L’intelligence artificielle est entrée dans les petites entreprises sans évaluation juridique et technique organisée. Un magasin utilise ChatGPT pour des descriptions de produits. Un e-shop teste Claude ou un autre assistant d’IA pour les questions des clients, avec une personne qui vérifie les réponses. Un cabinet comptable teste un outil qui résume des documents. Une entreprise de services rédige des offres, des e-mails et des publications avec l’IA. Un employeur envisage d’utiliser un logiciel qui « trie » les CV.
La première réaction est souvent pratique : si cela fait gagner du temps, pourquoi ne pas l’utiliser ? La deuxième est anxieuse : est-ce désormais interdit ? La bonne réponse se situe entre les deux. L’AI Act, c’est-à-dire le Règlement (UE) 2024/1689 sur l’intelligence artificielle, n’interdit pas en général l’utilisation d’outils comme ChatGPT, Claude ou d’autres assistants d’IA. Il fixe toutefois des règles selon le risque, le rôle de l’entreprise et le résultat produit par le système.
Commencez par l’usage, pas par l’outil
Le même outil d’IA peut être un simple moyen d’assistance lorsqu’il rédige un brouillon d’e-mail, mais devenir beaucoup plus sensible lorsqu’il participe à un recrutement, à un crédit, à une assurance, à l’éducation ou à l’accès à des services essentiels.
Pour une petite entreprise grecque, la question principale n’est pas « dois-je arrêter l’IA ? ». Elle est plus simple et plus sérieuse : où est-ce que je l’utilise, quelles données est-ce que j’y introduis, qui contrôle le résultat, le client doit-il être informé et mon usage touche-t-il des décisions sensibles comme le recrutement, l’évaluation, le crédit, l’assurance, l’éducation ou l’accès à des services.
Le présent article est un guide pratique. Ce n’est pas un manuel technique et il ne remplace pas un conseil juridique. Son objectif est d’aider un professionnel à distinguer ce qui relève d’un usage quotidien à faible risque, ce qui exige des règles internes et ce qui ne doit pas être fait sans contrôle spécialisé.
En pratique, l’enjeu juridique n’est pas de diaboliser l’IA. Il est d’avoir une politique d’usage simple : ce qui peut être introduit dans l’outil, qui contrôle le résultat, quand le client est informé et quand une évaluation juridique ou technique est nécessaire avant l’intégration du système dans le fonctionnement quotidien.
Ce qu’est l’AI Act, simplement
L’AI Act est le premier règlement européen unifié sur les systèmes d’intelligence artificielle. La Commission européenne le présente comme un cadre fondé sur l’évaluation des risques : plus le risque est élevé pour la sécurité, la santé, les droits fondamentaux ou les décisions importantes concernant des personnes, plus les obligations sont lourdes.
Tous les outils d’IA ne sont pas traités de la même manière. Un outil qui propose des titres pour les réseaux sociaux n’a pas le même poids qu’un système qui évalue des candidats à un emploi ou donne des instructions personnalisées sans supervision humaine.
La philosophie du règlement est graduée. Certaines pratiques sont interdites. Certains systèmes sont à haut risque et exigent une conformité stricte. Certains comportent principalement des obligations de transparence. La plupart des outils quotidiens à faible risque n’auront pas besoin d’un dossier lourd, mais cela ne signifie pas qu’ils peuvent être utilisés sans cadre.
Pour les petites entreprises, cela se traduit par quelque chose de très concret : ne partez pas du nom de l’outil, partez de l’usage. Le même outil d’IA peut être un simple outil d’assistance lorsqu’il rédige un brouillon d’e-mail, mais devenir beaucoup plus sensible lorsqu’il est utilisé pour exclure un client, un salarié ou un candidat de quelque chose d’important.
Les dates qui comptent en 2026
L’AI Act est entré en vigueur le 1er août 2024 et s’applique progressivement. La page officielle de la Commission européenne et l’AI Act Service Desk montrent que, depuis le 2 février 2025, les dispositions générales, les définitions, les pratiques interdites et l’obligation d’AI literacy s’appliquent déjà, c’est-à-dire l’obligation que les personnes utilisant ou exploitant l’IA aient une compréhension suffisante de son usage et de ses risques.
