Obligations AI Act pour les PME : que faire avant le 2 août 2026 ?
Le règlement européen sur l'intelligence artificielle ne distingue pas les entreprises par leur taille mais par le niveau de risque de leurs systèmes. Une PME française qui utilise un logiciel de tri de CV alimenté par l'IA, un outil de scoring client ou un chatbot de service tombe sous des obligations précises, opposables dès le 2 août 2026. Tour d'horizon des actions à conduire en moins de quatre mois.
Pourquoi votre PME est concernée, même si vous ne développez pas d'IA
L'idée reçue la plus répandue consiste à croire que l'AI Act ne vise que les éditeurs de grands modèles de langage ou les géants technologiques. C'est une erreur stratégique. Le règlement européen 2024/1689 distingue trois rôles : le fournisseur (qui développe le système d'IA), le déployeur (qui l'utilise dans le cadre de son activité professionnelle) et l'importateur ou distributeur.
Concrètement, dès que votre PME utilise un système d'IA, même via une simple API tierce, vous devenez déployeur au sens du règlement. Cela inclut :
- L'utilisation d'un logiciel RH alimenté par l'IA pour le tri de candidatures
- Un chatbot de service client générant des réponses automatisées
- Un outil de scoring de crédit, d'évaluation de fournisseurs ou de notation client
- Un système de surveillance ou d'analyse de la productivité des salariés
- Une solution SaaS mentionnant explicitement de l'IA, du machine learning ou du prédictif
Et donc — pour reprendre une question fréquente — utiliser ChatGPT en interne pour rédiger des emails commerciaux ne fait pas immédiatement de vous un déployeur soumis aux obligations les plus lourdes. Mais utiliser un outil RH qui exploite ChatGPT pour évaluer des candidats : oui, sans aucun doute.
La grille de risque : quatre niveaux, des obligations très différentes
L'architecture de l'AI Act repose sur une classification du risque en quatre catégories. Comprendre où se situent vos outils est l'étape indispensable de toute mise en conformité.
1. Risque inacceptable : interdiction pure et simple
Certains usages sont purement interdits depuis février 2025 : notation sociale des citoyens, exploitation des vulnérabilités, manipulation comportementale subliminale, identification biométrique en temps réel dans l'espace public (sauf exceptions strictes). Cette catégorie concerne très peu de PME, mais il faut s'assurer qu'aucun outil utilisé n'entre dans ce périmètre.
2. Risque élevé : obligations lourdes et coûteuses
C'est la catégorie qui concerne la majorité des PME exposées à l'AI Act. L'Annexe III du règlement liste précisément les domaines à haut risque :
- Emploi et gestion des ressources humaines : recrutement automatisé, scoring CV, évaluation de performance, surveillance des salariés
- Accès aux services essentiels : scoring de crédit, tarification d'assurance, accès à des prestations sociales
- Infrastructures critiques : énergie, transports, eau
- Application de la loi et justice, migration et asile : peu pertinent pour les PME
- Éducation et formation professionnelle : évaluation d'apprenants, orientation
3. Risque limité : obligation de transparence
Les chatbots, deepfakes, contenus générés par IA : il faut indiquer clairement à l'utilisateur qu'il interagit avec une IA ou que le contenu est généré artificiellement. Obligation simple mais incontournable, applicable à toute PME utilisant ce type d'outils.
4. Risque minimal : aucune obligation spécifique
Filtres anti-spam, IA dans des jeux vidéo, optimisation de logistique non critique. La majorité des outils du quotidien tombent dans cette catégorie. Pas d'obligation au-delà des bonnes pratiques générales.
Calendrier d'application — les dates à retenir
- Février 2025 · Interdiction des systèmes à risque inacceptable
- Août 2025 · Obligations applicables aux modèles d'IA à usage général (GPAI)
- 2 août 2026 · Application pleine et entière pour les systèmes à haut risque (Annexe III) et obligations de transparence (Article 50)
- 2027 · Obligations pour les produits où l'IA est composante de sécurité (machines, dispositifs médicaux, jouets, ascenseurs)
Les six obligations concrètes pour une PME déployeuse
Si votre PME utilise un système classé à haut risque selon l'Annexe III, voici les obligations qui s'appliquent au 2 août 2026.
Obligation 1 — Inventaire des systèmes d'IA
Vous devez tenir un registre interne listant tous les systèmes d'IA utilisés dans l'entreprise, leur finalité, leur classification de risque et leur fournisseur. Cet inventaire est la base de tout le dispositif. Sans inventaire, impossible de prouver votre bonne foi en cas de contrôle.
Obligation 2 — Vérification du fournisseur
Vous devez exiger de votre éditeur la documentation technique conforme à l'Annexe IV du règlement, la classification du risque et les preuves de conformité. Un fournisseur incapable de répondre à ces questions devient un risque juridique pour votre entreprise. Cela impose en pratique de revoir vos contrats fournisseurs en intégrant des clauses de conformité AI Act.
