Chargement en cours...

AI Act 2026 : ce que chaque PME française doit faire avant le 1er août

Le compte à rebours est lancé. Voici les obligations concrètes, les risques réels, et le plan d'action pour ne pas se faire prendre de court.

6 Mai 2026 2LKATIME Conformité IA
AI Act 2026 obligations PME françaises
-

Analyse juridique et technique - 2LKATIME

Cet article s'appuie sur le texte officiel du Règlement (UE) 2024/1689 (AI Act) et sur les retours d'expérience de nos auditeurs cybersécurité (OSCP, OSEP, OSWE) accompagnant des PME françaises dans leur mise en conformité IA depuis 2024.

Le 1er août 2026, la grande majorité des dispositions de l'AI Act européen entreront en application pour les systèmes d'IA à haut risque. Or, selon une étude du cabinet Wavestone publiée début 2026, 68% des PME françaises utilisant de l'IA n'ont pas encore initié de démarche de conformité. Pour beaucoup, c'est la même erreur qu'avec le RGPD en 2018 : on attend le dernier moment, puis on panique.

Contrairement au RGPD qui ciblait les données personnelles, l'AI Act s'attaque aux systèmes intelligents qui prennent des décisions ayant un impact sur les personnes. Recrutement automatisé, scoring client, surveillance des salariés, chatbots d'assistance : si votre PME utilise ces outils, vous avez des obligations. Cet article vous dit lesquelles, et comment les remplir avant l'echéance.


1. La timeline AI Act : ce qui est déjà en vigueur, ce qui arrive le 1er août

L'AI Act ne s'applique pas d'un seul coup. Le règlement européen a été conçu en paliers progressifs, avec des dates d'entrée en vigueur échelonnées entre 2024 et 2027. Comprendre ce calendrier est la première étape pour savoir ce que vous devez faire maintenant.

Calendrier d'application de l'AI Act

Août 2024 Fév. 2025 1er Août 2026 Déc. 2026 Août 2027 Entrée en vigueur Interdictions applicables (IA à risque inacceptable) ECHEANCE PME IA haut risque (Annexe III) Modèles IA generaux IA haut risque (Annexe I) Extension secteurs Vous etes ici - 87 jours

Ce qui est déjà obligatoire depuis février 2025 : l'interdiction des systèmes d'IA a risque inacceptable. Cela inclut les systèmes de notation sociale des citoyens, la manipulation comportementale subliminale, ou la reconnaissance biométrique en temps réel dans les espaces publics a des fins répressives. Aucune PME sérieuse ne devrait opérer de tels systèmes.

Ce qui entre en vigueur le 1er août 2026 : les obligations complètes pour les systèmes d'IA a haut risque (Annexe III) et les règles sur les modèles d'IA généraux (GPAI). C'est le palier qui concerne directement les PME utilisant des outils RH automatisés, des systèmes de credit scoring, ou des solutions de sécurité basées sur l'IA.

87

jours restants avant l'echéance

35M€

amende max pour violation grave

68%

des PME FR non conformes (2026)

4

niveaux de risque à connaître


2. Les 4 niveaux de risque : ou se situe votre PME ?

L'AI Act classe tous les systèmes d'IA en quatre niveaux de risque. Votre niveau détermine vos obligations. Commencez par identifier dans quelle catégorie tombent les outils IA que vous utilisez ou déployez, qu'ils soient développés en interne ou achetés chez un éditeur.

Pyramide des niveaux de risque AI Act

RISQUE INACCEPTABLE Interdit depuis fev. 2025 HAUT RISQUE (Annexe III) Obligations complètes au 1er août 2026 RH auto, scoring credit, sécurité critique RISQUE LIMITE Obligations de transparence uniquement Chatbots, deepfakes, recommandation RISQUE MINIMAL Filtres spam, jeux video IA, outils de creation Aucune obligation spécifique

La grande majorité des PME françaises se situent dans les deux catégories du bas : risque limité (chatbots, outils de contenu, recommandation) et risque minimal (filtres, outils créatifs). Pour ces usages, vos obligations sont légères - essentiellement informer vos utilisateurs qu'ils interagissent avec une IA.

Le risque vient des PME qui ont intégré des outils de gestion RH automatisée (tri de CV, scoring d'entretien), de scoring client ou fournisseur, ou des systèmes de surveillance des salariés. Ces usages tombent dans la catégorie haut risque et impliquent des obligations substantielles dès le 1er août.

