D'abord, une précision que les titres d'aujourd'hui ne font pas bien : la loi N'A PAS été votée au Parlement. Ce qui s'est passé aujourd'hui, c'est que le Conseil des Ministres a approuvé le projet de loi et la procédure parlementaire commence en urgence. Elle peut encore être amendée. Mais la structure de base est déjà définie et, surtout, le Règlement européen sur l'IA (l'AI Act) est déjà en vigueur et à partir du 2 août 2026, il entrera en pleine application, régime de sanctions inclus.
Qu'est-ce que ça veut dire pour toi, qui as une PME dans le Penedès, à Tarragone ou ailleurs ? Que peu importe que la loi espagnole soit publiée au BOE ou pas, l'AI Act européen t'oblige déjà. La loi espagnole ne fait qu'adapter l'AI Act à notre ordre juridique et définit qui inspecte et qui sanctionne ici : l'AESIA (Agence Espagnole de Supervision de l'IA), avec siège à La Corogne.
L'AESIA opère déjà depuis février 2025 et a la pleine autorité de sanction depuis le 2 août 2025. La nouveauté d'aujourd'hui, c'est que le projet de loi espagnole fixe les sanctions concrètes dans l'ordre interne, définit des pratiques interdites supplémentaires (comme les deepfakes sexuels) et établit comment les différentes autorités vont se coordonner.
Pourquoi ça te concerne même si tu « ne fais qu'utiliser » ChatGPT
C'est la confusion la plus fréquente : « mais je ne construis pas d'IA, je ne fais que l'utiliser ». L'AI Act distingue deux rôles : fournisseur (celui qui développe le système d'IA et le commercialise) et déployeur (celui qui l'utilise dans son organisation). Le second, c'est toi si :
- Tu utilises ChatGPT, Claude, Gemini ou n'importe quel assistant pour générer du texte qui arrivera aux clients.
- Tu as un agent IA sur WhatsApp ou sur le web qui répond aux questions.
- Tu utilises des outils avec IA pour le scoring de leads, le tri de CV ou l'évaluation de fournisseurs.
- Tu utilises de la génération d'images ou de vidéo avec IA pour des campagnes.
- Tu as un système de recommandation ou de personnalisation qui apprend des utilisateurs.
Si tu fais l'une de ces choses, tu es déployeur d'IA aux yeux de la loi. Et tu as des obligations. Différentes selon le risque, mais elles existent.
Les quatre catégories de risque (et où tu te situes)
L'AI Act classe les systèmes d'IA en quatre niveaux. Chaque niveau a des obligations différentes.
1. Risque inacceptable (interdits)
Des systèmes qu'on ne peut jamais utiliser. Si ta PME fait l'une de ces choses, tu dois arrêter aujourd'hui :
- Techniques subliminales ou manipulation psychologique pour influencer les décisions sans consentement.
- Exploitation de vulnérabilités liées à l'âge, à la situation socio-économique ou au handicap.
- Notation sociale des personnes (style social credit).
- Classification biométrique par race, orientation politique ou religieuse.
- Identification biométrique à distance en temps réel dans les espaces publics (avec des exceptions strictes).
- Nouveau en Espagne : génération de deepfakes sexuels non consentis et chatbots qui identifient les utilisateurs avec une addiction au jeu pour les attirer sur des plateformes.
2. Risque élevé (obligations strictes)
Systèmes autorisés mais avec une forte exigence de compliance. Inclut :
- Sélection de personnel et évaluation au travail (filtres de CV avec IA).
- Octroi de crédit et scoring de crédit.
- Éducation réglementée (notes automatiques, admissions).
- Santé (aide au diagnostic).
- Infrastructures critiques (réseaux électriques, eau, transport).
- Accès aux services essentiels (publics ou privés).
Si tu tombes ici (par exemple, un cabinet de gestion qui utilise un système d'IA pour pré-filtrer les CV des candidats), ta charge de compliance est sérieuse : évaluation de risques documentée, gouvernance des données, documentation technique, registre d'activités, supervision humaine réelle (pas juste « le bouton approuver »), transparence envers l'utilisateur concerné et déclaration de conformité.
