Accueil
IA Act
IA Act IA Benchmark
Produit Tarifs Équipe Baromètre
Règlement (UE) 2024/1689 · En vigueur

L'AI Act s'applique à votre PME.
Voici ce que vous devez savoir — et faire.

L'AI Act européen est le premier cadre réglementaire mondial dédié à l'intelligence artificielle. Il concerne toute organisation qui utilise un outil IA en Europe — y compris un logiciel SaaS tiers. Themio identifie vos obligations et structure votre mise en conformité, sans juriste interne.

Rejoindre la liste d'attente → Voir comment Themio classifie vos systèmes IA →
L'essentiel en 4 points

Approche par les risques

4 niveaux de classification : Inacceptable, Haut, Limité, Minimal. Votre niveau détermine vos obligations exactes.

Toute PME est concernée

Si vous utilisez un outil tiers avec IA, vous êtes "déployeur" et portez des obligations de conformité.

Nouvelle échéance : 2 décembre 2027

Le délai de conformité des systèmes à haut risque est prolongé au 2 décembre 2027. La conformité reste obligatoire, seul le calendrier change.

Amendes jusqu'à 7% du CA mondial

En cas de violation des interdictions (systèmes à risque inacceptable), les sanctions sont immédiates et sévères.
Qu'est-ce que l'AI Act ?

AI Act, RIA, Règlement (UE) 2024/1689 : un seul texte, trois noms

L'IA Act — aussi appelé RIA (Règlement sur l'Intelligence Artificielle) ou Règlement (UE) 2024/1689 — est la législation européenne qui encadre le développement et l'utilisation des systèmes d'intelligence artificielle au sein de l'Union européenne. Publié en août 2024, il constitue le premier cadre réglementaire mondial dédié à l'IA.

Son objectif est double : garantir une IA digne de confiance, respectueuse des droits fondamentaux et de la vie privée — tout en préservant l'espace pour l'innovation. En légiférant en premier, l'Europe prend une avance stratégique mondiale sur ce sujet.

À retenir

  • IA Act = AI Act = RIA = Règlement (UE) 2024/1689 — un seul texte
  • En France, la CNIL et les administrations utilisent l'acronyme RIA
  • Application progressive de février 2025 à août 2027
Qui est concerné ?

Votre PME est concernée — même si vous n'avez pas développé l'IA vous-même

Le règlement s'applique à toute organisation qui développe OU utilise un système d'intelligence artificielle en Europe. Selon la définition officielle, un système IA est tout système automatisé capable de générer des prédictions, recommandations, décisions ou contenus ayant un impact sur un environnement réel ou numérique.

Concrètement : un logiciel SaaS intégrant une fonctionnalité IA entre dans le champ du règlement dès lors qu'il influence une décision ou automatise un traitement — même si vous n'avez pas écrit une ligne de code.

Fournisseur ou déployeur : quelle différence ?

Fournisseur Déployeur
Développe ou met sur le marché un système IA Utilise un système IA développé par un tiers
Ex : éditeur d'un outil de scoring RH automatisé Ex : PME utilisant ce même outil pour recruter
Obligations maximales — documentation, conformité, enregistrement Obligations de vérification, de surveillance et de transparence
Peu de PME dans cette catégorie La grande majorité des PME sont déployeurs

À noter : Si votre PME utilise un CRM avec scoring IA, un outil de recrutement automatisé ou un chatbot décisionnel, vous êtes déployeur — et vous avez des obligations.

L'approche par les risques

Les 4 niveaux de classification de l'AI Act

Niveau 1 : Risque inacceptable
INTERDIT — EN VIGUEUR DEPUIS FÉVR. 2025

Systèmes interdits : sanctions immédiates

Les systèmes IA à risque inacceptable sont strictement interdits depuis le 2 février 2025. Ils sont incompatibles avec les droits fondamentaux européens.

Sont notamment interdits :

  • Les systèmes de manipulation subliminale influençant un comportement sans que l'utilisateur en ait conscience
  • La notation sociale (scoring comportemental d'individus)
  • La reconnaissance biométrique en temps réel dans l'espace public (sauf exceptions sécurité publique très encadrées)
  • Les systèmes exploitant la vulnérabilité de certains publics
Alerte : Si votre organisation utilise l'un de ces systèmes, l'exposition aux sanctions est immédiate. Il n'y a pas de phase de transition — l'interdiction est en vigueur.
Niveau 2 : Haut risque
OBLIGATIONS RENFORCÉES — NOUVELLE ÉCHÉANCE : 2 DÉCEMBRE 2027

Systèmes à haut risque : conformité obligatoire avant le 2 décembre 2027

Mise à jour mai 2026 : suite à l'accord Digital AI Omnibus du 7 mai 2026, l'échéance de conformité pour les systèmes à haut risque (Annexe III) a été repoussée d'août 2026 au 2 décembre 2027. L'adoption formelle est attendue avant fin juillet 2026. Le délai est prolongé — les obligations, elles, demeurent.

