AI Act J-45 : checklist de conformité pour les PME avant août 2026

Q: Quels sont les 8 domaines à haut risque de l'Annexe III de l'AI Act ?

L'Annexe III définit 8 domaines où les systèmes d'IA sont classés à haut risque : infrastructures critiques, éducation et formation professionnelle, emploi et gestion des travailleurs (dont le recrutement), accès aux services publics et privés essentiels (dont le scoring de crédit), forces de l'ordre, gestion de la migration et contrôle aux frontières, administration de la justice, et identification biométrique.

Le compte à rebours est entré dans sa phase finale. Au 18 juin 2026, il reste exactement 45 jours avant que le 2 août 2026 marque l’application complète des obligations AI Act pour les systèmes d’IA à haut risque et les exigences de transparence. Pour les PME françaises, la fenêtre de préparation se ferme rapidement. Voici la checklist de dernière ligne droite.

Ce qui entre en vigueur le 2 août 2026

Depuis le 2 février 2025, les pratiques d’IA interdites (article 5) sont déjà sanctionnables : scoring social, manipulation subliminale, exploitation de vulnérabilités. Le 2 août 2026, deux blocs supplémentaires deviennent pleinement applicables :

Les systèmes d’IA à haut risque (Annexe III) : tout système utilisé dans l’un des 8 domaines définis par l’Annexe III doit respecter un ensemble complet d’obligations — gestion des risques documentée, qualité des données d’entraînement, transparence, supervision humaine, journalisation, cybersécurité et documentation technique.

Les obligations de transparence (article 50) : les chatbots et systèmes d’IA générative doivent informer l’utilisateur qu’il interagit avec une IA. Les contenus générés par IA (texte, image, audio, vidéo) doivent être étiquetés comme tels.

Pour une PME qui utilise un outil de tri de CV, un chatbot de support client ou un scoring de crédit, le 2 août n’est pas une date abstraite. C’est la date à laquelle la CNIL, désignée comme autorité de référence pour l’AI Act en France, pourra constater des manquements et engager des procédures.

Les 8 domaines à haut risque de l’Annexe III

Si votre PME utilise un système d’IA dans l’un de ces domaines, il est classé à haut risque :

Infrastructures critiques : énergie, transports, eau, réseaux numériques
Éducation et formation professionnelle : notation automatisée, orientation, évaluation
Emploi et gestion des travailleurs : tri de CV, recrutement, évaluation de performance, décisions RH
Accès aux services essentiels : scoring de crédit, assurance, services publics
Forces de l’ordre : évaluation de risque, détection de fraude
Migration et contrôle aux frontières : vérification de documents, évaluation des demandes
Administration de la justice : recherche juridique assistée, analyse de dossiers
Identification biométrique : reconnaissance faciale, identification à distance

Le cas d’usage le plus fréquent en PME concerne les domaines 3 et 4 : recrutement, RH et scoring financier. Si vous utilisez un outil de présélection de CV basé sur l’IA — même un SaaS tiers —, vous êtes concerné en tant que déployeur. Pour approfondir cette étape, consultez notre guide de cartographie des outils IA.

Checklist J-45 : les 7 actions prioritaires

1. Inventorier tous vos outils IA

Listez chaque outil, service ou API utilisant de l’intelligence artificielle dans votre organisation. Incluez les outils évidents (ChatGPT, Claude, Mistral) mais aussi les fonctionnalités IA intégrées dans vos logiciels existants : scoring automatique dans votre CRM, suggestions de recrutement dans votre ATS, détection de fraude dans votre outil de paiement. La cartographie complète est le prérequis de tout le reste — notre guide dédié détaille la méthodologie.

2. Classifier chaque outil par niveau de risque

Pour chaque outil inventorié, déterminez sa catégorie :

Interdit (article 5) : scoring social, manipulation subliminale — à supprimer immédiatement
Haut risque (Annexe III) : RH, crédit, éducation, infrastructure critique — documentation complète exigée
Transparence requise (article 50) : chatbots, générateurs de contenu — disclosure obligatoire
Risque minimal : la majorité des outils — pas d’obligation spécifique, mais bonnes pratiques recommandées

3. Vérifier la conformité de vos fournisseurs

En tant que déployeur, vous avez l’obligation de vous assurer que vos fournisseurs d’IA ont rempli leurs propres obligations. Demandez-leur :

La documentation technique du système (pour les systèmes à haut risque)
Le marquage CE le cas échéant
Les informations sur les données d’entraînement et les biais identifiés
Leur politique d’usage et leurs conditions de service (consultez les politiques d’usage d’Anthropic, OpenAI ou Mistral comme références)

4. Documenter vos usages et votre gestion des risques

Pour chaque système à haut risque, préparez :

Une analyse d’impact documentée
La description des mesures de supervision humaine mises en place
Le protocole de journalisation des décisions automatisées
La procédure d’alerte et de correction en cas de dysfonctionnement

5. Mettre en conformité vos chatbots et IA génératives

L’article 50 impose une obligation de transparence claire. Concrètement :

Ajoutez une mention visible du type “Vous échangez avec un assistant automatisé” au premier contact
Étiquetez les contenus générés par IA (textes marketing, images, vidéos)
Placez l’information avant ou au début de l’interaction, pas dans les CGU

6. Former vos équipes

L’article 4 sur l’AI literacy est en vigueur depuis le 2 février 2025. Si vous ne l’avez pas encore fait, c’est le moment de rattraper le retard. L’obligation porte sur tous les collaborateurs qui utilisent ou supervisent des systèmes d’IA. Un programme de formation IA adapté à vos salariés est indispensable avant le 2 août.

