AI Act : l'échéance du 2 août 2026 et ce qui change pour votre PME — Guide pratique
Le 2 août 2026 est la prochaine grande date de l'AI Act. Un report des obligations « haut risque » est en discussion (Digital Omnibus), mais il n'est pas encore officiel. Voici ce qui s'applique vraiment à vous aujourd'hui — et la feuille de route pour vous y préparer sans paniquer.
À lire avant tout : où en est le report (Digital Omnibus)
Le 6-7 mai 2026, l'Union européenne est parvenue à un accord provisoire (le « Digital Omnibus ») pour repousser les obligations « haut risque » de l'Annexe III au 2 décembre 2027 et celles de l'Annexe I (IA dans les produits réglementés) au 2 août 2028 [8].
Mais attention : au 10 juin 2026, cet accord n'est pas encore publié au Journal officiel de l'UE. Tant qu'il ne l'est pas, la date légale en vigueur reste le 2 août 2026. La publication est attendue avant cette échéance — il faut donc la suivre de près sans tenir le report pour acquis.
Et surtout : tout n'est pas reporté. Les obligations de transparence (article 50), les bacs à sable réglementaires et le démarrage de l'application et des sanctions par les autorités nationales sont bien attendus au 2 août 2026. Les sanctions, elles, peuvent atteindre 35 millions d'euros ou 7 % du chiffre d'affaires mondial [1].
À retenir
- Au 10 juin 2026, sont déjà applicables : l'interdiction des pratiques IA inacceptables (depuis le 2 février 2025), l'obligation de littératie IA (article 4), les obligations des modèles à usage général (GPAI) et le régime de sanctions (depuis le 2 août 2025).
- Le 2 août 2026 est la prochaine grande échéance : obligations de transparence (article 50), bacs à sable réglementaires, et démarrage de l'application et des sanctions par les autorités nationales (en France, la CNIL).
- Les obligations « haut risque » de l'Annexe III (date d'origine : 2 août 2026) sont en cours de report au 2 décembre 2027 via l'accord provisoire Digital Omnibus des 6-7 mai 2026 — non encore publié au Journal officiel au 10 juin 2026, donc à confirmer.
- L'AI Act distingue quatre niveaux de risque : inacceptable (interdit), haut risque (Annexe III, 8 domaines : emploi, crédit, assurance, éducation…), risque limité (transparence) et risque minimal (libre).
- Une PME qui utilise un outil d'IA tiers est « déployeur » : elle doit assurer la supervision humaine, informer les personnes concernées et conserver les journaux.
- Les sanctions atteignent 35 M€ ou 7 % du chiffre d'affaires mondial pour les pratiques interdites, 15 M€ ou 3 % pour les manquements sur les systèmes à haut risque, et 7,5 M€ ou 1 % pour les informations inexactes — avec un plafond réduit pour les PME et start-ups.
Sommaire
- 1. Suis-je concerne par l'echeance d'aout 2026 ?
- 2. Ce que dit l'AI Act : les 4 niveaux de risque
- 3. Systemes a haut risque (Annexe III) : etes-vous concerne ?
- 4. Checklist en 6 etapes pour les PME
- 5. Calendrier complet : ce qui s'applique deja, ce qui arrive
- 6. Sanctions : ce que vous risquez concretement
- 7. Comment JAIKIN vous accompagne
- 8. FAQ — AI Act et conformite PME
- 9. Sources et references
1. Suis-je concerne par l'echeance d'aout 2026 ?
Vous dirigez une PME. Vous avez branche un assistant IA sur votre service client, un outil qui pre-trie les candidatures, peut-etre un module de detection de fraude dans votre logiciel comptable. Et vous tombez sur cette date : 2 aout 2026. Question simple : est-ce que ca vous concerne ? Et si oui, qu'est-ce que vous risquez ?
Bonne nouvelle : dans la majorite des cas, vous n'avez pas grand-chose a faire. Mauvaise nouvelle : pour savoir si vous faites partie de cette majorite, il faut quand meme verifier. Ce guide vous donne la methode, etape par etape, en langage clair.
