Aller au contenu principal
securite-ia

AI Act 2026 : ce que la PME doit faire concrètement avant 2027

08 May 2026 9 min de lecture Audelalia

Le règlement européen 2024/1689, connu sous le nom d'AI Act, est entré progressivement en application depuis 2025. Pour une PME française qui déploie ou utilise de l'IA en 2026, la question n'est plus « faut-il s'y conformer » mais « comment, et dans quel ordre ». Le règlement est dense (180 articles, 13 annexes), mais les obligations pour la majorité des cas d'usage PME tiennent en quelques pages. Voici le guide opérationnel : qualification, documentation, transparence, calendrier d'application, avec ce qu'il faut faire avant fin 2026 pour être en règle quand le contrôle arrive.

Pourquoi l'AI Act concerne les PME (pas seulement les Big Tech)

Une idée reçue tenace : « l'AI Act, c'est pour les GAFAM ». Faux. Le règlement s'applique à tout déployeur d'un système IA, indépendamment de sa taille, à partir du moment où le système est utilisé dans l'Union Européenne. Une PME qui exploite un chatbot client, un assistant interne, un outil de recrutement IA, ou même une fonctionnalité IA fournie par un éditeur SaaS, est concernée.

Les obligations dépendent du niveau de risque du système, pas de la taille de l'entreprise. La majorité des cas d'usage PME se classent en risque limité ou minimal — obligations légères mais réelles. Quelques cas (recrutement automatisé, scoring crédit, dispositifs médicaux) tombent en risque élevé — obligations lourdes que la PME ne peut généralement pas porter seule.

Calendrier d'application 2025-2027

L'AI Act entre en vigueur par étapes. Voici les jalons qui concernent directement les PME françaises.

  • Février 2025 : interdictions des systèmes à risque inacceptable (notation sociale, manipulation, identification biométrique en temps réel dans l'espace public). Obligations entrées en vigueur, applicables immédiatement.
  • Août 2025 : obligations applicables aux modèles d'IA à usage général (GPAI) — concerne surtout les éditeurs LLM, mais impacte les PME utilisatrices via les contrats DPA et la transparence sur les modèles utilisés.
  • Août 2026 : entrée en vigueur de la majorité des obligations (transparence, gouvernance, autorités compétentes). Pour la plupart des PME, c'est la grosse échéance — il faut être prêt.
  • Août 2027 : obligations applicables aux systèmes IA à haut risque pré-existants. Concerne les systèmes en production avant 2026 qui tombent en haut risque.

Conséquence pratique pour 2026 : si votre PME utilise de l'IA en production, vous avez environ 18 mois pour vous conformer pleinement. C'est faisable, mais ça demande un travail structuré.

Étape 1 : inventaire des systèmes IA

Avant tout, vous devez savoir ce que vous utilisez. La majorité des PME que nous avons auditées en 2025-2026 sous-estiment leur exposition. Une fonctionnalité IA dans Microsoft 365, un module IA dans le CRM, un assistant IA dans la suite comptable, un chatbot fourni par un sous-traitant : tout cela compte.

Méthode : produire un registre des systèmes IA en interne, avec pour chacun :

  • Nom du système et fournisseur
  • Finalité (qu'est-ce qu'il fait ?)
  • Type d'utilisateurs et nombre approximatif
  • Niveau de risque AI Act (à qualifier en étape 2)
  • Données traitées (catégories, sensibilité)
  • Date de mise en service
  • Référent interne

Ce registre n'est pas obligatoire pour les systèmes à risque limité ou minimal, mais il devient indispensable pour les contrôles internes et la traçabilité. Il est obligatoire pour les systèmes à haut risque.

Étape 2 : qualifier le niveau de risque de chaque système

L'AI Act distingue 4 niveaux. Voici la grille de décision pratique.

