J'utilise ChatGPT, Copilot ou Mistral en entreprise : suis-je concerne par l'EU AI Act ? (guide GPAI 2026)

C'est devenu la question la plus frequente des dirigeants de PME : "mes equipes utilisent ChatGPT, Microsoft Copilot, Google Gemini ou Mistral tous les jours — est-ce que l'EU AI Act me tombe dessus ?". La confusion est comprehensible. On lit partout que les "modeles d'IA a usage general" (GPAI) sont reglementes depuis aout 2025, et on en deduit que toute entreprise qui s'en sert est aussitot couverte d'obligations lourdes. La realite est plus nuancee, et plutot rassurante : vous n'etes pas le fournisseur du modele, donc l'essentiel des obligations GPAI ne pese pas sur vous. Mais vous n'etes pas pour autant hors champ. Cet article fait le tri, sans jargon, pour une entreprise francaise qui utilise ces outils.

Calendrier a jour (juin 2026). Les obligations des fournisseurs de modeles a usage general (GPAI) s'appliquent depuis le 2 aout 2025 et n'ont PAS ete modifiees par le Digital Omnibus. La litteratie IA (article 4) et les pratiques interdites (article 5) sont en vigueur depuis le 2 fevrier 2025. La transparence (article 50) reste due le 2 aout 2026. Les obligations des systemes a haut risque de l'Annexe III ont ete repoussees au 2 decembre 2027 par le Digital Omnibus (accord politique du 7 mai 2026, vote du Parlement le 16 juin 2026).

La distinction qui change tout : fournisseur GPAI vs utilisateur

L'EU AI Act ne traite pas de la meme maniere celui qui fabrique un modele et celui qui l'utilise. Un modele a usage general, ou GPAI (general-purpose AI), c'est un grand modele entraine sur d'enormes volumes de donnees et capable de servir a une multitude de taches : GPT d'OpenAI (derriere ChatGPT), le modele de Microsoft Copilot, Gemini de Google, les modeles de Mistral, de Meta ou d'Anthropic. Les obligations GPAI de l'AI Act — documentation technique du modele, resume public des donnees d'entrainement, respect du droit d'auteur, gestion des risques systemiques pour les plus puissants — pesent sur le fournisseur du modele, c'est-a-dire OpenAI, Microsoft, Google, Mistral, pas sur vous.

Quand votre PME se sert de ces outils, vous etes, dans le vocabulaire du reglement, un deployeur (ou utilisateur professionnel), pas un fournisseur. Cela signifie que les pages de documentation technique du modele ne sont pas votre probleme : c'est l'editeur qui doit les produire. Pour bien situer votre role dans la chaine, lisez notre guide fournisseur, deployeur ou importateur.

Bonne nouvelle : ce dont vous n'avez PAS a vous soucier

En tant que simple utilisateur de ChatGPT, Copilot, Gemini ou Mistral, vous n'avez pas a :

• produire la documentation technique du modele ;
• rediger le resume public des donnees d'entrainement ;
• realiser l'evaluation des risques systemiques du modele ;
• notifier quoi que ce soit a l'AI Office europeen sur le modele lui-meme.

Tout cela releve du fournisseur. Si un commercial vous explique qu'utiliser ChatGPT vous oblige a produire la documentation GPAI complete, c'est faux : il confond les roles.

Ce qui vous concerne quand meme : trois obligations bien reelles

Ne refermez pas l'onglet pour autant. Utiliser de l'IA generative en entreprise declenche au moins trois obligations qui, elles, sont les votres.

1. La litteratie IA (article 4) — deja en vigueur depuis fevrier 2025

C'est l'obligation la plus oubliee, et c'est la plus immediate. L'article 4 impose a toute organisation qui deploie de l'IA de garantir un niveau suffisant de maitrise de l'IA chez les personnes qui l'utilisent en son nom. Concretement : vos salaries qui se servent de ChatGPT ou Copilot doivent etre formes aux bases — ce que l'outil peut et ne peut pas faire, les risques d'erreur (les "hallucinations"), la protection des donnees confidentielles qu'on ne colle pas dans un prompt, la verification humaine des resultats. Cette obligation s'applique depuis le 2 fevrier 2025, sans periode de grace. Une simple session de sensibilisation documentee suffit souvent pour une PME. Notre guide de la litteratie IA detaille ce qui est attendu.

