AI Act : ce que chaque dirigeant français doit savoir avant août 2026
Le 2 août 2026, les obligations de l’AI Act européen deviennent pleinement applicables pour les systèmes d’IA à haut risque et les règles de transparence. Les amendes peuvent atteindre 35 millions d’euros ou 7 % du chiffre d’affaires mondial. Moins de 30 % des PME européennes ont entamé une démarche de conformité. Ce guide traduit le règlement en actions concrètes : ce qui est interdit, ce qui est obligatoire, ce qui vous concerne (ou pas), et comment vous mettre en conformité sans y passer six mois.
Vous utilisez un chatbot sur votre site web. Votre équipe RH trie des CV avec un logiciel alimenté par l’IA. Votre service client utilise ChatGPT pour rédiger des réponses. Vous êtes, au sens du règlement européen, un « déployeur » de systèmes d’IA — et vous avez des obligations légales. La bonne nouvelle : pour 90 % des PME, ces obligations sont gérables. La mauvaise : il faut s’y prendre maintenant, pas en juillet.
L’AI Act (Règlement UE 2024/1689) est le premier cadre juridique mondial dédié à l’intelligence artificielle. Adopté en juin 2024, entré en vigueur en août 2024, il s’applique progressivement jusqu’en août 2027. Cet article couvre l’essentiel : les niveaux de risque, les échéances, vos obligations concrètes selon votre profil, les sanctions et la checklist de mise en conformité.
Le calendrier : quatre dates à retenir
L’AI Act ne s’applique pas d’un coup. L’application est progressive, et chaque échéance concerne un périmètre différent.
Les pratiques à risque inacceptable sont interdites depuis cette date : notation sociale, manipulation subliminale, catégorisation biométrique sur des critères sensibles, reconnaissance faciale en temps réel dans les espaces publics (sauf exceptions). L’obligation de « AI literacy » (formation minimale des équipes manipulant l’IA) est également active.
Les obligations pour les fournisseurs de modèles d’IA générative (GPT, Claude, Mistral, Llama) sont en vigueur : documentation technique, politique de droits d’auteur, résumé des données d’entraînement. Ces obligations concernent les fournisseurs de modèles (OpenAI, Anthropic, Mistral), pas les entreprises qui les utilisent — mais en tant que déployeur, vous devez vérifier que votre fournisseur est conforme.
Application complète pour les systèmes à haut risque (Annexe III) et les exigences de transparence (Article 50). C’est la date qui concerne la majorité des PME-ETI : si vous utilisez l’IA pour le recrutement, le scoring client, l’évaluation des performances ou la gestion des réclamations, vous devez être en conformité à cette date.
Application complète pour les systèmes IA intégrés dans des produits réglementés (dispositifs médicaux, véhicules, machines industrielles, jouets). Concerne les fabricants et intégrateurs de produits physiques.
La Commission européenne a présenté en novembre 2025 un « projet Digital Omnibus » qui envisage certains reports et allègements, notamment le report des exigences haut risque Annexe III au 2 août 2027. Les discussions sont en cours, mais rien n’est acté. Le conseil prudent : préparez-vous pour août 2026. Si un report intervient, vous aurez de l’avance plutôt que du retard.
Les quatre niveaux de risque : où se situe votre entreprise ?
L’AI Act classe les systèmes d’IA en quatre catégories selon leur impact potentiel. Chaque catégorie entraîne un niveau d’obligations différent.
| Niveau de risque | Exemples | Obligations |
|---|---|---|
| Inacceptable (interdit) | Notation sociale, manipulation subliminale, surveillance biométrique de masse | Interdit depuis février 2025 |
| Élevé | Tri de CV, scoring crédit, évaluation de performance, dispositifs médicaux IA | Documentation, gestion des risques, supervision humaine, traçabilité, marquage CE |
| Limité | Chatbots, deepfakes, génération de contenu IA | Transparence : informer l’utilisateur qu’il interagit avec une IA |
| Minimal | Filtres anti-spam, recommandations de contenu, jeux vidéo | Aucune obligation spécifique |
Pour la majorité des PME, les usages courants (ChatGPT pour la rédaction, un chatbot sur le site, de la génération d’images) relèvent du risque limité ou minimal. L’obligation principale est la transparence : signaler aux utilisateurs qu’ils interagissent avec une IA.
