AI Act : ce qui change concrètement le 2 août 2026 pour les PME françaises

Le règlement européen sur l’intelligence artificielle entre dans sa phase la plus structurante. Si vous utilisez ChatGPT au bureau, un CRM avec du scoring automatisé ou un chatbot sur votre site, vous êtes un « déployeur » au sens de l’AI Act — et vous avez des obligations légales. Voici ce qui s’applique à votre PME, ce qui pourrait être reporté, et surtout ce que vous devez faire dans les trois prochains mois.

Pourquoi les PME sont directement concernées

Il y a un malentendu persistant dans le tissu économique français : l’AI Act, ce serait un problème de grandes entreprises et d’éditeurs de logiciels. Les PME ne seraient pas concernées. C’est faux. Le règlement européen 2024/1689 distingue deux rôles : le fournisseur (celui qui développe le système d’IA) et le déployeur (celui qui l’utilise dans un contexte professionnel). Et la majorité des PME françaises sont des déployeurs — souvent sans le savoir.

Vous utilisez un logiciel de recrutement qui filtre les CV automatiquement ? Vous êtes déployeur d’un système à haut risque. Votre CRM attribue un score de solvabilité à vos prospects ? Déployeur. Votre chatbot répond aux clients sur votre site ? Déployeur — avec des obligations de transparence. Dès qu’une décision touche une personne physique et qu’un système d’IA intervient dans le processus, les obligations s’imposent au déployeur, qu’il en ait eu conscience ou non.

Les chiffres confirment l’ampleur du sujet. Selon le baromètre Bpifrance Le Lab, 32 % des PME et ETI françaises utilisent l’IA en 2026, contre 13 % en 2024. C’est un doublement en deux ans. Mais cette adoption rapide s’est faite sans cadre : le baromètre Alegria.group 2026 révèle que 58 % des PME françaises n’ont connecté aucun outil d’IA à leur CRM ou leur ERP. L’IA reste dans un onglet de navigateur, utilisée en solo, sans gouvernance. Exactement le type de situation que l’AI Act veut encadrer.

Les quatre niveaux de risque : où se situe votre entreprise ?

Le règlement classe chaque système d’IA selon son niveau de risque. Ce n’est pas l’entreprise qui est classée — c’est chaque usage, chaque outil, chaque application. Une même PME peut très bien utiliser un chatbot à risque limité et un outil RH à haut risque.

Risque inacceptable (interdit) — Certains usages de l’IA sont purement et simplement prohibés dans l’Union européenne depuis le 2 février 2025. Huit catégories sont couvertes : la notation sociale (social scoring), les techniques de manipulation subliminale, l’exploitation des vulnérabilités liées à l’âge ou au handicap, l’identification biométrique en temps réel dans l’espace public (sauf exceptions). En pratique, peu de PME françaises sont concernées par ces usages extrêmes — mais le simple fait de vérifier que vous n’y êtes pas exposé fait partie de la démarche de conformité.

Risque élevé (haut risque) — C’est la catégorie qui change la donne pour beaucoup de PME. L’annexe III du règlement liste les domaines concernés : biométrie, infrastructures critiques, éducation et formation, emploi et ressources humaines, accès aux services financiers, forces de l’ordre, gestion des migrations, administration de la justice. Si vous utilisez un outil d’IA qui intervient dans le recrutement (tri de CV, évaluation automatisée des candidats), dans la notation des performances, ou dans l’accès au crédit, vous êtes dans le haut risque. Les obligations sont lourdes : documentation technique, gestion des risques, supervision humaine, marquage CE, enregistrement dans la base de données européenne.

Risque limité (obligations de transparence) — C’est là que se situent la plupart des usages courants en PME. Chatbots, IA générative (ChatGPT, Claude, Gemini), systèmes de génération d’images ou de synthèse vocale. L’obligation principale est la transparence : signaler clairement aux utilisateurs qu’ils interagissent avec une IA. Si votre système génère du contenu synthétique (texte, image, audio, vidéo), ce contenu doit être marqué de façon lisible par machine — typiquement par des métadonnées ou des watermarks.

Risque minimal — Les systèmes sans impact significatif : filtres anti-spam, outils de recommandation de contenu, correcteurs orthographiques. Aucune obligation spécifique, mais les bonnes pratiques restent recommandées.

Ce qui s’applique au 2 août 2026 — quoi qu’il arrive

Même si le Digital Omnibus aboutit à un report du haut risque, plusieurs obligations deviennent exécutoires au 2 août 2026 sans aucune ambiguïté.

