L’EU AI Act est entré en vigueur. Pourtant, lors de nos échanges avec des dizaines de PME françaises, nous retrouvons les mêmes erreurs de compréhension et de mise en œuvre. Ces erreurs ne sont pas des fautes graves — elles reflètent la complexité réelle du texte et le manque de ressources accessibles pour les petites structures. Voici les 10 plus courantes, et comment les corriger.
Erreur #1 : “L’AI Act ne nous concerne pas, nous ne sommes pas une entreprise tech”
L’erreur : penser que l’AI Act ne vise que les éditeurs de logiciels IA comme OpenAI ou Google.
La réalité : l’AI Act s’applique à toute organisation qui utilise des systèmes IA dans ses processus, pas seulement à ceux qui les développent. Si vous utilisez :
- Un logiciel RH qui analyse automatiquement des CV ou évalue des performances
- Un CRM avec scoring prédictif
- Un chatbot pour votre service client
- Un outil de crédit scoring ou de tarification automatisé
…vous êtes potentiellement “opérateur” au sens de l’AI Act, avec des obligations correspondantes.
Action : faites l’inventaire de tous les outils IA utilisés dans votre organisation, même ceux achetés clé en main.
Erreur #2 : Confondre risque élevé et “logiciels dangereux”
L’erreur : associer “haut risque” à des IA dangereuses ou malveillantes.
La réalité : la classification “haut risque” de l’AI Act est fonctionnelle, pas éthique. Un outil RH qui filtre des CV est à haut risque — non pas parce qu’il est dangereux, mais parce qu’il affecte l’accès à l’emploi de personnes.
Systèmes à haut risque typiques dans les PME :
- Logiciels d’analyse automatique de candidatures (haut risque — Annexe III)
- Évaluation des performances des employés par IA
- Outils de scoring de crédit pour TPE/indépendants
- Systèmes de sécurité avec analyse comportementale
Conséquence : si votre outil RH est à haut risque, vous avez des obligations : supervision humaine documentée, information des personnes concernées, possibilité de contester les décisions.
Erreur #3 : Ignorer l’Article 4 — l’obligation de formation
L’erreur : se concentrer uniquement sur la documentation et les aspects techniques, en oubliant la formation.
La réalité : l’Article 4 de l’AI Act est l’une des obligations les plus claires et les plus actionnables pour les PME. Il impose que les opérateurs de systèmes IA s’assurent que les personnes impliquées dans leur utilisation disposent d’une alphabétisation IA suffisante.
Cette obligation est entrée en vigueur depuis août 2025 — elle s’applique maintenant.
Ce que ça signifie concrètement :
- Vos RH qui utilisent un ATS avec IA doivent être formés à ses limites et à la supervision humaine
- Vos conseillers qui utilisent un scoring client doivent comprendre ce que le score signifie et ne signifie pas
- Votre comptable qui utilise un outil d’automatisation comptable doit savoir vérifier les sorties
Action : documentez les formations dispensées. En cas de contrôle, vous devrez prouver que la formation a eu lieu.
Erreur #4 : Déléguer entièrement la conformité au fournisseur de logiciel
L’erreur : penser que si votre fournisseur (ex: votre éditeur de logiciel RH) est conforme AI Act, vous l’êtes aussi automatiquement.
La réalité : l’AI Act distingue deux rôles :
- Fournisseur (Provider) : celui qui développe et commercialise le système IA
- Opérateur (Deployer) : celui qui utilise le système dans un contexte concret
Le fournisseur doit s’assurer que son système est conforme dans sa conception. L’opérateur (vous) doit s’assurer que son utilisation est conforme : supervision humaine, formation des opérateurs, information des personnes affectées.
Exemple : votre fournisseur ATS peut avoir un système techniquement conforme. Mais si vous utilisez ses recommandations sans supervision humaine, ou sans informer les candidats que leur dossier est analysé par IA, vous n’êtes pas conforme.
Erreur #5 : Négliger la documentation
L’erreur : considérer la documentation comme une formalité administrative.
La réalité : pour les systèmes à haut risque, la documentation est obligatoire ET sera examinée en cas de réclamation ou de contrôle. Elle doit inclure :
- Description du système et de son cas d’usage
- Données utilisées (et non utilisées) par le système
- Mesures de supervision humaine en place
- Tests de performance réalisés
- Mesures prises pour éviter les discriminations
Bonne nouvelle : pour les PME opérateurs (pas éditeurs), la documentation est moins lourde que pour les éditeurs. Elle se concentre sur votre utilisation du système, pas sur sa conception.
Erreur #6 : Oublier d’informer les personnes concernées
L’erreur : déployer des systèmes IA en contact avec des tiers (clients, candidats, salariés) sans les informer.
