Le 2 août 2026, les obligations de l’AI Act européen entrent en vigueur pour les systèmes d’IA à haut risque. Vous utilisez un outil de recrutement automatisé, un chatbot client ou ChatGPT au bureau ? Vous êtes probablement concerné. Voici ce que vous devez savoir — et surtout ce que vous devez faire — avant cette date.
1. Votre PME est-elle vraiment concernée ?
2. Les quatre niveaux de risque : où se situe votre entreprise ?
3. Le calendrier : ce qui est déjà en vigueur et ce qui arrive
4. Fournisseur ou déployeur : la distinction qui change tout
5. Les obligations concrètes pour les PME
6. AI literacy : l’obligation que presque personne ne respecte
7. Sanctions : ce que vous risquez vraiment
8. Plan d’action : 5 étapes pour être en conformité avant août
Votre PME est-elle vraiment concernée ?
La réponse courte : oui, probablement. Et c’est précisément le problème. La majorité des dirigeants de PME pensent que l’AI Act vise les géants technologiques — les OpenAI, Google et Meta de ce monde. C’est une erreur qui pourrait coûter très cher.
Le critère déterminant n’est pas la taille de votre entreprise. C’est la nature de l’IA que vous utilisez. Une PME de 15 salariés qui utilise un logiciel de tri de CV alimenté par l’intelligence artificielle est soumise exactement aux mêmes obligations qu’un groupe du CAC 40 utilisant le même type d’outil. Le règlement européen 2024/1689 — son nom officiel — s’applique à toute organisation qui développe, met sur le marché ou utilise un système d’IA sur le territoire de l’Union européenne.
Et quand on parle d’« utiliser un système d’IA », le périmètre est large. Votre chatbot de service client ? Concerné. Votre outil de scoring commercial qui priorise les leads ? Potentiellement concerné. L’assistant IA intégré à votre CRM ? Concerné aussi. Même l’utilisation de ChatGPT ou Claude par vos équipes pour rédiger des emails ou analyser des données peut entrer dans le champ d’application, selon l’usage qui en est fait.
Les quatre niveaux de risque : où se situe votre entreprise ?
L’AI Act repose sur une logique de classification par niveaux de risque. Tout l’enjeu pour une PME est de déterminer dans quelle catégorie tombent les outils d’IA qu’elle utilise.
Risque inacceptable : les pratiques interdites
Certains usages de l’IA sont purement et simplement interdits depuis février 2025. La notation sociale des citoyens, la manipulation comportementale exploitant des vulnérabilités, ou encore la reconnaissance faciale en temps réel dans l’espace public à des fins de surveillance de masse. Si votre PME ne fait rien de tout cela — et c’est vraisemblablement le cas — vous n’êtes pas concerné par ce niveau.
Risque élevé : là où ça se complique
C’est ici que la plupart des PME découvrent qu’elles sont concernées. L’annexe III du règlement liste huit domaines d’activité considérés comme à haut risque. Parmi ceux qui touchent directement les PME : l’emploi et la gestion des ressources humaines (tri automatisé de CV, évaluation des candidats, notation des performances, décisions d’affectation), l’accès aux services financiers (scoring de crédit, évaluation des risques pour l’octroi de prêts), l’éducation et la formation professionnelle (systèmes d’évaluation automatisée, orientation).
Concrètement : si l’IA que vous utilisez influence des décisions qui impactent significativement la vie de personnes, il y a de fortes chances qu’elle soit classée à haut risque.
Risque limité : l’obligation de transparence
Les chatbots, les systèmes de génération de contenu (textes, images, vidéos) et les outils de synthèse vocale imitant une voix humaine sont soumis à une obligation simple mais non négociable : informer l’utilisateur qu’il interagit avec une IA ou que le contenu a été généré artificiellement. Si vous avez un chatbot sur votre site, vous devez clairement indiquer que le visiteur échange avec une intelligence artificielle.
Risque minimal : aucune obligation spécifique
Les filtres anti-spam, les outils de recommandation de contenu ou les correcteurs orthographiques ne sont soumis à aucune obligation particulière.
Le niveau de risque ne dépend pas de la taille de votre entreprise, mais de ce que fait votre IA. Un outil de tri de CV utilisé par une PME de 20 personnes est classé exactement au même niveau de risque que le même outil utilisé par un groupe de 50 000 salariés.
Le calendrier : ce qui est déjà en vigueur et ce qui arrive
L’application du règlement est progressive, et certaines obligations sont déjà actives — ce que beaucoup d’entreprises ignorent.