7. Désigner un responsable conformité IA

Nommez une personne référente, même à temps partiel. Cette personne sera l’interlocuteur de la CNIL et le garant du suivi de votre dossier de conformité. Dans une PME de 20 à 100 salariés, ce rôle peut être cumulé avec le DPO ou le responsable qualité.

Les sanctions : ce que risque concrètement une PME

Le régime de sanctions de l’AI Act est gradué selon la gravité de l’infraction :

Type d’infraction	Montant maximum	% CA mondial
IA interdite (article 5)	35 M€	7 %
Non-conformité haut risque	15 M€	3 %
Manquement transparence	7,5 M€	1 %

La protection PME : pour les petites et moyennes entreprises, le règlement prévoit que le montant retenu est le plus faible entre le pourcentage du CA et le montant fixe. Pour une PME à 5 millions d’euros de chiffre d’affaires, le plafond pour un manquement de transparence serait donc de 50 000 euros (1 % du CA) plutôt que 7,5 millions.

De plus, le Digital Omnibus a étendu les facilités PME aux entreprises de moins de 750 salariés et 150 millions d’euros de CA. Si votre entreprise entre dans cette catégorie, vous bénéficiez d’amendes proportionnées et d’un accès prioritaire aux dispositifs d’accompagnement. Consultez notre analyse complète des obligations AI Act pour les PME pour les détails.

Le rôle de la CNIL et les sandboxes réglementaires

La CNIL a été désignée comme autorité de référence pour l’AI Act en France. Cette désignation s’appuie sur son expertise acquise avec le RGPD et son maillage territorial. Pour les PME, cela signifie un interlocuteur connu et une doctrine qui devrait privilégier l’accompagnement avant la sanction — du moins dans les premiers mois.

Le règlement impose également à chaque État membre de mettre en place au moins une sandbox réglementaire avant le 2 août 2026. Ces environnements contrôlés permettent de tester des systèmes d’IA sous supervision réglementaire, avec des obligations allégées. Le Digital Omnibus reporte toutefois le délai des sandboxes nationales à août 2027, tout en créant une sandbox européenne pilotée par l’AI Office avec un accès prioritaire pour les PME.

Calendrier récapitulatif J-45

Semaine	Action	Priorité
S1 (18-24 juin)	Inventaire complet des outils IA	Critique
S2 (25 juin - 1er juillet)	Classification par niveau de risque	Critique
S3 (2-8 juillet)	Collecte documentation fournisseurs	Haute
S4 (9-15 juillet)	Documentation interne et analyse d’impact	Haute
S5 (16-22 juillet)	Mise en conformité chatbots (article 50)	Haute
S6 (23-29 juillet)	Formation équipes et désignation référent	Moyenne
S7 (30 juillet - 2 août)	Revue finale et tests	Moyenne

Ce calendrier est serré. Si vous n’avez pas encore commencé l’inventaire, la semaine en cours est décisive. Les actions des semaines 1 et 2 conditionnent tout le reste.

Ce que les PME oublient le plus souvent

Trois angles morts reviennent systématiquement :

L’IA cachée dans les SaaS. Votre CRM, votre outil RH, votre plateforme de facturation intègrent peut-être des fonctions d’IA que vous n’avez pas identifiées. Un scoring de leads automatisé ou une suggestion de prix basée sur l’IA peuvent tomber dans le périmètre réglementaire sans que vous en ayez conscience.

Le rôle de déployeur. Même si vous n’avez pas développé le système d’IA, vous êtes déployeur dès lors que vous l’utilisez sous votre responsabilité. Les obligations de supervision humaine, de journalisation et de transparence vous incombent, pas uniquement au fournisseur.

La formation article 4. L’obligation d’AI literacy est souvent négligée car elle est entrée en vigueur discrètement en février 2025. Pourtant, les sanctions deviennent applicables dès août 2026. Un plan de formation minimal — même quelques heures par collaborateur — est exigé.

FAQ

Quelles sont les sanctions AI Act pour une PME non conforme au 2 août 2026 ?

Les sanctions varient selon la nature de l’infraction : jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial pour l’utilisation d’une IA interdite, 15 millions ou 3 % pour la non-conformité d’un système à haut risque, et 7,5 millions ou 1 % pour un manquement aux obligations de transparence. Pour les PME, le montant retenu est le plus faible entre le pourcentage et le montant fixe.

La CNIL est-elle responsable du contrôle de l’AI Act en France ?

Oui. La CNIL a été désignée comme autorité de référence pour l’application de l’AI Act en France. Elle coordonne le contrôle et l’accompagnement des entreprises, en s’appuyant sur son expérience du RGPD.

Le Digital Omnibus change-t-il les obligations AI Act pour les PME ?

Oui. L’accord Digital Omnibus du 7 mai 2026 étend les facilités AI Act aux entreprises de moins de 750 salariés et 150 millions d’euros de CA. Les obligations de transparence article 50 et les interdictions article 5 restent toutefois inchangées.

Quels sont les 8 domaines à haut risque de l’Annexe III de l’AI Act ?

Infrastructures critiques, éducation et formation, emploi et gestion des travailleurs (recrutement), accès aux services essentiels (scoring de crédit), forces de l’ordre, migration et contrôle aux frontières, administration de la justice, et identification biométrique.