2. La transparence (article 50) — echeance du 2 aout 2026

Si vous integrez ces modeles dans un dispositif tourne vers vos clients ou le public, la transparence devient votre responsabilite. Deux cas typiques pour une PME :

• Un chatbot sur votre site alimente par GPT, Gemini ou Mistral : vos visiteurs doivent etre informes qu'ils dialoguent avec une IA et non un humain.
• Du contenu genere par IA (texte, image, audio, video) que vous publiez : il doit etre identifiable comme tel dans les cas vises par le reglement.

Nuance de calendrier importante : l'obligation pour le deployeur d'informer (par exemple signaler un chatbot ou un deepfake) tombe le 2 aout 2026, tandis que le marquage technique du contenu synthetique a la source (cote fournisseur, par filigrane lisible par machine) a ete repousse au 2 decembre 2026 par le Digital Omnibus. Pour les deux volets, voir notre guide de l'article 50 et notre analyse du marquage des contenus IA.

3. Le haut risque (Annexe III) — selon l'usage, echeance 2 decembre 2027

C'est ici que tout se joue : l'AI Act ne regarde pas l'outil, il regarde l'usage que vous en faites. Le meme ChatGPT est anodin pour resumer une reunion, mais bascule en haut risque si vous le branchez sur une decision sensible. Exemples qui font basculer en Annexe III :

• utiliser un modele generatif pour trier des CV ou evaluer des candidats (recrutement, voir notre guide RH) ;
• l'employer pour noter la solvabilite d'un client ou un risque d'assurance (finance) ;
• l'integrer a un dispositif qui affecte l'acces a un service essentiel, a l'education ou a la securite des personnes.

Dans ces cas, vous devenez deployeur d'un systeme a haut risque : supervision humaine, information des personnes concernees, conservation des journaux, usage conforme a la notice. Ces obligations ne s'appliquent qu'au 2 decembre 2027 depuis le report du Digital Omnibus, mais elles concernent votre organisation, pas le fournisseur du modele. A l'inverse, resumer un document, traduire un email ou brainstormer reste du risque minimal, sans obligation specifique. Notre guide du deployeur developpe ce point.

Et l'interdit ? Le piege a connaitre

Une categorie ne se reporte jamais et s'applique deja : les pratiques interdites de l'article 5, en vigueur depuis fevrier 2025. Utiliser un modele generatif pour noter le comportement social de vos clients, pour deduire les emotions de vos salaries (entretiens, surveillance de l'attention) ou pour de la categorisation sur des criteres sensibles est tout simplement interdit, quel que soit l'outil. Le risque est le plafond de sanction maximal : jusqu'a 35 millions d'euros ou 7 % du chiffre d'affaires mondial. Avant de connecter ChatGPT a un processus RH ou marketing trop ambitieux, ce filtre passe en premier.

Le reflexe sous-estime : vos donnees dans les prompts

Au-dela de l'AI Act, l'usage de ChatGPT et consorts en entreprise pose une question RGPD que beaucoup negligent : ce que vos salaries collent dans un prompt. Donnees clients, contrats, informations RH, secrets industriels : tout cela peut partir vers un service tiers selon la version utilisee (un compte gratuit n'offre pas les memes garanties qu'une offre entreprise avec engagement de non-reutilisation). La conformite IA d'une PME passe donc aussi par une regle interne claire sur ce qui peut, ou non, etre saisi dans un outil generatif — un point que votre session de litteratie IA doit couvrir.

