RÈGLEMENT (UE) 2024/1689 · COMPLIANCE DIRECTIVE
AI ACT 2026
GUIDE PRATIQUE PME

Les nouvelles règles pour utiliser l'IA en entreprise.
Ce guide vous montre comment rester conforme et protégé.

35 M€
Amende maximale prévue par l'AI Act

Alors que 95% des PME opèrent aujourd'hui sans aucune politique IA définie, le couperet légal approche. Les sanctions peuvent être fatales pour les petites structures.

SOMMAIRE
Table des matières
ID Section Page
01Le 2 août 2026 : ce qui change vraiment2
02Comprendre l'AI Act en 10 minutes3
03Ce que risque concrètement votre entreprise4
04Les usages IA les plus sensibles5
05La cartographie IA : votre première obligation5
06Checklist de conformité PME6
07Plan d'action sur 30 jours7
08FAQ & Financement8
09Glossaire9
RÉSUMÉ EXÉCUTIF
Les 5 décisions à prendre sans attendre

Le 2 août 2026, les règles changent définitivement.

L'AI Act n'est pas une loi réservée à Google ou OpenAI. Votre PME est directement concernée, même si vous utilisez simplement ChatGPT ou un outil tiers. Le seul mauvais choix aujourd'hui : l'attentisme. Agir maintenant coûte infiniment moins cher que subir une amende ou perdre un appel d'offres.

1

Cartographiez

Tous vos outils IA, y compris ceux utilisés sans votre accord (Shadow IT). Vous ne pouvez pas vous conformer à ce que vous ne connaissez pas.

2

Classifiez

Chaque usage selon les 4 niveaux de risque. C'est cette étape qui détermine vos obligations réelles et le niveau d'effort à fournir.

3

Agissez sur la transparence immédiatement

Mentions chatbot, étiquetage des contenus générés. Ces obligations sont déjà en vigueur depuis le premier cycle de l'AI Act.

4

Documentez

Vos systèmes à haut risque avant le 2 août 2026. C'est votre preuve de conformité face à un contrôle ou un audit client.

5

Formez

Vos équipes à l'IA responsable. L'AI literacy est une obligation légale explicite du texte européen – pas une recommandation, une exigence.

01
Le 2 août 2026 : ce qui change vraiment
Mythe Récurrent
"Je suis une petite entreprise, l'AI Act ne me concerne pas."
✓ FAUX

La loi européenne ne fait aucune distinction de taille. Ce qui compte, c'est l'usage que vous faites de l'IA. Si vous l'utilisez dans un contexte sensible (RH, finance, santé, relation client), vous êtes dans le périmètre.

Le calendrier officiel d'application

DateCe qui entre en vigueur
Déjà applicableInterdictions (risques inacceptables). Obligations de transparence (article 50).
2 août 2026Obligations pour les systèmes à haut risque (RH, crédit, santé...). AI literacy obligatoire.
2 déc. 2027Obligations techniques étendues pour certains systèmes spécifiques (report Omnibus).

Le piège de l'Omnibus : L'UE a reporté certaines obligations techniques au 2 décembre 2027. Mais les obligations de transparence (art. 50) et la cartographie des systèmes IA sont déjà exigibles.

Les 4 profils de PME à risque

PME utilisatrice

Vous utilisez des outils IA en interne (CRM, RH, marketing). Vous êtes "déployeur" et portez des obligations spécifiques.

PME fournisseur de services IA

Vous proposez des services augmentés par l'IA à vos clients. Vous êtes "fournisseur" avec des obligations encore plus lourdes.

PME sous-traitante

Vous travaillez pour des grands comptes qui vont exiger votre conformité AI Act dans leurs contrats. Anticipez leurs audits.

PME génératrice de contenu

Vous publiez du contenu généré par IA (textes, images, vidéos). L'étiquetage est obligatoire dès maintenant.

02
Comprendre l'AI Act en 10 minutes

Quatre niveaux de risque, quatre régimes d'obligations distincts.

NiveauSignificationExemples PMEÉchéance
InacceptableINTERDIT (prohibition totale)Notation sociale, biométrie temps réelDéjà en vigueur
■ Haut risqueObligations lourdes (cœur du problème)RH, credit scoring, santé, éducation2 août 2026
Limité/FaibleTransparence + AI literacy obligatoiresChatbots, génération de contenu, marketingDéjà en vigueur
■ MinimalBonnes pratiques recommandéesOutils de productivité génériquesAucune échéance
Le test des 30 secondes : Êtes-vous en zone rouge ?

Si vous répondez positivement à au moins une de ces lignes, vous devez engager une démarche de conformité avant le 2 août 2026 :

⬜ Trier des CV ou présélectionner des candidats via un outil automatisé

⬜ Noter ou évaluer les performances de vos employés avec de l'IA

⬜ Accorder ou refuser un crédit, un prêt, une assurance via scoring automatique

⬜ Proposer un chatbot qui qualifie un lead ou refuse une opération

⬜ Générer du contenu (texte, image, vidéo) publié sans mention IA

⬜ Utiliser un outil SaaS avec fonctions de recommandation ou prédiction

⬜ Sous-traiter pour un grand compte qui pourrait exiger votre conformité

03
Ce que risque concrètement votre entreprise
Type de manquementAmende maximale
Usage interdit (risque inacceptable)35 000 000 € ou 7% du CA mondial
Non-conformité système haut risque15 000 000 € ou 3% du CA mondial
Informations inexactes aux autorités7 500 000 € ou 1,5% du CA mondial
Pour une PME (ex: 2 M€ de CA) : Jusqu'à 60 000 € d'amende immédiate — cela peut être fatal.