C'est le niveau le plus structurant pour les PME et les ETI. Il couvre des usages déjà déployés dans de nombreuses fonctions métiers. Le règlement identifie 8 domaines à haut risque (Annexe III) :

Domaine Exemple concret pour une PME
Recrutement & RH Tri automatisé de CV, scoring de candidats
Crédit & assurance Scoring financier ou évaluation de solvabilité
Santé Aide au diagnostic médical automatisée
Éducation Évaluation automatisée des apprenants
Infrastructure critique Gestion d'énergie ou transport automatisée
Justice Aide à la décision judiciaire
Forces de l'ordre Systèmes de surveillance automatisée
Migration Contrôle automatisé aux frontières

Quelles obligations s'appliquent à votre entreprise avant décembre 2027 ?

  • Documentation technique complète du système IA
  • Évaluation de conformité avant mise en service
  • Enregistrement dans la base européenne des systèmes IA à haut risque
  • Surveillance humaine effective et traçable
  • Analyse d'impact sur les droits fondamentaux (FRIA) — applicable aux organismes publics et opérateurs de services essentiels

Bonne nouvelle pour les PME : l'Omnibus étend les simplifications prévues pour les PME aux small mid-caps (< 750 salariés, < 150 M€ de CA), avec des modèles de documentation allégés et un accès prioritaire aux bacs à sable réglementaires.

L'alerte PME : Si vous utilisez un outil de tri de CV automatisé, un scoring de crédit ou tout système d'évaluation automatisée dans vos processus RH ou financiers, vous êtes concerné. Themio détermine votre niveau de risque en quelques minutes.
Niveau 3 : Risque limité
OBLIGATIONS DE TRANSPARENCE

Systèmes à risque limité : informer les utilisateurs

Ces systèmes ne présentent pas de risque structurel majeur, mais doivent respecter des obligations de transparence. Les utilisateurs doivent être informés qu'ils interagissent avec une IA.

Exemples :

  • Chatbots et assistants conversationnels
  • Outils de génération de contenu (texte, image)
  • Systèmes de recommandation commerciale
Obligation principale : Informer clairement l'utilisateur qu'il interagit avec une IA — notamment sur votre site web, votre application ou votre service client (Article 50). Évaluez votre conformité Article 50 en 3 minutes →
Niveau 4 : Risque minimal
AUCUNE OBLIGATION SPÉCIFIQUE

Systèmes à risque minimal : usage libre

La majorité des applications IA grand public entrent dans cette catégorie. Elles ne sont soumises à aucune obligation réglementaire spécifique de l'AI Act, bien que le RGPD et d'autres réglementations puissent s'appliquer par ailleurs.

Exemples :

  • Filtres anti-spam
  • Outils de traduction automatique standard
  • Recommandations de contenu non décisionnelles
Calendrier d'application

Calendrier de l'AI Act : les échéances à ne pas manquer

Date Obligation Statut
Août 2024 Publication du règlement au Journal Officiel de l'UE
Effectif
Février 2025 Interdiction des systèmes à risque inacceptable (Niveau 1)
En vigueur
Août 2025 Obligations pour les modèles d'IA à usage général (GPAI)
En vigueur
Juillet 2026 (attendu) Adoption formelle du Digital AI Omnibus — confirmation des nouvelles échéances
En cours
Août 2026 → Déc. 2027 Conformité obligatoire pour les systèmes à haut risque Annexe III (RH, crédit, éducation…)
Reporté
Août 2027 → Août 2028 Application complète — systèmes à haut risque Annexe I (dispositifs médicaux, machines…)
Reporté

Nous sommes en juin 2026. L'accord politique du Digital AI Omnibus (7 mai 2026) a repoussé l'échéance principale à décembre 2027 — mais l'adoption formelle est imminente et les obligations ne disparaissent pas. C'est la fenêtre idéale pour démarrer votre mise en conformité sans pression de dernière minute. Themio détermine votre niveau de risque en quelques minutes.

