#odx-page{font-family:’Inter’,system-ui,-apple-system,sans-serif;color:#334155;line-height:1.8;max-width:820px;margin:0 auto;padding:0 20px} #odx-page h1{font-size:2rem;font-weight:800;color:#0f172a;margin:0 0 1rem;line-height:1.3} #odx-page h2{font-size:1.45rem;font-weight:700;color:#1e293b;margin:2.5rem 0 1rem;padding-bottom:.5rem;border-bottom:2px solid #3c72fc30} #odx-page h3{font-size:1.15rem;font-weight:600;color:#1e293b;margin:1.8rem 0 .8rem} #odx-page p{margin:0 0 1.2rem;font-size:1rem;color:#475569} #odx-page ul,#odx-page ol{margin:0 0 1.5rem;padding-left:1.5rem} #odx-page li{margin-bottom:.5rem;color:#475569} #odx-page strong{color:#1e293b} #odx-page a{color:#3c72fc;text-decoration:none} #odx-page a:hover{text-decoration:underline} #odx-page .odx-hero-img{width:100%;height:auto;border-radius:12px;margin:1.5rem 0 2rem;box-shadow:0 4px 20px rgba(0,0,0,.08)} #odx-page .odx-toc{background:#f1f5f9;border-radius:10px;padding:1.5rem 2rem;margin:2rem 0} #odx-page .odx-toc h3{margin:0 0 .8rem;font-size:1.1rem;color:#0f172a;border:none;padding:0} #odx-page .odx-toc ol{margin:0;counter-reset:toc} #odx-page .odx-toc li{counter-increment:toc;margin-bottom:.4rem;color:#3c72fc;font-weight:500} #odx-page .odx-toc li a{color:#3c72fc} #odx-page .odx-highlight{background:linear-gradient(135deg,#eff6ff,#e0f2fe);border-left:4px solid #3c72fc;border-radius:0 10px 10px 0;padding:1.2rem 1.5rem;margin:1.5rem 0} #odx-page .odx-highlight p{margin:0;color:#1e3a5f;font-weight:500} #odx-page .odx-stat-grid{display:grid;grid-template-columns:repeat(auto-fit,minmax(200px,1fr));gap:1rem;margin:1.5rem 0} #odx-page .odx-stat{background:#f8fafc;border:1px solid #e2e8f0;border-radius:10px;padding:1.2rem;text-align:center} #odx-page .odx-stat .num{font-size:1.8rem;font-weight:800;color:#3c72fc;display:block} #odx-page .odx-stat .label{font-size:.85rem;color:#64748b;margin-top:.3rem;display:block} #odx-page table{width:100%;border-collapse:collapse;margin:1.5rem 0;font-size:.95rem} #odx-page th{background:#1e293b;color:#fff;padding:.8rem 1rem;text-align:left;font-weight:600} #odx-page td{padding:.7rem 1rem;border-bottom:1px solid #e2e8f0;color:#475569} #odx-page tr:nth-child(even) td{background:#f8fafc} #odx-page .ofaq{background:linear-gradient(135deg,#0a1628 0%,#1e3a5f 100%);border-radius:16px;padding:2.5rem;margin:3rem 0;position:relative;overflow:hidden} #odx-page .ofaq::before{content: »;position:absolute;top:-50%;right:-20%;width:300px;height:300px;background:radial-gradient(circle,rgba(60,114,252,.15),transparent 