AI Act — La FAQ pour les TPE et indépendants

L'AI Act (règlement UE 2024/1689) est le premier cadre juridique mondial entièrement consacré à l'intelligence artificielle. Il fixe des règles harmonisées dans toute l'Union européenne pour le développement, la mise sur le marché et l'utilisation des systèmes d'IA. Son objectif est double : protéger les droits fondamentaux et la sécurité des personnes, tout en favorisant un cadre clair pour l'innovation.

L'AI Act répond à un constat : l'IA est désormais utilisée dans presque tous les secteurs, du recrutement à la santé en passant par le marketing. Sans cadre commun, chaque État membre aurait pu légiférer de son côté, créant un patchwork ingérable pour les entreprises. Le règlement instaure une approche par les risques : plus un usage de l'IA peut affecter les personnes, plus les obligations sont fortes.

Le RGPD encadre les données personnelles ; l'AI Act encadre les systèmes d'IA dans leur globalité (algorithmes, modèles, cas d'usage). Les deux textes coexistent et se complètent : un usage d'IA peut être conforme au RGPD mais non conforme à l'AI Act, et inversement. Pour la plupart des TPE, les démarches de mise en conformité peuvent et doivent être menées de façon coordonnée.

Le règlement distingue quatre niveaux de risque :

• Risque inacceptable : usages interdits (notation sociale généralisée, manipulation comportementale, certaines formes de surveillance biométrique).
• Risque élevé : usages encadrés strictement (recrutement, accès au crédit, dispositifs médicaux, infrastructures critiques…).
• Risque limité : obligations de transparence (chatbots, contenus générés par IA).
• Risque minimal : très peu d'obligations spécifiques (filtres anti-spam, IA dans les jeux vidéo…).

La grande majorité des usages d'IA dans les TPE relèvent des deux derniers niveaux.

Oui. Le règlement ne prévoit pas d'exemption fondée sur la taille de l'entreprise. Dès lors que vous utilisez un système d'IA — y compris un outil grand public comme ChatGPT, Copilot ou un assistant de rédaction — dans le cadre de votre activité professionnelle, certaines obligations vous concernent. Le règlement prévoit en revanche des allègements et un accompagnement renforcé pour les PME et les startups.

Vous êtes concerné, mais le niveau d'obligation reste mesuré. L'usage d'outils d'IA générative grand public dans un cadre professionnel relève principalement de deux types d'obligations : la transparence (signaler à vos clients ou collaborateurs lorsqu'un contenu est produit ou assisté par IA, dans les cas prévus) et la formation (vous-même et vos collaborateurs devez disposer d'un niveau de compréhension suffisant des outils utilisés). C'est précisément l'objet de l'article 4 du règlement.

Le règlement parle de provider (fournisseur) et de deployer (déployeur, c'est-à-dire utilisateur professionnel). Si vous développez un modèle ou un système d'IA pour le mettre sur le marché, vous êtes fournisseur. Si vous utilisez un système d'IA déjà existant dans votre activité, vous êtes déployeur. La quasi-totalité des TPE et indépendants sont déployeurs, ce qui correspond à un régime d'obligations beaucoup plus léger.

Oui, comme toute activité professionnelle. Les professions libérales sont même particulièrement attentives à plusieurs points : la confidentialité des données traitées par les outils d'IA, l'éventuel recours à des systèmes considérés comme à risque élevé (par exemple, certaines aides au diagnostic médical), et la transparence vis-à-vis du client. Pour ces métiers, la mise en conformité AI Act se combine étroitement avec les obligations déontologiques propres à chaque ordre.

Le statut de votre client n'a pas d'incidence sur votre propre obligation de conformité. Ce qui compte, c'est l'usage que vous faites des outils d'IA dans votre activité. En revanche, les obligations de transparence prennent un sens particulier lorsque vos productions s'adressent à des particuliers : ces derniers doivent pouvoir savoir, dans les cas prévus par le règlement, qu'un contenu a été produit ou fortement assisté par une IA.

L'article 4 impose aux fournisseurs et aux déployeurs de systèmes d'IA de « prendre des mesures pour garantir, dans toute la mesure du possible, un niveau suffisant de maîtrise de l'IA chez leur personnel et toute autre personne intervenant pour leur compte dans l'exploitation et l'utilisation de ces systèmes ». En clair : toute personne qui utilise un outil d'IA dans le cadre de son travail doit comprendre ce qu'elle manipule, les limites de l'outil, et savoir l'utiliser de façon responsable. Cette obligation est applicable depuis le 2 février 2025.

Toutes les personnes qui utilisent des outils d'IA dans le cadre de votre activité, à un niveau adapté à leur usage. Un dirigeant qui valide les productions d'un outil de rédaction n'a pas besoin du même niveau qu'un collaborateur qui paramètre un agent automatisé. Pour un indépendant, il s'agit de vous-même ; pour une TPE, l'ensemble des collaborateurs concernés. La proportionnalité est explicitement admise par le règlement.