Depuis le 2 août 2025, des règles s’appliquent aux fournisseurs de modèles d’IA à usage général, comme les grands modèles d’IA. Cela concerne surtout les entreprises qui créent ou mettent à disposition de tels modèles, mais intéresse aussi les petites entreprises parce que cela affecte leurs fournisseurs.
La grande date pratique pour de nombreuses entreprises est le 2 août 2026, date à laquelle commence l’application de la majorité des règles et des obligations de transparence de l’article 50. La Commission a également annoncé, dans le cadre de l’AI Omnibus, un accord politique pour une application plus tardive de certaines obligations relatives aux systèmes à haut risque. Comme le cadre évolue, une petite entreprise ne doit pas se fonder sur une seule date. Elle doit organiser dès maintenant l’usage de l’IA.
| Date | Ce que cela signifie concrètement | Ce qu’une petite entreprise doit faire |
|---|---|---|
| 1er août 2024 | L’AI Act est entré en vigueur | Commencer la cartographie des usages de l’IA |
| 2 février 2025 | Les définitions, interdictions et obligations d’AI literacy s’appliquent | Former de base les personnes qui utilisent l’IA et interdire les pratiques dangereuses |
| 2 août 2025 | Les obligations pour les fournisseurs de modèles d’IA à usage général s’appliquent | Contrôler les fournisseurs d’IA et leurs conditions |
| 2 août 2026 | Les principales obligations de transparence et une application plus large commencent | Avoir des informations client, des politiques d’usage et un contrôle des risques |
| 2027-2028, selon la catégorie | Certains calendriers de haut risque sont déplacés en raison de mesures de simplification | Demander une évaluation spéciale avant l’IA dans les RH, le crédit, les services critiques ou les produits réglementés |
Êtes-vous fournisseur, déployeur ou simple utilisateur ?
L’AI Act utilise des rôles. Pour les petites entreprises, le rôle le plus fréquent est celui de déployeur : l’entreprise utilise un système d’IA dans son cadre professionnel. Elle ne l’a pas créé elle-même, mais l’intègre dans son fonctionnement quotidien. Un atelier qui installe un chatbot sur son site, un e-shop qui utilise l’IA pour des recommandations de produits ou un cabinet qui utilise ChatGPT pour rédiger des textes est généralement un déployeur.
Le fournisseur est celui qui développe ou met le système d’IA sur le marché sous son nom. Une petite entreprise peut devenir fournisseur si elle crée son propre chatbot et le vend à d’autres, ou si elle intègre l’IA dans un produit ou service qu’elle commercialise comme sa propre solution.
De nombreuses entreprises ne créent pas l’IA à partir de zéro, mais configurent fortement un système existant : elles téléchargent une base de connaissances, donnent des instructions et le placent face aux clients. Même dans ce cas, l’entreprise reste responsable de l’usage, des données et des promesses faites à l’utilisateur.
ChatGPT pour les tâches quotidiennes : points d’attention
L’utilisation de ChatGPT ou d’un outil similaire pour des idées, des brouillons de textes, des traductions, des résumés ou l’organisation interne est généralement à faible risque, à condition de ne pas y introduire de données sensibles ou confidentielles et de prévoir un contrôle humain. Le problème n’est pas d’avoir rédigé un e-mail avec l’IA. Le problème est de copier des données clients, des contrats ou des secrets de l’entreprise sans savoir où ils vont et comment ils sont stockés.
