certaines obligations uniquement |
Point clé : Le règlement IA ne prévoit pas d'exemption générale pour les TPE/PME. Le Bureau européen de l'IA a publié des lignes directrices sur la proportionnalité , mais l'obligation elle-même n'est pas levée pour les petites entreprises.
Les quatre catégories d'outils de conformité à l'AI Act
Le marché des outils de conformité à l'AI Act est encore en structuration. Les solutions disponibles se divisent en quatre catégories principales avec des profils de risque très différents pour les PME.
Catégorie 1 — Plateformes de gouvernance de l'IA pour grandes entreprises
Ces outils ont été conçus pour les grandes organisations disposant d'équipes dédiées à la gouvernance, au risque et à la conformité (GRC). Ils offrent des cadres complets — registres de risques IA, inventaires de modèles, pistes d'audit, mais ils ont généralement été développés avant la finalisation du règlement IA européen, affichent des tarifs d'entreprise (15 000 à 80 000 €+ par an), nécessitent un déploiement technique important et stockent fréquemment les données hors d'Europe.
Convient à :
Grandes entreprises (500+ salariés) disposant d'équipes conformité dédiées et de portefeuilles d'IA complexes.
Non adapté :
PME ayant besoin d'une couverture rapide et pratique sans infrastructure ni déploiement technique lourd.
Catégorie 2 — Outils de conformité RGPD-first
Une catégorie mature, conçue principalement pour la conformité RGPD : registre des traitements (ROPA), gestion du consentement, traitement des demandes d'exercice des droits, notification des violations. Plusieurs acteurs ajoutent des modules AI Act, mais l'infrastructure RGPD et l'infrastructure AI Act répondent à des questions fondamentalement différentes.
Convient à :
PME dont la priorité immédiate est le RGPD (consentement, cartographie des traitements, gestion des demandes d'exercice des droits).
Limite :
La seule couverture RGPD is insuffisante pour la conformité AI Act. Une PME soumise aux deux réglementations a besoin des deux frameworks, idéalement dans un seul outil. La plupart des outils RGPD ne proposent pas encore de classification des risques IA, de documentation de la formation article 4, ou de l'analyse multi-réglementaire simultanée requise par l'environnement actuel.
Catégorie 3 — Plateformes multi-réglementaires nées en Europe
Une nouvelle catégorie de plateformes construites spécifiquement pour l'environnement réglementaire européen 2024–2027. Plutôt que d'adresser une seule réglementation en profondeur, elles analysent la situation d'une entreprise simultanément au regard de plusieurs obligations (AI Act, RGPD, NIS2), en identifiant les interactions et les dépendances que les outils mono-réglementation manquent.
Différenciateurs structurels clés : hébergement 100 % Europe (aucune donnée ne quitte l'UE), IA explicable (chaque recommandation cite le numéro d'article correspondant, ce qui la rend défendable devant un régulateur), workflows calibrés pour les PME (conçus pour des entreprises sans direction juridique dédiée), et veille réglementaire continue (mises à jour au fil de la publication des règlements d'application et des normes techniques).
Themio appartient à cette catégorie : couverture de 37 pays (UE, EEE et pays candidats), analyse en moins de 2 minutes, zéro hallucination : chaque résultat est ancré dans le texte réglementaire de référence. La CNIL, l'ANSSI et l'AMF sont également référencées dans les recommandations applicables aux entreprises françaises.
Convient à :
PME françaises et européennes gérant plusieurs obligations réglementaires simultanément ; fondateurs devant démontrer leur conformité à des investisseurs européens ; entreprises des pays candidats préparant leur alignement.
Limite :
Ne se substitue pas au conseil juridique pour les décisions de classification à haut risque qui requièrent une validation formelle par un avocat.
Catégorie 4 — Conseil juridique externe et approche manuelle
Engagement d'un cabinet d'avocats ou d'un cabinet de conseil spécialisé pour réaliser un audit formel AI Act. C'est l'approche la plus défendable et la seule à recommander pour les entreprises confrontées à un contrôle réglementaire formel ou déployant de l'IA dans des catégories clairement à haut risque.
En France, les cabinets spécialisés facturent généralement entre 5 000 et 30 000 € pour un programme de conformité AI Act initial, avec des coûts de suivi récurrents significatifs.
Convient à :
Entreprises avec des déploiements d'IA à haut risque confirmés ; entreprises faisant l'objet d'un contrôle réglementaire ; situations nécessitant un avis juridique formel (pour des assurances, des contrats de grande envergure, ou des due diligences d'investisseurs).
Non optimal pour :
Évaluation initiale des obligations standard du déployeur pour la PME type.
Cinq critères pour distinguer les outils efficaces des outils insuffisants
- Hébergement des données en Europe. La documentation de conformité contient des informations sensibles sur vos systèmes internes et vos analyses de risques. Elle doit impérativement être hébergée sur infrastructure européenne. Vérifiez systématiquement : quel prestataire cloud ? Quelle région ? Demandez un DPA conforme au RGPD.
- Couverture multi-réglementaire. Toute entreprise soumise à l'AI Act l'est très probablement aussi au RGPD (les systèmes d'IA traitent des données personnelles) et potentiellement à NIS2. Un outil couvrant l'AI Act seul crée des lacunes dès le premier jour.
- Recommandations explicables et sourcées. Chaque recommandation doit référencer l'article précis et le règlement d'où elle découle. Un résultat de conformité que vous ne pouvez pas tracer jusqu'à sa source n'est pas un résultat de conformité — c'est une liste de contrôle indéfendable devant la CNIL ou l'ANSSI.
- Périmètre et tarification proportionnés. Un workflow de conformité PME doit être fondamentalement différent d'un workflow grand groupe. Si l'outil suppose par défaut une grande équipe juridique, un portefeuille IA complexe et des mois de déploiement, il n'est pas adapté.
- Mise à jour réglementaire continue. Les règlements d'exécution, standards techniques (CENELEC, ETSI) et orientations du Bureau européen de l'IA sont publiés en continu. Votre conformité d'aujourd'hui peut être incomplète dans six mois sans un outil qui évolue avec la réglementation.
Cadre de décision par profil d'entreprise
| Situation | Approche recommandée |
|---|---|
| PME de l'UE utilisant des outils d'IA, sans évaluation préalable | Plateforme multi-réglementaire native UE (Catégorie 3). Analyse des écarts + documentation Article 4 + inventaire IA. Coût typique : 500 à 2 500 €/an. |
| PME de l'UE avec RGPD en place, ajoutant l'AI Act | Ajouter une brique native AI Act à l'existant, ou migrer vers une plateforme multi-réglementaire pour consolider. |
| Entreprise déployant de l'IA en recrutement, notation de crédit ou autres catégories à haut risque | Plateforme Catégorie 3 pour l'évaluation initiale, puis cabinet d'avocats pour la validation formelle de la classification à haut risque. |
| Entreprise hors UE dont les résultats d'IA atteignent des utilisateurs de l'UE | L'AI Act s'applique. Prioriser les obligations de fournisseur (documentation technique, transparence, évaluation de conformité). Plateforme de catégorie 3 + revue juridique. |
| Entreprise dans les Balkans occidentaux, l'Ukraine ou la Moldavie | L'AI Act ne s'applique pas encore à l'échelle nationale, mais les investisseurs et acheteurs européens exigent des preuves d'alignement. Lancer l'analyse d'écarts avec une plateforme Catégorie 3. |