Trois cas principaux concernent les TPE :

• Interaction avec un système d'IA : les utilisateurs doivent être informés qu'ils interagissent avec une IA (typiquement, un chatbot sur votre site).
• Contenus générés par IA : les contenus de type deepfake et certains textes d'intérêt public doivent être identifiés comme tels.
• Reconnaissance d'émotions ou catégorisation biométrique : information préalable des personnes concernées.

Ces obligations entrent en application de façon échelonnée jusqu'au 2 août 2026.

Une documentation formelle n'est exigée que pour les usages à risque élevé, qui sont rares dans les TPE. En revanche, nous recommandons fortement de tenir une trace simple de votre démarche : liste des outils d'IA utilisés, finalités, personnes formées, dates. Ce registre, même léger, vous permet de démontrer votre bonne foi et de répondre rapidement à toute demande d'un client, d'un partenaire ou d'une autorité.

Oui. Sont notamment interdites depuis le 2 février 2025 : la notation sociale généralisée, certaines techniques de manipulation comportementale exploitant des vulnérabilités, l'extraction non ciblée d'images faciales pour constituer des bases de reconnaissance, la reconnaissance d'émotions sur le lieu de travail (sauf cas médicaux ou de sécurité), et certaines formes d'identification biométrique en temps réel dans l'espace public. Ces pratiques ne concernent en général pas les TPE, mais il est utile de les connaître.

Le règlement est entré en vigueur le 1er août 2024 et ses dispositions s'appliquent par étapes :

• 2 février 2025 : interdictions et obligation de formation (article 4).
• 2 août 2025 : règles relatives aux modèles d'IA à usage général (GPAI) et désignation des autorités compétentes nationales.
• 2 août 2026 : application complète du règlement, y compris les obligations relatives aux systèmes à risque élevé.
• 2 août 2027 : entrée en application pour certains systèmes à risque élevé encadrés par d'autres réglementations sectorielles.

C'est la date de plein effet du règlement pour la majeure partie de ses dispositions. À partir de ce moment, l'ensemble du dispositif de surveillance et de contrôle est opérationnel à l'échelle européenne et nationale. Pour une TPE, cette échéance est l'horizon naturel pour avoir formalisé sa démarche de conformité — formation des équipes, registre des outils, points de transparence.

Pour trois raisons concrètes : (1) la conformité AI Act devient un argument commercial vis-à-vis de vos clients (notamment grands comptes et secteur public, qui l'exigeront de leurs prestataires) ; (2) former vos équipes maintenant vous fait gagner en productivité dès aujourd'hui, indépendamment du règlement ; (3) les démarches anticipées permettent d'étaler l'effort dans le temps, plutôt que de devoir tout traiter dans l'urgence à l'approche de l'échéance.

Trois étapes simples :

1. Inventaire — listez tous les outils d'IA utilisés dans votre activité (générateurs de texte, d'images, traduction, transcription, automatisation, CRM augmenté…).
2. Classification — pour chaque outil, déterminez son niveau de risque (la plupart relèveront du risque limité ou minimal) et les obligations associées.
3. Plan d'action — formation des utilisateurs, mises à jour de transparence (mentions sur votre site, vos contrats), tenue d'un registre simple.

Notre guide AI Act (téléchargeable gratuitement) vous accompagne dans cette démarche pas à pas.

Nous mettons à disposition un guide structuré, conçu pour être utilisé directement avec votre IA générative habituelle (ChatGPT, Claude, Copilot…). Il contient les obligations de l'AI Act formulées de manière à ce que votre IA puisse vous aider à évaluer votre situation et à construire votre plan d'action. Pour le recevoir, il vous suffit de nous laisser votre adresse email.

Pour une TPE ou un indépendant, le minimum utile tient en trois éléments :

• Un registre des outils d'IA utilisés (nom, finalité, fournisseur, date de mise en service).
• Une trace de la formation dispensée aux utilisateurs (attestations, contenu, date).
• Les mentions de transparence affichées sur votre site et dans vos contrats lorsque l'usage de l'IA le justifie.

Ce socle est généralement suffisant pour les usages à risque limité ou minimal.

Oui. Les formations dispensées par APRIUM sont éligibles à un financement par votre OPCO (opérateur de compétences). Nous vous accompagnons dans le montage du dossier, de la demande de prise en charge à la transmission des justificatifs. Il vous revient simplement d'identifier votre OPCO de rattachement — nous nous occupons du reste.

APRIUM est un organisme de formation professionnelle certifié Qualiopi, spécialisé dans la formation à l'IA pour les TPE, indépendants et professions libérales. Nos formations couvrent à la fois le socle de maîtrise opérationnelle des outils d'IA (article 4 de l'AI Act) et le pilotage stratégique d'une activité à l'ère de l'IA. Chaque module intègre désormais un volet AI Act dédié à votre situation.

Nos formations se déroulent en présentiel à Paris ou en distanciel synchrone, en groupes restreints (jusqu'à 8 participants), sur 1 ou 2 jours selon le programme. La pédagogie est résolument active : pas de cours magistral, mais des cas pratiques tirés de votre activité réelle. À l'issue, vous repartez avec une attestation de fin de formation, des supports utilisables, et un plan d'action concret.

• Email : apriumformation@gmail.com
• Téléphone : 06 61 68 78 33
• Site : www.aprium-formation.fr