Aller au contenu
← Retour au blog
· Oscar Robert-Beslé

AI Act 2026 : ce que les PME doivent savoir (et faire) avant août

AI ActRéglementationConformitéPMEEurope

Le 2 août 2026, le règlement européen sur l’intelligence artificielle entre en application complète. Si votre entreprise utilise ChatGPT, un chatbot sur son site, un outil de tri de CV ou un scoring client, vous êtes concerné. Et six mois pour se mettre en conformité, c’est court.

La bonne nouvelle : la plupart des PME ne sont pas dans le cas le plus contraignant. La mauvaise : ignorer le sujet n’est pas une option. Les amendes vont jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial, et même si les PME bénéficient de plafonds proportionnés, le risque réputationnel est bien réel.

Voici ce que vous devez comprendre et ce que vous pouvez faire concrètement, dès maintenant.

L’AI Act en bref

L’AI Act (règlement UE 2024/1689) est le premier cadre juridique au monde dédié à la régulation de l’IA. Adopté en 2024, il s’applique progressivement entre 2025 et 2027.

Son principe central est la classification par niveau de risque. Plus un système d’IA peut impacter les droits fondamentaux, la santé ou la sécurité des personnes, plus les obligations sont strictes. Quatre niveaux, quatre degrés d’exigence.

Risque inacceptable — interdit

Certaines pratiques sont purement interdites depuis février 2025 : manipulation subliminale des comportements, scoring social, reconnaissance des émotions sur le lieu de travail, identification biométrique en temps réel dans les espaces publics (sauf exceptions strictes). Pour les PME, le cas le plus courant à surveiller est l’analyse émotionnelle dans les entretiens de recrutement vidéo.

Haut risque — autorisé mais très encadré

Les systèmes qui impactent significativement la vie des personnes. Le règlement définit 8 domaines dans son Annexe III : biométrie, infrastructures critiques, éducation et formation professionnelle, emploi et gestion RH, accès aux services essentiels (crédit, assurance, prestations sociales), maintien de l’ordre, gestion de la migration, fonctionnement de la justice.

En pratique, les cas les plus fréquents en PME sont le tri automatisé de CV et la présélection de candidats, l’évaluation automatisée des performances des salariés, et le scoring crédit ou l’évaluation de solvabilité des clients. Un chatbot qui répond aux questions de vos clients, en revanche, relève généralement du risque limité. C’est sur les systèmes haut risque que les obligations sont les plus lourdes.

Risque limité — transparence obligatoire

Les systèmes qui interagissent avec des personnes. Un chatbot doit informer l’utilisateur qu’il échange avec une IA. Les contenus générés (texte, image, vidéo) doivent être identifiables comme tels. En pratique, une mention visible suffit dans la plupart des cas.

Risque minimal — rien de spécifique

Traduction, correction orthographique, aide à la rédaction, recommandations produits non personnalisées. L’immense majorité des outils IA utilisés au quotidien en entreprise. Pas d’obligation légale particulière, mais le règlement encourage l’adoption volontaire de codes de conduite.

Etes-vous concerné ? Fournisseur vs déployeur

C’est la question centrale. Le règlement distingue deux rôles principaux : le fournisseur (celui qui développe le système IA) et le déployeur (celui qui l’utilise dans un contexte professionnel).

La grande majorité des PME françaises sont des déployeurs. Vous utilisez ChatGPT, Claude, un CRM avec scoring prédictif, un chatbot SaaS — vous n’avez pas développé ces outils, mais vous les déployez auprès de vos équipes ou de vos clients.

Etre déployeur ne signifie pas être exempt d’obligations. Le déployeur a des responsabilités opérationnelles réelles, en particulier lorsque le système IA impacte ses salariés ou ses clients.

Un point de vigilance : un déployeur peut devenir fournisseur s’il modifie substantiellement l’usage prévu du système. Utiliser un outil de recommandation produit pour faire du scoring crédit, par exemple, vous fait basculer du côté fournisseur avec les obligations qui vont avec.

