Votre équipe utilise ChatGPT pour les emails clients, Claude pour les comptes rendus, peut-être un chatbot maison pour le support niveau 1. Tout fonctionne, personne ne se pose de questions. Sauf que le 2 août 2026, l'AI Act européen entre en application complète pour les systèmes à haut risque. La question n'est plus « est-ce que ça nous concerne ? » mais « qu'est-ce qu'on doit documenter avant cette date ? ».
J'accompagne des PME françaises dans leur adoption de l'IA depuis plus d'un an. Ce que je constate : la plupart des dirigeants ont entendu parler de l'AI Act, très peu savent ce qu'il leur demande concrètement. Cet article pose les jalons, sans jargon, avec un plan d'action que vous pouvez lancer cette semaine.
- ⏱️ Échéance critique : le 2 août 2026, les systèmes IA à haut risque doivent être conformes.
- 📊 Quatre niveaux de risque : classifier vos usages IA est la première étape obligatoire.
- ⚠️ Sanctions lourdes : jusqu'à 35 millions d'euros ou 7 % du CA mondial en cas d'infraction.
- 🎯 PME concernées : même un simple chatbot RH peut tomber dans la catégorie haut risque.
L'AI Act en deux minutes : pourquoi votre PME ne peut plus ignorer ce texte
Le règlement UE 2024/1689 est le premier cadre juridique complet au monde dédié à l'IA. Adopté le 13 juin 2024, entré en vigueur le 1er août 2024, il s'applique progressivement jusqu'en 2027. Selon la Commission européenne, l'objectif est de « favoriser une IA digne de confiance » tout en protégeant les droits fondamentaux.
Pourquoi les PME se sentent-elles peu concernées ?
Parce que le texte a d'abord ciblé les géants : OpenAI, Google, Anthropic doivent se conformer aux obligations sur les modèles GPAI (General Purpose AI) depuis le 2 août 2025. Les interdictions les plus strictes (notation sociale, exploitation de vulnérabilités) sont en vigueur depuis février 2025.
Le problème, c'est que la prochaine vague vise les déployeurs de systèmes IA. Pas seulement les développeurs. Si votre PME utilise un outil IA dans un contexte considéré « haut risque » (recrutement, scoring crédit, accès à des services publics, éducation), vous êtes déployeur au sens du règlement. Vous avez des obligations propres : documentation, supervision humaine, transparence vis-à-vis des personnes concernées.
J'ai vu des PME de 30 personnes découvrir qu'elles tombaient dans cette catégorie parce qu'elles utilisaient un outil de tri de CV assisté par IA. Le logiciel était acheté « sur étagère », mais la responsabilité de conformité leur incombe aussi.
Le calendrier 2025-2027 : ce qui est déjà en vigueur et ce qui arrive
Voici le calendrier complet tel que détaillé par la CNIL et le guide Leto.legal. Les dates qui comptent pour une PME française sont peu nombreuses, mais non négociables.
Quelles échéances sont déjà passées ?
Deux phases sont actives. Depuis le 2 février 2025, les pratiques IA « à risque inacceptable » sont interdites : notation sociale, manipulation subliminale, reconnaissance d'émotions au travail. Depuis le 2 août 2025, les fournisseurs de modèles GPAI (ChatGPT, Claude, Gemini, Mistral) doivent publier une documentation technique, respecter le droit d'auteur et signaler les incidents graves.
| Échéance | Obligation | Qui est concerné | Statut |
|---|---|---|---|
| 2 fév. 2025 | Interdictions risque inacceptable | Tous les acteurs UE | ✅ En vigueur |
| 2 août 2025 | Obligations modèles GPAI | Fournisseurs (OpenAI, Anthropic…) | ✅ En vigueur |
| 2 août 2026 | Systèmes IA haut risque (annexe III) | Fournisseurs ET déployeurs | ↓ 61 jours restants |
| 2 août 2026 | Bacs à sable réglementaires | Chaque État membre | ↓ 61 jours restants |
| 2 août 2027 | IA embarquée (produits réglementés) | Fabricants industriels | → 2027 |
SOURCE : CNIL · Leto.legal · MAJ 06/2026
L'échéance du 2 août 2026 est celle qui compte pour les PME. Elle active les obligations de l'annexe III : biométrie, infrastructures critiques, éducation, emploi, accès aux services publics, forces de l'ordre, administration de la justice. Si l'un de vos outils IA touche à ces domaines, vous avez deux mois pour documenter votre conformité.
Comment savoir si vos outils IA sont « à haut risque »
C'est la question que je reçois le plus souvent en atelier. La réponse tient en un test simple, en trois étapes.