D'abord, le contexte. Le Reglement europeen sur l'intelligence artificielle (AI Act, Reglement (UE) 2024/1689) n'est plus un projet : c'est une loi en vigueur depuis le 1er aout 2024, qui s'applique par paliers. Plusieurs de ces paliers sont deja passes — vous etes peut-etre deja soumis a certaines obligations sans le savoir. Le prochain grand jalon, c'est le 2 aout 2026.
Et l'IA n'est plus marginale : en 2025, 20,0 % des entreprises de l'UE (10 salaries ou plus) utilisaient l'intelligence artificielle, contre 13,5 % en 2024 — une progression rapide qui explique pourquoi le sujet vous rattrape [9]. Beaucoup de dirigeants pensent encore que l'AI Act ne vise que les geants de la tech. C'est faux : il vise des usages, pas une taille d'entreprise.
Le test en une phrase
Si un outil d'IA chez vous prend ou influence une decision qui affecte une personne — trier un CV, accorder un credit, fixer une prime d'assurance, evaluer un eleve ou un salarie —, vous avez probablement un systeme « a haut risque » entre les mains. Si votre IA se contente de prevoir des stocks, recommander des produits ou traduire des emails, vous etes tranquille. Tout le reste de ce guide decoule de cette distinction.
Un mot, enfin, sur une nuance qui fait toute la difference cette annee. Vous avez peut-etre lu que l'echeance « haut risque » etait repoussee. C'est en partie vrai, en partie premature. L'Union a trouve un accord provisoire (le Digital Omnibus, 6-7 mai 2026) pour decaler ces obligations au 2 decembre 2027 — mais cet accord n'est pas encore officiel au 10 juin 2026. Et meme s'il l'etait, une partie des obligations (transparence, article 50) arrive bien le 2 aout 2026. Autrement dit : ne tenez pas le report pour acquis, et ne croyez pas que tout est suspendu. On detaille tout ca plus bas.
Ce guide s'adresse aux PME et ETI francophones. Il ne remplace pas un avis juridique, mais il vous donne une feuille de route concrete pour aborder la conformite de maniere structuree, sans panique et sans budget disproportionne.
2. Ce que dit l'AI Act : les 4 niveaux de risque
L'AI Act adopte une approche fondee sur le risque. Plutot que de reguler toute l'intelligence artificielle de la meme maniere, il classifie les systemes d'IA en quatre niveaux selon le danger qu'ils representent pour les droits fondamentaux et la securite des personnes [1].
Comprendre cette classification est la premiere etape de votre mise en conformite. C'est elle qui determine vos obligations.
Risque inacceptable — INTERDIT
Ces systemes sont purement et simplement interdits dans l'UE depuis le 2 fevrier 2025.
- Manipulation subliminale exploitant les vulnerabilites
- Scoring social par les autorites publiques
- Identification biometrique a distance en temps reel dans l'espace public (sauf exceptions law enforcement)
- Reconnaissance des emotions sur le lieu de travail ou a l'ecole
Haut risque — Obligations strictes
Systemes listes dans l'Annexe III. Date d'origine : 2 aout 2026, en cours de report au 2 decembre 2027 (accord provisoire Digital Omnibus, a confirmer).
- Documentation technique obligatoire
- Systeme de gestion de la qualite
- Supervision humaine (human-in-the-loop)
- Enregistrement dans la base de donnees UE
Risque limite — Obligations de transparence
Systemes qui interagissent avec des personnes ou generent du contenu.
- Chatbots : informer l'utilisateur qu'il parle a une IA
- Deepfakes : marquer le contenu comme genere par IA
- Contenu genere par IA : etiqueter clairement
- Systemes de detection d'emotions : informer les personnes
Risque minimal — Libre utilisation
La grande majorite des systemes IA. Aucune obligation specifique.
- Filtres anti-spam
- Recommandations de produits e-commerce
- Jeux video avec IA
- Assistants de traduction automatique
« L'AI Act ne vise pas a interdire l'IA — il vise a encadrer les usages qui presentent un risque reel pour les personnes. La grande majorite des systemes IA utilises par les PME tombent dans la categorie "risque minimal" et ne sont soumis a aucune obligation specifique. » — Commission europeenne, EU AI Office [4]
3. Systemes a haut risque (Annexe III) : etes-vous concerne ?
L'Annexe III du Reglement AI Act enumere exhaustivement les domaines d'application dans lesquels un systeme d'IA est automatiquement considere comme a haut risque [1]. Cette liste est la cle de voute de votre evaluation. Si votre IA intervient dans l'un de ces domaines ET influence ou prend des decisions affectant des personnes physiques, vous etes concerne.
