PAROLE D’EXPERT

Les étapes clés pour mettre en conformité votre PME avec l'IA Act

Parole de Myriam Bennari, avocate chez Act Legal France

On imagine souvent que le nouveau Règlement sur l’Intelligence Artificielle (RIA ou IA Act) ne vise que les géants de la Tech. C’est une erreur : il concerne en réalité la quasi-totalité des entreprises. Comment aborder cette réglementation quand on dirige une TPE ou une PME ? Myriam Bennari, avocate spécialisée en droit du numérique chez act legal France et intervenante lors du Digiteurs Day de la CCI Paris Île-de-France, nous livre sa méthode pragmatique pour transformer cette obligation en levier de confiance.

Publié le 17 juin 2026

En quoi une PME classique est-elle concernée par l'IA Act ?

« Il faut démystifier une idée reçue : vous n'avez pas besoin de développer votre propre algorithme pour être soumis au texte », pose d'emblée Myriam Bennari. Dès lors que vos collaborateurs utilisent au quotidien des outils intégrant de l’IA, votre entreprise entre dans la catégorie des déployeurs. On estime qu'au moins 90 % des sociétés sont directement concernées par cette réglementation.

Le premier risque qui guette les dirigeants est celui de la "Shadow IA" (l'IA fantôme) : l'usage d'outils d'intelligence artificielle par les salariés sans que la direction ne soit informée.

Ces pratiques non contrôlées exposent l’entreprise à des risques majeurs : la fuite de données personnelles ou financières, ainsi que des problèmes de propriété intellectuelle si l’outil utilise des œuvres existantes de manière non conforme, ce qui peut entraîner des accusations de contrefaçon.

Ce que dit la loi :
le dirigeant est responsable de l'usage de l'intelligence artificielle au sein de l'entreprise, même sans connaissance préalable des pratiques individuelles des salariés. En cas de manquement, les sanctions sous le RGPD peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial. Concernant le Règlement sur l'intelligence artificielle, les sanctions peuvent s'élever jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial, selon la gravité des infractions.

Étape 1 : cartographier pour y voir clair

Avant toute démarche complexe, la première action de bon sens consiste à réaliser une cartographie exhaustive des outils d'IA utilisés au quotidien.

« Cette étape implique de recenser les applications utilisées, y compris les versions gratuites qui présentent des risques de confidentialité, d'identifier les tâches effectuées (rédaction, génération d'images, CRM) et de lister la nature des données traitées, qu'elles soient financières ou personnelles par exemple », conseille l’avocate.

Étape 2 : mettre en place une Charte Éthique de terrain

Pour démontrer une mise en conformité active lors d'éventuels contrôles, il est recommandé de formaliser les pratiques à travers une charte éthique courte et pratique.

Ce document doit définir des règles claires :

Le périmètre d'utilisation et la liste des outils autorisés et interdits.
Les types de données proscrites à la saisie.
Un rappel des obligations de transparence concernant les contenus générés par l'intelligence artificielle.

Étape 3 : nommer un référent IA en interne

Il est conseillé aux entreprises, même de petite taille, de désigner une personne en interne pour endosser le rôle de référent en matière d'intelligence artificielle. Cette personne aura pour mission de mettre à jour régulièrement la cartographie des usages, d'assurer une veille réglementaire et d'organiser la formation des salariés sur les enjeux éthiques.

La conformité : un accélérateur d'innovation, pas un frein

La conformité au Règlement sur l'intelligence artificielle ne doit pas être vue comme un frein à l'innovation. Au contraire, ces démarches garantissent une utilisation éthique de ces outils et le respect des données de vos clients.

La formation continue des équipes est l'outil clé pour gérer l'évolution rapide des technologies tout en maintenant une structure conforme.

Se faire entourer : l’agenda et les solutions

Le calendrier réglementaire laisse le temps d'agir. L'entrée en vigueur des obligations concernant les systèmes d'intelligence artificielle dits à "haut risque" (qui ont un impact direct sur la vie des personnes, comme les outils de tri de CV, les systèmes d'évaluation des salariés) a été repoussée au 2 décembre 2027.