Une politique pratique pour une petite entreprise peut être courte, mais elle doit être claire. Elle doit dire quels outils sont autorisés, pour quels usages, ce qui ne peut pas être introduit, qui approuve l’usage dans les communications client et quand un contrôle par un responsable ou un conseiller juridique est requis.
| Usage de ChatGPT | Risque habituel | Règle pour petite entreprise |
|---|---|---|
| Idées pour réseaux sociaux ou blog | Faible, si aucune donnée personnelle n’est introduite | Autorisé avec contrôle de l’exactitude et du style |
| Résumé d’un texte public | Faible à modéré | Vérifier la fidélité et conserver la source |
| Traduction d’un contrat client | Modéré à élevé | Pas sans autorisation, anonymisation et contrôle de confidentialité |
| Réponse à un client sur des droits ou obligations | Modéré à élevé | Utiliser uniquement comme brouillon, jamais comme conseil final automatique |
| Évaluation de candidats à l’emploi | Élevé | Ne pas le faire sans contrôle juridique/RH spécifique |
| Décision automatique de crédit, de remise ou de rejet d’un client | Élevé | Exiger une évaluation spéciale et une supervision humaine |
Le principe de base est simple : plus l’IA est proche d’une décision qui affecte une personne, plus l’entreprise doit être prudente. Plus l’usage est auxiliaire et interne, plus il peut être organisé simplement, sans ignorer la confidentialité.
Chatbot sur le site ou l’e-shop
Le chatbot est plus sensible qu’un outil interne, parce qu’il parle avec les clients. Même s’il répond à des questions simples, l’utilisateur doit comprendre qu’il ne parle pas à une personne lorsque cela n’est pas évident. Les obligations de transparence de l’article 50 de l’AI Act deviendront pratiquement critiques à partir du 2 août 2026. La Commission européenne a publié en 2026 des projets de lignes directrices sur les obligations de transparence, précisément pour les systèmes qui interagissent avec des personnes ou produisent du contenu synthétique.
Pour une petite entreprise, la solution la plus sûre est d’informer clairement l’utilisateur dès le départ : « Vous parlez avec un assistant automatisé. Pour les questions de contrat, de paiement, de réclamation ou de prétention juridique, une personne vous répondra ». Il n’est pas nécessaire d’écrire un texte excessif. Il faut toutefois éviter de donner l’impression qu’une personne contrôle chaque réponse lorsque ce n’est pas le cas.
Le deuxième point concerne les données personnelles. Un chatbot d’e-shop peut collecter un nom, un e-mail, un numéro de commande, une adresse ou la description d’un problème. C’est là que le RGPD intervient. La politique de confidentialité doit expliquer quelles données sont collectées, dans quel but, qui est le fournisseur, s’il existe un transfert hors UE et pendant combien de temps les conversations sont conservées.
Le troisième point est la limite des réponses. Un chatbot peut indiquer les horaires d’ouverture, la politique de retour, l’état d’une commande ou des instructions de base. Il ne doit pas promettre des choses qui engagent l’entreprise s’il n’a pas cette autorisation. Par exemple, la phrase « vous avez certainement droit à une indemnisation » est dangereuse. Il vaut mieux dire : « Je vais transmettre votre demande au service compétent pour examen ».
AI literacy : l’obligation que beaucoup ignorent
L’AI literacy ne signifie pas que tous les salariés doivent devenir ingénieurs en intelligence artificielle. Elle signifie que les personnes qui utilisent l’IA pour le compte de l’entreprise doivent avoir des connaissances suffisantes sur les bases : ce que l’outil peut faire, ce qu’il ne peut pas faire, les risques existants, la manière d’éviter les données personnelles, la manière de contrôler l’exactitude et le moment où demander une évaluation humaine ou juridique.
L’article 4 de l’AI Act s’applique déjà depuis le 2 février 2025. La Q&A officielle de la Commission européenne explique que l’obligation tient compte des connaissances techniques, de l’expérience, de la formation et du contexte d’utilisation. Une petite entreprise n’a donc pas besoin d’un programme de multinationale. Elle doit toutefois montrer qu’elle n’a pas laissé chacun utiliser l’IA comme il le voulait.
Concrètement, une formation interne de deux heures, une courte politique d’usage et un registre de suivi peuvent suffire pour une première organisation. Qui a été formé ? Quels outils l’entreprise utilise-t-elle ? Quelles données sont interdites ? Qui approuve un nouvel usage ?