-

Vous utilisez un ATS (Applicant Tracking System) avec scoring IA, ou un outil d'analyse de sentiment sur vos salariés ? Ces systèmes sont explicitement listés dans l'Annexe III de l'AI Act comme haut risque. Consultez notre article sur la sécurité des systèmes IA et la conformité RGPD/AI Act pour aller plus loin.


3. Obligations concrètes par niveau : ce que vous devez avoir en place

Voici ce que l'AI Act impose concrètement selon le niveau de risque de vos systèmes IA. Ces obligations s'appliquent que vous soyez fournisseur (vous avez développé le système) ou déployeur (vous utilisez un système développé par un tiers).

Obligation Haut risque Risque limité Minimal
Inventaire des systèmes IA utilisés Obligatoire Recommandé Facultatif
Évaluation de conformité (fournisseur) Obligatoire Non Non
Documentation technique (Art. 11) Obligatoire Non Non
Information utilisateur (transparence) Obligatoire Obligatoire Non
Supervision humaine (Art. 14) Obligatoire Partielle Non
Enregistrement basé de données UE Obligatoire Non Non
Journal de logs et incidents Obligatoire Non Non

Pour les PME qui sont uniquement déployeurs (elles utilisent un logiciel IA acheté chez un éditeur), les obligations sont allégées par rapport aux fournisseurs qui ont développé le système. En pratique, votre responsabilité principale porte sur l'usage conforme, l'information des utilisateurs finaux, et la vérification que votre éditeur lui-même est conforme.

Concrètement : si vous utilisez un ATS comme Workable ou Lever avec des fonctions IA de scoring, vous devez vérifier que l'éditeur a réalisé son évaluation de conformité et vous devez informer vos candidats qu'une IA participe au processus de sélection. Si vous avez développé votre propre outil de scoring, vous êtes fournisseur et les obligations sont beaucoup plus lourdes.


4. Plan d'action 8 semaines pour être conforme avant le 1er août

Il reste environ 12 semaines avant l'echéance. C'est suffisant pour les PME en risque limité ou minimal, et juste suffisant pour celles en haut risque si elles démarrent maintenant. Voici un plan en 8 semaines pour les PME déployant des outils IA a haut risque.

Plan d'action 8 semaines - Conformité AI Act PME

S1-2 INVENTAIRE IA Lister tous les outils IA utilisés - logiciels, APIs, automatisations, outils SaaS S3 CLASSIFICATION Classer chaque outil dans les 4 niveaux de risque - identifier les haut risque S4 VERIFICATION EDITEURS Contacter vos fournisseurs IA - demander leur documentation de conformité AI Act S5-6 OBLIGATIONS LEGALES Mentions d'information users, politiques d'usage IA, notices RH si IA dans recrutement S7-8 TEST ET VALIDATION Audit interne, documentation finale, tests de supervision humaine, préparation au 1er aout Objectif : 1er Août 2026

Semaines 1-2 : L'inventaire IA, le point de depart obligatoire

Listez absolument tout : les SaaS avec fonctions IA (Salesforce Einstein, HubSpot AI, Notion AI, Copilot), les APIs IA que vous consommez (OpenAI, Anthropic, Google Gemini), les automatisations n8n ou Zapier pilotées par des modèles de langage, et les outils internes développés en interne. Beaucoup de PME découvrent lors de cet exercice qu'elles utilisent bien plus d'IA qu'elles ne le pensaient.

Semaine 3 : Classification par niveau de risque

Pour chaque outil identifié, posez-vous la question : est-ce que cette IA prend ou influence des décisions qui affectent des droits, la sécurité ou l'emploi de personnes ? Si oui, vous etes probablement en haut risque. Consultez l'Annexe III du règlement, ou faites appel à un expert pour cette classification - une erreur ici peut être coûteuse.

Semaine 4 : Mise en conformité côté fournisseurs

Pour chaque outil haut risque, contactez votre éditeur et demandez-lui sa documentation de conformité AI Act : évaluation de conformité, fiches techniques, preuves d'enregistrement dans la basé de données UE. Si votre éditeur ne peut pas vous fournir ces documents, vous devez anticiper une migration vers un outil conforme ou développer une solution alternative.


5. RGPD et AI Act : les obligations qui se cumulent pour vos PME

L'AI Act ne remplace pas le RGPD - il s'y superpose. Pour les PME, c'est une double couche de conformité à gérer simultanément. La bonne nouvelle : beaucoup d'obligations se chevauchent, et les démarches RGPD que vous avez déjà faites vous donnent une basé solide pour l'AI Act.