70%);border-radius:50%} #odx-page .ofaq-head{display:flex;align-items:center;gap:1rem;margin-bottom:1.5rem} #odx-page .ofaq-icon{width:48px;height:48px;background:linear-gradient(135deg,#3c72fc,#60a5fa);border-radius:12px;display:flex;align-items:center;justify-content:center;font-size:1.4rem;flex-shrink:0} #odx-page .ofaq-title{color:#fff;font-size:1.3rem;font-weight:700;margin:0} #odx-page .ofaq-count{color:#94a3b8;font-size:.85rem} #odx-page .ofaq-list{display:flex;flex-direction:column;gap:.8rem} #odx-page .ofaq-item{background:rgba(255,255,255,.05);border:1px solid rgba(255,255,255,.08);border-radius:12px;overflow:hidden;backdrop-filter:blur(10px)} #odx-page .ofaq-btn{width:100%;display:flex;align-items:center;gap:1rem;padding:1.1rem 1.3rem;cursor:pointer;border:none;background:none;text-align:left} #odx-page .ofaq-num{width:28px;height:28px;background:rgba(60,114,252,.15);border-radius:8px;display:flex;align-items:center;justify-content:center;color:#60a5fa;font-weight:700;font-size:.85rem;flex-shrink:0} #odx-page .ofaq-q{color:#e2e8f0;font-weight:600;font-size:.95rem;flex:1} #odx-page .ofaq-chevron{color:#64748b;transition:transform .3s cubic-bezier(.4,0,.2,1);font-size:.8rem;flex-shrink:0} #odx-page .ofaq-item.active .ofaq-chevron{transform:rotate(180deg)} #odx-page .ofaq-item.active .ofaq-num{background:linear-gradient(135deg,#3c72fc,#60a5fa);color:#fff} #odx-page .ofaq-panel{max-height:0;overflow:hidden;transition:max-height .4s cubic-bezier(.4,0,.2,1)} #odx-page .ofaq-item.active .ofaq-panel{max-height:500px} #odx-page .ofaq-ans{padding:0 1.3rem 1.2rem;color:#cbd5e1;line-height:1.7;font-size:.92rem} #odx-page .odx-cta{background:linear-gradient(135deg,#3c72fc,#1d4ed8);border-radius:14px;padding:2.5rem;text-align:center;margin:3rem 0;color:#fff} #odx-page .odx-cta h3{color:#fff;margin:0 0 .8rem;font-size:1.4rem;border:none} #odx-page .odx-cta p{color:rgba(255,255,255,.85);margin:0 0 1.5rem} #odx-page .odx-cta a.btn{display:inline-block;background:#fff;color:#1d4ed8;padding:.8rem 2rem;border-radius:8px;font-weight:700;text-decoration:none;transition:all .3s} #odx-page .odx-cta a.btn:hover{transform:translateY(-2px);box-shadow:0 8px 25px rgba(0,0,0,.2);text-decoration:none} @media(max-width:768px){#odx-page{padding:0 15px}#odx-page h1{font-size:1.5rem}#odx-page h2{font-size:1.25rem}#odx-page .ofaq{padding:1.5rem}#odx-page .odx-stat-grid{grid-template-columns:1fr 1fr}#odx-page .odx-cta{padding:1.5rem}}

