Technique8 min de lecture

EU AI Act et PME françaises : ce qui change concrètement en 2026

Le règlement européen sur l'IA (EU AI Act) est entré en vigueur. Quelles obligations pour les PME françaises qui utilisent ou déploient des agents IA ? Guide pratique sans jargon.

ST

Steven Texier

Fondateur · Vulcia

L'EU AI Act (Règlement UE 2024/1689) est entré pleinement en vigueur en 2025. C'est la première réglementation mondiale contraignante sur l'intelligence artificielle. Pour les PME françaises, la question n'est pas "est-ce que ça nous concerne ?" — si vous utilisez un agent IA pour parler à vos clients, ça vous concerne. La bonne nouvelle : la plupart des cas d'usage PME sont dans la catégorie "risque limité", avec des obligations réalistes.

Les 4 niveaux de risque de l'EU AI Act

Risque inacceptable — Interdit

  • Systèmes de notation sociale
  • Manipulation comportementale subliminale
  • Reconnaissance faciale en temps réel dans les espaces publics
  • Exploitation des vulnérabilités d'un groupe (enfants, personnes âgées, handicapées)

Interdit depuis août 2024. Amendes jusqu'à 35M€ ou 7% du CA mondial.

Risque élevé — Obligations renforcées

  • IA utilisée dans le recrutement (tri automatique de CV)
  • IA médicale (diagnostic, triage)
  • IA pour l'attribution de crédit bancaire
  • IA dans l'éducation (notation automatique)

Conformité RGPD renforcée, supervision humaine obligatoire, documentation des données d'entraînement, audit de conformité.

Risque limité — Obligations de transparence

  • Chatbots et agents IA conversationnels
  • Deepfakes (avec divulgation obligatoire)
  • IA générant du contenu (texte, images, audio)

Obligation d'informer les utilisateurs qu'ils interagissent avec une IA. Divulgation que le contenu est généré par IA.

Risque minimal — Aucune obligation spécifique

  • Filtres anti-spam
  • IA de recommandation de contenu (sans risque pour les droits)
  • Jeux vidéo utilisant l'IA
  • Traitement automatisé de données non personnelles

Pas d'obligations EU AI Act. Les obligations RGPD habituelles s'appliquent si données personnelles.

Pour un agent IA PME standard : les obligations concrètes

Un agent IA de type "accueil client, prise de RDV, FAQ" pour une PME est classé risque limité. Les obligations sont réalistes :

1. Informer que le client interagit avec une IA

Facile à mettre en place

L'agent doit se présenter comme un assistant automatisé dès le premier message, ou dans sa présentation sur votre site. Pas obligé de mentionner "intelligence artificielle" explicitement — "assistant automatisé", "chatbot" ou "assistant virtuel" suffisent.

2. Permettre le transfert vers un humain

Facile à mettre en place

Le client doit pouvoir demander à parler à une personne réelle à tout moment. L'agent doit accepter cette demande et escalader. Ce n'est pas une obligation d'avoir un humain disponible 24h/24 — mais de ne pas bloquer la demande.

3. Ne pas manipuler le comportement de l'utilisateur

Facile à mettre en place

L'agent ne peut pas utiliser des techniques de manipulation psychologique : fausses urgences, pression sociale artificielle, exploitation d'émotions. La persuasion commerciale normale (offres limitées réelles, avantages objectifs) reste autorisée.

4. Conserver des logs des interactions (RGPD)

Facile à mettre en place

Pas spécifique à l'EU AI Act mais combiné avec le RGPD : les conversations doivent être enregistrées et accessibles en cas de réclamation ou de contrôle. Durée de conservation : limitée à ce qui est nécessaire (généralement 13 mois).

Secteurs avec obligations renforcées

Secteur
Risque EU AI Act
Obligations spécifiques
Santé (médecins, cliniques)
Risque élevé si aide au diagnostic
Supervision médicale obligatoire, documentation, audit. Agent purement administratif = risque limité.
RH et recrutement
Risque élevé si tri automatique de CV
Supervision humaine de toute décision. Un agent qui collecte et transmet = risque limité.
Crédit et assurance
Risque élevé si décision d'octroi
Un agent qui collecte des informations et redirige = risque limité. Décision finale humaine obligatoire.
Éducation
Risque élevé si notation automatique
Un agent qui gère les inscriptions et la FAQ = risque limité. La note reste humaine.
Sécurité et surveillance
Risque élevé
Réglementé séparément. La plupart des PME non concernées.

Ce que Vulcia a mis en place pour vous

Identification automatique de l'agent en début de conversation ("Je suis un assistant automatisé")
Bouton d'escalade vers humain disponible à tout moment dans l'interface
Aucune technique de manipulation psychologique dans les scripts d'agent
Logs de conversation conservés 13 mois maximum, accessibles sur demande
DPA (Data Processing Agreement) signé et conforme RGPD + EU AI Act
Hébergement Mistral AI à Paris pour les données sensibles (santé, juridique)
Documentation des cas d'usage transmise avec chaque déploiement
Audit gratuit →IA et RGPD pour les PME →Choisir son modèle IA →
ST

Steven Texier

Fondateur d'Vulcia. Spécialiste en automatisation IA, SEO et acquisition pour PME françaises. Accompagne les dirigeants qui veulent des résultats mesurables, pas des projets pilotes.

En savoir plusTravailler avec Steven →