Premièrement, les obligations de transparence de l’article 50. Si votre système d’IA interagit avec des personnes — un chatbot, un assistant virtuel — vous devez informer clairement l’utilisateur qu’il échange avec une IA. Si votre système génère du contenu synthétique (texte, image, audio), ce contenu doit être identifiable comme tel. Ces obligations s’appliquent à tous les systèmes d’IA, pas seulement au haut risque.

Deuxièmement, les pratiques interdites sont effectives depuis le 2 février 2025. Notation sociale, manipulation subliminale, exploitation des vulnérabilités — ces interdictions sont déjà en vigueur. Les sanctions associées sont les plus lourdes du règlement.

Troisièmement, les obligations sur les modèles d’IA à usage général (GPAI) sont en vigueur depuis le 2 août 2025. Elles visent les fournisseurs comme OpenAI, Anthropic ou Mistral, pas directement les PME utilisatrices. Mais elles conditionnent la qualité de la documentation que vos fournisseurs doivent vous remettre — et que vous devez exiger.

Quatrièmement, chaque État membre doit avoir mis en place au moins un bac à sable réglementaire opérationnel d’ici le 2 août 2026. En France, la CNIL, la DGCCRF et l’Arcom sont désignées comme autorités compétentes. Ces bacs à sable permettront aux entreprises de tester leurs systèmes dans un cadre supervisé — un dispositif particulièrement pertinent pour les PME qui manquent de repères.

Le Digital Omnibus : report à 2027 ou faux espoir ?

Depuis novembre 2025, un paquet législatif appelé Digital Omnibus circule entre la Commission européenne, le Parlement et le Conseil. Son objectif : reporter l’application des obligations pour les systèmes d’IA à haut risque de l’annexe III du 2 août 2026 au 2 décembre 2027 — soit 16 mois de sursis. La raison invoquée est pragmatique : les normes harmonisées nécessaires à la conformité ne sont pas encore prêtes, et la plupart des États membres n’ont pas finalisé la mise en place de leurs autorités de contrôle.

Le 18 mars 2026, les commissions IMCO et LIBE du Parlement européen ont adopté cette position par 101 voix contre 9. Le vote en plénière a suivi le 26 mars. Mais les négociations entre institutions — les « trilogues » — patinent. Le deuxième trilogue du 28 avril 2026 s’est soldé par un échec — principalement sur la question de l’articulation entre l’AI Act et les réglementations sectorielles existantes (dispositifs médicaux, machines industrielles, jouets connectés). Un troisième trilogue est prévu le 13 mai 2026.

La situation juridique est donc la suivante : tant que le Digital Omnibus n’est pas formellement adopté, la date du 2 août 2026 reste légalement contraignante. Si les trilogues n’aboutissent pas avant cette date, les obligations originales de l’AI Act s’appliqueront automatiquement, y compris pour le haut risque. Les PME qui auraient misé sur le report se retrouveraient alors non conformes du jour au lendemain.

Se préparer comme si août 2026 était la date réelle, planifier comme si décembre 2027 était la date probable. C’est la seule stratégie raisonnable.

Sanctions : ce que risque réellement une PME

L’AI Act prévoit un régime de sanctions à trois paliers. Premier palier : les pratiques interdites (article 5) exposent à des amendes allant jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial annuel. Deuxième palier : la non-conformité des systèmes à haut risque peut coûter jusqu’à 15 millions d’euros ou 3 % du CA mondial. Troisième palier : la fourniture d’informations inexactes aux autorités expose à 7,5 millions d’euros ou 1 % du CA.

Ces montants font peur — et c’est précisément l’objectif de dissuasion du législateur. Mais pour les PME, le règlement contient une protection spécifique inscrite à l’article 99 : là où les grandes entreprises se voient appliquer le montant le plus élevé entre le pourcentage du CA et le montant fixe en euros, les PME et startups se voient appliquer le montant le moindre. Une PME avec un CA de 5 millions d’euros qui manquerait à une obligation haut risque serait exposée à 150 000 euros (3 % du CA) plutôt qu’à 15 millions.

Ce n’est pas une exemption — c’est une proportionnalité. Le risque financier reste réel. Et il faut y ajouter le risque réputationnel : dans un contexte où la confiance numérique devient un avantage compétitif, être épinglé pour non-conformité IA peut coûter bien plus que l’amende elle-même.

Plan d’action : les 5 étapes à lancer avant l’été

La mise en conformité n’est pas un projet à 6 mois pour la plupart des PME. Pour celles dont les usages relèvent du risque limité, quelques semaines suffisent. Pour celles qui ont des systèmes à haut risque, il faut compter 4 à 7 mois selon la complexité. Dans tous les cas, voici les étapes prioritaires.