IA generative en entreprise : cadre juridique et bonnes pratiques (AI Act)

Le reglement europeen sur l’intelligence artificielle, l’AI Act, est entre en vigueur progressivement depuis 2024 et s’applique pleinement depuis le 2 aout 2025. Pour les PME francaises qui utilisent ou deploient des outils d’IA generative, ce cadre juridique impose des obligations concretes dont le non-respect peut entrainer des amendes allant jusqu’a 35 millions d’euros ou 7 % du chiffre d’affaires mondial. Comprendre ces regles est desormais indispensable.

Sommaire

Comprendre l’AI Act et son approche par les risques

L’AI Act classe les systemes d’IA en quatre niveaux de risque, chacun associe a des obligations proportionnees.

Les quatre niveaux de risque

  • Risque inacceptable (interdit) : systemes de scoring social, manipulation subliminale, exploitation des vulnerabilites, identification biometrique en temps reel dans l’espace public (sauf exceptions strictes)
  • Risque eleve : systemes utilises dans le recrutement, l’education, l’acces au credit, les infrastructures critiques. Soumis a des obligations strictes de conformite, de documentation et de controle humain
  • Risque limite : chatbots, systemes de generation de contenu. Obligation de transparence (l’utilisateur doit savoir qu’il interagit avec une IA)
  • Risque minimal : filtres anti-spam, jeux video. Pas d’obligation specifique

Ce que cela signifie pour une PME

La plupart des usages d’IA generative en PME relevent du risque limite. Cela signifie que vous devez :

  • Informer vos interlocuteurs quand un contenu est genere par IA
  • Etiqueter les contenus generes par IA (textes, images, videos)
  • Documenter vos usages de l’IA

Si vous utilisez l’IA pour des decisions ayant un impact sur les personnes (tri de CV, scoring de clients), les obligations sont bien plus strictes.

Obligations concretes pour les entreprises utilisatrices

Transparence obligatoire

Toute interaction avec un systeme d’IA doit etre transparente. Si un chatbot IA repond aux questions de vos clients, ceux-ci doivent en etre informes. Si un email commercial est redige par IA, le destinataire doit pouvoir le savoir.

Marquage des contenus generes

Les textes, images, sons et videos generes par IA doivent etre identifies comme tels. L’AI Act impose aux fournisseurs d’IA d’integrer des mecanismes de marquage (watermarking), mais les entreprises utilisatrices ont aussi la responsabilite de ne pas supprimer ces marquages.

Gouvernance et documentation

Les entreprises qui deploient des systemes d’IA a risque eleve doivent :

  1. Realiser une evaluation d’impact sur les droits fondamentaux
  2. Mettre en place un systeme de gestion des risques
  3. Assurer un controle humain sur les decisions de l’IA
  4. Conserver les logs d’utilisation pendant une duree appropriee
  5. Former les collaborateurs qui utilisent ces systemes

Point cle : L’AI Act distingue les « fournisseurs » d’IA (qui developpent les systemes) des « deployers » (qui les utilisent). Une PME qui utilise ChatGPT ou Copilot est un « deployer » et a des obligations specifiques, meme si elle n’a pas developpe le systeme d’IA. L’ignorance de la loi n’est pas une excuse recevable.

Les regles specifiques a l’IA generative

L’AI Act contient des dispositions specifiques aux modeles d’IA a usage general (GPAI – General Purpose AI), categorie qui inclut les modeles generatifs comme GPT, Claude, Gemini ou Mistral.

Obligations des fournisseurs de GPAI

  • Documentation technique detaillee du modele
  • Respect du droit d’auteur europeen pour les donnees d’entrainement
  • Publication d’un resume des donnees d’entrainement utilisees
  • Pour les modeles a risque systemique : evaluations de securite supplementaires

Ce qui concerne directement les PME

En tant qu’utilisatrice d’IA generative, votre PME doit :

  • Ne pas utiliser l’IA pour des finalites interdites (manipulation, exploitation des vulnerabilites)
  • Informer les personnes qui interagissent avec votre IA (chatbot client, assistant virtuel)
  • Verifier que vos usages sont conformes aux conditions d’utilisation du fournisseur
  • Documenter vos cas d’usage et les mesures de controle mises en place
  • Former vos collaborateurs a un usage responsable

Bonnes pratiques pour deployer l’IA en PME

Etablir une charte d’utilisation de l’IA

Redigez une charte interne qui definit clairement :

  • Les outils d’IA autorises et les cas d’usage valides
  • Les types de donnees qui ne doivent jamais etre soumis a une IA (donnees personnelles, secrets commerciaux)
  • Le processus de validation des contenus generes par IA avant diffusion
  • Les obligations de transparence envers les tiers
  • Les responsabilites de chaque collaborateur

Cette charte doit etre integree au reglement interieur et signee par chaque collaborateur.