Audit complet PME : 3 000 à 10 000 € | Amende potentielle : jusqu'à 35 000 000 €

Les risques cachés souvent sous-estimés :

  • Les autorités peuvent ordonner l'arrêt immédiat d'un système non conforme, bloquant toute votre activité opérationnelle.
  • Les grands comptes intègrent désormais des clauses de conformité AI Act dans leurs appels d'offres. Cas réel : un contrat à 500 k€ perdu pour non-conformité.
  • La directive AI Liability ouvre la voie à des recours collectifs d'employés ou de clients s'ils s'estiment lésés de manière opaque.
  • L'AI Act et le RGPD se superposent : une violation de l'un entraîne souvent un contrôle de l'autre, provoquant des amendes cumulées.
04
Les usages IA les plus sensibles en entreprise
ZONE ROUGE – RH

Recrutement & RH

Tri de CV, scoring de candidats, évaluation des performances, gestion des plannings. Tout usage IA impactant un employé ou candidat est classé haut risque. Échéance : 2 août 2026.

TRANSPARENCE IMMÉDIATE

Chatbots & Support

Tout assistant conversationnel doit indiquer clairement que l'utilisateur interagit avec une IA. Cette obligation est déjà en vigueur : vérifiez vos mentions dès aujourd'hui.

ÉTIQUETAGE OBLIGATOIRE

Marketing & Contenu

Images, textes, vidéos générés par IA doivent être étiquetés comme tels. Les deepfakes et contenus synthétiques sont soumis à des règles très strictes.

VIGILANCE MAXIMALE

Scoring & Choix

Tout système qui note, classe ou prend une décision automatique sur un individu peut basculer en haut risque selon le contexte d'usage.

05
La cartographie IA : votre première obligation

Le problème majeur du Shadow IT

Dans la plupart des PME, les équipes utilisent des dizaines d'outils IA sans en informer la direction : ChatGPT pour rédiger des emails, Midjourney pour des visuels, des extensions Chrome pour automatiser des tâches... Ces usages informels engagent la responsabilité de l'entreprise au même titre que les outils officiels.

01

Inventaire exhaustif

Listez TOUS les outils numériques utilisés : demandez à chaque équipe, pas seulement à la DSI. Incluez les abonnements individuels et les usages professionnels personnels.

02

Identification des fournisseurs

Pour chaque outil : qui est l'éditeur ? Est-il européen ? Quel engagement contractuel affiche-t-il sur la conformité AI Act ? Vérifiez systématiquement les conditions générales (CGU).

03

Qualification des finalités

Pour chaque usage, quel est l'objectif métier précis ? Qui est impacté par la décision ou l'analyse de l'IA (un employé, un client, un candidat) ?

04

Repérage des données

Quelles données personnelles sont traitées ? Sont-elles utilisées pour entraîner le modèle externe ? Un croisement RGPD est obligatoire car ces deux réglementations se superposent.

05

Classement par sensibilité

Appliquez la grille des 4 niveaux de risque de l'Union Européenne. Priorisez immédiatement les usages à haut risque et vos obligations de transparence.

06
Checklist de conformité PME

Ce que vous devez impérativement avoir en place avant le 2 août 2026

J'ai inventorié tous mes outils IA actifs (y compris le Shadow IT des équipes).
J'ai classé chaque usage par son niveau de risque réglementaire officiel.
Mes chatbots et assistants clients mentionnent clairement être des intelligences artificielles.
Mes contenus marketing ou textes générés par IA et publiés sont correctement étiquetés.
J'ai rédigé une documentation technique stricte pour mes systèmes qualifiés à "haut risque".
J'ai mis en place une supervision humaine finale sur toutes les décisions à fort impact.
Mes équipes ont reçu une formation complète obligatoire à l'AI literacy.
J'ai désigné officiellement un référent IA interne ou un DPO/Juriste externalisé.
J'ai un plan formel de gestion et d'atténuation des risques documenté par écrit.
J'ai audité et validé les engagements contractuels de conformité de mes fournisseurs SaaS.

Les 3 erreurs les plus fréquentes en entreprise :

1. Penser que l'éditeur SaaS est le seul responsable. C'est faux, vous restez co-responsable du déploiement opérationnel et de l'usage en interne.

2. Attendre la date butoir. Le 2 août 2026 est la fin de la période de grâce, pas le début des chantiers. Les contrôles sont déjà en cours dans certains États membres.

3. Ignorer l'IA masquée. Si votre CRM, votre outil RH ou votre logiciel de gestion s'est mis à jour avec des fonctions prédictives, il intègre de l'IA. Vérifiez systématiquement.