Risque inacceptable — interdit, retirer immédiatement

Systèmes interdits : notation sociale, manipulation comportementale, identification biométrique en temps réel dans l'espace public, prédiction d'infraction sur la seule base du profilage. Aucun de ces cas ne devrait apparaître dans une PME standard. Si oui, retrait immédiat du système.

Risque élevé — obligations lourdes

Systèmes utilisés dans :

  • Recrutement et évaluation des candidats (CV screening automatique, tests de personnalité IA, etc.)
  • Évaluation des collaborateurs (notation, promotion, licenciement)
  • Scoring de crédit et accès aux services essentiels (assurance, banque, énergie)
  • Dispositifs médicaux IA
  • Éducation (notation automatisée, accès aux établissements)
  • Justice et application de la loi

Si une PME utilise un système dans cette catégorie, les obligations sont nombreuses : analyse de risque approfondie, documentation technique, supervision humaine permanente, journalisation, qualité des données, transparence vis-à-vis des personnes affectées, déclaration aux autorités. Concrètement, la PME ne peut pas porter seule ces obligations — elles doivent être assumées principalement par le fournisseur du système. Le rôle de la PME est de vérifier la conformité du fournisseur et de documenter son propre usage.

Risque limité — obligations modérées (majorité des cas PME)

C'est la catégorie la plus fréquente : chatbots, voicebots, agents conversationnels, assistants IA non-décisionnels, générateurs de contenu, outils de recherche augmentée. Les obligations principales sont la transparence.

  • L'utilisateur doit savoir qu'il interagit avec un système IA (sauf cas évident)
  • Le contenu généré par IA (texte, image, audio) doit être identifiable comme tel quand il est diffusé publiquement
  • Mention dans la politique de confidentialité, le site web, les supports utilisateurs

Risque minimal — obligations très limitées

Systèmes IA sans interaction directe avec des tiers ou impact sur leurs droits : assistants de productivité interne (génération de notes, synthèse de réunion, traduction technique). Aucune obligation spécifique au-delà du RGPD existant. Recommandation : tracer leur usage, mais pas d'obligation formelle.

Étape 3 : documentation à constituer

Pour chaque système IA en risque limité ou élevé, constituer un dossier de conformité minimal.

  1. Note de qualification AI Act (1-2 pages) : niveau de risque retenu, justification, articles applicables.
  2. Description fonctionnelle : finalité, utilisateurs, données traitées, fournisseur du modèle/système.
  3. Mesures de transparence : copies des supports utilisés (mention dans le chatbot, paragraphe dans la politique de confidentialité, etc.).
  4. Analyse d'impact RGPD (DPIA simplifiée pour risque limité, DPIA complète pour risque élevé).
  5. Contrats avec les fournisseurs : DPA RGPD à jour, mentions AI Act dans les CGV/contrats.
  6. Procédure de réponse aux droits : qui traite les demandes d'accès, de rectification, d'effacement, dans quels délais.
  7. Plan de réponse à incident : qui fait quoi en cas de fuite, dérive, comportement anormal.

Cette documentation prend 2-4 jours par système à constituer initialement. Elle est ensuite maintenue par mise à jour ponctuelle (annuelle au minimum).

Étape 4 : information des utilisateurs et des collaborateurs

L'AI Act renforce les obligations RGPD existantes en matière de transparence. Trois points concrets à traiter avant août 2026.

Pour les chatbots et voicebots clients : message d'ouverture explicite (« Bonjour, je suis un assistant virtuel propulsé par IA »). La mention doit être présente avant ou au début de l'interaction, pas en pied de page d'une politique de confidentialité.

Pour les contenus générés par IA diffusés publiquement (articles, vidéos, audios, images) : indication claire de l'usage d'IA, soit visible (mention « contenu généré avec assistance IA ») soit technique (métadonnées, watermark). En 2026, la majorité des éditeurs IA produisent des contenus avec watermark technique par défaut.