Controler la qualite des productions IA

L’IA generative peut produire des contenus inexacts, biaises ou trompeurs. Mettez en place un processus de relecture humaine systematique :

  1. Tout contenu genere par IA destine a etre publie ou envoye a un client doit etre relu par un humain
  2. Les decisions assistees par IA doivent etre validees par un responsable competent
  3. Les informations factuelles generees par IA doivent etre verifiees a la source

Proteger les donnees

Combinez les exigences de l’AI Act avec celles du RGPD :

  • Ne soumettez jamais de donnees personnelles a un outil d’IA sans base legale
  • Privilegiez les versions entreprise des outils IA qui garantissent la non-utilisation des donnees pour l’entrainement
  • Documentez les traitements de donnees impliquant l’IA dans votre registre des traitements
35 M EURamende maximale AI Act
72 %des PME utilisent l’IA sans cadre juridique
2025annee d’application pleine de l’AI Act
3 niveauxde sanctions selon la gravite

Propriete intellectuelle et donnees d’entrainement

La question de la propriete intellectuelle des contenus generes par IA reste un sujet juridique en evolution. Voici les points a retenir pour une PME.

Qui est l’auteur d’un contenu genere par IA ?

En droit francais, le droit d’auteur protege les oeuvres originales creees par un etre humain. Un contenu genere integralement par IA n’est donc pas protegeable en l’etat. En revanche, si un collaborateur apporte une contribution creative significative (prompt elabore, selection, modification, mise en forme), l’oeuvre resultante peut beneficier d’une protection.

Les risques de contrefacon

Les modeles d’IA sont entraines sur des corpus massifs qui peuvent inclure des oeuvres protegees. Un contenu genere par IA peut involontairement reproduire des elements proteges. Verifiez toujours l’originalite des contenus generes, notamment pour les images et les textes a forte valeur ajoutee.

Questions frequentes
3 questions
L’AI Act s’applique a toutes les entreprises qui deploient ou utilisent des systemes d’IA dans l’Union europeenne, quelle que soit leur taille. Toutefois, les PME beneficient de certains allegements : acces a des bacs a sable reglementaires, guides simplifies et delais supplementaires pour certaines obligations. L’essentiel est de documenter vos usages et de respecter les obligations de transparence.
C’est fortement deconseille sans relecture par un professionnel du droit. Les IA generatives peuvent produire des clauses inexactes, obsoletes ou inadaptees a votre situation. Utilisez l’IA comme outil d’aide a la redaction (brouillon, structuration) mais faites toujours valider le document final par un juriste. Mentionner que l’IA a participe a la redaction peut etre une obligation de transparence selon le contexte.
L’AI Act impose effectivement une obligation de formation des personnes qui utilisent des systemes d’IA. Commencez par une sensibilisation generale aux principes de l’AI Act, puis formez specifiquement les equipes concernees par chaque cas d’usage. Un prestataire IT specialise peut organiser des sessions de formation adaptees a votre contexte et vous aider a rediger votre charte IA interne.

Besoin d’accompagnement ?

Deployer l’IA generative en conformite avec l’AI Act necessite une approche structuree. Nos experts vous aident a auditer vos usages, rediger votre charte IA et former vos equipes pour tirer le meilleur de l’intelligence artificielle en toute legalite.

Contactez nos experts
document.querySelectorAll(‘.ofaq-btn’).forEach(b=>b.addEventListener(‘click’,()=>{const i=b.closest(‘.ofaq-item’);document.querySelectorAll(‘.ofaq-item’).forEach(x=>{if(x!==i)x.classList.remove(‘active’)});i.classList.toggle(‘active’)}));

Services associés

Odyssix peut vous accompagner

Odyssix

Rédigé par l'équipe Odyssix

Experts IT, Cybersécurité & Digital depuis 2018

Odyssix accompagne les PME dans leur transformation numérique et la sécurisation de leur système d'information. Nos experts certifiés (CEH, OSCP, ISO 27001) partagent leur expérience terrain à travers nos articles de blog.

Besoin d'en savoir plus ?

Contactez nos experts pour une démonstration personnalisée.

Nous contacter