Tableau recapitulatif : utilisateur de GPAI, qui fait quoi

Obligation	Sur qui elle pese	Echeance
Documentation technique du modele	Fournisseur (OpenAI, Microsoft, Google, Mistral...)	2 aout 2025
Resume des donnees d'entrainement	Fournisseur	2 aout 2025
Litteratie IA des salaries (art. 4)	Vous (utilisateur)	En vigueur (2 fev. 2025)
Ne pas utiliser pour une pratique interdite (art. 5)	Vous	En vigueur (2 fev. 2025)
Informer (chatbot, contenu genere) — art. 50	Vous	2 aout 2026
Obligations haut risque si usage Annexe III	Vous (deployeur)	2 decembre 2027

Que faire concretement, dans l'ordre

La bonne sequence pour une PME qui utilise des outils generatifs :

• Recenser les outils d'IA reellement utilises dans l'entreprise (y compris les usages informels par les equipes) — c'est l'objet de notre registre des systemes d'IA.
• Filtrer les interdits : aucun usage ne doit tomber dans l'article 5 (scoring social, emotions au travail, categorisation sensible).
• Former vos salaries (litteratie IA, art. 4) et poser une regle sur les donnees dans les prompts. C'est exigible maintenant.
• Reperer les usages a haut risque (recrutement, scoring, decisions sensibles) et preparer la supervision humaine et l'information des personnes.
• Securiser la transparence pour le 2 aout 2026 si vous avez un chatbot ou publiez du contenu IA.

FAQ — Utiliser ChatGPT, Copilot ou Mistral et l'EU AI Act

Utiliser ChatGPT en entreprise me rend-il responsable au titre de l'AI Act ?

Pas comme fournisseur du modele : les obligations GPAI (documentation, donnees d'entrainement) pesent sur OpenAI, pas sur vous. Mais comme utilisateur professionnel (deployeur), vous avez bien des obligations : former vos salaries (litteratie IA, deja en vigueur), assurer la transparence si vous exposez l'IA a vos clients (2 aout 2026), et respecter les regles du haut risque si votre usage releve de l'Annexe III (2 decembre 2027).

Microsoft Copilot et Google Gemini changent-ils quelque chose par rapport a ChatGPT ?

Non, le raisonnement est identique : ce sont aussi des modeles a usage general fournis par des tiers. Vos obligations dependent de l'usage que vous en faites, pas de la marque. Resumer un document = risque minimal ; trier des CV = haut risque ; deduire des emotions de salaries = interdit.

Dois-je produire une documentation technique parce que j'utilise un modele generatif ?

Non, pas sur le modele : c'est au fournisseur de le faire. En revanche, si votre usage est a haut risque, vous devez tenir votre propre documentation de deployeur (usage conforme a la notice, supervision humaine, journaux, information des personnes), ce qui est beaucoup plus leger.

Un chatbot IA sur mon site m'oblige-t-il a prevenir mes visiteurs ?

Oui. L'article 50 impose d'informer les personnes qu'elles interagissent avec une IA et non un humain. Cette obligation de transparence est due le 2 aout 2026. C'est l'une des echeances les plus proches pour une PME qui a deploye un agent conversationnel.

Comment savoir precisement ce qui s'applique a mon entreprise ?

Faites le diagnostic gratuit de MaConformite en 3 minutes : a partir de vos usages reels d'IA (generatifs ou non), vous obtenez la liste de vos obligations AI Act, votre score de conformite et une estimation du temps de mise en conformite, sans carte bancaire.

Conclusion

Utiliser ChatGPT, Copilot, Gemini ou Mistral n'est ni interdit ni anodin. Le bon cadre mental est simple : les obligations lourdes du modele sont a son fournisseur ; vos obligations a vous portent sur l'usage. Trois choses sont deja, ou bientot, exigibles pour une PME francaise : former vos salaries (litteratie IA, en vigueur), eviter les usages interdits (article 5, en vigueur), et assurer la transparence si l'IA touche vos clients (article 50, le 2 aout 2026). Le haut risque, lui, ne concerne que certains usages precis et attend 2027. Pour savoir exactement de quel cote tombe chacun de vos usages, commencez par notre diagnostic gratuit en 3 minutes.