Pour les collaborateurs internes utilisant l'IA : information écrite des salariés (charte informatique mise à jour, note de service, ou avenant), consultation préalable du CSE si effectif > 11 personnes, registre des traitements à jour. La consultation du CSE est obligatoire en France quand l'IA est utilisée pour des décisions liées à l'emploi.

Étape 5 : ce qu'il faut faire si vous fournissez un système IA

Si votre PME développe ou intègre un système IA pour le compte de clients (cas des agences IA, éditeurs SaaS, intégrateurs), vous êtes fournisseur au sens de l'AI Act, en plus d'être déployeur. Les obligations sont alors plus lourdes.

Concrètement :

  • Documentation technique du système (article 11)
  • Système de gestion de la qualité (article 17 — pour risque élevé seulement)
  • Notice d'utilisation à jour pour les déployeurs
  • Information du client sur le niveau de risque AI Act et les obligations qui en découlent pour lui
  • Coopération avec les autorités compétentes (en France : la CNIL pour les aspects données, l'ANSSI pour la cybersécurité, la DGCCRF pour la protection des consommateurs)

En tant qu'agence IA, c'est exactement ce type de cadre que nous appliquons à nos déploiements (cf. notre expertise RGPD et conformité IA). Un fournisseur sérieux porte une partie significative de la charge de conformité, ce qui allège l'effort du client final.

Pénalités : ce que risque une PME non conforme

L'AI Act prévoit des pénalités graduées. Pour une PME française :

  • Violation des interdictions (risque inacceptable) : jusqu'à 35 M€ ou 7% du CA mondial
  • Violation des obligations risque élevé : jusqu'à 15 M€ ou 3% du CA mondial
  • Violation des obligations de transparence (risque limité) : jusqu'à 7,5 M€ ou 1,5% du CA mondial
  • Information incorrecte aux autorités : jusqu'à 7,5 M€ ou 1% du CA

Pour une PME, ces plafonds sont théoriques — les amendes effectives sont calibrées sur la capacité financière. Mais pour un cabinet à 2 M€ HT de CA, une amende de 1 à 3% du CA reste 20-60 K€, à quoi s'ajoutent les coûts de remédiation et la perte de réputation. Mieux vaut investir 5-15 K€ de mise en conformité que d'absorber le risque.

Check-list avant août 2026

Voici la check-list opérationnelle à appliquer dans une PME standard.

  1. Inventaire des systèmes IA produit et signé par le dirigeant ?
  2. Niveau de risque qualifié et documenté pour chaque système ?
  3. Aucun système en risque inacceptable détecté ?
  4. Pour les systèmes à risque limité : transparence en place (chatbot disclaimer, mention politique confidentialité, identification contenus IA) ?
  5. Pour les systèmes à risque élevé éventuels : accompagnement spécialisé en cours ?
  6. DPA et contrats fournisseurs IA à jour ?
  7. Procédure de réponse aux droits des personnes documentée et testée ?
  8. Information du CSE faite (si effectif > 11) ?
  9. Charte IA interne diffusée et signée par les collaborateurs ?
  10. Plan de réponse à incident défini ?
  11. Référent IA désigné (peut être le DPO ou un dirigeant) ?

Si vous cochez les 11 points avant août 2026, vous êtes en règle. Si vous en manquez plusieurs, la fenêtre se ferme — il faut s'y mettre dès maintenant.

Pour aller plus loin

Cet article fait partie du cluster « sécurité et conformité IA » du blog Audelalia. Pour évaluer votre exposition AI Act et structurer votre mise en conformité, réservez un audit gratuit via la page contact.

Tags :

#securite-ia #ai-act #conformite #rgpd #reglementation

Articles similaires

RGPD et IA en PME : guide de conformité 2026 (méthode + chec...
08/05/2026
Prompt injection en entreprise : 7 lignes de défense pratiqu...
08/05/2026
OWASP LLM Top 10 (édition 2026) : les 10 menaces critiques s...
06/05/2026
Retour aux articles