Les obligations concrètes des déployeurs

Transparence

Toute personne qui interagit avec un système IA doit en être informée. Chatbot sur votre site ? Ajoutez une mention visible. Contenus générés par IA publiés ? Indiquez-le. C’est simple, mais c’est obligatoire.

Littératie IA

Depuis février 2025, toute organisation utilisant de l’IA doit s’assurer que ses équipes ont un niveau suffisant de compréhension de ces outils. Le terme est vague, mais l’intention est claire : les personnes qui utilisent ou supervisent des systèmes IA doivent comprendre ce qu’ils font, leurs limites et les risques associés.

Concrètement, cela signifie former vos collaborateurs. Pas un PowerPoint de 20 minutes — une montée en compétence réelle, adaptée aux usages de chaque équipe. Cette obligation est déjà en vigueur.

Obligations spécifiques au haut risque

Si vous déployez un système classé haut risque (tri de CV, scoring, évaluation de performance), les exigences sont plus lourdes :

  • Supervision humaine : une personne compétente doit pouvoir intervenir, corriger ou arrêter le système.
  • Contrôle des données d’entrée : vous devez vérifier la pertinence et la qualité des données utilisées.
  • Conservation des logs : les journaux générés par le système doivent être conservés.
  • Information des salariés et représentants du personnel avant tout déploiement d’un système haut risque.
  • Analyse d’impact sur les droits fondamentaux, dans certains cas.

Ce que vous risquez

Le règlement prévoit des amendes administratives proportionnelles : jusqu’à 35 millions d’euros ou 7 % du CA mondial pour l’utilisation d’un système interdit, 15 millions ou 3 % pour la non-conformité d’un système haut risque, et 7,5 millions ou 1 % pour un manquement aux obligations de transparence. Les PME bénéficient de plafonds proportionnés, mais au-delà de l’amende, c’est la confiance de vos clients et partenaires qui est en jeu.

Le calendrier

Quatre dates à retenir :

2 février 2025 — Déjà passé. Interdiction des pratiques IA inacceptables. Obligation de littératie IA. Si vous utilisez n’importe quel système IA, vous êtes déjà concerné.

2 août 2025 — Obligations pour les modèles d’IA à usage général (GPAI). Concerne principalement les fournisseurs de modèles de fondation.

2 août 2026 — Application complète. Systèmes haut risque, transparence, conformité. C’est l’échéance majeure pour les PME.

2 août 2027 — Systèmes IA intégrés dans des produits réglementés (dispositifs médicaux, véhicules).

A noter : la Commission européenne a proposé fin 2025 un “Digital Omnibus” qui pourrait reporter certaines obligations haut risque à décembre 2027. Mais la proposition n’est pas encore adoptée. La prudence impose de viser août 2026.

Plan d’action en 6 étapes

Le règlement peut sembler intimidant, mais la mise en conformité se découpe en étapes concrètes. Voici un chemin praticable pour une PME, de l’inventaire initial au suivi continu.

1. Cartographier vos systèmes IA

C’est la première chose à faire, et c’est souvent la plus révélatrice. Plus de la moitié des organisations ne savent pas quels systèmes IA elles utilisent.

Faites l’inventaire : outils SaaS avec abonnement (vérifiez si “IA” ou “machine learning” figure dans la description), plugins et extensions (Copilot dans Office, Gemini dans Workspace, assistants de code), outils métier (CRM, RH, comptabilité — beaucoup intègrent désormais de l’IA), et développements internes.

Pour chaque outil, notez le fournisseur, l’usage, les données traitées, les personnes impactées et votre rôle (fournisseur ou déployeur).

2. Classifier par niveau de risque

Pour chaque système identifié, déterminez s’il relève du risque inacceptable, haut, limité ou minimal en vous référant aux catégories décrites plus haut. En cas de doute, classez au niveau supérieur par précaution.

