Acte sur l’IA de l’UE pour les petites et moyennes entreprises : Fournisseur ou déployeur ?
8 Min. de lecture
Autour de l’AI Act européen, les PME nourrissent surtout une crainte : la grande vague bureaucratique arrive. En pratique, la charge dépend d’abord d’une question de rôle : l’entreprise développe-t-elle elle-même un système d’IA et le met-elle sur le marché, ou utilise-t-elle un système existant ? La réponse détermine si les obligations du fournisseur s’appliquent ou si l’on reste soumis à des obligations bien moins lourdes en tant qu’utilisateur. Clarifier cela tôt permet d’éviter un travail inutile et de se concentrer sur ce qui s’applique réellement.
Les points clés en bref
- Provider ou Deployer, voilà la question centrale. Celui qui développe et commercialise une IA assume les obligations lourdes. Celui qui se contente d’utiliser un système existant en a bien moins à couvrir. La plupart des PME sont des utilisateurs.
- Les obligations pour les systèmes à haut risque sont concrètes. Gestion des risques, documentation, journalisation, supervision humaine. Pour les utilisateurs, la priorité porte sur la supervision et le respect des consignes d’utilisation, et non sur l’ensemble des charges d’un fabricant.
- Des allègements pour les PME sont intégrés. Les petites entreprises peuvent tenir une documentation technique simplifiée. Le délai pour les obligations à haut risque est fixé à mi-2026 ; un report est en discussion, mais rien n’est acquis.
À lire aussi :Make-or-Buy pour l’IA / Pourquoi l’IA échoue à cause de l’ordre des étapes
La question du rôle détermine la charge de travail
Qu’est-ce que l’AI Act européen ? L’AI Act européen est la première réglementation globale sur l’intelligence artificielle au sein de l’Union européenne. Il classe les systèmes d’IA selon leur niveau de risque, de l’interdiction au risque minimal en passant par le haut risque, et y associe des obligations graduées. Les exigences les plus strictes concernent les systèmes à haut risque, notamment dans la sélection du personnel, l’octroi de crédits ou les infrastructures critiques.
Avant qu’une PME ne réfléchisse à ses obligations, elle doit clarifier son rôle. L’AI Act établit une distinction nette entre le fournisseur, qui développe un système d’IA et le met sur le marché, et l’exploitant, qui se contente d’utiliser un tel système. Dans le texte de loi, on les appelle Provider et Deployer. Cette différence n’est pas académique : elle détermine l’ampleur du travail à accomplir.
La plupart des entreprises de taille intermédiaire sont des exploitants. Elles achètent un outil de gestion des candidatures, un logiciel d’analyse de crédit ou une solution d’analyse et les utilisent. Elles relèvent donc des obligations applicables aux Deployers, et non de la charge complète du fabricant. Celui qui méconnaît cette réalité et se prépare aux obligations du fournisseur prévoit un travail qui ne le concerne pas. À l’inverse, celui qui croit, en tant que simple utilisateur, être totalement hors champ, passe à côté de ses propres obligations, certes plus légères.
Quatre obligations fondamentales s’appliquent aux IA à haut risque
Lorsqu’un système est classé à haut risque, des exigences clairement définies s’imposent. Elles se répartissent toutefois différemment entre fournisseurs et déployeurs. L’aperçu suivant distingue qui doit quoi.
| Obligation | Fournisseur (Provider) | Déployeur (Deployer) |
|---|---|---|
| Gestion des risques | mettre en place sur l’ensemble du cycle de vie | utiliser selon les instructions |
| Documentation technique | établir de manière complète | conserver, sans avoir à la créer |
| Journalisation | intégrer une journalisation automatique | conserver les journaux au moins six mois |
| Supervision humaine | la rendre possible | l’exercer effectivement |
| Enregistrement | inscrire le système dans la base de données de l’UE | en règle générale non requis |
Pour la PME type agissant en tant que déployeur, les tâches essentielles restent ainsi limitées : utiliser le système uniquement aux fins prévues et conformément aux instructions, garantir une supervision humaine réelle, conserver les journaux et, dans certains cas, réaliser une évaluation de l’impact sur les droits fondamentaux. Cela représente du travail. Mais ce n’est pas la charge du fabricant qui en décourage plus d’un.