Les 8 domaines de l'Annexe III
Biometrie
Identification et categorisation biometrique a distance. Verification d'identite par reconnaissance faciale.
Infrastructures critiques
Gestion et exploitation de reseaux d'eau, gaz, electricite, transports. Systemes de securite des infrastructures numeriques.
Education et formation professionnelle
Determination de l'acces a l'education, evaluation des apprenants, detection de triche, orientation scolaire automatisee.
Emploi et gestion des ressources humaines
Tri de CV, selection de candidats, affectation de taches, evaluation de performance, decisions de promotion ou licenciement.
Acces aux services essentiels (publics et prives)
Scoring credit, evaluation d'eligibilite aux prestations sociales, classification des demandes d'assurance, priorisation des appels d'urgence.
Application de la loi (law enforcement)
Evaluation des risques de recidive, polygraphes IA, analyse de preuves, profilage predictif.
Migration, asile et controle aux frontieres
Evaluation des demandes de visa, verification des documents de voyage, detection de fraude documentaire.
Administration de la justice et processus democratiques
Aide a la decision judiciaire, mediation automatisee, influence sur les resultats electoraux.
Exemples concrets pour les PME
La classification peut sembler abstraite. Voici des cas concrets que nous rencontrons frequemment chez nos clients PME :
HAUT RISQUE — Obligations strictes
- ✕ Tri de CV automatise — Vous utilisez un outil IA pour filtrer, classer ou pre-selectionner des candidatures ? C'est un systeme a haut risque (domaine 4 : emploi).
- ✕ Scoring credit — Votre fintech ou organisme de pret utilise un algorithme pour evaluer la solvabilite ? Haut risque (domaine 5 : services essentiels).
- ✕ Evaluation de performance employes — Un outil IA note ou classe vos employes pour des decisions de promotion ? Haut risque (domaine 4).
- ✕ Tarification assurance personnalisee — Un modele IA calcule les primes individuelles ? Haut risque (domaine 5).
PAS HAUT RISQUE — Usage libre ou transparence
- ✓ Chatbot support client — Un chatbot qui repond aux questions frequentes n'est pas a haut risque. Obligation de transparence uniquement (informer que c'est une IA).
- ✓ Recommandations produits — Votre e-commerce suggere des produits bases sur l'historique d'achat ? Risque minimal, aucune obligation.
- ✓ Traduction automatique — Traduire des emails ou des contenus marketing ? Risque minimal.
- ✓ Prevision de stocks — Un modele predictif pour optimiser vos commandes ? Risque minimal (pas de decision sur des personnes physiques).
Point cle : la regle du "decision sur des personnes"
Un systeme IA n'est a haut risque que s'il est utilise dans l'un des domaines de l'Annexe III ET qu'il influence ou prend des decisions affectant des personnes physiques. Un algorithme de prevision de ventes, meme sophistique, n'est pas a haut risque tant qu'il ne sert pas a evaluer, classer ou decider du sort de personnes. C'est cette nuance qui fait toute la difference pour les PME [1].
Le recrutement est le cas d'usage le plus exposé : nous détaillons les obligations applicables au tri de CV et au scoring de candidats dans notre guide sur l'IA de recrutement conforme RGPD et AI Act, et nous montrons comment un secteur entier s'y prépare dans notre analyse des agences d'intérim face à l'AI Act.
4. Checklist en 6 etapes pour les PME
Vous avez identifie que vous possedez potentiellement un systeme a haut risque. Voici les 6 etapes concretes recommandees par les experts juridiques et l'EU AI Office pour atteindre la conformite. Visez l'echeance d'origine du 2 aout 2026 : si le report au 2 decembre 2027 est confirme (Digital Omnibus), vous gagnez de la marge ; s'il ne l'est pas, vous etes pret [5].
