Tu as vu passer les gros titres. "35 millions d'euros d'amende." "7% du chiffre d'affaires mondial." De quoi paniquer quand tu bosses seul depuis ta cuisine avec ChatGPT et deux automatisations.
Respire.
Ces montants ne sont pas pour toi. Ils sont pour les mastodontes qui déploient des IA interdites ou des systèmes à haut risque sans respect des règles. Toi, solo ou TPE, tu as des obligations bien plus légères. Réelles, mais gérables en une après-midi bien organisée.
Dans cet article, je te démonte la panique et je te donne la checklist concrète pour être en règle avant le 2 août 2026. Sans jargon d'avocat. Juste ce qui te concerne vraiment.
D'abord : est-ce que l'AI Act te concerne ?
Oui. Point.
L'AI Act s'applique à toutes les entreprises qui utilisent, développent ou déploient de l'IA dans l'Union européenne. Peu importe ta taille. Un solo qui fait tourner un chatbot sur son site, un CRM prédictif, un outil de recrutement automatisé ou un générateur de contenu est considéré comme un "déployeur". Et un déployeur a des obligations.
Mais voilà la bonne nouvelle : la loi est proportionnelle. Les coûts et la paperasse sont adaptés à ta taille. Le législateur a prévu des modèles simplifiés pour les PME. Tu n'as pas à monter une usine à gaz.
Ce qui compte, c'est de comprendre où tu te situes. Et ça passe par les niveaux de risque.
Les 4 niveaux de risque, expliqués simplement
L'AI Act classe chaque système d'IA dans une de ces catégories. Ton boulot, c'est de savoir dans laquelle tombent tes outils.
1. Risque inacceptable : interdit, point final
Ce sont les IA qui manipulent le comportement des gens ou qui font du scoring social (noter les citoyens à la chinoise). Interdiction totale. Si tu utilises un truc pareil, tu dois l'arrêter tout de suite.
Spoiler : en tant que solo ou TPE, tu n'as quasi aucune chance d'en avoir. Mais on vérifie quand même dans la checklist.
2. Haut risque : réglementation stricte
Ce sont les IA utilisées dans des secteurs sensibles : emploi (tri de CV automatisé), santé, justice, éducation. Si ton outil décide qui tu recrutes ou influence un diagnostic médical, tu es dans le dur.
C'est là que se concentre la vraie charge documentaire. La plupart des solos et TPE ne sont pas concernés. Mais si tu fais du recrutement automatisé ou du scoring de candidats, ouvre grand les yeux.
3. Risque limité : obligations de transparence
C'est là que 90% d'entre nous atterrissent. Chatbots, IA générative, assistants. L'obligation ? Dire clairement que l'utilisateur parle à une IA. C'est tout, ou presque.
4. Risque minime : aucune obligation
Filtres d'images, IA dans les jeux, suggestions basiques. Rien à faire. Tu vis ta vie.
L'échéance qui compte : le 2 août 2026
C'est la date à retenir. Tous les systèmes classés haut risque doivent être parfaitement conformes à ce moment-là.
Pour les IA déjà intégrées dans des produits régulés (dispositifs médicaux par exemple), le délai s'étend au 2 août 2027.
Et attention, une obligation est déjà active depuis février 2025 : la formation de tes équipes à l'IA. On y revient plus bas.
La checklist actionnable avant août 2026
Voilà le plan. Prends une heure ce week-end et coche les cases.
Étape 1 : fais l'inventaire de tous tes outils IA
Liste TOUT. Même l'IA que tu utilises sans t'en rendre compte : plugins dans ton CRM, fonctions IA de ton logiciel de compta, APIs connectées à tes automatisations.
Pour chaque outil, note :
- L'éditeur (qui le fournit)
- La finalité (à quoi il sert)
- Les données traitées
- Le niveau d'automatisation (assiste ou décide seul ?)
- La population concernée (clients, candidats, salariés)
Cet inventaire, c'est ta base. Sans lui, tu navigues à l'aveugle. Si tu galères à savoir quels outils comptent vraiment, mon article sur IA utile vs IA gadget t'aide à faire le tri.
Étape 2 : supprime les IA interdites
Repère les systèmes à risque inacceptable (article 5 de la loi). Manipulation comportementale, scoring social. Si tu en as, tu les vires immédiatement.
Encore une fois, très peu probable pour un petit. Mais coche la case.
Étape 3 : classe chaque outil par niveau de risque
Reprends ton inventaire. Pour chaque outil, demande-toi : minime, limité, haut risque ou inacceptable ?
Base-toi sur trois critères : ton secteur d'activité, le cas d'usage précis, et la puissance du modèle. Un chatbot de support = risque limité. Un outil qui trie tes candidats = haut risque. Un filtre photo = minime.