Quel est le test concret pour classifier un système IA ?
Première étape : listez tous les outils qui utilisent de l'IA dans votre entreprise. ChatGPT pour la rédaction, un chatbot support, un outil de scoring RH, un système de recommandation produit. Soyez exhaustifs.
Deuxième étape : pour chaque outil, vérifiez s'il intervient dans l'un des huit domaines de l'annexe III. Le site artificialintelligenceact.eu propose un vérificateur de conformité gratuit qui donne une première réponse en dix minutes. J'ai testé l'outil avec trois profils de PME la semaine dernière : les résultats étaient clairs et exploitables.
Troisième étape : distinguez votre rôle. « Fournisseur » si vous développez le système IA, « déployeur » si vous l'utilisez en contexte professionnel. Un déployeur doit garantir une supervision humaine, informer les personnes concernées et conserver des journaux d'activité.
La plupart des PME que j'accompagne sont déployeurs. Leurs obligations sont plus légères que celles des fournisseurs, mais elles existent. Ne pas les respecter expose à des amendes pouvant atteindre 35 millions d'euros ou 7 % du CA mondial, selon le guide de Leto.legal.
Quels usages courants de PME tombent dans le haut risque ?
Un outil de tri de CV assisté par IA : haut risque (domaine emploi). Un chatbot qui répond aux questions des salariés sur leur contrat : potentiellement haut risque (domaine emploi). Un système de scoring pour accorder un crédit fournisseur : haut risque (domaine accès aux services financiers). En revanche, un assistant rédactionnel pour vos newsletters : risque minimal, pas d'obligation spécifique.
Si vous avez un doute, la CNIL a publié une FAQ dédiée qui articule AI Act et RGPD. Les deux textes se complètent : le RGPD encadre les données personnelles, l'AI Act encadre le système qui les traite. Pour mieux comprendre l'articulation entre ces deux cadres, j'ai détaillé les autorisations réelles de la CNIL dans un article dédié.
Les 5 actions à lancer cette semaine dans votre PME
Inutile d'attendre un audit externe à 15 000 euros. Voici ce que vous pouvez faire vous-même, dès cette semaine, avec les ressources internes d'une PME de 10 à 250 personnes.
Comment démarrer sans budget dédié ?
Action 1 : Inventorier vos systèmes IA. Ouvrez un tableur. Listez chaque outil, son fournisseur, son usage principal et les données qu'il traite. Temps estimé : une demi-journée pour une PME de 50 personnes.
Action 2 : Classifier chaque outil par niveau de risque. Utilisez le vérificateur de conformité d'artificialintelligenceact.eu ou la grille de la CNIL. Temps estimé : deux heures.
Action 3 : Documenter la supervision humaine. Pour chaque outil classé haut risque, notez qui le supervise, comment les décisions automatisées sont révisées et par qui. Les fédérations comme BITCOM recommandent de commencer la documentation maintenant, avant la date limite de juillet.
Action 4 : Informer vos équipes. Rédigez une note interne expliquant quels outils IA sont utilisés, dans quel cadre et quelles sont les règles. La transparence vis-à-vis des salariés est une obligation du règlement, mais c'est aussi un levier de confiance.
Action 5 : Vérifier vos contrats fournisseurs. Si vous utilisez un outil IA haut risque « sur étagère », votre fournisseur doit vous transmettre documentation technique et déclaration de conformité. Si ces documents n'existent pas, posez la question par écrit. Cette trace sera votre première défense en cas de contrôle.
La question que je pose systématiquement aux dirigeants : « Qui, dans votre équipe, saurait expliquer à un auditeur comment tel outil IA prend ses décisions ? » Si personne ne peut répondre, c'est le signal qu'il faut structurer la gouvernance. J'ai décrit les bases de cette gouvernance dans un guide sur l'IA agentique en PME, qui reste pertinent pour l'AI Act.
Au-delà de la conformité : ce que l'AI Act signale sur l'avenir des PME
L'AI Act n'est pas qu'un texte de contraintes. Il trace aussi une ligne entre les entreprises qui utilisent l'IA de manière structurée et celles qui improvisent.
En quoi la conformité AI Act peut devenir un avantage concurrentiel ?
Le règlement prévoit des bacs à sable réglementaires dans chaque État membre d'ici août 2026 (article 57). Ces environnements permettent aux PME de tester leurs systèmes IA avec l'appui des autorités, sans risque de sanction. Une opportunité concrète pour passer à l'échelle sur l'IA sans recruter un CDI « conformité ».
Le cadre va continuer à s'épaissir. La proposition de loi sur la présomption d'exploitation des contenus culturels par l'IA, adoptée par le Sénat en avril 2026 et rapportée par BPI France, en est la preuve. Les PME qui se conforment tôt prennent de l'avance.