Inventaire de tous les systemes IA utilises
C'est la base de tout. Vous ne pouvez pas evaluer le risque de systemes que vous ne connaissez pas. Beaucoup de PME utilisent de l'IA sans le savoir — a travers des outils SaaS, des plugins, des API tierces.
Actions concretes :
- Lister tous les logiciels et outils utilises dans l'entreprise
- Identifier ceux qui integrent des composants IA (machine learning, NLP, vision par ordinateur, IA generative)
- Inclure les outils tiers (SaaS) — vous etes "deployeur" au sens de l'AI Act, pas seulement vos developpements internes
- Documenter : nom de l'outil, fournisseur, cas d'utilisation, donnees traitees, personnes impactees
Piege frequent : Les outils d'automatisation de workflows qui integrent des modules IA (classification, extraction, generation) sont souvent oublies. Verifiez aussi vos outils marketing (lead scoring), RH (matching de profils) et finance (detection de fraude).
Classification par niveau de risque
Pour chaque systeme identifie dans l'etape 1, determinez sa categorie de risque en vous referant a l'Annexe III et aux guidelines de l'EU AI Office [4].
Actions concretes :
- Mapper chaque systeme IA a un domaine de l'Annexe III (ou confirmer qu'il n'en releve pas)
- Evaluer si le systeme prend ou influence des decisions concernant des personnes physiques
- Consulter les guidelines de l'EU AI Office pour les cas limites
- En cas de doute : appliquer le principe de precaution et traiter comme haut risque
Bonne nouvelle : pour la plupart des PME, la majorite des systemes IA tomberont dans la categorie « risque minimal » — sans obligation specifique. Le haut risque concerne avant tout les usages qui decident du sort de personnes (RH, credit, assurance, education). En cas de doute, l'AI Act Service Desk de l'EU AI Office publie des ressources et un calendrier officiel pour vous aider a trancher [4].
Evaluation des risques et documentation
Pour chaque systeme classe a haut risque, vous devez realiser une evaluation des risques fondamentaux (Fundamental Rights Impact Assessment — FRIA) et documenter les mesures d'attenuation [5].
Actions concretes :
- Identifier les risques de biais, de discrimination, d'erreur pour chaque systeme haut risque
- Documenter les jeux de donnees utilises pour l'entrainement (si applicable)
- Evaluer l'impact sur les droits fondamentaux des personnes affectees
- Definir des mesures de mitigation : supervision humaine, seuils de confiance, procedures d'appel
- Consigner le tout dans un registre structure, datable et auditable
Systeme de gestion de la qualite (QMS)
L'article 17 de l'AI Act impose aux fournisseurs de systemes a haut risque de mettre en place un systeme de gestion de la qualite. Pour les deployeurs (la plupart des PME), les obligations sont allegees mais non negligeables [1].
Actions concretes :
- Definir des procedures internes pour l'utilisation de chaque systeme IA haut risque
- Nommer un responsable de la conformite IA (peut etre le DPO existant)
- Mettre en place un processus de supervision humaine : qui verifie les decisions IA, a quelle frequence, avec quels pouvoirs de correction
- Etablir un processus de signalement des incidents et dysfonctionnements
- Prevoir des audits internes reguliers (trimestriels recommande)
Conseil JAIKIN : Si vous avez deja un systeme de management de la qualite (ISO 9001, ISO 27001), vous pouvez l'etendre pour couvrir les exigences de l'AI Act. Pas besoin de repartir de zero.
Documentation technique
L'Annexe IV de l'AI Act detaille les elements de documentation technique requis pour les systemes a haut risque. Meme en tant que deployeur, vous devez conserver une documentation demontrant que vous utilisez le systeme conformement a ses instructions d'utilisation [5].
Actions concretes :
- Obtenir aupres de votre fournisseur IA la documentation technique du systeme (c'est votre droit en tant que deployeur)
- Documenter votre propre utilisation : parametres configures, population cible, contexte d'utilisation
- Conserver les logs d'activite du systeme (article 12 — traceabilite)
- Documenter les mesures de supervision humaine mises en place
- Tenir a jour un registre des modifications apportees au systeme ou a son utilisation
Enregistrement dans la base de donnees de l'UE
L'article 49 de l'AI Act exige que les systemes IA a haut risque soient enregistres dans une base de donnees publique de l'Union europeenne avant leur mise sur le marche ou leur mise en service [1].
