Peut-être que vous utilisez déjà ChatGPT pour vos mails commerciaux. Peut-être que votre logiciel de comptabilité permet la « prédiction de trésorerie » grâce à un module. Peut-être que vous êtes client d'un prestataire RH qui fait un tri automatique des CV. Dans ces trois cas, il y a de l'intelligence artificielle sous le capot. Or, depuis février 2025, un règlement européen encadre son utilisation : l'IA Act.
Vous êtes dirigeant d'une TPE ou PME du Finistère ou plus largement de Bretagne ? Vous n'élaborez probablement pas d'IA, mais vous en utilisez, parfois sans le savoir. Nous voilà face à une date butoir : dès août 2026, l'essentiel des obligations prend effet, y compris celles sur les systèmes à haut risque. Le règlement fait 400 pages. Les commentaires qu'on en trouve sur les sites spécialisés sont rédigés par des juristes pour des juristes, avec la clarté d'un entonnoir. Il convient d'en extraire ce qui est essentiel quand on a une boîte à faire tourner.
Que retenir de l'IA Act ?
Un règlement européen, applicable dans tous les pays de l'Union sans transposition nationale. Il s'applique tel quel, en France comme partout en Europe. Son calendrier est échelonné :
- Février 2025 : interdiction des systèmes à risque élevé, obligation de formation (article 4)
- Août 2025 : obligations pour les systèmes d'IA à usage général (ChatGPT, Mistral…)
- Août 2026 : obligations complètes pour les systèmes à haut risque
Le principe : plus un système d'IA est risqué, plus les obligations sont contraignantes. Et le texte ne vise pas seulement les GAFAM, mais aussi toutes les entreprises qui achètent et utilisent ces outils au quotidien. Autrement dit, vous.
Êtes-vous « fournisseur » ou « déployeur » ?
Première question à se poser. Le fournisseur conçoit et met sur le marché un système d'IA. Le déployeur, lui, l'utilise dans le cadre d'un projet professionnel. Un éditeur de logiciels qui intègre du machine learning dans son application est fournisseur. Vous, qui utilisez ce logiciel pour gérer vos stocks ou trier des candidatures, êtes déployeur.
La majorité des TPE et PME bretonnes se classent dans la catégorie des déployeurs. Bonne nouvelle : les obligations sont moindres que pour les fournisseurs. Mais elles existent.
Attention tout de même : si vous modifiez en profondeur un outil d'IA, par exemple en le réentraînant sur vos propres données pour le revendre dans votre offre, vous devenez fournisseur et les obligations changent du tout au tout.
Les quatre niveaux de risque
L'IA Act classe les systèmes d'IA en quatre niveaux de risque. Tout le texte s'articule autour de cette grille.
| Niveau de risque | Ce que ça couvre | Conséquences |
|---|---|---|
| Interdit | Notation sociale, manipulation subliminale, reconnaissance faciale de masse | Utilisation interdite depuis février 2025 |
| Élevé | Tri de CV, scoring crédit, diagnostic médical assisté, gestion RH automatisée | Documentation, traçabilité, contrôle humain (août 2026) |
| Limité | Chatbots, générateurs de texte ou d'image | Obligation de transparence : dire que c'est une IA |
| Minimal | Filtres anti-spam, correcteurs orthographiques, jeux vidéo | Pas d'obligation spécifique |
Pour une TPE, le risque élevé ne concerne que les outils qui touchent aux ressources humaines et à la relation client automatisée. Le critère : dès qu'on traite de la donnée personnelle pour prendre ou suggérer une décision, on est dans le haut risque.
Ce que vous devez préparer d'ici août 2026
Certaines obligations sont déjà à appliquer. D'autres arrivent. Voici un calendrier réaliste pour une TPE qui veut être prête sans y passer des semaines.
Déjà en vigueur : les compétences
Les articles 4 et 5 du règlement sont d'application obligatoire depuis février 2025. Il n'est pas nécessaire que vos collaborateurs deviennent des data scientists, mais ils doivent comprendre les outils d'IA qu'ils utilisent : ce qu'ils font, ce qu'ils ne font pas, et à quel moment un humain doit reprendre la main. Concrètement, une heure de sensibilisation peut suffire pour commencer.
Déjà en vigueur : la transparence
Si l'outil d'IA interagit avec des clients, des candidats ou des salariés, ces personnes doivent en être informées. Un chatbot sur votre site internet ? Faites-le savoir. Un artisan brestois qui présente un assistant IA sur sa page de contact est tout autant concerné qu'une banque.
D'ici août 2026 : documenter les systèmes à haut risque
Pour les outils qui trient des CV, notent des collaborateurs ou attribuent des scores clients, il faudra garder une trace de ce que fait l'outil, sur quelles données il travaille, et qui dans votre organisation en est responsable. Un tableur peut faire l'affaire au début. L'idée n'est pas de monter une usine à gaz, mais de pouvoir répondre si on vous pose la question.
D'ici août 2026 : cartographier vos outils
Faites le tour de vos logiciels. Beaucoup d'entre eux intègrent de l'IA sans que vous ayez passé commande. Votre CRM, votre outil de facturation, votre plateforme e-commerce : envoyez un mail à chaque éditeur pour savoir s'il a intégré des fonctionnalités d'IA et dans quelle catégorie elles se situent. Ce recensement est la base de tout le reste. Si vous envisagez d'automatiser certaines tâches avec l'IA, c'est aussi le moment de vérifier la conformité de ces outils.
Comment réussir ses choix de fournisseur IA
Vous ne développez pas l'IA, vous l'achetez. Et cette responsabilité vous incombe. Voici les bonnes questions à poser à un prestataire avant de signer.