Ce que le RGPD couvre déjà

  • - Registre des traitements (basé pour inventaire IA)
  • - Droit d'information des personnes concernées
  • - Encadrement des décisions automatisées (Art. 22)
  • - Analyse d'impact (AIPD) pour traitements risqués
  • - Droit d'opposition et de recours

Ce que l'AI Act ajoute

  • - Classification formelle par niveau de risque
  • - Documentation technique spécifique aux systèmes IA
  • - Exigences de robustesse et d'exactitude des données
  • - Supervision humaine obligatoire (haut risque)
  • - Enregistrement dans la basé de données UE (haut risque)

Pour les PME basées à Paris, Lyon, Bordeaux ou Nantes, la mise en conformité croisée RGPD/AI Act est le chantier réglementaire prioritaire de 2026. Si vous n'avez pas encore finalisé votre mise en conformité RGPD, c'est le moment de traiter les deux sujets ensemble - c'est plus efficace et moins coûteux que de les traiter séparément.

-

Les PME qui externalisent leur cybersécurité doivent aussi s'assurer que leur prestataire MSSP ou SOC est conforme AI Act si il utilise de l'IA pour la détection de menaces. Voir notre guide sur comment vérifier vraiment votre prestataire de cybersécurité.

Les PME des DOM-TOM (Martinique, Guadeloupe, Réunion, Guyane) sont soumises aux mêmes obligations que les entreprises métropolitaines - l'AI Act est un règlement européen d'application directe. Si vous êtes basé en outre-mer et utilisez des outils IA, les mêmes règles s'appliquent à partir du 1er août 2026.


FAQ - AI Act et PME françaises

L'AI Act s'applique-t-il aux petites PME françaises ?

Oui. L'AI Act s'applique à toute entreprise qui déploie ou utilise des systèmes d'IA en Europe, quelle que soit sa taille. Les PME ne bénéficient pas d'exemption générale, mais certaines obligations (notamment d'enregistrement et de documentation technique) sont allégées pour les utilisateurs finaux par rapport aux fournisseurs. Votre obligation principale est d'identifier les systèmes IA que vous utilisez et d'évaluer leur niveau de risque.

Que se passe-t-il si ma PME n'est pas conforme au 1er août 2026 ?

Les sanctions prévues par l'AI Act peuvent atteindre 35 millions d'euros ou 7% du chiffre d'affaires mondial pour les violations les plus graves. Pour le non-respect des obligations générales, les amendes vont jusqu'à 15 millions d'euros ou 3% du CA. Les autorités nationales (en France, probablement la CNIL ou une nouvelle autorité dédiée) auront des pouvoirs d'enquête et de sanction à partir de 2026. La priorité des autorités sera cependant orientée vers les cas les plus graves - mais mieux vaut ne pas parier là-dessus.

Un chatbot de service client est-il concerné par l'AI Act ?

Oui. Les chatbots et systèmes d'interaction avec des humains sont soumis à des obligations de transparence : l'utilisateur doit savoir qu'il interagit avec une IA. Ces systèmes relèvent généralement du niveau "risque limité" et n'imposent pas de conformité lourde, mais l'obligation d'information claire est obligatoire dès le 1er août 2026. Un simple bandeau ou une mention en début de conversation suffit dans la plupart des cas.

Mon ERP ou CRM utilise l'IA - suis-je concerné ?

Cela dépend de l'usage. Si l'IA dans votre ERP/CRM prend des décisions sur le crédit, la notation des clients, la gestion RH ou la sécurité des personnes, vous pouvez être dans la catégorie haut risque. Si elle fait de la recommandation, de l'optimisation ou de l'analyse prédictive sans impact direct sur des droits fondamentaux, vous êtes probablement en risque minimal ou limité. Un audit d'inventaire IA est indispensable pour le savoir.

Comment 2LKATIME peut-il m'aider à me mettre en conformité AI Act ?

2LKATIME propose un audit de conformité AI Act en 2 étapes : d'abord un inventaire de tous vos systèmes IA et une classification par niveau de risque (en une journée de travail), puis la rédaction de la documentation technique requise et la mise en place des processus de surveillance. Nous accompagnons aussi la mise en conformité RGPD croisée avec l'AI Act. Premier rendez-vous offert.

87 jours pour être conforme - on commence par quoi ?

2LKATIME réalise votre inventaire IA et votre classification par niveau de risque en une journée. Vous repartez avec une feuille de route claire, des obligations identifiées, et un plan d'action priorisé. Premier audit offert pour les PME françaises.