Les erreurs qu’une petite entreprise doit éviter
La première erreur est d’utiliser le compte personnel d’un salarié pour un travail d’entreprise. Si le salarié part ou si des données clients ont été introduites, l’entreprise perd le contrôle. Pour un usage professionnel, il faut des comptes d’entreprise, des droits d’accès et des règles de base.
La deuxième erreur est la copie irréfléchie de données. Beaucoup téléchargent dans l’IA des factures, des listes de clients, des CV, des e-mails ou des contrats parce qu’ils « veulent un résumé ». Si le fournisseur, le contrat, la politique de confidentialité et les paramètres de stockage n’ont pas été contrôlés, cela peut créer un problème de RGPD, de secret commercial et de confidentialité.
La troisième erreur est de publier un texte d’IA sans vérification. L’IA peut se tromper, inventer des sources, confondre des lois ou écrire d’une manière trompeuse. Dans les articles, les publicités, les informations juridiques, les prix, les conditions de vente et les réponses aux clients, le contrôle humain n’est pas décoratif. Il est nécessaire.
La quatrième erreur est l’usage de l’IA dans les RH sans contrôle sérieux. La notation automatique de CV ou le classement de candidats peut toucher des domaines à haut risque. Ce n’est pas la même chose qu’un simple brouillon d’offre d’emploi.
La cinquième erreur est de confondre l’AI Act avec le RGPD. L’un ne remplace pas l’autre. Un usage d’IA peut être à faible risque pour l’AI Act mais problématique pour le RGPD si vous alimentez l’outil avec des données personnelles sans base légale ni information. Une DPIA peut aussi être nécessaire lorsque le traitement au moyen de nouvelles technologies est susceptible d’engendrer un risque élevé pour les droits et libertés.
Cadre pratique en 10 étapes
Il n’est pas nécessaire d’avoir un lourd service conformité. Il faut un cadre minimal qui résiste à un contrôle, à une plainte ou à une erreur.
| Étape | Ce que je fais | Preuve que je conserve |
|---|---|---|
| 1 | J’écris quels outils d’IA sont utilisés | Liste des outils, fournisseur, usage |
| 2 | Je sépare les usages internes, clients et décisionnels | Petit registre des risques |
| 3 | J’interdis certaines données dans les outils d’IA publics | Politique interne d’usage |
| 4 | Je forme le personnel qui utilise l’IA | Date, support, participants |
| 5 | Je contrôle les conditions du fournisseur et les paramètres de confidentialité | Lien ou fichier des conditions, notes |
| 6 | Je mets à jour la politique de confidentialité lorsqu’il existe un chatbot ou un traitement par IA | Politique de confidentialité actualisée |
| 7 | J’indique clairement que l’utilisateur parle avec un chatbot | Texte d’information sur le site |
| 8 | Je définis quand une personne intervient | Procédure d’escalade |
| 9 | J’évite l’IA en RH/crédit/décisions sensibles sans contrôle spécial | Décision de direction ou avis juridique |
| 10 | Je vérifie périodiquement si l’usage ou le fournisseur a changé | Date de réexamen |
Le plus important est la cohérence. Si la politique dit « nous ne téléchargeons pas de données personnelles », mais que les salariés le font tous les jours, elle ne vaut pas grand-chose. Si le chatbot promet des remboursements ou des indemnisations sans intervention humaine, la pratique annule la règle.
Exemples par type d’entreprise
| Entreprise | Usage utile de l’IA | Ligne rouge |
|---|---|---|
| E-shop | Descriptions de produits, FAQ, classement des tickets | Données clients complètes dans un outil sans contrôle, réponses engageantes sur les retours sans personne |
| Cabinet comptable | Brouillons d’informations, résumés de circulaires publiques | Déclarations fiscales, paies, numéros fiscaux ou données clients dans un outil d’IA public |
| Cabinet de conseil ou cabinet d’avocats | Plan, amélioration linguistique, idées de structure | Actes de procédure, données sensibles ou conclusion juridique finale sans contrôle humain |
| Support client | Chatbot pour horaires, commandes et suivi d’expédition | Réclamations, indemnisations, plaintes ou prétentions juridiques sans escalade vers une personne |
| RH/recrutement | Brouillon d’offre d’emploi | Notation, rejet ou classement automatique des candidats sans contrôle spécial |
La logique est commune : plus l’IA est proche de données confidentielles ou d’une décision qui affecte une personne, plus le cadre doit être strict.