Actions concretes :
- Identifier si vous etes fournisseur ou deployeur au sens de l'AI Act (les obligations d'enregistrement different)
- Les fournisseurs doivent enregistrer chaque systeme haut risque dans la base de donnees de l'UE
- Les deployeurs du secteur public (et certains du secteur prive) doivent egalement s'enregistrer
- Preparer les informations requises : description du systeme, finalite, statut de conformite, coordonnees du fournisseur
- Verifier aupres de votre fournisseur que l'enregistrement est fait de son cote
Important : la base de donnees de l'UE pour les systemes IA a haut risque sera operationnelle a temps pour l'echeance haut risque (date d'origine 2 aout 2026, en cours de report au 2 decembre 2027). Surveillez les communications de l'EU AI Office pour la date exacte d'ouverture des enregistrements [4].
Le calendrier ci-dessous a ete pense pour viser l'echeance d'origine du 2 aout 2026. Si le report au 2 decembre 2027 (Digital Omnibus) est confirme, cette meme sequence d'environ cinq mois vous laisse une vraie marge. Mais ne reportez pas pour autant : le RGPD s'applique deja et l'article 50 (transparence) arrive bien le 2 aout 2026, quel que soit le sort du report.
| Etape | Action | Responsable | Delai recommande |
|---|---|---|---|
| 1 | Inventaire des systemes IA | DSI / Ops | Mars 2026 |
| 2 | Classification des risques | DPO / Juridique | Avril 2026 |
| 3 | Evaluation des risques (FRIA) | DPO / Consultant | Avril-Mai 2026 |
| 4 | Systeme de gestion qualite | Direction / Qualite | Mai-Juin 2026 |
| 5 | Documentation technique | DSI / Consultant | Juin-Juillet 2026 |
| 6 | Enregistrement base UE | DPO / Juridique | Juillet 2026 |
5. Calendrier complet : ce qui s'applique deja, ce qui arrive
L'AI Act se deploie par paliers. Voici le calendrier complet : ce qui est deja applicable au 10 juin 2026, la grande echeance du 2 aout 2026, et ce qui suit — en signalant clairement ce que l'accord provisoire Digital Omnibus chercherait a reporter (sous reserve de publication au Journal officiel) [1] [8].
Les systemes d'IA a risque inacceptable (manipulation subliminale, scoring social, reconnaissance des emotions au travail) sont desormais interdits. Obligation de formation a la maitrise de l'IA (AI literacy) pour tout le personnel concerne (article 4).
Les fournisseurs de modeles d'IA a usage general (GPT, Claude, Mistral, Llama, etc.) doivent fournir une documentation technique, respecter le droit d'auteur de l'UE et publier un resume du contenu d'entrainement ; ces obligations valent pour les nouveaux modeles, ceux deja sur le marche ayant jusqu'au 2 aout 2027. Les modeles a risque systemique (seuil de 10^25 FLOP) ont des obligations renforcees. C'est aussi a cette date que la gouvernance europeenne et le regime de sanctions entrent en vigueur.
La Commission publie le Code de bonnes pratiques pour les modeles a usage general, juge « adequat » le 1er aout 2025. Il couvre la transparence et le droit d'auteur (tous les GPAI) ainsi que la surete et la securite (modeles a risque systemique). C'est un outil volontaire pour demontrer sa conformite [4].
Plusieurs obligations entrent en application et ne sont pas concernees par le report : les obligations de transparence (article 50) — informer les personnes qu'elles interagissent avec une IA (chatbots, agents vocaux), marquer les contenus generes —, la mise en place des bacs a sable reglementaires, et le demarrage de l'application et des sanctions par les autorites nationales (en France, la CNIL). C'est aussi la date d'origine des obligations « haut risque » de l'Annexe III — celle que le Digital Omnibus chercherait a reporter (voir ci-dessous).
Toutes les obligations pour les systemes a haut risque de l'Annexe III : documentation technique, gestion de la qualite, supervision humaine, traceabilite, cybersecurite, enregistrement dans la base de donnees de l'UE. Date d'origine : 2 aout 2026, que l'accord provisoire Digital Omnibus (6-7 mai 2026) decalerait au 2 decembre 2027. Tant que ce report n'est pas publie au Journal officiel, la date du 2 aout 2026 reste juridiquement en vigueur [8].
