Mis à jour : mai 2026 - Par Valentin CHARRIER, Ocade Fusion
Le 2 août 2026, l’AI Act européen entre en application totale pour les systèmes d’IA à haut risque. 80% des PME utilisent déjà au moins un outil d’intelligence artificielle selon la Commission Européenne, mais moins de 5% d’entre elles déploient des systèmes classés en “haut risque”. Les sanctions prévues atteignent 35 millions d’euros ou 7% du chiffre d’affaires mondial. Valentin CHARRIER, consultant en automatisation IA chez Ocade Fusion, décrypte les obligations concrètes et les actions à lancer dès maintenant pour les PME françaises.
Diagnostic AI Act
Cochez les outils IA utilisés dans votre entreprise pour connaître vos obligations.
Besoin d'aide pour mettre ça en place dans votre entreprise ?
Discutons de votre projet →AI Act : de quoi parle-t-on exactement ?
L’AI Act (règlement européen sur l’intelligence artificielle) est la première législation au monde qui encadre l’IA par niveau de risque. Le texte, qui dépasse 400 pages, structure les obligations autour de quatre niveaux : risque inacceptable, risque élevé, risque limité et risque minimal (Fragments Studio, 2026).
L’entrée en vigueur s’étale sur trois dates. Depuis février 2025, les pratiques IA interdites sont effectives (manipulation subliminale, scoring social, reconnaissance faciale de masse). Depuis août 2025, les obligations de transparence s’appliquent aux modèles d’IA à usage général. Le 2 août 2026 marque l’échéance majeure : application complète pour les systèmes à haut risque - biométrie, infrastructures critiques, éducation, emploi, justice (A3 Web, 2026).
Les 4 niveaux de risque expliqués simplement
Chaque outil d’IA utilisé dans une entreprise se classe dans un des quatre niveaux définis par l’AI Act. Le niveau détermine les obligations à respecter.
Risque inacceptable - interdit
Les systèmes de scoring social (noter les citoyens selon leur comportement), de manipulation subliminale et de reconnaissance faciale en temps réel dans les espaces publics sont interdits depuis février 2025. Aucune PME ne devrait utiliser ces systèmes.
Risque élevé - obligations strictes
Les systèmes qui influencent des décisions importantes sur les personnes tombent dans cette catégorie. Exemples concrets en PME : un logiciel qui trie automatiquement des CV pour le recrutement, un algorithme de scoring crédit dans une application fintech, ou une IA utilisée pour évaluer les performances des salariés. Les obligations incluent un audit de conformité, une documentation technique exhaustive, une gouvernance des données et une supervision humaine (Blog-IA, 2026).
Risque limité - transparence requise
Les chatbots de service client, les générateurs de contenu (texte, image, vidéo) et les systèmes de recommandation entrent dans cette catégorie. L’obligation principale : informer l’utilisateur qu’il interagit avec une IA. Une mention claire suffit (Apsodia, 2026).
Risque minimal - aucune obligation spécifique
Les filtres anti-spam, les correcteurs orthographiques IA et les assistants de rédaction utilisés en interne ne génèrent pas d’obligation réglementaire. La majorité des outils IA utilisés par les PME relève de ce niveau.
Le piège du “shadow AI” en entreprise
Le shadow AI désigne l’utilisation d’outils d’IA par les équipes sans validation formelle de la direction. Selon les experts en conformité, le shadow AI constitue l’exposition la plus sous-estimée des PME françaises et la plus difficile à défendre en cas de contrôle (Quillet Digital, 2026).
ChatGPT, Copilot, Midjourney, les outils d’IA intégrés aux CRM, les scoring automatiques - les collaborateurs adoptent ces outils sans que la direction en ait connaissance. En cas de contrôle, c’est l’entreprise qui porte la responsabilité, pas le salarié. L’étude Bpifrance de janvier 2026 révèle que 55% des TPE-PME françaises déclarent utiliser une IA générative, contre 31% un an plus tôt (Bpifrance, 2026). La croissance est rapide, mais la gouvernance ne suit pas.
3 actions concrètes à lancer avant août 2026
Action 1 : dresser l’inventaire complet de vos outils IA
La première étape consiste à recenser tous les outils d’IA utilisés dans l’entreprise, département par département. Les outils évidents (ChatGPT, Copilot, Midjourney) ne suffisent pas. Le scoring automatique du CRM, les filtres prédictifs de l’outil marketing, le tri automatique des candidatures - chaque usage doit être documenté avec son périmètre et ses données traitées.
Action 2 : classifier chaque outil par niveau de risque
Pour chaque outil identifié, déterminer le niveau de risque selon les critères de l’AI Act. Un tableau simple suffit : nom de l’outil, usage, données traitées, niveau de risque, obligations associées. Les systèmes à haut risque (recrutement, crédit, RH) nécessitent un accompagnement juridique spécialisé. Les systèmes à risque limité (chatbot, contenu généré) demandent une simple mention de transparence.
Action 3 : former les équipes à la compétence IA
L’AI Act impose une obligation de compétence IA (AI literacy) pour toutes les personnes qui utilisent ou supervisent des systèmes d’IA dans l’entreprise. Cette obligation s’applique dès maintenant - pas en août 2026. La formation doit être proportionnée au rôle : sensibilisation générale pour les utilisateurs, formation approfondie pour les décideurs et les responsables de déploiement (Millorem Formations, 2026).