Que mettre dans la politique d’usage de l’IA de l’entreprise ?
Une petite politique d’usage de l’IA n’a pas besoin de faire 30 pages. Elle peut tenir en 2 à 4 pages, à condition de répondre clairement aux points essentiels.
Premièrement, quels outils sont autorisés. Deuxièmement, quels usages sont autorisés : brouillons de textes, idées, traductions de contenu public, organisation interne. Troisièmement, quels usages sont interdits sans approbation : données personnelles des clients, données financières, CV, données médicales, contrats, documents confidentiels, décisions automatiques.
Quatrièmement, qui contrôle le résultat. Tout texte produit par l’IA qui est publié, envoyé à un client ou affecte un droit doit passer par une personne. Cinquièmement, que faire en cas d’incident, par exemple si une liste de clients a été introduite par erreur dans un outil d’IA. La politique doit exiger un signalement interne immédiat, non une dissimulation.
Quand faut-il un juriste ou un DPO ?
Tout usage simple de l’IA n’a pas besoin de passer par un avocat. Mais un contrôle spécialisé est nécessaire lorsque l’IA traite des données personnelles à grande échelle, lorsqu’elle prend ou influence des décisions concernant des personnes, lorsqu’elle est utilisée dans le recrutement, lorsqu’elle concerne des enfants, la santé, l’évaluation financière ou l’accès à des services essentiels.
Le DPO, s’il existe, doit être impliqué tôt dans les usages qui touchent aux données personnelles. S’il n’y a pas de DPO, il doit au moins y avoir une personne responsable dans l’entreprise capable de coopérer avec un technicien, un juriste ou un prestataire IT. L’intelligence artificielle n’est pas seulement une question juridique, mais aussi organisationnelle.
Petite liste de contrôle avant d’acheter un outil d’IA ou un chatbot
Avant de payer pour un outil d’IA, demandez des réponses aux points essentiels :
- Où les données sont-elles hébergées ?
- Nos données sont-elles utilisées pour entraîner le modèle ?
- Est-il possible de désactiver l’entraînement ou l’utilisation des prompts ?
- Un accord de traitement des données est-il signé lorsque c’est nécessaire ?
- Puis-je supprimer les historiques de conversations ?
- Existe-t-il des logs et des droits d’accès par utilisateur ?
- Puis-je imposer une approbation humaine avant les réponses critiques ?
- Comment l’utilisateur final est-il informé qu’il parle avec une IA ?
- Quel support le fournisseur donne-t-il pour la conformité AI Act/RGPD ?
- Que se passe-t-il si l’outil se trompe ou divulgue une information ?
Si le fournisseur ne peut pas répondre aux questions de base, le prix bas ne suffit pas comme argument. L’outil le plus dangereux est celui qui entre en production sans que personne ne sache vraiment ce qu’il fait.
FAQ
Puis-je utiliser ChatGPT dans mon entreprise ?
Oui, mais avec des règles. Pour les idées, les brouillons et l’usage d’assistance, il n’y a généralement pas de problème si vous n’introduisez pas de données personnelles ou confidentielles et si vous vérifiez le résultat.
Dois-je dire au client que j’ai utilisé l’IA ?
Si le client interagit avec un système d’IA, comme un chatbot, il doit être informé clairement lorsque cela n’est pas évident. Pour les contenus d’intérêt public et les contenus synthétiques, une attention particulière est nécessaire aux obligations de transparence.
Si j’utilise un chatbot prêt à l’emploi d’une société tierce, seul le fournisseur est-il responsable ?