3. Risque limité (transparence)
Là où tombe la majorité des PME qui utilisent l'IA générative :
- Chatbots et agents conversationnels.
- Génération de contenu avec IA (texte, image, vidéo) destiné au public.
- Systèmes de reconnaissance d'émotions (dans des contextes non interdits).
- Deepfakes légitimes (pas les sexuels, qui sont interdits).
L'obligation principale ici, c'est la transparence : l'utilisateur doit savoir clairement qu'il interagit avec une IA ou qu'un contenu a été généré par IA. Pas d'amendes draconiennes si tu respectes ça, et en général, les grands fournisseurs d'IA (OpenAI, Anthropic, Google) te le facilitent déjà avec des marques visibles et des métadonnées.
4. Risque minimal (sans obligations spécifiques)
Filtres anti-spam, systèmes de recommandation basiques, générateurs d'images non destinés au public. Pas d'obligations spécifiques, mais la norme exige que tu aies une « alphabétisation IA » suffisante dans l'équipe : que les gens qui utilisent ces outils comprennent ce qu'ils font et quelles sont leurs limites.
Les sanctions : la fourchette qui compte
C'est là que les titres attirent l'attention : jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Mais il faut comprendre la fourchette :
- Légères : jusqu'à 500 000 € ou 0,5 % du chiffre d'affaires.
- Graves : jusqu'à 7,5 millions ou 1,5 % du chiffre d'affaires (non-respect des obligations pour les systèmes à risque élevé).
- Très graves : jusqu'à 35 millions ou 7 % du chiffre d'affaires (utilisation de systèmes interdits).
Pour une PME avec 500 K€ de chiffre d'affaires annuel, une sanction légère serait de 2 500 € (0,5 %). Ce n'est pas catastrophique, mais ajouté au coût réputationnel et au fait que l'AESIA peut retirer le système d'IA du marché provisoirement, c'est un risque inutile.
Mon message ici est simple : les PME ne doivent pas paniquer à cause des amendes millionnaires des gros titres. Elles doivent comprendre quelle est leur catégorie de risque, respecter les obligations correspondantes (qui en risque limité sont simples) et le documenter au minimum. La vraie complication, c'est pour les systèmes à risque élevé, que peu de PME déploient.
Le calendrier réel
Les dates qui comptent :
- 2 février 2025 : Interdictions déjà en vigueur. Si tu utilises un système interdit, tu es déjà en infraction.
- 2 août 2025 : L'AESIA assume sa pleine autorité de sanction en Espagne.
- 2 août 2026 : Application pleine de l'AI Act, incluant les obligations pour les systèmes à risque élevé et le régime de sanctions européen complet.
- 2 août 2027 : Obligations pleines pour tous les systèmes d'IA « à usage général » (GPAI), c'est-à-dire les modèles foundation comme GPT-4, Claude, etc.
Ce que tu dois faire cette semaine (les 5 étapes pragmatiques)
Si tu as une PME et que tu utilises l'IA d'une manière ou d'une autre, fais ça avant le 2 août :
1. Inventaire réel de l'IA en usage.
Fais une liste de tous les systèmes d'IA que ton équipe utilise. Inclus ChatGPT (et à quel niveau — Free, Plus, Business ?), Claude, Gemini, Copilot, les outils de scoring de leads, les générateurs d'images, les systèmes de recommandation web, les agents WhatsApp, etc. Tout le monde a tendance à oublier 30 % du réel.
2. Classe chaque système dans une catégorie de risque.
Pour chacun, identifie s'il est interdit, à risque élevé, à risque limité ou à risque minimal. L'outil de diagnostic gratuit que j'ai créé te fait cette classification en cinq minutes.