Obligation 3 — Supervision humaine
Pour tout système à haut risque, une supervision humaine effective doit être organisée. Ce n'est pas qu'une mention contractuelle : il faut des procédures documentées, des personnes formées, et des points de contrôle réels dans le workflow. La CNIL sera particulièrement attentive à ce point lors des contrôles.
Obligation 4 — Conservation des logs
Les journaux d'activité du système d'IA doivent être conservés pour une durée fixée par le règlement (généralement 6 mois minimum). Cela impose une coordination avec le RGPD et une articulation propre avec votre registre des traitements.
Obligation 5 — Information des personnes concernées
Si l'IA prend ou influence une décision affectant une personne physique (candidat, salarié, client), cette personne doit en être informée. Pour le recrutement, par exemple, il faudra mentionner l'usage d'IA dans les annonces et lors du processus de candidature.
Obligation 6 — Évaluation d'impact
Pour certains systèmes, une évaluation d'impact sur les droits fondamentaux (FRIA — Fundamental Rights Impact Assessment) est exigée avant la mise en service. Un document distinct de l'AIPD du RGPD, mais souvent complémentaire.
Comment vous y prendre concrètement en moins de quatre mois
D'avril 2026 à la deadline du 2 août, il reste un peu plus de trois mois ouvrés. Voici une feuille de route réaliste pour une PME de 10 à 250 salariés.
| Phase | Action | Durée |
|---|---|---|
| Phase 1 · Cartographie | Inventaire de tous les outils SaaS, identification de ceux contenant de l'IA, recensement des usages internes (ChatGPT, Copilot, etc.) | 2 à 5 jours |
| Phase 2 · Classification | Pour chaque outil, déterminer le niveau de risque selon l'Annexe III, identifier les zones d'exposition prioritaires | 3 à 7 jours |
| Phase 3 · Documentation | Constitution du registre, mise à jour des contrats fournisseurs, rédaction des procédures de supervision humaine | 2 à 4 semaines |
| Phase 4 · Formation | Sensibilisation du dirigeant, des équipes RH, des opérationnels concernés. Brief des fournisseurs critiques | 1 à 2 semaines |
| Phase 5 · Mise en place | Activation des mesures techniques, mentions de transparence sur les chatbots, mise à jour des annonces de recrutement | 1 à 3 semaines |
Selon une estimation publiée par la Direction Générale des Entreprises (DGE), le coût annuel de mise en conformité pour une PME utilisant des systèmes à haut risque se situe entre 2 000 et 8 000 euros, audit et formation compris. Des dispositifs d'aide existent : programme IA Booster de Bpifrance, aides régionales à la transformation numérique.
Le coût d'un manquement : pourquoi anticiper coûte moins cher
Les sanctions de l'AI Act sont calibrées par niveau de gravité :
- 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour usage de pratiques interdites
- 15 millions d'euros ou 3 % du CA pour manquements sur les systèmes à haut risque
- 7,5 millions d'euros ou 1,5 % du CA pour informations incorrectes aux autorités
Pour les PME, des plafonds proportionnés s'appliquent. Mais le risque financier direct n'est pas le plus important. Le vrai danger pour une PME se situe ailleurs :
- Interdiction d'exploitation du système non conforme — paralysie d'un processus métier
- Exclusion des marchés publics et des appels d'offres exigeant la conformité
- Risque réputationnel en cas de communication publique sur la sanction
- Risques contractuels en cascade avec les clients B2B qui exigent désormais la conformité de leur chaîne fournisseurs
Ce qu'il faut retenir. L'AI Act n'est pas un texte abstrait pour grandes entreprises : il s'applique pleinement aux PME utilisant des systèmes d'IA dans des fonctions sensibles (RH, scoring, surveillance). La deadline du 2 août 2026 est ferme. Le coût d'une mise en conformité anticipée — quelques milliers d'euros et trois mois de travail — est sans commune mesure avec le coût d'une sanction subie ou d'une interdiction d'exploitation.
La CNIL a annoncé une intensification de ses contrôles à partir de l'automne 2026, avec une priorité affichée sur les systèmes RH. Notre analyse des contrôles CNIL à venir détaille les zones d'exposition prioritaires.
Sources et références
- Règlement (UE) 2024/1689 — texte intégral de l'AI Act (Eur-Lex)
- CNIL — Intelligence artificielle : recommandations et plan d'action
- Direction Générale des Entreprises — IA Booster France 2030
- EU AI Act — explorateur thématique du texte
Évaluez votre exposition à l'AI Act
Un échange initial avec Audaria permet d'établir une lecture claire de votre exposition réglementaire et d'identifier les premières actions à conduire avant la deadline.
Demander un diagnostic →