07
Plan d'action structuré sur 30 jours

La conformité de base est atteignable en 4 semaines avec la bonne méthode.

SemaineFocusActions clés
Semaine 1INVENTORIERCartographier tous les outils IA (y compris Shadow IT). Lister fournisseurs et contrats.
Semaine 2QUALIFIERClassifier chaque outil par niveau de risque. Identifier précisément les usages RH, client, contenu.
Semaine 3SÉCURISERAjouter les mentions de transparence obligatoires. Mettre en place la supervision humaine sur les systèmes sensibles.
Semaine 4FORMALISERRédiger la documentation technique (Annexe IV). Désigner un référent IA. Former les équipes exposées.

📊 Étude de cas : Une conformité réussie (ESN, Lyon)

Profil : Entreprise de 50 personnes utilisant l'IA pour le tri de CV, un chatbot de leads et la génération de blogs. Initialement sans aucune cartographie. Un employé avait entraîné un modèle sur des données clients confidentielles.

Solution : Audit Flash d'une demi-journée (détection de 3 systèmes à risque). Rédaction de l'Annexe IV par un partenaire juridique (3 500 €) et formation des 50 employés via l'OPCO (3 000 €, financé à 100%).

Résultat : Conformité assurée pour moins de 10 000 €. Un contrat grand compte majeur de 500 000 € a été immédiatement décroché grâce à la présentation de cette certification de conformité.

08
FAQ & Options de Financement
Q1 Une PME qui utilise ChatGPT est-elle concernée ?
Oui, si elle l'utilise pour des usages sensibles (RH, scoring, génération de contenu public). Pour un usage de productivité interne basique, les obligations sont minimales — mais la cartographie reste obligatoire pour le prouver.
Q2 Mon éditeur SaaS couvre-t-il automatiquement mon entreprise ?
Non. Le fournisseur est uniquement responsable de la conformité de son produit propre. Vous, en tant que déployeur, restez responsable de l'usage interne que vous en faites, de la supervision humaine finale et de la transparence due à vos équipes ou clients.
Q3 Faut-il documenter absolument tous les usages ?
Non. Seuls les systèmes classés "haut risque" exigent une documentation technique complète (Annexe IV). Les autres nécessitent simplement d'être correctement répertoriés dans votre inventaire général.
Q4 Qui porte la responsabilité juridique en cas de contrôle ?
Le dirigeant, en tant que représentant légal de l'entreprise. En cas de système développé sur mesure en interne, votre responsabilité est totale. En cas d'outil tiers, elle est partagée avec l'éditeur selon vos contrats.

Comment financer votre mise en conformité ?

Financement OPCO

La formation obligatoire "AI Literacy" est finançable jusqu'à 100% par votre opérateur de compétences. Le dossier complet se prépare en amont.

Crédit d'Impôt (CII)

L'audit technique initial et les processus de mise en conformité de vos outils peuvent être éligibles selon votre secteur d'activité innovant.

Plans Régionaux

Certaines régions subventionnent activement l'innovation responsable et la transition numérique. Renseignez-vous auprès de votre CCI locale.

Échelonnement

Des facilités et plans de paiement adaptés aux budgets des TPE et PME sont généralement proposés par nos partenaires de conformité.

09
Glossaire — Terminologie AI Act

AI Act : Règlement (UE) 2024/1689 sur l'intelligence artificielle. Cadre juridique européen définissant les obligations strictes des acteurs selon le niveau de risque des systèmes.

AI Office : Autorité européenne chargée de superviser l'application de l'AI Act au niveau central et de coordonner les différentes autorités nationales compétentes.

Annexe IV : Documentation technique devenue obligatoire pour les systèmes à haut risque. Doit inclure la description fine du système, les données d'entraînement, les mesures de sécurité et les performances.

Déployeur : Toute entité qui utilise un système d'IA dans le cadre d'une activité professionnelle. La grande majorité des PME utilisatrices sont des déployeurs au sens de la loi.

Fournisseur : Toute entité qui développe ou commercialise un système d'IA sur le marché. Leurs obligations légales sont considérablement plus lourdes que celles des déployeurs.

Sandbox : Bac à sable réglementaire permettant aux PME innovantes de tester en situation réelle leur IA dans un cadre sécurisé et supervisé par les autorités.

Shadow IT : Outils logiciels utilisés par vos équipes sans validation formelle de la direction ou de la DSI. Ils engagent la responsabilité légale de la PME.

AI Literacy : Formation obligatoire des collaborateurs à l'utilisation responsable et éclairée des outils d'intelligence artificielle.

Ne soyez pas l'exemple de votre secteur.
Votre entreprise est-elle prête ?

Contactez-nous dès aujourd'hui pour planifier un audit flash de vos systèmes IA et sécuriser votre activité opérationnelle avant l'échéance légale.

Sources officielles : artificialintelligenceact.eu | Commission européenne AI Office EU

Ce document est fourni à vocation d'information et de sensibilisation. Il ne constitue pas un conseil juridique formel. © 2026. Tous droits réservés.