Digital Business & Future 27.05.2026

GPAI devient un piège à documents pour les PME

8 Min. de lecture

Le 2 août 2026, l’EU AI Act entrera en vigueur pour les modèles d’IA générale. Il reste 70 jours avant que les obligations de documentation concernant l’utilisation d’IA à usage général dans les entreprises ne soient applicables – y compris les licences ChatGPT, Copilot et Claude, qui sont déjà largement utilisées au quotidien par de nombreux PME d’Europe centrale et orientale. Ceux qui commencent dès maintenant pourront traverser la période avec sérénité. Quant à ceux qui attendent l’été, ils se construiront leur propre liste de vérifications et d’audit.

Les points clés en bref

Date limite : 2 août 2026 : Les obligations relatives aux GPAI prévues par l’EU AI Act entrent en vigueur – les fournisseurs ne sont pas les seuls concernés, mais aussi les entreprises qui intègrent des modèles GPAI dans leurs propres workflows.
Les documents obligatoires comprennent quatre volets : classification des risques par cas d’utilisation, inventaire des catégories de données, mécanismes d’audit humain, enregistrements d’évaluation de conformité.
Le cadre des sanctions : jusqu’à 15 millions d’euros ou 3 % du chiffre d’affaires mondial du groupe – selon le montant le plus élevé.
La menace pour les petites et moyennes entreprises : ChatGPT Enterprise, Microsoft Copilot et Claude Pro relèvent de la catégorie des GPAI – ceux qui les utilisent pour la communication client, les décisions RH ou les projets de contrats tombent donc sous cette catégorie.
Ce qu’il faut faire maintenant : un catalogue détaillé des cas d’utilisation, avec une évaluation des risques, une hiérarchie d’escalade pour les applications à haut risque ainsi qu’un protocole d’audit interne pouvant être présenté en cas de besoin.

Connexes :Google Gemini dans l’entreprise : ce que l’AI Act impose / Tech-Mandate au conseil d’administration : NIS2, EU AI Act et le gap de compétences

Qu’est-ce qu’une obligation relative aux GPAI ? Les modèles d’IA à usage général (GPAI) sont des systèmes d’intelligence artificielle comme ChatGPT, Microsoft Copilot ou Claude, capables d’être utilisés pour des tâches variées. Avec l’EU AI Act, à compter du 2 août 2026, les entreprises qui intègrent ces modèles dans leurs workflows productifs doivent classer, documenter et surveiller leurs cas d’utilisation, qu’elles soient fournisseurs ou utilisateurs.

Pourquoi les obligations relatives aux GPAI vont surprendre de nombreux PME

Depuis des mois, la discussion publique autour de l’EU AI Act met en avant la question de savoir ce qu’il advient des systèmes à haut risque, comme l’identification biométrique ou le scoring de solvabilité. Les obligations relatives aux GPAI – c’est-à-dire les règles applicables aux modèles d’IA générale – ont souvent été qualifiées de « sujet des fournisseurs ». Cela n’est vrai que partiellement. Les fournisseurs comme OpenAI, Anthropic ou Mistral doivent fournir les cartes des modèles, les résumés des données d’entraînement ainsi que les évaluations des risques systémiques. Mais le véritable problème opérationnel se pose du côté des utilisateurs.

Dès lors qu’une entreprise intègre un modèle GPAI dans un workflow productif – qu’il s’agisse d’un plug-in ChatGPT dans le CRM, d’un Copilot dans la gestion des contrats ou d’un système RAG propre basé sur Claude – l’application devient un système d’IA au sens de la réglementation. Ainsi, les obligations relatives à la classification des risques, à la transparence, à la supervision et à la documentation entrent en jeu. La plupart des PME d’Europe centrale et orientale que nous avons interrogées ces dernières semaines pensent qu’elles relèvent de la catégorie des « utilisateurs » et sont donc largement libres de leurs actions. C’est une idée fausse qui pourrait s’avérer coûteuse en août.

