Analyse
AI Act : cartographier ses outils IA avant août 2026, guide PME
J-45 : l’horloge AI Act tourne
Le 2 août 2026 marque l’application intégrale de l’AI Act européen. Si votre PME utilise des outils IA — et en 2026, quasiment toutes le font — vous devez avoir cartographié, classifié et documenté ces usages avant cette date. Ce n’est pas une formalité : l’audit interne de vos outils IA est la première étape de conformité, et c’est celle que vous pouvez réaliser seul, sans consultant.
Le paquet omnibus numérique de juin 2026 a allégé certaines obligations, notamment pour les systèmes IA intégrés à des produits déjà conformes CE. Mais les obligations fondamentales — transparence, formation des équipes, documentation des usages à haut risque — restent entières pour les PME.
Étape 1 : inventorier tous vos outils IA
La première action est un inventaire exhaustif. La cartographie doit couvrir tous les départements, pas seulement l’IT. Voici les catégories à auditer :
Outils IA explicites
Ce sont les outils que vos équipes savent utiliser comme de l’IA :
| Catégorie | Exemples courants | Département |
|---|---|---|
| Assistants conversationnels | ChatGPT, Claude, Mistral Le Chat | Tous |
| Copilotes de code | GitHub Copilot, Claude Code, Cursor | Tech/Dev |
| Outils de rédaction IA | Jasper, Copy.ai, Claude pour le contenu | Marketing |
| Transcription/résumé | Otter.ai, Whisper, Claude | RH, Direction |
| Analyse de données | Claude pour Excel, Copilot pour Power BI | Finance, Ventes |
IA embarquée (souvent invisible)
Ces outils contiennent de l’IA sans que les utilisateurs en soient toujours conscients :
| Catégorie | Exemples | Risque AI Act |
|---|---|---|
| CRM avec scoring IA | HubSpot, Salesforce Einstein | Moyen (scoring de leads) |
| Filtrage de CV | LinkedIn Recruiter, Indeed IA | Élevé (décision sur personnes) |
| Chatbot service client | Intercom, Zendesk AI | Moyen (transparence obligatoire) |
| Anti-fraude | Stripe Radar, Sift | Potentiellement haut risque |
| Traduction automatique | DeepL, Google Translate | Faible |
C’est l’IA embarquée qui pose le plus de problèmes : vos équipes l’utilisent sans savoir qu’elle relève de l’AI Act.
Étape 2 : classifier par niveau de risque
L’AI Act définit quatre niveaux de risque. Pour chaque outil inventorié, déterminez sa catégorie :
Risque inacceptable (interdit)
Systèmes interdits depuis février 2025 : scoring social, manipulation subliminale, exploitation de vulnérabilités, reconnaissance faciale en temps réel dans l’espace public (sauf exceptions). Peu probable dans une PME standard.
Haut risque (obligations lourdes)
Systèmes qui impactent les droits fondamentaux : recrutement IA, scoring de crédit, évaluation de risque d’assurance, décisions judiciaires. Si votre PME utilise un outil de filtrage de CV avec IA, il relève du haut risque.
Obligations : évaluation de conformité, documentation technique, gestion des risques, supervision humaine, qualité des données, journalisation.
Risque limité (transparence)
Chatbots et systèmes interactifs : l’utilisateur doit savoir qu’il interagit avec une IA. Si votre chatbot service client utilise Claude ou GPT, vous devez l’indiquer clairement.
Obligations : transparence et étiquetage AI Act art. 50.
Risque minimal (pas d’obligation spécifique)
Filtres anti-spam, correcteurs orthographiques, traduction automatique. La majorité des usages IA d’une PME tombe dans cette catégorie.
Étape 3 : déterminer votre rôle
L’AI Act distingue trois rôles avec des obligations différentes :
| Rôle | Définition | Obligations |
|---|---|---|
| Fournisseur | Vous développez ou entraînez le modèle IA | Obligations maximales (évaluation, certification) |
| Déployeur | Vous configurez et déployez l’IA pour prendre des décisions | Obligations significatives (transparence, supervision, documentation) |
| Utilisateur final | Vous utilisez un outil SaaS tel quel | Obligations minimales (formation art. 4) |
Pour 90 % des PME, le rôle est utilisateur final (ChatGPT, Claude en SaaS) ou déployeur (chatbot configuré, scoring personnalisé). Rares sont les PME fournisseurs de modèles IA.