Le risque élevé concerne les PME qui utilisent l’IA dans des domaines sensibles : recrutement et gestion RH (tri automatisé de CV, évaluation des candidats, notation des performances), accès aux services financiers (scoring crédit, évaluation des risques pour les prêts et assurances), éducation (systèmes d’évaluation, orientation) et infrastructures critiques.
Déployeur, fournisseur : quel est votre rôle ?
L’AI Act définit cinq rôles, mais deux concernent la majorité des entreprises.
Le fournisseur est celui qui développe ou met sur le marché un système d’IA. Si vous développez une solution IA propriétaire (même en interne), vous êtes fournisseur et soumis aux obligations les plus lourdes : documentation technique complète, évaluation de conformité, marquage CE pour le haut risque, enregistrement dans la base de données européenne.
Le déployeur est celui qui utilise un système d’IA dans un cadre professionnel. C’est le cas de la quasi-totalité des PME : vous achetez un logiciel RH, vous utilisez ChatGPT Team, vous déployez un chatbot d’un éditeur tiers. Vos obligations sont plus légères, mais elles existent : vérifier que votre fournisseur est conforme, assurer la supervision humaine des décisions IA à haut risque, documenter vos usages, former vos équipes.
Attention au piège : beaucoup de PME se pensent « simples utilisatrices » et donc non concernées. Dès lors que vous utilisez un outil IA dans un contexte professionnel, vous êtes un déployeur au sens de l’AI Act. Et si cet outil est utilisé dans un domaine à haut risque, vos obligations sont concrètes et vérifiables.
Les obligations concrètes pour une PME au 2 août 2026
Pour tous les déployeurs (quel que soit le niveau de risque)
- Transparence — informer les utilisateurs qu’ils interagissent avec une IA (chatbots, contenus générés). C’est l’obligation la plus simple à mettre en place : une mention claire suffit.
- AI literacy — garantir un niveau minimal de compétences IA pour les équipes qui manipulent ces technologies. Concrètement : une formation de sensibilisation pour les utilisateurs réguliers.
- Inventaire des systèmes IA — documenter les outils IA utilisés dans l’entreprise, leur périmètre et leur niveau de risque. C’est la base de tout dossier de conformité.
Pour les déployeurs de systèmes à haut risque (RH, finance, éducation)
- Supervision humaine effective — aucune décision impactant une personne (rejet de candidature, refus de crédit, évaluation) ne peut reposer exclusivement sur l’IA. Un responsable humain doit pouvoir outrepasser la recommandation algorithmique, avec traçabilité de cet acte.
- Évaluation d’impact sur les droits fondamentaux — documenter les risques potentiels du système IA sur les droits des personnes concernées.
- Vérification du fournisseur — exiger de votre éditeur la documentation technique, la classification du risque et la conformité du système. Un fournisseur qui ne peut pas répondre à ces questions est un risque juridique pour vous.
- Conservation des logs — conserver les journaux d’activité du système IA pendant la durée prévue par le règlement.
Les sanctions : ce que vous risquez
Les amendes sont proportionnées à la gravité de l’infraction et à la taille de l’entreprise.
| Type d’infraction | Amende maximale |
|---|---|
| Utilisation d’un système interdit | 35 M€ ou 7 % du CA mondial |
| Non-conformité haut risque | 15 M€ ou 3 % du CA mondial |
| Informations inexactes ou incomplètes | 7,5 M€ ou 1 % du CA mondial |
Pour les PME et startups, des limites proportionnelles réduites s’appliquent. L’enjeu n’est pas seulement financier : un système non conforme peut être interdit d’exploitation sur le marché européen. En France, la CNIL, la DGCCRF et l’Arcom sont les autorités désignées pour le contrôle et l’application. La CNIL a indiqué qu’elle intensifierait ses contrôles sur les systèmes RH à partir de l’automne 2026.
