L'AI Act peut donner l'impression d'un sujet réservé aux grands groupes, aux juristes et aux fournisseurs de systèmes complexes. Pourtant, les PME ont intérêt à prendre un réflexe simple : documenter les usages IA avant qu'ils ne deviennent difficiles à retrouver.
Ce texte n'est pas un avis juridique. Il propose une approche pratique : utiliser un registre IA comme point de départ pour garder une trace des finalités, des données, des responsables, de la validation humaine et des revues.
Ce que le registre ne fait pas
Un registre interne ne détermine pas à lui seul si un système est à haut risque, s'il relève d'une obligation précise ou si une déclaration est nécessaire. Ces questions demandent une analyse juridique et métier. Le registre ne remplace donc ni la conformité, ni le conseil spécialisé, ni les documents exigés par un fournisseur ou un régulateur.
Mais il aide à poser les premières questions. Sans inventaire, il est difficile de savoir quels usages analyser. On ne peut pas gouverner ce que l'on ne voit pas.
Ce que l'AI Act rappelle aux déployeurs
L'AI Act distingue plusieurs rôles, dont les fournisseurs et les déployeurs. Les obligations varient selon le type de système et le niveau de risque. Pour les systèmes à haut risque, l'article 26 présente notamment des obligations pour les déployeurs : utilisation conforme aux instructions, supervision humaine, conservation de certains journaux lorsque la maîtrise en revient au déployeur, information des personnes concernées dans certains cas, ou encore vigilance sur les données d'entrée lorsqu'elles sont sous son contrôle.
La logique générale est claire : l'usage opérationnel de l'IA ne peut pas être entièrement invisible. Il doit être compris, surveillé et documenté lorsque les enjeux l'exigent.
Ce qu'une PME peut documenter dès maintenant
Une PME peut commencer par cinq informations simples. La finalité : à quoi sert l'usage IA ? Les données : quelles informations sont utilisées et sont-elles sensibles ? Le responsable : qui suit cet usage ? La validation humaine : qui vérifie le résultat et avant quelle décision ? La revue : à quelle date l'usage sera-t-il réévalué ?
Ces informations ne demandent pas de dispositif lourd. Elles demandent surtout une discipline minimale. Pour un usage simple, une ligne de registre peut suffire. Pour un usage sensible, cette ligne doit déclencher un cadrage plus complet.
Relier registre, formation et règles d'usage
Le registre ne doit pas vivre seul. Il doit être relié à des règles compréhensibles et à une formation minimale. Les collaborateurs doivent savoir quels types de données ne pas saisir dans des outils non validés, quand demander une validation et comment déclarer un usage récurrent.
Cette approche est plus efficace qu'une interdiction générale. Elle reconnaît que l'IA est déjà utilisée, tout en ramenant les usages dans un cadre partagé.
Une première marche raisonnable
Pour une PME, la bonne première marche n'est pas forcément un grand chantier de conformité. C'est souvent une cartographie honnête : quels usages existent, lesquels sont utiles, lesquels sont sensibles, lesquels doivent être arrêtés et lesquels méritent un pilote plus structuré.
Le registre IA gratuit du site peut servir de support initial. Il aide à faire émerger les bonnes questions avant d'engager, si nécessaire, une analyse plus spécialisée.