Étape 1 — Cartographier vos systèmes d’IA. Recensez tous les outils, logiciels et services qui utilisent de l’intelligence artificielle dans votre organisation. Ne vous limitez pas aux outils « officiels » : incluez les usages informels (ChatGPT utilisé par les équipes, Midjourney pour le marketing, outils d’IA intégrés dans vos logiciels métiers). Cette cartographie est le socle de tout le reste. Sans elle, vous ne pouvez pas classifier vos risques.

Étape 2 — Classifier chaque usage par niveau de risque. Pour chaque système identifié, déterminez s’il relève du risque minimal, limité, élevé ou inacceptable. Un logiciel RH qui trie des CV automatiquement : haut risque. Un chatbot sur votre site : risque limité. ChatGPT utilisé pour rédiger des emails : risque minimal. Cette classification conditionne vos obligations.

Étape 3 — Mettre en place les obligations de transparence. C’est le minimum vital pour toutes les PME, quel que soit leur profil de risque. Informez vos clients et utilisateurs lorsqu’ils interagissent avec une IA. Ajoutez les mentions nécessaires sur votre site, vos emailings, vos interfaces. C’est simple, rapide, et ça couvre l’obligation la plus immédiate.

Étape 4 — Interroger vos fournisseurs. Si vous utilisez des outils d’IA fournis par des tiers (et c’est le cas de la quasi-totalité des PME), posez-leur ces questions : votre système est-il classé à haut risque ? Disposez-vous d’une documentation technique conforme à l’annexe IV ? Quelles données d’entraînement ont été utilisées ? Quels mécanismes de supervision humaine prévoyez-vous ? Un fournisseur qui ne peut pas répondre à ces questions représente un risque de conformité pour votre entreprise.

Étape 5 — Désigner un responsable AI Act. Comme pour le RGPD avec le DPO, l’AI Act impose une gouvernance continue — pas un projet ponctuel. Désignez un référent interne (souvent le DPO, le DSI ou le responsable qualité) qui coordonne la conformité, assure le suivi réglementaire et forme les équipes. Le rôle peut être fusionné avec d’autres fonctions, mais il doit exister.

La Shadow AI, angle mort de la conformité

L’étape 1 (la cartographie) est aussi la plus difficile — parce qu’une partie des usages de l’IA dans votre entreprise est invisible. C’est ce qu’on appelle la shadow AI : l’utilisation d’outils d’intelligence artificielle par les collaborateurs en dehors de tout cadre officiel. Une étude Microsoft/YouGov de 2026 estime que 61 % des collaborateurs français utilisent des outils d’IA en dehors des cadres approuvés par leur entreprise, souvent via leurs comptes personnels.

Le problème n’est pas que vos équipes utilisent l’IA — c’est qu’elles le font sans que vous le sachiez, et donc sans que vous puissiez garantir la conformité. Un commercial qui colle les données clients dans ChatGPT pour rédiger une proposition, un recruteur qui utilise un outil de scoring de CV non déclaré, un marketeur qui génère des visuels sans mentionner l’IA : chacun de ces usages vous expose potentiellement.

J’ai analysé ce phénomène en détail dans un article dédié : Shadow AI : pourquoi 8 entreprises sur 10 perdent le contrôle de leur IA. La conclusion est sans appel : tant que vous n’avez pas de politique d’usage IA formalisée, votre conformité à l’AI Act repose sur du sable.

Préparez-vous pour août, planifiez pour décembre

L’AI Act n’est pas un frein à l’innovation. C’est un cadre qui distingue les usages responsables des usages sauvages. Pour la majorité des PME françaises, la mise en conformité se résume à trois actions concrètes : inventorier ses outils d’IA, former ses équipes aux règles de transparence, et ajouter les mentions légales requises. Le coût est modeste, le temps nécessaire se compte en semaines, et le bénéfice est double : sécurité juridique et crédibilité renforcée.

Les PME qui utilisent l’IA dans des domaines à haut risque — recrutement, notation, accès au crédit — ont des obligations plus lourdes, mais gérables avec un accompagnement structuré. Le pire scénario n’est pas de découvrir qu’on a des obligations : c’est de les découvrir trop tard, le jour où un client, un partenaire ou une autorité de contrôle pose la question.

Le Digital Omnibus offre peut-être 16 mois de plus pour le haut risque. Peut-être pas — le trilogue du 28 avril a échoué et rien n’est garanti. Mais même en cas de report, la cartographie, la classification et la transparence restent des prérequis qui ne bougent pas. Les entreprises qui commencent maintenant seront mieux positionnées que celles qui attendent — quelle que soit la date finale retenue.