Les quatre blocs de documentation à mettre en place dès maintenant

Bloc 1 – Inventaire des cas d’usage avec classification des risques. Toute application alimentée par l’IA au sein de l’entreprise doit être recensée : quelle tâche est-elle censée soutenir, quel modèle est utilisé, quelles données y sont injectées, quel département l’exploite et dans quelle mesure le résultat obtenu est-il contraignant ? Cette analyse permet ensuite d’attribuer chaque cas à l’une des quatre catégories de risque – « minimal », « limité », « élevé » ou « interdit ». Cette classification oriente toutes les étapes ultérieures.

Bloc 2 – Documentation des catégories de données. Quelles sont les catégories de données personnelles, critiques pour l’activité ou confidentielles qui alimentent le système d’IA ? Cet inventaire s’inscrit dans le cadre du RGPD, mais va bien au-delà : il inclut également des catégories non personnelles telles que les projets contractuels, le code source ou les plans stratégiques – ainsi que la question de savoir si le modèle peut utiliser ces données pour son entraînement ou non.

Bloc 3 – Mécanismes de supervision humaine. Pour chaque cas d’usage, il convient de préciser qui valide les résultats produits par l’IA, qui est habilité à déclencher une escalade et qui assume la responsabilité finale. En cas de risque limité, un contrôle par échantillonnage suffit souvent. En revanche, pour les applications à haut risque – comme les décisions relatives au recrutement ou aux évaluations de crédit – une règle des quatre yeux, accompagnée d’un processus d’escalade clairement documenté, est indispensable.

Bloc 4 – Registres d’évaluation de la conformité. Il s’agit du dossier centralisé destiné aux audits : fiches techniques des fournisseurs, évaluations internes des risques, mesures mises en œuvre, preuves de formation… Un simple fichier Excel réparti ne suffit pas ; les autorités de surveillance exigent une structure organisée, attestant que l’entreprise prend ses obligations au sérieux.

15 millions d’euros

Plafond d’amende ou 3 % du chiffre d’affaires du groupe

Le montant le plus élevé prévaut. Pour de nombreuses PME, cela signifie que le seuil des 3 % n’est franchi qu’à partir d’un chiffre d’affaires consolidé de 500 millions d’euros. En dessous, c’est le plafond absolu qui s’applique – ce qui n’apporte guère de réconfort, mais soulève la question de savoir combien d’infractions un audit unique pourrait révéler.

Trois exemples de cas d’usage issus du milieu des PME en Allemagne, Autriche et Suisse

Exemple A – CRM intégrant un plug-in ChatGPT pour la rédaction de mails : un constructeur mécanique basé en Bade-Wurtemberg confie à ses commerciaux la génération automatique de brouillons de réponse aux demandes clients via un plug-in ChatGPT Enterprise. Risque : minimal à limité. Obligations : documentation du cas d’usage, contrôles par échantillonnage, avertissement clair aux clients en cas d’envoi de textes générés par l’IA sans relecture préalable.

Exemple B – Sélection préliminaire des candidats grâce à Microsoft Copilot : un prestataire informatique de taille moyenne utilise Copilot pour trier les candidatures selon des critères d’aptitude. Risque : élevé – décision humaine impliquée. Obligations : tests de biais documentés, mise en place d’une double validation pour les refus, transparence vis-à-vis des candidats et auditabilité des procédures de conformité.

Exemple C – Rédaction de contrats avec Claude Pro : une entreprise commerciale génère des clauses contractuelles via des interactions avec Claude Pro. Risque : limité – toutefois, les clauses sont diffusées sans vérification juridique finale. Obligations : définition d’une hiérarchie d’escalade, audits aléatoires sur des échantillons de résultats, et mention explicite dans la documentation interne des parties du contrat appuyées par l’IA.