Concentrez vos efforts sur les systèmes haut risque : ce sont eux qui portent l’essentiel des obligations. Les systèmes à risque limité nécessitent surtout des mentions de transparence, et les systèmes à risque minimal ne requièrent rien de particulier.

3. Vérifier vos fournisseurs

En tant que déployeur, vous devez vous assurer que vos fournisseurs respectent leurs propres obligations. Demandez-leur leur documentation AI Act (ou leur feuille de route), vérifiez que les systèmes haut risque sont enregistrés dans la base de données de l’UE, et intégrez des clauses AI Act dans vos contrats.

Ne prenez pas leur conformité pour acquise. Conservez les preuves de vos vérifications.

4. Mettre en place la gouvernance

Désignez un responsable conformité IA. Ce peut être le DPO, le RSSI, un juriste, ou le dirigeant lui-même dans les petites structures. L’essentiel est que cette personne ait une vision transversale — IT, juridique, métiers — et un accès direct à la direction.

Constituez une petite équipe projet qui réunit les fonctions concernées. La conformité IA ne se fait pas en silo : elle touche le digital, le juridique, les RH et les métiers utilisateurs.

5. Documenter

Pour les systèmes haut risque : description du système et de son usage, évaluation des risques, mesures de supervision humaine, logs et traçabilité, performances et limites connues. Pour les systèmes à risque limité : mentions de transparence et procédure de marquage des contenus IA.

Le volume de documentation peut sembler important, mais si vous êtes déjà conforme au RGPD, vous avez une base solide (voir section suivante).

6. Monitorer et mettre à jour

La conformité n’est pas un exercice ponctuel. Le texte et ses lignes directrices évoluent, de nouveaux outils IA arrivent dans votre organisation régulièrement, et vos usages changent.

Mettez en place une veille réglementaire, un processus d’évaluation des nouveaux outils avant adoption, une revue périodique de votre cartographie (trimestrielle recommandée) et une procédure de notification d’incidents pour les systèmes haut risque.

AI Act et RGPD : comment ils s’articulent

Le RGPD encadre les données personnelles. L’AI Act encadre les systèmes d’IA. Les deux textes ne se substituent pas — ils s’additionnent. Quand un système IA traite des données personnelles, les deux cadres s’appliquent simultanément.

C’est le cas du tri de CV (données personnelles + haut risque), du scoring client (données personnelles + potentiellement haut risque), ou du chatbot qui collecte des informations (données personnelles + transparence).

Si vous êtes déjà conforme au RGPD, vous avez une longueur d’avance. Votre registre des traitements peut s’étendre en registre IA. Vos analyses d’impact (PIA) se complètent avec l’évaluation des risques IA. Votre DPO peut piloter la conformité AI Act. Vos processus de notification s’étendent aux incidents IA. La documentation existante constitue un socle réutilisable.

Ce n’est pas un redémarrage à zéro. C’est une extension de ce que vous faites déjà. Et c’est un avantage concurrentiel réel : les PME qui ont investi dans leur conformité RGPD ces dernières années sont mieux armées que les autres pour aborder l’AI Act.

Par où commencer

Six mois avant l’échéance, la priorité est claire : cartographiez vos outils IA, identifiez ceux qui sont haut risque, et lancez les vérifications fournisseurs. Le reste suivra.

Si vous voulez avancer vite et bien, notre formation “Se mettre en conformité avec l’AI Act” (FOR-06) couvre l’ensemble du sujet en 1 à 2 jours. Le programme est conçu pour les PME : pas de jargon juridique inutile, des exercices pratiques sur vos propres systèmes. Vous repartez avec votre cartographie, votre classification par risque et un plan d’action opérationnel.

Nous proposons aussi des audits de conformité IA et un accompagnement continu pour les organisations qui préfèrent être guidées dans la démarche.

Le pire choix, c’est d’attendre.

Un projet en tête ?

On vous aide à passer de l’idée à la production.

Nous contacter Read in English