Checklist de mise en conformité pour les PME
Ces actions peuvent être réalisées en quelques jours à quelques semaines, selon la taille de votre organisation. Elles constituent la base d’un dossier de conformité solide.
Listez tous les outils IA utilisés dans l’entreprise : logiciels RH, chatbots, outils de génération de contenu, solutions de scoring, tout SaaS mentionnant « IA » ou « machine learning ».
Pour chaque outil, déterminez s’il relève du risque minimal, limité ou élevé. La question clé : cet outil influence-t-il des décisions qui impactent la vie des personnes (emploi, crédit, évaluation) ?
Posez les questions à vos éditeurs : classification du risque, documentation technique, données d’entraînement, mécanismes de supervision, enregistrement EU. Un fournisseur qui ne répond pas est un risque.
- Former les équipes — organisez une sensibilisation AI literacy pour tous les utilisateurs réguliers d’outils IA. Une demi-journée suffit pour le niveau de base. Les OPCO financent ces formations.
- Mettre en place la transparence — ajoutez les mentions requises sur vos chatbots et contenus générés par IA. C’est l’action la plus rapide et la plus simple.
- Documenter — créez un registre de vos systèmes IA, de leurs usages et de leur classification. C’est votre preuve de bonne foi en cas de contrôle.
- Nommer un référent — désignez une personne responsable de la conformité IA dans l’entreprise. Selon la taille de votre structure, ce peut être le DPO (qui connaît déjà le RGPD), le DSI ou le dirigeant lui-même.
Selon une étude de la DGE, le coût de mise en conformité pour une PME déployeuse de systèmes à haut risque représente entre 2 000 et 8 000 euros par an (audit et formation compris). C’est un investissement modeste au regard des sanctions potentielles et de l’avantage concurrentiel que représente une conformité documentée.
Ce que l’AI Act change pour votre stratégie IA
Au-delà de la conformité, l’AI Act a trois conséquences stratégiques pour les entreprises françaises.
D’abord, il structure le marché des prestataires IA. Les agences et éditeurs sérieux intègrent désormais la conformité dans leurs offres. Ceux qui n’en parlent pas lors du cadrage projet envoient un signal d’alerte. Notre guide pour choisir une agence IA intègre la conformité comme critère d’évaluation.
Ensuite, il crée un avantage concurrentiel pour les entreprises conformes. Pouvoir prouver à vos clients et partenaires que vos systèmes sont transparents, documentés et supervisés devient un argument commercial. C’est particulièrement vrai dans les secteurs réglementés (santé, finance, assurance).
Enfin, il accélère la professionnalisation de l’IA en entreprise. Les obligations de documentation, de gestion des risques et de formation forcent les organisations à passer d’une utilisation informelle (« chacun utilise ChatGPT dans son coin ») à une gouvernance structurée. Les entreprises qui ont déjà investi dans la conformité RGPD ont un avantage : les principes de privacy by design et de documentation se transposent directement à la conformité IA.
Notre avis
L’AI Act n’est pas un frein à l’innovation. C’est un cadre qui distingue les usages responsables des usages sauvages. Pour la majorité des PME, la mise en conformité se résume à trois actions simples : inventorier ses outils IA, former ses équipes et ajouter les mentions de transparence. Le coût est modeste, le temps nécessaire se compte en jours, et le bénéfice est double : sécurité juridique et crédibilité renforcée.
Les PME qui utilisent l’IA pour des décisions à haut risque (RH, finance) ont des obligations plus lourdes, mais gérables avec un accompagnement adapté. Le programme IA Booster de BPI France et les labels Expert IA financent une partie de cet accompagnement. Ne pas agir avant août 2026, c’est prendre un risque juridique inutile sur un sujet où la mise en conformité est accessible.
Pour une vue d’ensemble de l’IA en entreprise — budget, méthode, cas d’usage — consultez notre guide complet IA en entreprise.
Guides, outils, agences et réglementation — tout ce qu’un dirigeant doit savoir pour intégrer l’IA sereinement.