Obligations pour les systemes IA integres dans des produits deja couverts par la legislation d'harmonisation de l'UE (Annexe I) : dispositifs medicaux, jouets, machines, equipements radio, etc. Date d'origine (2 aout 2027) que le Digital Omnibus decalerait au 2 aout 2028 — sous la meme reserve de publication au Journal officiel [8].
6. Sanctions : ce que vous risquez concretement
L'AI Act prevoit un regime de sanctions a trois niveaux (article 99), directement inspire du RGPD mais avec des montants encore plus eleves [6] :
35M EUR
ou 7 % du CA mondial
Utilisation de systemes IA interdits (risque inacceptable)
15M EUR
ou 3 % du CA mondial
Non-conformite aux obligations pour systemes a haut risque
7,5M EUR
ou 1 % du CA mondial
Fourniture d'informations inexactes aux autorites
Ces plafonds peuvent faire peur, mais ils ne s'appliquent pas tels quels a une PME. Pour les PME et start-ups, c'est le montant le plus faible des deux qui s'applique (le plafond reduit, pas le maximum), et la viabilite economique de l'entreprise est prise en compte. Concretement, une start-up realisant 2 M€ de chiffre d'affaires ne risque pas 35 M€ pour une pratique interdite, mais un plafond proportionne a son CA — de l'ordre de 140 000 € dans ce cas. Cela reste une somme importante, mais sans commune mesure avec les montants affiches.
Au-dela des sanctions financieres, l'AI Act prevoit egalement :
- Le retrait du marche — l'autorite de surveillance peut ordonner le retrait d'un systeme IA non conforme
- L'interdiction temporaire — suspension de l'utilisation du systeme jusqu'a mise en conformite
- L'atteinte a la reputation — les decisions de sanction peuvent etre publiees (name and shame)
- La responsabilite civile — les personnes affectees par un systeme IA non conforme peuvent engager des poursuites (la directive sur la responsabilite IA est en cours d'adoption)
Comparaison avec le RGPD
Rappelons que le RGPD prevoit des sanctions allant jusqu'a 20 millions d'euros ou 4 % du CA mondial. L'AI Act va plus loin pour les pratiques interdites : 35 millions ou 7 % du CA. Le legislateur europeen a clairement voulu envoyer un signal fort. Et l'experience du RGPD montre que l'application monte en puissance progressivement, mais reellement [3].
7. Comment JAIKIN vous accompagne
Chez JAIKIN, nous accompagnons les PME et ETI dans leur transformation IA depuis le premier jour. La conformite AI Act n'est pas un sujet isole — c'est un element integral de notre approche IA responsable par conception.
Notre conviction : la conformite ne doit pas etre un frein, mais un accelerateur de confiance. Les entreprises qui integrent la conformite des la conception de leurs systemes IA gagnent du temps, de l'argent, et la confiance de leurs clients et partenaires.
Notre offre d'accompagnement
Audit IA & Classification
Inventaire complet de vos systemes IA, classification par niveau de risque, rapport detaille avec recommandations priorisees. Duree : 1 a 2 semaines.
Mise en conformite
Implementation des 6 etapes de conformite : evaluation des risques, documentation technique, systeme qualite, procedures de supervision humaine. Duree : 4 a 8 semaines.
Documentation & Templates
Production de toute la documentation requise par l'AI Act : fiches techniques, registres de risques, procedures de supervision, rapports FRIA. Templates reutilisables inclus.
Formation AI Literacy
L'article 4 de l'AI Act impose une obligation de formation. Nous proposons des sessions de sensibilisation adaptees a vos equipes : direction, RH, DSI, equipes metier.
Pour en savoir plus sur notre approche de la conformite IA, consultez notre guide complet sur l'AI Act et notre page dediee a l'IA conforme RGPD et AI Act.
Vous ne savez pas par ou commencer ?
Nous proposons un audit de classification gratuit pour determiner si vos systemes IA sont concernes par les obligations de l'AI Act.