« La loi européenne sur l’IA n’est pas le prochain désastre du RGPD – mais elle mettra sous pression précisément les entreprises qui pensaient que les licences d’IA garantissaient automatiquement la conformité. Les inspections régulières arriveront et exigeront une documentation rigoureuse. »

Ce qui doit être concrètement en place d’ici le 2 août

Six étapes opérationnelles qui peuvent occuper les 70 jours de l’été – ou se dérouler en arrière-plan pendant dix semaines :

Inventaire des cas d’usage dans toute l’organisation – recenser tous les workflows assistés par l’IA, y compris les usages parallèles.
Classification des risques par cas d’usage – en interne ou avec un soutien externe.
Définir un schéma de catégories de données – quels types de données sont autorisés dans quels modèles, et avec quel niveau de protection ?
Établir les obligations de supervision humaine – qui vérifie quoi, et avec quelle latence ?
Documenter la formation des employés – l’autorité de surveillance vérifie si le personnel sait ce qu’il utilise.
Mettre en place un dossier d’évaluation de conformité – un archivage central où toutes les preuves sont rassemblées.

Selon l’expérience, une entreprise de taille moyenne comptant entre 200 et 500 employés et trois à cinq cas d’usage d’IA en production a besoin de huit à douze semaines pour mener à bien ces six étapes correctement – à condition que le projet ait une propriété claire. Sans responsable désigné, cela devient un projet qui s’enlise durant l’été.

Foire aux questions

L’AI Act de l’UE s’applique-t-il également aux entreprises non européennes ?

Oui – dès lors qu’un système d’IA est proposé ou utilisé sur le marché de l’UE, l’AI Act s’applique, indépendamment du siège du fournisseur ou de l’utilisateur. Les entreprises de la région DACH ayant des filiales en Suisse ou au Royaume-Uni doivent respecter les obligations pour leurs opérations dans l’UE.

Que se passe-t-il si la date butoir du 2 août est manquée ?

Les obligations entrent automatiquement en vigueur. En cas de violation, des amendes allant jusqu’à 15 millions d’euros ou trois pour cent du chiffre d’affaires mondial du groupe sont encourues – le montant le plus élevé étant retenu. Les autorités de surveillance des États membres de l’UE mettent déjà en place leurs programmes de contrôles aléatoires.

Une déclaration de conformité du fournisseur d’IA suffit-elle ?

Non. Les obligations sont partagées : les fournisseurs doivent fournir des fiches modèles, des résumés des données d’entraînement et des évaluations des risques systémiques. Les utilisateurs doivent documenter, classifier et surveiller leurs propres cas d’usage. Une déclaration de conformité d’OpenAI ou de Microsoft ne couvre que le côté fournisseur.

Le BSI aide-t-il avec des modèles concrets ?

Le BSI prépare un guide d’application pour les GPAI, qui devrait être publié d’ici mi-juillet selon l’état actuel. Il contiendra des modèles pour les quatre blocs de documentation. Ceux qui ne souhaitent pas attendre peuvent s’appuyer sur les matériaux existants de l’ENISA et sur les recommandations des autorités nationales de protection des données.

Plus d’articles du réseau MBF Media

Lectures complémentaires issues des magazines MBF Media

cloudmagazin : Google Gemini en entreprise : ce que l’AI Act impose
SecurityToday : MFA adaptative : les paramètres par défaut ne suffisent pas
Digital Chiefs : Mandats technologiques au conseil de surveillance : NIS2, AI Act de l’UE et le fossé des compétences

Source image titre : Pexels / RDNE Stock project (px:7414013)

Aussi disponible en

Español English Deutsch

MyBusinessFuture / Evernine Media GmbH

Benedikt Langer befasst sich als Redakteur für MyBusinessFuture vor allem mit zukunftsweisenden Business- und Tech-Themen – von Künstlicher Intelligenz über Cybersecurity bis hin zu Mobilität, Energie- und Verkehrsinfrastruktur sowie resilienten Industrie-Ökosystemen.

Nos experts et partenaires