Ce que Themio fait pour vous

Themio automatise votre mise en conformité AI Act — sans juriste interne

L'AI Act impose un processus de conformité structuré : classifier vos systèmes, documenter vos obligations, produire des preuves pour le régulateur. Themio transforme ce processus en workflow automatisé.

Classification de vos systèmes IA

Themio détermine le niveau de risque de chaque système IA que vous utilisez ou déployez — via un moteur de règles déterministe, pas un chatbot qui devine. Résultat : Inacceptable, Haut, Limité ou Minimal, avec l'explication article par article.

Résultat auditable, explicable, citable devant un régulateur

Cartographie de vos obligations exactes

Une fois votre niveau de risque établi, Themio liste les obligations précises qui s'appliquent à vous — selon votre rôle (fournisseur ou déployeur), votre secteur et vos systèmes. Pas de liste générique. Vos obligations, liées à l'article applicable.

Plan d'action priorisé, exportable en PDF

Génération de vos documents de gouvernance

Plans de gestion des risques, politiques de gouvernance IA, registres de systèmes, notices de transparence — générés automatiquement et prêts à présenter à votre régulateur ou vos investisseurs.

Prêt pour l'audit dès le premier jour
FAQ

Questions fréquentes sur l'AI Act et la conformité des PME

Qu'est-ce que l'AI Act et à qui s'applique-t-il ?
L'AI Act (Règlement UE 2024/1689) est la première législation mondiale encadrant l'utilisation de l'intelligence artificielle. Il s'applique à toute organisation qui développe ou utilise un système d'IA en Europe — y compris les PME qui utilisent un logiciel SaaS tiers intégrant des fonctionnalités IA. Si votre entreprise est basée en UE ou si vous proposez des services à des utilisateurs en UE, vous êtes concerné.
Mon entreprise utilise ChatGPT ou un CRM avec IA — suis-je soumis à l'AI Act ?
Oui, potentiellement. Dès lors qu'un outil que vous utilisez remplit la définition d'un "système IA" selon le règlement (génération de prédictions, recommandations ou décisions automatisées), vous êtes considéré comme "déployeur" et avez des obligations. Le niveau de vos obligations dépend de la classification du système concerné (Haut risque, Limité ou Minimal). Voir comment Themio classifie vos systèmes en quelques minutes.
Quelles sont les sanctions en cas de non-conformité à l'AI Act ?
Les amendes varient selon la gravité de l'infraction. L'utilisation d'un système à risque inacceptable (interdit depuis février 2025) est passible d'une amende pouvant atteindre 35 millions d'euros ou 7% du chiffre d'affaires mondial annuel (le montant le plus élevé étant retenu). Les autres infractions sont sanctionnées jusqu'à 15 millions d'euros ou 3% du CA mondial. Pour les PME, des sanctions proportionnées sont prévues, mais l'obligation de conformité reste entière.
Quelle est la différence entre l'AI Act et le RGPD ?
Le RGPD encadre le traitement des données personnelles. L'AI Act encadre les systèmes d'intelligence artificielle. Les deux se superposent souvent : un système IA qui traite des données personnelles est soumis aux deux règlements simultanément. Themio analyse vos documents au regard des deux cadres dans le même audit, pour éviter les angles morts.
Comment déterminer si mon système IA est "à haut risque" ?
Le règlement définit 8 domaines à haut risque dans son Annexe III : recrutement et RH, crédit et assurance, santé, éducation, infrastructure critique, justice, forces de l'ordre, migration. Si votre organisation utilise un système IA dans l'un de ces domaines — même via un outil tiers — vous entrez probablement dans la catégorie haut risque. Themio détermine votre classification via un moteur de règles construit article par article, avec un résultat explicable et auditable.
Combien de temps faut-il pour être conforme à l'AI Act ?
Cela dépend du nombre de systèmes concernés et de leur niveau de risque. La première étape — classifier vos systèmes et identifier vos obligations — peut être réalisée avec Themio en quelques minutes. La mise en conformité complète (documentation, processus internes, gouvernance) prend généralement de quelques semaines à quelques mois selon la complexité de votre organisation. Avec l'échéance d'août 2026 pour les systèmes à haut risque, le moment d'agir est maintenant.

Identifiez vos obligations AI Act en moins de 2 minutes.

Themio classe vos systèmes IA, cartographie vos obligations article par article
et génère vos documents de gouvernance — sans juriste, sans cabinet de conseil.

Rejoindre la liste d'attente → Demander une démonstration

🔒 Hébergement EU · Données non partagées · Sans engagement