La réalité : l’AI Act impose une obligation de transparence pour plusieurs types de systèmes :
- Chatbots : les utilisateurs doivent savoir qu’ils interagissent avec une IA (sauf dans un contexte évident)
- Systèmes à haut risque : les personnes affectées par une décision automatisée doivent en être informées
- Deepfakes : tout contenu IA généré doit être identifié comme tel
Action pratique : ajoutez des mentions explicites dans vos interfaces (“Ce service utilise l’IA”), vos CGV, et vos communications RH si vous utilisez des outils IA dans le recrutement.
Erreur #7 : Confondre AI Act et RGPD
L’erreur : penser que si vous êtes conforme RGPD, vous êtes automatiquement conforme AI Act.
La réalité : RGPD et AI Act sont complémentaires mais distincts. La conformité RGPD est nécessaire mais pas suffisante.
| Dimension | RGPD | AI Act |
|---|---|---|
| Objet | Protection des données personnelles | Risques liés aux systèmes IA |
| Droits | Accès, rectification, effacement | Opposition aux décisions automatisées, explication |
| Évaluation | DPIA pour les traitements à risque | Évaluation de conformité pour les systèmes à haut risque |
| Formation | Sensibilisation équipes | Alphabétisation IA (Art. 4) |
Conseil : traitez la conformité RGPD et AI Act ensemble, mais avec des checklists séparées.
Erreur #8 : Ignorer l’impact sur les relations fournisseurs
L’erreur : ne pas vérifier si vos fournisseurs de systèmes IA respectent leurs obligations d’éditeur.
La réalité : si votre fournisseur d’ATS ou de CRM utilise de l’IA à haut risque dans son produit, il a des obligations contractuelles envers vous en tant qu’opérateur : vous fournir la documentation technique, vous informer des changements importants du système, etc.
Action : lors du renouvellement ou de la signature de nouveaux contrats avec des éditeurs utilisant l’IA, demandez :
- “Votre système est-il classifié AI Act ? À quel niveau de risque ?”
- “Pouvez-vous me fournir la documentation AI Act requise ?”
- “Comment gérez-vous les obligations de transparence envers les utilisateurs finaux ?”
Erreur #9 : Reporter sine die la mise en conformité
L’erreur : attendre que les autorités publient des guides définitifs avant d’agir.
La réalité : les délais s’accumulent. Les obligations s’appliquent selon le calendrier prévu :
- Août 2025 : alphabétisation IA pour les opérateurs (vous)
- Août 2026 : obligations complètes pour les systèmes à haut risque (Annexe III)
Ce calendrier ne s’étend pas parce que les guidelines ne sont pas finalisées. Les CNIL et régulateurs nationaux ont commencé leurs activités de supervision.
Approche pragmatique : commencez par les actions simples à impact immédiat (inventaire, formation de base, politique d’utilisation) sans attendre les guides définitifs.
Erreur #10 : Traiter la conformité IA comme un projet IT uniquement
L’erreur : confier la conformité AI Act au seul DSI ou équipe IT.
La réalité : l’AI Act a des dimensions RH (formation, recrutement), juridiques (contrats, responsabilité), métier (processus de décision), et communication (transparence clients). C’est un projet de gouvernance multi-fonctions.
Bonne pratique : constituez une petite équipe transverse avec :
- Un sponsor direction (DG, DGA, ou DSI senior)
- Un référent juridique ou compliance
- Un représentant RH
- Un responsable opérationnel de chaque département utilisateur principal
La checklist de conformité AI Act pour PME
Niveau 1 : Fondations (maintenant)
- Inventaire de tous les outils IA utilisés
- Identification des systèmes potentiellement à haut risque
- Formation de sensibilisation pour tous les utilisateurs d’outils IA
- Politique d’utilisation IA (même simplifiée)
Niveau 2 : Conformité (avant août 2026)
- Classification formelle de chaque système IA selon l’AI Act
- Documentation de la supervision humaine pour les systèmes à haut risque
- Information des personnes concernées (candidats, clients, salariés)
- Contrats fournisseurs avec clauses AI Act
Niveau 3 : Maturité (en continu)
- Processus de revue annuelle des systèmes IA
- Formation continue mise à jour
- Veille réglementaire
Conclusion
L’AI Act n’est pas une menace pour les PME qui utilisent l’IA de façon raisonnée — c’est un cadre qui clarifie les responsabilités et protège les entreprises en cas d’incident. La conformité n’est pas un objectif ponctuel mais un processus continu, comme pour le RGPD.
La bonne nouvelle : une PME qui prend les bonnes mesures dans les prochains mois sera dans une position bien plus solide que la majorité de ses concurrents, qui continuent d’ignorer le sujet.
BetterPeople propose un programme de mise en conformité AI Act spécialement conçu pour les PME : audit, documentation, formation. Planifiez votre bilan de conformité.
Prêt à transformer votre organisation avec l'IA ?
Réservez un diagnostic gratuit de 30 minutes avec notre équipe.