Le Règlement européen sur l’intelligence artificielle (RIA ou AI Act) va modifier les règles du jeu pour tous les acteurs qui développent, intègrent ou utilisent de l’IA sur le marché européen. Pour les grandes entreprises, c’est un sujet de gouvernance. Pour les PME, c’est souvent un casse-tête.
Ce texte impressionne par sa longueur, son ambition, ses termes techniques. Pourtant, tout ne vous concerne pas forcément. Encore faut-il savoir où vous vous situez. Ce article pratique a un objectif : vous aider à identifier rapidement les obligations qui s’appliquent (ou non) à votre entreprise, et à anticiper les démarches utiles sans bloquer l’innovation.
Qui est concerné par le Règlement IA ?
Le RIA ne s’applique pas qu’aux géants de la tech. Sa portée est large, y compris pour les PME européennes… et même pour celles situées hors UE si leurs systèmes d’IA sont utilisés sur le marché européen.
Avant de paniquer, première étape : identifier votre rôle dans la chaîne de valeur de l’IA. Le règlement distingue plusieurs cas de figure :
- Fournisseur d’IA : vous développez un système d’IA (ou le faites développer) et vous le commercialisez sous votre nom.
- Déployeur d’IA : vous utilisez un système d’IA dans vos activités (par exemple un outil de tri de CV ou un chatbot client), sans l’avoir développé vous-même.
- Importateur de systèmes d’IA : vous introduisez sur le marché européen un système conçu hors UE.
- Distributeur de systèmes d’IA : vous mettez à disposition des systèmes d’IA conçus par d’autres, par exemple via une plateforme ou un revendeur.
Une même PME peut cumuler plusieurs rôles. Si vous intégrez une brique d’IA tierce dans un logiciel que vous vendez sous votre marque, vous êtes à la fois déployeur et fournisseur au sens du RIA. Et donc, potentiellement, concerné par des obligations distinctes.
Une logique de risque pour classifier les systèmes d’IA
Le RIA repose sur un principe fondamental : toutes les IA ne se valent pas. Ce ne sont pas les outils eux-mêmes qui sont visés mais les usages qui en sont faits. C’est donc sur le terrain du risque qu’on examinera ce qu’ils représentent pour la sécurité, les droits fondamentaux ou la santé.
On peut visualiser cela comme une pyramide à quatre niveaux :
Risque inacceptable (IA interdite)
Certains usages sont jugés incompatibles avec les valeurs de l’UE : ils sont donc interdits, quel que soit le type d’entreprise. Cela inclut :
- Les systèmes de « notation sociale » par les autorités publiques ;
- Les techniques manipulatrices ou subliminales provoquant un préjudice ;
- L’exploitation de vulnérabilités (liées à l’âge ou au handicap par ex.) ;
- La création de bases de données de reconnaissance faciale via des captures massives d’images en ligne.
Pour une PME : ces usages sont à exclure totalement.
Risque élevé (IA hautement réglementée)
Un système est classé à haut risque s’il est utilisé dans des secteurs critiques (éducation, RH, crédit, santé, etc.), listés à l’annexe III du RIA.
Exemples pour les PME :
- Outil d’évaluation automatisée des candidats ;
- Logiciel de scoring financier.
Les obligations : gestion de la qualité, documentation technique, gouvernance des données, supervision humaine, cybersécurité, marquage CE.
Mais si l’usage est assisté et sans préjudice significatif, une exemption est possible. Bien documentée, elle permet d’éviter des lourdeurs inutiles.
Risques limités ou minimaux : la majorité des cas pour les PME
Risque limité : obligation de transparence
Des systèmes courants relèvent de ce niveau, comme :
- Chatbots ou assistants IA (informer l’utilisateur) ;
- Reconnaissance des émotions ;
- Contenus IA générés (deepfakes).
L’objectif : éviter toute tromperie. Peu d’impact technique mais une attention à l’UX notamment.
Risque minimal : aucune obligation
Exemples : filtres anti-spam, moteurs de recommandation, IA dans jeux vidéo.
Pas d’obligation légale mais une incitation à suivre des codes de conduite IA ou à mettre en place des chartes éthiques internes.
Aides prévues pour les PME : sandboxes et conseils
Le RIA prévoit deux leviers de soutien :
- Bacs à sable réglementaires (regulatory sandboxes) : tester un système IA innovant dans un cadre encadré, avec les autorités.
- Canaux d’information : guichets d’aide, FAQs, hubs d’innovation numérique.
Ces outils permettent d’avancer sans bloquer vos projets IA, tout en assurant leur conformité.
Check-list RIA : comment une PME peut anticiper ?
- Cartographier vos systèmes d’IA : usages internes, produits intégrés, outils tiers.
- Identifier votre rôle : fournisseur, déployeur, importateur ?
- Classer les risques : haut, limité, minimal ? Documentez vos choix.
- Planifier la conformité : transparence, documentation, supervision.
- Suivre l’actualité IA : normes techniques, lignes directrices à venir.
Vous travaillez avec un fournisseur d’IA ? N’oubliez pas de lui poser les bonnes questions. J’ai détaillé les 7 questions-clés à aborder pour évaluer la fiabilité, la conformité et les engagements de votre prestataire IA.
👉 Lire l’article : « 7 questions à poser à votre fournisseur d’IA »
IA et conformité : une opportunité pour les PME
Le RIA est aussi une occasion de structurer vos usages IA, clarifier vos responsabilités, et rassurer vos clients.
Notre cabinet accompagne les PME dans la mise en conformité IA : analyse personnalisée, classification des risques, documentation, accompagnement stratégique.
Contactez-nous pour anticiper le RIA de façon efficace, sécurisée et proportionnée.
Photo de Rubidium Beach sur Unsplash
Avocat en droit des affaires, Florian conseille les entreprises et les start-ups à développer leur activité dans divers secteurs.
Florian a développé un savoir-faire dans le droit des technologies et plus particulièrement sur la technologie blockchain qu’il pratique quotidiennement. Il conseille régulièrement des start-up et des sociétés actives dans l’industrie blockchain. Grâce à sa formation, Florian offre un service complet aux entrepreneurs qui façonnent le monde de demain.