Mi-2026 : le niveau de préparation sera déterminant
Trois dates clés que toute direction devrait connaître. La première est le délai. Les obligations relatives aux systèmes à haut risque deviennent contraignantes à mi-2026. Un report de certaines échéances est en discussion au niveau européen, mais tant qu’il n’est pas acté, le calendrier initial prévaut. Compter sur un report est risqué.
Le deuxième point concerne le cadre de sanctions. Il montre que l’AI Act n’est pas un texte sans portée. Le troisième point allège la charge des PME : des facilités sont intégrées pour les petites et moyennes entreprises. Elles sont autorisées à tenir la documentation technique sous une forme simplifiée, la Commission européenne mettant à disposition un formulaire à cet effet. Cette facilité a en outre été étendue aux petites entreprises de taille intermédiaire. Les petites structures doivent remplir les obligations, mais sans documenter dans les mêmes proportions qu’un grand groupe.
Clarifier les rôles et organiser la supervision dès maintenant
La situation appelle une liste de priorités sobre, qui distingue le nécessaire de l’activisme évitable.
Ce qui est inutile
- En tant que simple utilisateur, anticiper l’intégralité des obligations du fabricant
- Traiter systématiquement chaque outil d’IA utilisé comme un système à haut risque
- Attendre un report de délai avant qu’il soit officiellement décidé
- Lancer un grand projet coûteux là où un inventaire suffit
Ce qui compte
- Inventorier ses propres systèmes d’IA et les classer par niveau de risque
- Clarifier le rôle pour chaque système : fournisseur ou déployeur
- Garantir la supervision et la journalisation pour les applications à haut risque
- Tirer parti des allègements prévus pour les PME en matière de documentation
Le fil conducteur est la proportionnalité. L’AI Act n’exige pas des PME une conformité de grande entreprise, mais une classification honnête de leurs propres systèmes et quelques routines fiables pour les rares applications véritablement critiques. Quiconque commence par un inventaire et clarifie son rôle pour chaque système a déjà dissipé l’essentiel de l’incertitude. Le reste relève de l’entretien, non d’une révolution.
Foire aux questions
L’AI Act de l’UE s’applique-t-il également aux petites entreprises ?
Oui, mais de façon graduée. Les obligations dépendent du niveau de risque du système et du rôle de l’entreprise, et non principalement de sa taille. Les petites et moyennes entreprises sont toutefois autorisées à tenir une documentation technique simplifiée, et cet allègement a été étendu aux petites entreprises de taille intermédiaire. Être une petite structure n’exonère pas des obligations, mais en facilite la mise en œuvre.
Quelle est la différence entre fournisseur et déployeur ?
Un fournisseur développe un système d’IA et le met sur le marché. Un déployeur se contente d’utiliser un système existant. Les obligations les plus lourdes, telles que la documentation technique, l’évaluation de conformité et l’enregistrement, incombent au fournisseur. Le déployeur doit avant tout utiliser le système conformément à sa destination, garantir une supervision humaine et conserver les journaux d’activité.
Quels systèmes d’IA sont considérés comme à haut risque ?
Les systèmes intervenant dans des domaines sensibles, par exemple dans la sélection de candidats, l’octroi de crédits, les infrastructures critiques ou certains composants de sécurité. Un simple assistant textuel ou un outil de traduction n’entre généralement pas dans cette catégorie. La classification découle de la finalité d’utilisation, et non de la technologie seule.
À partir de quand les obligations pour les systèmes à haut risque s’appliquent-elles ?
Elles deviendront contraignantes mi-2026. Au niveau européen, un report de certains délais est en discussion, mais aucune décision n’a encore été prise. D’ici là, le calendrier initial reste en vigueur. Les entreprises ne devraient pas conditionner leur préparation à un report possible mais incertain.
Par où commencer la préparation ?
Par un inventaire. Quels systèmes d’IA sont en cours d’utilisation, à quoi servent-ils et l’entreprise est-elle fournisseur ou déployeur pour chacun d’eux ? Cette vue d’ensemble permet de déterminer quels systèmes sont effectivement considérés comme à haut risque et où des obligations s’appliquent. Sans cet inventaire, toute mesure ultérieure revient à tirer à l’aveugle.
Lectures recommandées par la rédaction
- IA générative dans les PME : 78 % d’utilisation, peu d’impact
- D’abord les esprits, ensuite les outils
- Le goulot d’étranglement de l’IA dans les PME se situe dans les systèmes hérités
Plus du réseau MBF Media
Source de l’image : image de couverture générée par IA (juin 2026), certificat C2PA intégré dans l’image