Demandez-lui dans quelle catégorie de risque se situe son outil. S'il évite de répondre, passez votre chemin. Un fournisseur sérieux a déjà fait cette analyse.
Posez la question de la destination de vos données. Sont-elles hébergées en Europe ? Utilisées pour réentraîner le modèle ? Récupérables en cas de changement de prestataire ? Le RGPD posait déjà ces questions, l'IA Act y ajoute une exigence de traçabilité sur ce que l'IA fait avec ces données.
Demandez une explication simple du fonctionnement. Le « syndrome de la boîte noire », ce flou où personne ne sait ce qui se passe à l'intérieur, n'est plus tenable réglementairement. Si votre prestataire est incapable de vous expliquer ce que fait son IA en des termes simples, c'est un signal d'alerte.
Côté contrat, assurez-vous que la répartition des responsabilités soit formalisée, que l'engagement de conformité à l'IA Act soit mentionné, et que les conditions de réversibilité soient prévues.
Ce qu'on fait chez Ecma-Tech
Avant même que le texte soit publié, on avait ces sujets de conformité en tête. À chaque fois qu'on développe une solution avec de l'IA, on pense à ces garde-fous dès la conception.
Un exemple concret. Sur SmartChat, un chatbot IA dédié au secteur automobile, on a affiché dès l'interface que l'utilisateur échange avec une intelligence artificielle. Pas parce qu'un juriste nous l'a demandé. Parce que cela nous a paru normal.
Sur Netto Drive, l'IA contribue à la création de fiches produits. Les données restent chez le client, le modèle ne s'en sert pas pour s'entraîner, et toute suggestion est validée manuellement avant mise en ligne. C'est exactement ce que requiert l'IA Act pour les systèmes à risque limité.
Pour une TPE du Finistère, collaborer avec un prestataire de proximité qui connaît ces enjeux évite les mauvaises surprises. On préfère passer une demi-journée à définir le périmètre d'un projet IA plutôt que reprendre un outil non conforme six mois après.
Les erreurs qu'on voit passer
On s'y cogne souvent, et l'IA Act va les rendre coûteuses.
« Ce n'est pas mon problème, je ne fais que l'utiliser. » Si. En tant que déployeur, vous êtes responsable de l'usage que vous faites de l'outil. Votre logiciel de recrutement discrimine des candidats et vous n'avez rien vérifié ? C'est sur vous que ça retombe.
Autre erreur fréquente : ignorer que votre prestataire a glissé de l'IA dans ses outils. Ça arrive de plus en plus. Des éditeurs ajoutent des modules IA sans prévenir clairement leurs clients. Si cet outil touche vos salariés ou vos clients, les obligations de déployeur s'appliquent quand même.
Et puis il y a ceux qui attendent août 2026 les bras croisés. Les premières obligations (formation, interdictions) sont déja en vigueur. Les sanctions peuvent grimper jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial. Les contrôles viseront d'abord les gros, mais la mise en conformité prend du temps. S'en préoccuper maintenant vaut mieux que de courir après dans cinq mois.
Questions fréquentes
L'IA Act concerne-t-il les TPE ou seulement les grandes entreprises ? Toute entreprise qui déploie un système d'intelligence artificielle dans un cadre professionnel est concernée, quelle que soit sa taille. Un artisan du Finistère intégrant un chatbot IA sur son site est concerné au même titre qu'un grand groupe. Les obligations sont proportionnelles au risque de l'outil utilisé, pas à la taille de l'organisation.
Mon logiciel intègre de l'IA sans que je l'aie demandé. Suis-je quand même concerné ? Oui. Si le système d'IA touche vos clients, vos salariés ou vos processus métier, vos obligations de déployeur s'appliquent. Demandez à chacun de vos prestataires logiciels s'ils ont intégré des fonctionnalités d'IA, et dans quelle catégorie de risque elles se situent.
ChatGPT est-il concerné par l'IA Act ? Oui, en tant que modèle d'IA à usage général. L'obligation principale pour l'utilisateur est la transparence : si vous générez du contenu avec ChatGPT (texte, image) et le publiez, vous devez signaler qu'il a été produit par une IA. Pour le fournisseur (OpenAI), les obligations sont bien plus étendues.
Quelles sanctions risque-t-on en cas de non-conformité ? Les amendes prévues vont jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour les infractions les plus graves (utilisation de systèmes interdits). Pour les manquements aux obligations de déployeur, les montants sont moindres mais restent significatifs. Le cadre juridique est posé pour tous, même si les contrôles cibleront d'abord les gros acteurs.
Par où commencer concrètement ? Listez tous les outils que vous utilisez et vérifiez lesquels embarquent de l'IA. Classifiez-les selon les niveaux de risque. Formez vos équipes aux usages et aux limites de chaque outil. Un prestataire spécialisé en développement IA peut vous aider à faire cette cartographie si vous ne savez pas par où prendre le sujet.
Ce qu'il faut retenir
L'IA Act n'est pas là pour embêter les entrepreneurs. Le texte protège vos clients, vos salariés et votre entreprise contre des usages d'IA mal maîtrisés. Pour une TPE du Finistère, cela se résume à ça : savoir quels outils vous utilisez, vérifier que vos fournisseurs jouent le jeu, former vos équipes. Pas besoin d'un gros budget, juste de la méthode et de ne pas attendre août 2026 pour s'en occuper.
Si vous avez un projet qui intègre de l'intelligence artificielle, ou si vous voulez faire le point sur vos outils actuels, parlons-en. On préfère construire conforme dès le départ plutôt que rattraper dans l'urgence.
Cet article vous intéresse ? Découvrez nos solutions IA ou consultez nos réalisations clients.