Demander un audit gratuitRecevez le livre blanc complet par email
Format PDF haute qualité (22 pages) – le lien de téléchargement arrive directement dans votre boîte mail
8. FAQ — AI Act et conformite PME
L'AI Act s'applique-t-il a ma PME si j'utilise uniquement des outils IA tiers (SaaS) ?
Oui. L'AI Act distingue deux roles : le fournisseur (celui qui developpe le systeme IA) et le deployeur (celui qui l'utilise dans un contexte professionnel). Meme si vous n'avez pas developpe l'outil, vous etes considere comme deployeur et soumis a des obligations specifiques : utiliser le systeme conformement a ses instructions, assurer la supervision humaine, conserver les logs, et signaler les incidents. Si l'outil que vous utilisez est classe a haut risque (par exemple un outil de tri de CV), vos obligations sont significatives.
Mon chatbot support client est-il considere a haut risque ?
Dans la grande majorite des cas, non. Un chatbot qui repond a des questions frequentes, oriente les clients ou fournit des informations generales n'est pas a haut risque. Il tombe dans la categorie "risque limite" et est soumis uniquement a une obligation de transparence : vous devez informer l'utilisateur qu'il interagit avec un systeme d'IA (article 50). En revanche, si votre chatbot prend des decisions qui affectent les droits des personnes — par exemple, accepter ou refuser un remboursement, evaluer l'eligibilite a un service — il pourrait basculer dans la categorie haut risque selon le domaine d'application.
Quelles sont les differences entre les obligations AI Act et RGPD ?
Le RGPD protege les donnees personnelles — il encadre la collecte, le traitement et le stockage des donnees. L'AI Act encadre les systemes d'IA eux-memes — il regule leur conception, leur deploiement et leur utilisation. Les deux reglements sont complementaires et cumulatifs : un systeme IA qui traite des donnees personnelles doit etre conforme aux deux. Par exemple, un outil de scoring credit doit respecter le RGPD pour le traitement des donnees financieres ET l'AI Act pour la classification haut risque. Consultez notre article detaille sur la conformite IA et RGPD.
Combien coute la mise en conformite AI Act pour une PME ?
Le cout depend surtout du nombre de systemes IA concernes et de leur niveau de risque. Si vos systemes sont tous a risque minimal ou limite — le cas le plus frequent —, la depense se resume a un audit de classification et a la mise en place des obligations de transparence. Si vous avez un ou plusieurs systemes a haut risque, le budget augmente (documentation, evaluation des risques, systeme qualite). Bonne nouvelle pour les PME : l'objectif affiche du Digital Omnibus est de reduire de 35 % la charge de conformite pour les PME d'ici 2029 (25 % toutes entreprises confondues), via des obligations simplifiees et des templates standardises [8]. Le mieux reste de demander un devis apres un audit de classification : c'est lui qui determine reellement l'effort a fournir.
Existe-t-il des allegements pour les PME et startups ?
Oui, l'AI Act prevoit plusieurs mesures specifiques pour les PME et start-ups : acces aux bacs a sable reglementaires (sandbox IA) mis en place par chaque Etat membre, plafonds d'amendes reduits (c'est le montant le plus faible des deux qui s'applique, et la viabilite economique est prise en compte), et templates de documentation standardises fournis par l'EU AI Office. L'accord provisoire Digital Omnibus vise meme a reduire de 35 % la charge de conformite pour les PME d'ici 2029 [8]. Cependant, les obligations fondamentales (classification des risques, supervision humaine, transparence) restent les memes quelle que soit la taille de l'entreprise [1].
Qui est l'autorite de surveillance en France ?
La CNIL est le point de reference cote IA et donnees personnelles en France : elle a publie une serie de questions-reponses sur l'entree en vigueur de l'AI Act ainsi que des recommandations sur le developpement des systemes IA [3]. La designation definitive des autorites nationales de surveillance au sens de l'article 70 s'inscrit dans le cadre de l'echeance du 2 aout 2026, qui marque le demarrage de l'application et des sanctions au niveau national. Surveillez les annonces officielles dans les prochains mois et, en attendant, appuyez-vous sur les publications de la CNIL.
L'AI Act s'applique-t-il aux entreprises hors de l'Union europeenne ?