3. Documente l'objectif et les données de chaque système.
Pour chaque IA, note : à quoi tu l'utilises (cas d'usage concret), quelles données tu lui donnes (surtout si elles sont personnelles), qui supervise ses sorties, et comment tu informes les utilisateurs concernés. Pas besoin d'un PDF de 50 pages ; un document de 2 pages par système suffit pour la plupart des PME.
4. Mets des marqueurs de transparence où il le faut.
Si tu as un chatbot, il doit dire clairement qu'il est une IA dès le premier message. Si tu publies des images générées par IA sur ton site ou tes réseaux, marque-les. Si tu utilises du scoring automatique pour les clients (par exemple, pour décider qui reçoit une proposition d'abord), informe qu'il y a un composant automatisé et propose une révision humaine sur demande.
5. Forme l'équipe (alphabétisation IA).
L'AI Act exige que les personnes qui utilisent l'IA comprennent ce que font ces systèmes. Pour une PME, ça veut dire une session de formation d'une ou deux heures expliquant comment fonctionne l'IA générative, ce qu'elle peut bien faire et ce qu'elle ne peut pas, quels biais elle peut avoir et comment réviser ses sorties. Pas besoin d'un master — il faut comprendre les bases.
Si tu tombes en risque élevé : la conversation est plus sérieuse
Si ta PME a des systèmes à risque élevé (sélection de personnel, scoring de crédit, santé, infrastructures), ne fais pas ça tout seul. Tu as besoin d'un compliance officer ou d'un consultant externe qui t'aide à monter le système de gestion des risques, la documentation technique et le processus de déclaration de conformité. Le coût de cette compliance est réel (entre 5 K et 20 K en consultance pour une PME type), mais c'est une fraction de ce que tu peux payer en sanctions ou en devant retirer le système.
Pourquoi je suis relativement optimiste (mais vigilant)
L'AI Act est la première régulation sérieuse de l'IA au monde et, en général, elle est bien conçue. La distinction par niveaux de risque est sensée : elle ne met pas la même charge à quelqu'un qui utilise ChatGPT pour écrire des mails qu'à quelqu'un qui décide qui reçoit un crédit immobilier. Pour la majorité des PME catalanes qui utilisent l'IA générative « normale », la compliance réelle est gérable : transparence, supervision humaine, documentation minimale.
Mais il y a trois alertes à retenir :
- L'AESIA peut inspecter et sanctionner sans qu'elle ait besoin de te prévenir avant. Il n'y a pas de période de grâce formelle pour les systèmes interdits ou pour la transparence basique.
- Les dénonciations peuvent venir de concurrents, de clients mécontents ou d'ex-employés. Pas besoin que ce soit une inspection proactive de l'AESIA.
- Le vrai coût n'est pas la sanction — c'est de devoir retirer un système d'IA que tu as déjà intégré à ton business.
Ressources officielles
- AESIA — Agence Espagnole de Supervision de l'IA
- Texte complet de l'AI Act (en anglais, avec explications)
- Règlement UE 2024/1689 sur le JO européen (en espagnol)
- España Digital 2026 — informations du Gouvernement espagnol
Outil pratique : classe ton IA en 5 minutes
J'ai construit un outil de diagnostic gratuit. Tu réponds à six questions sur la manière dont ton entreprise utilise l'IA et je te donne : la catégorie de risque où tu te situes, une liste concrète d'obligations spécifiques pour ton cas, et une checklist d'étapes à faire avant le 2 août.
Pas d'inscription, pas d'email, rien qu'on envoie à des tiers. Tout le traitement se passe dans ton navigateur. Tu l'utilises, tu repars avec le résultat.
Si tu tombes en risque élevé ou si tu veux de l'aide pour documenter ta compliance
Je ne veux pas être ton compliance officer permanent — ça, les cabinets juridiques spécialisés le font mieux. Mais je peux t'aider à monter l'inventaire initial, classer tes systèmes, mettre les marqueurs de transparence où il le faut et faire la formation d'alphabétisation IA pour ton équipe. Trois ou quatre sessions et tu as la base faite.
Parlons-en 15 minutes