Le cas ambigu du déployeur
Vous devenez déployeur dès que vous configurez activement les comportements IA pour impacter des tiers. Exemples :
- Chatbot Claude avec un prompt système qui décide si une réclamation client est acceptée → déployeur
- Claude utilisé manuellement pour résumer des emails → utilisateur final
- Agent IA qui filtre des CV avec des critères personnalisés → déployeur haut risque
Étape 4 : documenter et planifier
Pour chaque outil IA inventorié, créez une fiche minimale :
Outil : [nom]
Fournisseur : [éditeur]
Usage : [description en 2 lignes]
Département : [qui l'utilise]
Catégorie de risque : [minimal / limité / haut / inacceptable]
Rôle PME : [utilisateur final / déployeur / fournisseur]
Actions requises : [aucune / transparence / audit complet]
Responsable interne : [nom]
Date de prochaine revue : [trimestre]Ce registre n’est pas un document légal formel, mais il prouve votre démarche de conformité en cas de contrôle. Pour une PME de 10 à 50 personnes, l’inventaire initial prend 2 à 5 jours de travail.
Étape 5 : former les équipes (obligation art. 4)
L’obligation de formation IA de l’article 4 AI Act est souvent oubliée. Tout salarié qui utilise ou supervise un système IA doit avoir une « maîtrise suffisante de l’IA ». Concrètement :
- Organisez un atelier de 2h pour les utilisateurs courants (ChatGPT, Claude, Copilot)
- Formation approfondie (1 jour) pour les déployeurs (chatbot, scoring, agents)
- Documentez les formations réalisées (dates, contenus, participants)
Le programme Bpifrance « Osez l’IA » subventionne à 25 % le diagnostic et l’accompagnement IA des PME. C’est un levier pour financer ces formations.
Le calendrier d’action J-45
| Semaine | Action | Livrable |
|---|---|---|
| S1 (17-23 juin) | Inventaire des outils IA explicites | Tableur des outils + départements |
| S2 (24-30 juin) | Inventaire de l’IA embarquée (SaaS, CRM) | Tableur complété |
| S3 (1-7 juillet) | Classification risque + détermination rôle | Fiches par outil |
| S4 (8-14 juillet) | Formation équipes (atelier 2h) | PV de formation |
| S5 (15-21 juillet) | Transparence chatbots + documentation | Registre IA complété |
| S6 (22-31 juillet) | Revue finale + corrections | Dossier de conformité V1 |
FAQ
L’AI Act s’applique-t-il aux PME de moins de 50 salariés ?
Oui, l’AI Act s’applique à toute organisation qui utilise, déploie ou fournit des systèmes IA dans l’UE, quelle que soit sa taille. Cependant, le paquet omnibus numérique de juin 2026 a étendu les allègements aux PME de moins de 750 salariés pour les systèmes IA intégrés à des produits déjà conformes CE. Et les sanctions sont plafonnées proportionnellement au CA.
Faut-il un DPO IA en plus du DPO RGPD ?
Non, l’AI Act ne crée pas de fonction obligatoire équivalente au DPO. Mais il est recommandé de désigner un responsable interne de la conformité IA — souvent le DPO existant, le DSI ou le dirigeant dans les petites structures. Ce référent coordonne l’inventaire, les formations et les mises à jour trimestrielles.
Que se passe-t-il si je ne suis pas prêt le 2 août ?
Les autorités nationales (en France, la CNIL pour les aspects données personnelles et l’AI Office européen) privilégieront les injonctions correctrices avant les amendes, surtout pour les PME de bonne foi. Avoir un registre IA en cours de constitution, même incomplet, démontre une démarche active et réduit considérablement le risque de sanction. L’essentiel est de montrer que vous avez commencé.
Agissez maintenant
Vous avez 45 jours. Commencez par l’inventaire cette semaine — un simple tableur suffit. La conformité AI Act n’est pas un projet à 6 chiffres pour une PME : c’est une semaine de travail méthodique et une discipline trimestrielle de mise à jour.