Oui. Comme le RGPD, l'AI Act a une portee extraterritoriale (article 2). Il s'applique a tout fournisseur qui met un systeme IA sur le marche de l'UE, ainsi qu'a tout deployeur etabli dans un pays tiers dont le systeme IA produit des resultats utilises dans l'UE. Concretement, si vous etes une PME francaise utilisant un outil IA americain pour trier des CV de candidats en France, vous etes deployeur soumis a l'AI Act, et votre fournisseur americain est egalement soumis a ses propres obligations en tant que fournisseur.
Puis-je commencer ma mise en conformite maintenant ou dois-je attendre les guidelines definitives ?
Commencez maintenant. Le texte du reglement est definitif depuis aout 2024, et plusieurs obligations sont deja applicables (interdictions, litteratie IA, GPAI, sanctions). Les etapes 1 a 4 de notre checklist (inventaire, classification, evaluation des risques, systeme qualite) peuvent etre lancees des aujourd'hui. Surtout, ne misez pas tout sur le report « haut risque » : l'accord Digital Omnibus n'est pas encore publie au Journal officiel, le RGPD s'applique deja, et l'article 50 (transparence) arrive bien le 2 aout 2026. S'il est confirme, le report vous donne de la marge pour vous preparer methodiquement — pas une excuse pour ne rien faire. Les entreprises qui ont anticipe le RGPD ont systematiquement eu un avantage sur celles qui ont attendu le dernier moment ; l'histoire se repete avec l'AI Act. Pour un accompagnement structure, consultez notre guide sur l'automatisation IA conforme.
9. Sources et references
[1] Reglement (UE) 2024/1689 du Parlement europeen et du Conseil etablissant des regles harmonisees concernant l'intelligence artificielle (AI Act) — Texte officiel sur EUR-Lex (FR)
[3] CNIL — Questions-reponses sur l'entree en vigueur du reglement europeen sur l'IA (nouvelle source 2025-2026) — cnil.fr ; recommandations sur le developpement des systemes IA — cnil.fr
[4] Commission europeenne — Cadre reglementaire de l'IA (nouvelle source 2025-2026) — digital-strategy.ec.europa.eu ; calendrier officiel de l'AI Act Service Desk (AI Office) — ai-act-service-desk.ec.europa.eu ; Code de bonnes pratiques GPAI — digital-strategy.ec.europa.eu
[5] Commission europeenne — Lignes directrices pour les fournisseurs de modeles GPAI (nouvelle source 2025-2026) — digital-strategy.ec.europa.eu
[6] Article 99 de l'AI Act (regime de sanctions) — artificialintelligenceact.eu
[8] Digital Omnibus — accord provisoire reportant les echeances « haut risque » (analyse, 27 mai 2026) — gibsondunn.com (nouvelle source 2025-2026 ; analyse secondaire — accord non encore publie au Journal officiel au 10 juin 2026)
[9] Eurostat — « Use of artificial intelligence in enterprises » : 20,0 % des entreprises de l'UE (10+ salaries) utilisaient l'IA en 2025 (vs 13,5 % en 2024), publie le 11 decembre 2025 (nouvelle source 2025-2026) — ec.europa.eu/eurostat
Article publie le 12 mars 2026, mis a jour le 10 juin 2026. Les informations contenues dans cet article sont fournies a titre informatif et ne constituent pas un avis juridique. Pour un accompagnement personnalise sur la conformite AI Act de votre entreprise, contactez nos experts.
À lire aussi
IA et recrutement : ce que l'AI Act et le RGPD imposent vraiment (2026)
IA recrutement à haut risque : ce que l'AI Act et le RGPD imposent vraiment en 2026. Transparence, supervision humaine, DPIA, matching conforme.
LireAgences d'intérim et AI Act : votre logiciel de matching est-il conforme ?
AI Act et intérim : matching et scoring de fiabilité sont « haut risque » (échéance reportée au 2 décembre 2027), et la check-list pour vérifier votre logiciel.
LireAgent téléphonique IA avec ElevenLabs : conforme RGPD et AI Act
Construire un agent vocal IA avec ElevenLabs, conforme RGPD et AI Act : architecture, script de divulgation et check-list de mise en production.
Lire