Depuis le 2 février 2025, les interdictions relatives aux pratiques à risque inacceptable sont en vigueur. Depuis cette même date, l’obligation de « AI literacy » — la formation minimale des équipes qui utilisent l’IA — est également applicable. J’y reviens en détail plus bas, car c’est l’obligation la plus méconnue et la plus largement ignorée.
Depuis le 2 août 2025, les premières obligations relatives aux modèles d’IA à usage général (les « GPAI » comme GPT, Claude ou Mistral) s’appliquent aux fournisseurs de ces modèles. En tant que PME utilisatrice, vous n’êtes pas directement visé par ces obligations — mais vous devez vérifier que vos fournisseurs sont conformes.
Le 2 août 2026 est l’échéance critique. C’est la date d’application des obligations pour les systèmes à haut risque listés à l’annexe III, ainsi que des exigences de transparence de l’article 50. C’est dans moins de quatre mois.
Enfin, le 2 août 2027 marquera l’extension aux systèmes à haut risque intégrés dans des produits réglementés (dispositifs médicaux, machines industrielles, jouets).
Fournisseur ou déployeur : la distinction qui change tout
Le règlement distingue plusieurs catégories d’acteurs. Deux concernent directement les PME.
Le fournisseur est celui qui développe et met sur le marché un système d’IA. Le déployeur est celui qui l’utilise dans le cadre d’une activité professionnelle. La grande majorité des PME sont des déployeurs : elles n’ont pas développé le modèle d’IA qu’elles utilisent, elles ont souscrit un abonnement SaaS, intégré un outil dans leur CRM ou branché une API.
Or, être « simple utilisateur » ne protège en rien. Le dirigeant qui intègre un outil de gestion RH basé sur l’IA, ou qui automatise la relation client via un chatbot, endosse une responsabilité juridique qu’il ne peut pas déléguer entièrement à son fournisseur. C’est l’un des points les plus contre-intuitifs du texte, et l’un des plus dangereux pour les PME qui pensent que « c’est le problème de l’éditeur ».
Les obligations concrètes pour les PME
Si votre entreprise utilise un système d’IA classé à haut risque, voici ce que vous devez avoir en place avant le 2 août 2026.
Premièrement, un inventaire complet de vos outils IA. Listez tout ce qui utilise de l’intelligence artificielle dans votre organisation : logiciels RH, chatbots, outils de génération de contenu, solutions de scoring, tout SaaS qui mentionne « IA » ou « machine learning ». Cette étape révèle souvent des usages dont la direction n’avait pas conscience — ce qu’on appelle la « Shadow AI ».
Deuxièmement, une évaluation du niveau de risque de chaque outil. Pour chaque système identifié, déterminez s’il tombe dans la catégorie haut risque en vous référant à l’annexe III du règlement.
Troisièmement, une documentation technique. Pour les systèmes à haut risque, vous devez disposer d’une documentation complète expliquant le fonctionnement du système, ses capacités et ses limites. En tant que déployeur, vous avez le droit — et l’obligation — d’exiger cette documentation auprès de vos fournisseurs.
Quatrièmement, un dispositif de contrôle humain. Toute décision à haut risque produite par une IA doit pouvoir être supervisée et, si nécessaire, corrigée par un humain. Si votre outil RH trie des CV automatiquement, un recruteur humain doit vérifier et valider les résultats.
Cinquièmement, la conservation des logs d’activité. Vous devez conserver les journaux d’activité de vos systèmes d’IA pendant la durée prévue par le règlement, pour assurer la traçabilité des décisions.
Sixièmement, les mentions de transparence. Même pour les systèmes à risque limité, informez clairement vos utilisateurs qu’ils interagissent avec une IA.
AI literacy : l’obligation que presque personne ne respecte
C’est sans doute le point le plus négligé du règlement. Depuis février 2025, l’article 4 de l’AI Act impose une obligation de « AI literacy » — en clair, une formation minimale pour toute personne qui développe, déploie ou utilise des systèmes d’IA dans un contexte professionnel.
Cela signifie que si vos commerciaux utilisent un outil d’IA pour qualifier des leads, si vos équipes marketing génèrent du contenu avec ChatGPT, ou si vos RH utilisent un logiciel de présélection de candidats, ces personnes doivent avoir reçu une formation adaptée leur permettant de comprendre le fonctionnement de l’IA qu’elles utilisent, d’en identifier les limites et les biais potentiels, et d’exercer un regard critique sur ses résultats.
Le texte ne précise pas la durée ni le format exact de cette formation. Mais l’obligation est réelle, et la CNIL a indiqué qu’elle intensifierait ses contrôles sur les systèmes RH à partir de l’automne 2026. Ne pas pouvoir démontrer que vos équipes ont été formées est un risque que je déconseille de prendre.