Sanctions : ce que risque votre PME
Les amendes sont structurées par type d’infraction. Les pratiques interdites (risque inacceptable) entraînent des sanctions de 35 millions d’euros ou 7% du chiffre d’affaires mondial, le montant le plus élevé étant retenu. Les manquements aux obligations de transparence ou de gouvernance des données exposent à 20 millions d’euros ou 4% du chiffre d’affaires mondial (Leto Legal, 2026).
Les PME bénéficient d’un plafonnement spécifique : le montant retenu est le plus bas entre le forfait fixe et le pourcentage du chiffre d’affaires. Les autorités de contrôle sont encouragées à privilégier l’accompagnement plutôt que la sanction immédiate pour les petites structures. Le Digital Omnibus Act étend ces facilités aux entreprises de moins de 750 salariés (Diamond Solutions, 2026).
Les allègements prévus pour les PME
Les PME ne sont pas laissées seules face à ce règlement. Plusieurs dispositifs d’accompagnement sont prévus par le texte. L’accès prioritaire aux bacs à sable réglementaires permet de tester des solutions IA dans un cadre sécurisé, sans risque de sanction. La réduction des frais d’évaluation de conformité est proportionnée à la taille et au stade de développement de l’entreprise (DPO101, 2026).
Chaque État membre doit mettre en place un point de contact national pour accompagner les PME. En France, la CNIL et le Pôle d’expertise de la régulation numérique (PEReN) jouent déjà un rôle d’accompagnement. Les PME qui automatisent leurs processus avec des outils comme Claude for Small Business ou des workflows n8n doivent intégrer cette couche de conformité dans leur démarche d’automatisation.
Tableau récapitulatif : vos outils IA et l’AI Act
| Usage courant en PME | Niveau de risque | Obligation principale |
|---|---|---|
| ChatGPT pour rédiger des mails | Minimal | Aucune obligation spécifique |
| Copilot pour coder | Minimal | Aucune obligation spécifique |
| Chatbot service client | Limité | Informer que c’est une IA |
| Midjourney pour créer des visuels | Limité | Mentionner le contenu généré par IA |
| Scoring CRM / lead scoring | Limité à élevé* | Transparence + évaluation selon impact |
| IA tri de CV / recrutement | Élevé | Audit, documentation, supervision humaine |
| Scoring crédit / évaluation financière | Élevé | Audit, documentation, supervision humaine |
| IA évaluation des performances RH | Élevé | Audit, documentation, supervision humaine |
* Le scoring CRM dépend du contexte : scoring commercial classique = risque limité ; scoring qui influence des décisions sur l’accès à des services essentiels = risque élevé.
FAQ - AI Act et PME
L’AI Act concerne-t-il les PME qui utilisent simplement ChatGPT ?
L’utilisation de ChatGPT pour rédiger des mails ou des documents internes relève du risque minimal et n’entraîne aucune obligation réglementaire spécifique. L’obligation de compétence IA (AI literacy) s’applique en revanche à toute personne qui utilise un système d’IA dans le cadre professionnel, y compris ChatGPT.
Quel est le budget à prévoir pour la mise en conformité d’une PME ?
Le budget dépend du nombre de systèmes à haut risque déployés. Une PME qui n’utilise que des outils à risque minimal ou limité (ChatGPT, chatbot, génération de contenu) aura essentiellement un coût de formation. Une PME avec des systèmes à haut risque (recrutement IA, scoring crédit) devra prévoir un audit et un accompagnement juridique, estimé entre 5 000 et 30 000 euros selon la complexité.
Les sous-traitants et prestataires sont-ils aussi concernés ?
Les obligations de l’AI Act portent sur le fournisseur du système IA et le déployeur (l’entreprise qui l’utilise). Une PME qui utilise un outil IA fourni par un éditeur tiers reste responsable de la conformité dans son usage : transparence, supervision humaine, documentation de l’utilisation.
Existe-t-il un délai de grâce ou une période de tolérance ?
Le règlement n’inclut pas de période de grâce formelle après le 2 août 2026. Les autorités de contrôle sont cependant encouragées à privilégier l’accompagnement pour les PME, conformément au Digital Omnibus Act. Commencer la mise en conformité maintenant reste la meilleure protection.
L’AI Act s’applique-t-il aux entreprises hors UE ?
L’AI Act s’applique à toute entreprise qui propose des systèmes d’IA dont les résultats sont utilisés dans l’Union Européenne, quel que soit le lieu d’établissement du fournisseur. Le principe est similaire au RGPD : le critère est le marché visé, pas la localisation de l’entreprise.
Ce qu’il faut retenir
L’AI Act européen entre en application totale le 2 août 2026. 80% des PME utilisent déjà l’IA, 55% des TPE-PME françaises utilisent l’IA générative (Bpifrance, 2026). Trois actions sont à lancer immédiatement : inventorier tous les outils IA, classifier leur niveau de risque, et former les équipes. Les PME bénéficient d’allègements spécifiques (sanctions plafonnées, bacs à sable, accompagnement dédié). Le shadow AI reste le piège principal - recenser les usages non déclarés est la priorité. Les entreprises qui automatisent avec des agents IA doivent intégrer la conformité AI Act dès la conception de leurs workflows.