Qwen et DeepSeek face à l'AI Act : ce que les PME doivent savoir sur la transparence des données d'entraînement

Une collision réglementaire qui concerne toutes les PME utilisant l'IA chinoise

Depuis 2025, de nombreuses entreprises européennes — y compris des PME engagées dans leur transformation digitale — ont adopté des modèles d'intelligence artificielle chinois comme Qwen (Alibaba) ou DeepSeek, séduites par leurs performances et leur coût imbattable. Pour donner une idée de l'ampleur du phénomène, Next rapporte qu'en mars, Qwen comptait pour plus de 50 % des téléchargements mondiaux de systèmes d'IA open source, avec près d'un milliard de téléchargements cumulés.

Mais une nouvelle donne juridique vient compliquer la situation. Une véritable contradiction réglementaire est apparue entre Pékin et Bruxelles, et elle a des conséquences très concrètes pour les dirigeants de PME qui intègrent ces outils dans leurs processus.

D'un côté, Pékin verrouille les données d'entraînement

Selon une information de Bloomberg relayée par ActuIA, la Chine a fait évoluer son cadre juridique. À cette date sont entrées en vigueur en Chine les Provisions on the Protection of Trade Secrets émises le 24 février 2026 par la State Administration for Market Regulation, qui qualifient désormais comme secrets commerciaux administrativement protégés les données d'entraînement IA, les algorithmes de recommandation et les modèles de contrôle de risque.

Autrement dit, les informations sur la manière dont Qwen ou DeepSeek ont été entraînés deviennent, du point de vue chinois, des secrets d'affaires protégés. Cette mesure ne survient d'ailleurs pas seule : trois mesures concentrées dans une fenêtre de quinze jours dessinent un dispositif coordonné de contrôle des flux de technologie, de talents et de capitaux.

De l'autre côté, l'AI Act européen exige la transparence

Or, l'Europe demande exactement l'inverse. L'AI Act, premier cadre juridique mondial sur l'IA, monte progressivement en puissance. Entré en vigueur le 1er août 2024, l'AI Act sera pleinement applicable le 2 août 2026.

Le cœur du problème réside dans une obligation précise. Comme le souligne ActuIA, l'article 53 de l'AI Act impose aux fournisseurs GPAI de rendre publiquement disponible un résumé suffisamment détaillé du contenu d'entraînement, dont les modalités précises seront fixées par un acte d'exécution de la Commission européenne.

Cette exigence de transparence n'est pas un simple détail administratif. Les informations sur les données ayant servi à entraîner ces modèles devront désormais être accessibles au public. Cette avancée majeure implique une documentation rigoureuse des datasets, bouleversant tant la conformité que les pratiques de gestion des risques et d'innovation pour les acteurs du secteur technologique.

Pour les PME, la bonne nouvelle est que ces obligations pèsent d'abord sur les fournisseurs de modèles. Comme l'explique Blog-IA, les obligations pour les fournisseurs de modèles d'IA générative sont en vigueur : documentation technique, politique de droits d'auteur, résumé des données d'entraînement. Mais attention : ces obligations concernent les fournisseurs de modèles, pas les entreprises qui les utilisent — mais en tant que déployeur, vous devez vérifier que votre fournisseur est conforme.

Le piège pour les PME : être responsable d'un fournisseur qui ne peut pas se conformer

C'est là que se situe le risque concret. Si votre PME intègre Qwen ou DeepSeek dans un produit ou un service commercialisé en Europe, vous endossez un rôle de déployeur. Vous devez donc pouvoir démontrer la conformité de la chaîne d'approvisionnement de votre IA. Le problème ? Le fournisseur chinois est désormais légalement empêché, dans son pays, de divulguer les informations que l'Europe vous demande de vérifier.

Il faut toutefois nuancer la portée réelle du dispositif chinois. Selon ActuIA, la portée extraterritoriale du dispositif reste néanmoins aspirationnelle : aucun mécanisme d'application opérationnel hors de Chine n'a été notifié à ce stade. La difficulté est donc moins une menace directe qu'un blocage informationnel : sans données de provenance disponibles, comment documenter sa conformité ?

Les enjeux financiers ne sont pas négligeables. Pour les manquements aux obligations de transparence, les sanctions peuvent atteindre 15 millions d'euros ou 3 % du chiffre d'affaires mondial du fournisseur, à compter du 2 août 2026.

Quels réflexes adopter dès maintenant ?

Plutôt que de céder à la panique, les dirigeants de PME peuvent transformer cette contrainte en démarche structurante. Voici les étapes prioritaires :

• Cartographier vos usages d'IA. La première étape consiste à lister tous les outils IA utilisés dans l'entreprise : logiciels RH, chatbots, outils de génération de contenu, solutions de scoring, tout SaaS mentionnant « IA » ou « machine learning ».
• Évaluer le niveau de risque. Comme le rappelle Blog-IA, pour la majorité des PME, les usages courants relèvent du risque limité ou minimal. L'obligation principale est la transparence : signaler aux utilisateurs qu'ils interagissent avec une IA. Le niveau d'exigence est bien plus élevé pour les usages sensibles comme le recrutement ou le scoring client.
• Interroger vos éditeurs. Il s'agit de poser les bonnes questions : classification du risque, documentation technique, données d'entraînement, mécanismes de supervision, enregistrement EU.
• Formaliser une gouvernance interne. Au-delà de l'automatisation et des gains de productivité, il convient de formaliser une gouvernance interne (rôles, validation des outils, supervision humaine), de constituer une documentation démontrant la conformité et de former les équipes aux bonnes pratiques d'usage.

Une contrainte à transformer en avantage concurrentiel

La conformité ne doit pas être perçue comme un frein. Au contraire, elle constitue une opportunité de différenciation. Elle crée un avantage concurrentiel pour les entreprises conformes. Pouvoir prouver à vos clients et partenaires que vos systèmes sont transparents, documentés et supervisés devient un argument commercial.

Et les PME ayant déjà investi dans le RGPD partent avec une longueur d'avance : les entreprises qui ont déjà investi dans la conformité RGPD ont un avantage : les principes de privacy by design et de documentation se transposent directement à la conformité IA. Comme le résume justement Blog-IA, l'AI Act n'est pas un frein à l'innovation. C'est un cadre qui distingue les usages responsables des usages sauvages.

Montez en compétence avec Aissociate

Le cas Qwen/DeepSeek illustre une réalité : l'IA générative ne se résume pas au choix d'un outil performant. Elle exige une compréhension fine des enjeux réglementaires, de souveraineté et de gouvernance. Pour les dirigeants et leurs équipes, la formation IA devient un levier stratégique pour sécuriser sa transformation digitale et faire les bons arbitrages.

Chez Aissociate, organisme de formation certifié Qualiopi, nous accompagnons les PME dans la maîtrise de l'IA générative et la mise en conformité avec l'AI Act. Nos parcours sont éligibles au financement CPF et mobilisables via votre OPCO. Découvrez nos formations et donnez à vos équipes les clés pour exploiter l'IA en toute sérénité, sans tomber dans les pièges réglementaires.