Non. Le fournisseur a ses propres obligations, mais l’entreprise est responsable de la manière dont elle l’installe, des données qu’il collecte, de ce qu’elle dit au client, des limites qu’elle fixe et du respect du RGPD et des règles de consommation.
Dois-je faire une DPIA ?
Pas toujours. Une évaluation est nécessaire lorsque le traitement, notamment avec de nouvelles technologies, est susceptible de créer un risque élevé pour les droits et libertés. Un chatbot avec de simples FAQ n’aura peut-être pas besoin d’une DPIA, tandis qu’une IA pour les RH, le profilage client ou des données sensibles peut l’exiger.
Puis-je mettre des données clients dans ChatGPT ?
Seulement s’il existe une base légale claire, une information, un fournisseur approprié, des garanties contractuelles et des mesures techniques. En pratique, pour les petites entreprises, la règle la plus sûre est de ne pas introduire de données personnelles dans des outils d’IA publics sans approbation spéciale et anonymisation.
Est-il illégal d’utiliser l’IA pour le recrutement ?
Ce n’est pas illégal en général, mais c’est un domaine à haut risque. Le classement, la notation ou le rejet automatisé de candidats peut créer des obligations sérieuses et des risques de discrimination. Cela ne doit pas être fait sans contrôle juridique et technique spécifique.
Conclusion
L’AI Act n’est pas venu réduire la productivité des petites entreprises. Il est venu poser des limites là où l’intelligence artificielle affecte les personnes, les données et les droits. Écrivez quels outils vous utilisez. Formez vos équipes. Ne téléchargez pas de données personnelles sans contrôle. Informez clairement lorsque le client parle avec un chatbot. Et ne laissez pas l’IA prendre des décisions concernant des personnes sans évaluation spéciale.
L’intelligence artificielle peut aider une petite entreprise à travailler plus vite. Mais la confiance du client ne s’automatise pas. Elle se construit par la transparence, le contrôle et la responsabilité.
Sources et notes de recherche
- European Commission, AI Act regulatory framework: Commission européenne - cadre réglementaire AI Act
- AI Act Service Desk, Timeline for the implementation of the EU AI Act: AI Act Service Desk - calendrier d’application
- EUR-Lex, Regulation (EU) 2024/1689 Artificial Intelligence Act: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32024R1689
- AI Act Service Desk, Article 2 Scope: https://ai-act-service-desk.ec.europa.eu/en/ai-act/article-2
- AI Act Service Desk, Article 4 AI literacy: https://ai-act-service-desk.ec.europa.eu/en/ai-act/article-4
- European Commission, AI Literacy Questions & Answers: Commission européenne - questions sur l’AI literacy
- European Commission, first AI Act rules applicable: https://digital-strategy.ec.europa.eu/en/news/first-rules-artificial-intelligence-act-are-now-applicable
- European Commission, guidelines on prohibited AI practices: https://digital-strategy.ec.europa.eu/en/library/commission-publishes-guidelines-prohibited-artificial-intelligence-ai-practices-defined-ai-act
- European Commission, consultation on transparency obligations under Article 50 AI Act: https://digital-strategy.ec.europa.eu/en/consultations/consultation-draft-guidelines-transparency-obligations-under-ai-act
- European Commission, draft guidelines on transparency obligations under Article 50: https://digital-strategy.ec.europa.eu/en/library/draft-guidelines-implementation-transparency-obligations-certain-ai-systems-under-article-50-ai-act
- European Commission, General-purpose AI obligations under the AI Act: https://digital-strategy.ec.europa.eu/en/factpages/general-purpose-ai-obligations-under-ai-act
- European Commission, General-Purpose AI Code of Practice: https://digital-strategy.ec.europa.eu/en/policies/contents-code-gpai
- Hellenic Data Protection Authority, responsibilities and duties: https://www.dpa.gr/en/hdpa/responsibilities_duties_powers
- Hellenic Data Protection Authority, Data Protection Impact Assessment: Autorité hellénique de protection des données - analyse d’impact DPIA
Comments
Share your thoughts about this article.
No comments yet. Be the first to comment.
Submit a comment