Commencez par un atelier de sensibilisation de 2 à 3 heures pour les équipes qui utilisent l’IA au quotidien. Documentez la session (date, participants, contenu abordé). Ce n’est pas un audit ISO — c’est un minimum de diligence qui vous protège en cas de contrôle.
Sanctions : ce que vous risquez vraiment
Les amendes prévues par l’AI Act sont proportionnées à la gravité de l’infraction, mais elles ont de quoi faire réfléchir. L’utilisation d’un système à risque inacceptable expose à des sanctions pouvant atteindre 35 millions d’euros ou 7 % du chiffre d’affaires mondial. Le non-respect des obligations relatives aux systèmes à haut risque peut entraîner des amendes allant jusqu’à 15 millions d’euros ou 3 % du chiffre d’affaires. Les manquements de transparence sont sanctionnés jusqu’à 7,5 millions d’euros ou 1 % du chiffre d’affaires.
Pour les PME et startups, des limites proportionnelles réduites s’appliquent — le règlement en tient compte. Mais l’enjeu n’est pas seulement financier. Un système non conforme peut être interdit d’exploitation sur le marché européen. Et le risque réputationnel, dans un contexte où la confiance dans l’IA est un sujet de société, peut être tout aussi coûteux qu’une amende.
En France, trois autorités sont chargées du contrôle et de l’application : la CNIL, la DGCCRF et l’Arcom.
Plan d’action : 5 étapes pour être en conformité avant août
La mise en conformité pour une PME n’a rien d’insurmontable. Pour la majorité des entreprises, il s’agit de quelques jours de travail structuré, pas de mois de consulting.
Étape 1 : cartographiez vos usages IA. Recensez chaque outil, chaque API, chaque SaaS qui utilise de l’intelligence artificielle dans votre organisation. N’oubliez pas les usages informels — les collaborateurs qui utilisent ChatGPT à titre individuel sans que la direction le sache.
Étape 2 : classifiez le niveau de risque. Pour chaque outil identifié, déterminez s’il entre dans la catégorie haut risque (annexe III), risque limité (transparence) ou risque minimal. En cas de doute, consultez un expert ou votre DPO.
Étape 3 : formez vos équipes. Organisez les sessions de AI literacy pour toutes les personnes qui utilisent l’IA dans leur travail. Documentez ces formations.
Étape 4 : auditez vos fournisseurs. Posez-leur ces questions : votre système est-il classé à haut risque ? Disposez-vous de la documentation technique requise ? Êtes-vous en conformité avec l’AI Act ? Un fournisseur incapable de répondre clairement est un signal d’alerte.
Étape 5 : documentez votre démarche. Constituez un dossier de conformité qui rassemble votre inventaire, vos classifications, vos preuves de formation et vos échanges avec les fournisseurs. Ce dossier est votre meilleure protection en cas de contrôle.
L’AI Act n’est pas un frein à l’innovation. C’est un cadre qui distingue les usages responsables des usages non encadrés. Les entreprises capables de démontrer une IA maîtrisée et conforme gagnent un avantage concurrentiel réel — la confiance de leurs clients, partenaires et collaborateurs.
Pour la majorité des PME, la mise en conformité se résume à cinq actions concrètes : inventorier ses outils IA, classifier les niveaux de risque, former ses équipes, auditer ses fournisseurs et documenter le tout. Le coût est modeste, le temps nécessaire se compte en jours. Ne pas agir avant le 2 août 2026, c’est prendre un risque juridique inutile sur un sujet où la mise en conformité est accessible.
Et si je devais résumer en une phrase : le problème n’est pas l’AI Act. Le problème, c’est de découvrir son existence le jour du contrôle.
Votre PME est-elle prête pour le 2 août 2026 ?
L’AI Risk & Governance Scan d’Inovapolis vous donne en une session un diagnostic clair : quels outils IA vous utilisez, quel est votre niveau de risque, et quelles actions mener pour être en conformité.
Sources
Règlement (UE) 2024/1689 — AI Act, texte complet (juin 2024)
Service-Public.fr — « AI Act : quels changements pour les entreprises » (octobre 2025)
Indeed Hiring Lab France — « L’IA progresse dans un marché du travail en recul » (avril 2026)
Cornerstone OnDemand — Global State of the Skills Economy Report (2026)
Commission européenne — Cadre réglementaire pour l’IA (2025)
CNIL — Intelligence artificielle et conformité (2026)
À lire aussi sur Inovapolis :
AI Act : ce que les guides de conformité ne vous disent pas
Compétences IA 2026 : le guide complet
L’impact de l’IA sur les métiers en 2026