Étape 4 : documente (surtout si haut risque)
Si tu as un outil haut risque, tu dois tenir une documentation : architecture, données d'entraînement, mesures de sécurité. Utilise les modèles simplifiés prévus pour les PME. Ne réinvente rien.
Si tu n'as que du risque limité, cette étape est ultra light. Une note qui explique ce que fait l'outil suffit largement.
Étape 5 : transparence et supervision humaine
Deux obligations non négociables, même pour un solo :
- Informe tes utilisateurs qu'ils parlent à une IA. Une simple mention sur ton chatbot fait le job.
- Garde un humain dans la boucle. Une personne doit pouvoir surveiller, contester et annuler une décision prise par l'IA.
C'est le cœur de la conformité pour la majorité d'entre nous. Facile à mettre en place, gros impact.
Étape 6 : robustesse et logs
Sécurise tes systèmes contre les erreurs et les tentatives de manipulation. Conserve des logs d'activité pour la traçabilité. Si un jour on te demande "que s'est-il passé le 12 mars ?", tu dois pouvoir répondre.
Étape 7 : forme-toi et forme ton équipe
L'obligation d'"AI literacy" est active depuis février 2025. Tes collaborateurs (et toi) devez comprendre les bases de l'IA que vous utilisez. Bonne nouvelle : c'est finançable via les OPCO.
Pour embarquer une équipe sans friction, jette un œil à ma méthode dans faire aimer l'IA à ton équipe.
Étape 8 : désigne un référent conformité
Nomme quelqu'un pour coordonner RGPD et AI Act. Dans une TPE, c'est souvent le dirigeant lui-même. L'idée, c'est d'éviter les silos où personne ne sait qui gère quoi.
Étape 9 : enregistrement et marquage CE (haut risque uniquement)
Si tu commercialises un système haut risque, tu dois l'inscrire dans la base de données de l'UE et obtenir un marquage CE avant la mise sur le marché. Pour la plupart des solos, cette étape ne s'applique pas.
Le vrai coût, et pourquoi les 35 millions ne sont pas pour toi
Parlons argent, sans langue de bois.
Les coûts de conformité varient énormément selon ta situation :
- Outil haut risque simple (recrutement, santé) : 2 000 à 8 000 €/an, audit et formation inclus.
- Audit initial d'outils IA standards : ça peut grimper selon la complexité.
- IA développée en interne : là on parle de gros budgets, mais tu n'es probablement pas concerné.
Maintenant, les fameuses amendes :
- IA interdites : jusqu'à 35 M€ ou 7% du CA mondial.
- IA haut risque non conformes : 15 M€ ou 3% du CA.
- Manquements de transparence : 7,5 M€ ou 1% du CA.
Voilà le point que personne ne t'explique : ces montants sont des maximums, et ils sont proportionnels. Proportionnels à la taille de l'entreprise et à la gravité de la faute. Un solo qui oublie de signaler que son chatbot est une IA ne va pas se prendre 7,5 millions. Ce serait absurde et la loi le sait.
Les sanctions réelles pour un solo ou une TPE seront très inférieures aux chiffres qui font les gros titres. Ces titres visent les GAFAM et les gros déployeurs d'IA interdites. Pas toi.
Les erreurs qui vont te coûter cher
- Croire que la loi ne concerne pas les petits. Faux. Elle s'applique à tous.
- Oublier les outils indirects. Le plugin IA de ton CRM compte autant que ChatGPT.
- Confondre RGPD et AI Act. Ce sont deux réglementations distinctes. Un seul référent pour les gérer ensemble.
- Ne pas former ton équipe. C'est déjà obligatoire depuis 2025.
- Zapper la transparence. Signaler tes chatbots, c'est le minimum vital.
Ta feuille de route pour ce mois-ci
Si tu retiens une seule chose : ne te noie pas dans la technique avant d'avoir fait le simple.
Cette semaine, fais ton inventaire. La semaine prochaine, classe tes outils par niveau de risque. Ensuite, ajoute tes mentions de transparence et vérifie qu'un humain garde la main sur chaque décision automatisée. Documente le minimum. Forme-toi.
C'est 80% du boulot pour un solo ou une TPE. Le reste (audits techniques lourds, marquage CE) ne concerne que ceux qui déploient du haut risque.
Tu veux aller plus loin sur le cadrage conformité avant d'automatiser ? Lis mon article IA et conformité : ce que tout entrepreneur doit cadrer en Europe. Et pour rassurer tes clients tout en te démarquant, récupère la ressource IA & Conformité : le mémo qui rassure tes clients.
La conformité n'est pas un piège à petites boîtes. C'est un cadre. Coche tes cases, garde tes preuves, et retourne bosser sur ce qui fait vraiment grossir ton business.