Mon point de vue est clair : les PME qui documentent leurs usages IA maintenant seront les mieux placées quand les contrôles commenceront. Pas parce qu'elles ont peur des amendes, mais parce qu'une IA bien encadrée fonctionne mieux. Specs claires, supervision humaine identifiée, logs conservés : c'est ce qui sépare un outil fiable d'un gadget qui génère du risque. Sur ai-first.fr, j'explore ces méthodes pour les équipes tech, mais le raisonnement vaut aussi pour les PME non-tech.
Le signal le plus parlant vient du marché du travail. Wix a licencié 20 % de ses effectifs mondiaux (environ 1 000 postes) en mai 2026, l'automatisation IA étant la raison principale. Meta, Cisco et d'autres ont supprimé plus de 134 000 postes tech depuis début 2026. Le besoin de former ses équipes à l'IA n'est plus un luxe, c'est une question de survie.
« Documenter vos usages IA aujourd'hui, c'est à la fois vous protéger des sanctions et structurer une adoption qui produit des résultats mesurables. »
Vincent Roye, juin 2026
L'AI Act ne vous demande pas de renoncer à l'IA. Il vous demande de savoir ce que vous faites avec. Pour une PME française, c'est une discipline saine : inventorier, classifier, documenter, superviser. Si vous lancez ces quatre actions cette semaine, vous serez prêts avant le 2 août. Et si aucun de vos outils ne tombe dans le haut risque, vous le saurez, vous pourrez le prouver, et vous pourrez vous concentrer sur ce qui compte : utiliser l'IA pour produire des résultats concrets.
Foire aux questions
L'AI Act s'applique-t-il aux PME qui utilisent ChatGPT sans développer leur propre IA ?
Oui. Le règlement distingue les « fournisseurs » (qui développent) des « déployeurs » (qui utilisent). Si votre PME utilise un système IA dans un contexte professionnel classé haut risque, vous avez des obligations de déployeur : supervision humaine, transparence, conservation des logs. Pour un usage bureautique standard (rédaction, résumés), le risque est minimal et les obligations quasi nulles.
Quelles sont les sanctions prévues par l'AI Act pour les PME ?
Les amendes vont de 7,5 millions d'euros (ou 1 % du CA mondial) pour les infractions mineures, jusqu'à 35 millions d'euros (ou 7 % du CA mondial) pour l'utilisation de pratiques interdites. Le montant retenu est le plus élevé entre le forfait et le pourcentage. Les PME bénéficient de plafonds proportionnels pour certaines catégories d'infraction.
La CNIL est-elle compétente pour contrôler l'application de l'AI Act en France ?
La CNIL est l'une des autorités désignées, aux côtés de la DGCCRF et de l'Arcom. La CNIL supervise les données personnelles et droits fondamentaux, la DGCCRF la protection des consommateurs, l'Arcom les contenus générés par IA sur les plateformes. Pour une PME, la CNIL reste l'interlocuteur principal.
Existe-t-il des exemptions pour les PME dans l'AI Act ?
Le règlement prévoit des allègements. Les PME ont accès prioritaire aux bacs à sable réglementaires, bénéficient de plafonds d'amendes proportionnels et peuvent s'appuyer sur les guides simplifiés de la Commission. Les activités de recherche sans objectif commercial sont exemptées. Si votre PME déploie un système IA à haut risque, les obligations de fond (documentation, supervision, transparence) s'appliquent intégralement.
Comment articuler l'AI Act avec le RGPD que ma PME applique déjà ?
Les deux textes se complètent sans se remplacer. Le RGPD encadre le traitement des données personnelles. L'AI Act encadre le système qui traite ces données. Concrètement, si votre outil IA analyse des CV (données personnelles + domaine emploi), vous devez respecter le RGPD pour le traitement des données ET l'AI Act pour le système IA lui-même. La bonne nouvelle : si vous avez déjà un registre de traitements RGPD, il sert de base pour l'inventaire AI Act.
Sources
- The New AI Law — Top Music Attorney
- EU-KI-Gesetz: neue Fristen & Deepfake-Verbot ab 2026 — The State of Tech
- Législation sur l'IA — digital-strategy.ec.europa.eu
- Intelligence artificielle : une proposition de loi pour alimenter l'IA de façon éthique — bigmedia.bpifrance.fr
- Loi sur l'intelligence artificielle de l'UE — artificialintelligenceact.eu
- Entrée en vigueur du règlement européen sur l'IA — cnil.fr
- AI Act : obligations, calendrier, sanctions 2026 — leto.legal