CSRD et IA Act : Ce que Votre PME Doit Savoir en 2025

Les PME européennes naviguent aujourd'hui dans un environnement réglementaire inédit : deux textes majeurs — la CSRD (Corporate Sustainability Reporting Directive) et l'IA Act — convergent pour transformer en profondeur les obligations des entreprises. Comprendre leur articulation est désormais stratégique, pas seulement juridique.

Pourquoi Cette Double Réglementation Concerne Votre PME

Beaucoup de dirigeants de PME pensent à tort que ces textes ne s'appliquent qu'aux grands groupes. C'est une erreur coûteuse. Si votre entreprise est fournisseur ou sous-traitant d'une grande entreprise soumise à la CSRD, vous serez indirectement concerné par ses obligations de reporting. Et si vous utilisez ou déployez des systèmes d'IA — même des outils RH ou de scoring client — l'IA Act s'applique à vous dès maintenant.

La CSRD : Calendrier et Seuils pour les PME

La CSRD a introduit un reporting de durabilité obligatoire en trois vagues :

• 2025 : Grandes entreprises (>500 salariés) déjà soumises à la NFRD
• 2026 : Grandes entreprises (>250 salariés OU >40 M€ de CA OU >20 M€ de bilan)
• 2027 : PME cotées sur les marchés réglementés (avec clause d'exemption jusqu'en 2028)

Les PME non cotées ne sont pas directement soumises à la CSRD. Mais attention : les grandes entreprises clientes ou partenaires vont vous demander des données ESG pour compléter leur propre reporting. La pression de la chaîne de valeur est réelle.

Le Standard Volontaire VSME

L'EFRAG a développé un standard simplifié pour les PME non cotées : le VSME (Voluntary SME Standard). Il permet de répondre aux demandes de vos partenaires sans subir l'intégralité des exigences ESRS. Adopter le VSME dès maintenant vous donne une longueur d'avance commerciale.

L'IA Act : Ce Qui S'Applique Aux PME Dès 2025

L'IA Act est entré en vigueur le 1er août 2024. Son déploiement est progressif :

• Février 2025 : Interdiction des pratiques d'IA inacceptables
• Août 2025 : Obligations pour les modèles d'IA à usage général (GPAI)
• Août 2026 : Obligations complètes pour les systèmes d'IA à haut risque

Êtes-Vous Concerné par les Systèmes à Haut Risque ?

L'annexe III de l'IA Act liste les domaines à haut risque. Votre PME est potentiellement concernée si elle utilise ou développe des systèmes d'IA pour :

• Le recrutement et la gestion RH (scoring de CV, évaluation de performance)
• L'accès au crédit (scoring de solvabilité)
• L'éducation et la formation professionnelle
• Les services essentiels (eau, gaz, électricité)
• La sécurité des produits dans des secteurs réglementés

Si vous êtes dans ces catégories, des obligations de conformité s'appliquent : gestion des risques, documentation technique, journaux d'événements, supervision humaine.

Les Allègements Prévus pour les PME

Le législateur européen a intégré des mesures spécifiques pour alléger la charge sur les PME :

1. Bac à sable réglementaire : Accès prioritaire pour tester vos systèmes d'IA dans un cadre sécurisé avant commercialisation
2. Frais réduits auprès des organismes notifiés pour les PME et micro-entreprises
3. Documentation simplifiée pour certaines catégories
4. Délais supplémentaires pour les fournisseurs de systèmes haute risque déjà sur le marché

Points de Convergence CSRD / IA Act

Ces deux textes se renforcent mutuellement sur plusieurs points critiques :

1. La Gouvernance des Données

La CSRD exige un reporting précis sur vos impacts environnementaux et sociaux — ce qui implique une collecte de données rigoureuse. L'IA Act impose une documentation des données d'entraînement pour les systèmes à haut risque. Une architecture de données solide sert les deux obligations.

2. La Transparence et l'Auditabilité

Les deux textes exigent que vos processus soient traçables et vérifiables par des tiers. Pour la CSRD, c'est l'auditeur financier. Pour l'IA Act, ce sont les autorités de surveillance du marché. Construire des processus auditables est un investissement mutualisable.

3. La Supervision Humaine

L'IA Act impose une supervision humaine effective sur les systèmes à haut risque. Cette exigence rejoint l'esprit de la CSRD, qui valorise la gouvernance responsable. Documenter vos processus de contrôle humain sur les décisions IA répond aux deux cadres.

4. La Due Diligence dans la Chaîne de Valeur

La CSRD (via la CSDDD) impose une diligence raisonnable sur vos impacts tout au long de la chaîne de valeur. L'IA Act crée des obligations similaires pour les déployeurs qui utilisent des systèmes IA développés par des tiers. Les deux textes vous rendent responsables de ce que vous achetez et utilisez.

Plan d'Action Concret pour Votre PME

Voici une feuille de route pragmatique en trois horizons :

Court Terme (Maintenant — T3 2025)

• [ ] Cartographier vos systèmes IA : Identifiez tous les outils utilisant de l'IA (y compris les SaaS tiers) et leur classification de risque
• [ ] Évaluer votre exposition CSRD indirecte : Analysez vos contrats avec les grandes entreprises pour anticiper leurs demandes ESG
• [ ] Désigner un référent réglementaire : Même à temps partiel, quelqu'un doit piloter ces sujets
• [ ] Inventorier vos données : Quelle est la qualité, la traçabilité et la gouvernance de vos données ESG et IA ?

Moyen Terme (T4 2025 — T2 2026)

• [ ] Adopter le standard VSME si vous êtes sollicité par des partenaires CSRD
• [ ] Mettre en conformité vos systèmes IA à haut risque : documentation technique, gestion des risques, supervision humaine
• [ ] Former vos équipes aux exigences de base de l'IA Act (notamment l'obligation de littératie IA pour tout personnel utilisant des systèmes IA)
• [ ] Revoir vos contrats fournisseurs IA : Vos prestataires SaaS doivent vous fournir la documentation nécessaire à votre conformité

Long Terme (T3 2026 et au-delà)

• [ ] Intégrer ESG et gouvernance IA dans votre stratégie : Ces sujets ne sont plus périphériques
• [ ] Valoriser votre conformité auprès de vos clients et investisseurs
• [ ] Participer aux bacs à sable réglementaires pour tester l'innovation dans un cadre sécurisé

L'Obligation de Littératie IA : Souvent Oubliée, Pourtant Immédiate

L'article 4 de l'IA Act impose une obligation souvent négligée : garantir un niveau suffisant de littératie IA pour tout le personnel qui utilise ou supervise des systèmes d'IA. Cette obligation s'applique dès maintenant, sans délai de transition.

Concrètement, cela signifie que si vos employés utilisent des outils comme ChatGPT, des logiciels de recrutement basés sur l'IA, ou des systèmes de prédiction de demande, vous devez pouvoir démontrer qu'ils comprennent les capacités et limites de ces outils.

Ce Que Nous Recommandons

Ne traitez pas CSRD et IA Act comme deux projets séparés. Les synergies sont réelles et les mutualiser réduit significativement vos coûts de mise en conformité. Commencez par un diagnostic rapide de votre exposition aux deux textes — c'est la base de tout plan d'action réaliste.

Si vous avez des questions sur votre situation spécifique, nos analyses sectorielles et nos outils de diagnostic sont disponibles sur cette plateforme.

Cet article est fourni à titre informatif et ne constitue pas un conseil juridique. Pour votre situation spécifique, consultez un conseiller qualifié.