IA-BRIEF TERMINAL · ÉDITION N°137
DIM 17 MAI 2026 11:44 UTC+1

Analyse

AI Act européen : ce que les PME doivent faire avant le 2 août 2026

Publié
MAJ
Par Stefan
Lecture 6 min

Cent jours avant l’échéance. Le règlement (UE) 2024/1689 — l’AI Act —, publié au Journal officiel de l’Union européenne le 12 juillet 2024, est entré en vigueur le 1er août 2024. Le 2 août 2026, il sera pleinement applicable — à quelques exceptions sectorielles près. Pour une PME française qui utilise un outil de présélection de CV ou un chatbot client basé sur un LLM, ce n’est pas une abstraction. La documentation de vos pratiques, les dossiers de conformité à demander à vos fournisseurs, la procédure de supervision humaine à mettre en place : tout cela prend du temps que vous n’avez plus.

Le calendrier confirmé par la Commission européenne

Deux jalons sont déjà passés. Il en reste un pour la majorité des PME.

timeline
    title AI Act UE 2024/1689 — calendrier d'application
    1er août 2024 : Entrée en vigueur
    2 fév. 2025 : IA interdites applicables (Art. 5)
               : Manipulation — social scoring — biométrie RT
    2 août 2025 : Gouvernance + IAGP
               : AI Office opérationnel — règles GPAI
    2 août 2026 : Deadline principale PME
               : Titres III et IV — IA haute risque — déployeurs
    2 août 2027 : Produits réglementés (Annexe I)
               : Dispositifs médicaux — machines — véhicules

Êtes-vous fournisseur ou déployeur ?

L’AI Act distingue deux rôles principaux, avec des obligations substantiellement différentes.

Fournisseur (provider) : vous développez un système d’IA, le mettez sur le marché européen ou le commercialisez sous votre marque. Obligations maximales : évaluation de conformité, documentation technique, marquage CE, enregistrement dans la base de données EU. Cela concerne les éditeurs logiciels et les intégrateurs qui déploient un modèle sous leur propre label.

Déployeur (deployer) : vous utilisez en production un système d’IA développé par un tiers. C’est le cas de la grande majorité des PME qui s’appuient sur des APIs ou des solutions SaaS avec IA intégrée. Obligations allégées — mais réelles, et nouvelles.

Les particuliers utilisant l’IA à titre strictement personnel sont hors périmètre.

5 obligations à vérifier avant le 2 août

1. Inventorier vos IA haute risque

L’Annexe III liste les cas d’usage automatiquement classés haute risque : recrutement et gestion RH (filtrage de CV, évaluation de performance automatisée), accès aux services financiers (scoring de crédit, tarification d’assurance), éducation et formation (orientation scolaire, évaluation), services publics essentiels, maintien de l’ordre. Si vous utilisez un outil IA dans l’un de ces domaines, vous êtes déployeur d’IA haute risque. Inventaire à faire maintenant.

2. Vérifier vos obligations de transparence (Art. 50)

L’article 50 impose qu’un système conversationnel IA déployé auprès d’utilisateurs les informe clairement qu’ils interagissent avec une IA, sauf si c’est évident par le contexte. Votre chatbot support propulsé par un LLM doit se présenter comme tel. Une mention enfouie dans les conditions générales d’utilisation ne suffit pas.

3. Demander la documentation conformité à vos fournisseurs

En tant que déployeur d’IA haute risque, vous devez vous assurer que votre fournisseur vous remet la documentation technique et les instructions d’utilisation prévues par le règlement. Fournisseur établi hors UE ? Il doit avoir désigné un représentant autorisé en Europe. Envoyez la demande à votre contact commercial dès cette semaine.

4. Mettre en place une procédure de supervision humaine

Le règlement exige que des personnes compétentes surveillent l’exploitation des IA haute risque et soient en mesure d’intervenir ou de suspendre leur fonctionnement. Ce n’est pas un contrôle en temps réel, mais une procédure documentée avec des responsabilités explicitement attribuées. Consignez-la par écrit.

5. Ouvrir un registre des incidents

Les déployeurs d’IA haute risque doivent consigner les incidents graves et les signaler aux autorités nationales compétentes. En France, la CNIL reste l’autorité de référence pour les traitements impliquant des données personnelles. Préparez un modèle de registre — la charge documentaire est faible si vous l’anticipez.

Sanctions : trois paliers

Le règlement prévoit des sanctions administratives graduées. Le montant effectif tient compte de la taille de l’entreprise — mais il n’existe pas d’immunité PME.

  • Jusqu’à 35 M€ ou 7 % du chiffre d’affaires annuel mondial pour violations des interdictions absolues (Art. 5) : IA de manipulation, scoring social, biométrie temps réel en espace public.
  • Jusqu’à 15 M€ ou 3 % du CA mondial pour la plupart des autres infractions — non-conformité d’une IA haute risque, défaut de transparence.
  • Jusqu’à 7,5 M€ ou 1,5 % du CA mondial pour informations incorrectes ou trompeuses transmises aux autorités de contrôle.

Le montant appliqué est le plus élevé des deux plafonds. Pour une PME à 5 M€ de CA, 3 % représente 150 000 €. Pas une ligne de budget de conformité.

Plan d’action en 3 semaines

Semaine 1 — Inventaire : listez tous les outils IA en production (CRM, recrutement, scoring, service client). Déterminez votre rôle pour chacun et si le cas d’usage entre dans l’Annexe III.

Semaine 2 — Qualification : pour chaque outil haute risque identifié, contactez votre fournisseur SaaS pour demander son dossier de conformité AI Act. Vérifiez l’existence d’un représentant UE si le fournisseur est américain.

Semaine 3 — Documentation : rédigez la procédure de supervision humaine, ouvrez un registre d’incidents, vérifiez les mentions d’information IA dans vos interfaces client. L’AI Office publie des guides sectoriels accessibles gratuitement sur le site de la Commission. Pour comprendre comment IA Brief vérifie ces textes réglementaires, consultez notre méthodologie éditoriale.

Questions fréquentes

Mon outil de présélection de CV est-il concerné par l’AI Act ? Oui. Les outils IA de recrutement et gestion RH figurent explicitement dans l’Annexe III. Vous êtes déployeur d’IA haute risque : les obligations de supervision humaine et de registre d’incidents s’appliquent à votre situation.

Que risque une PME qui ne se conforme pas avant le 2 août 2026 ? Pour non-conformité d’un système haute risque : jusqu’à 15 M€ ou 3 % du CA mondial. Il n’existe pas d’immunité PME, mais le montant tient compte de la taille de l’entreprise. Pour une PME à 5 M€ de CA, cela représente jusqu’à 150 000 €.

Par où commencer si j’ai peu de temps ? Inventaire d’abord : listez tous vos outils IA en production et identifiez ceux dont le cas d’usage entre dans l’Annexe III (recrutement, crédit, éducation, services publics). Les outils hors Annexe III ont des obligations allégées. Concentrez vos ressources sur les outils haute risque.

Le 2 août 2026 n’est pas la fin du calendrier. C’est le début de l’audit permanent. Retrouvez l’ensemble de nos analyses réglementaires IA publiées par Stefan, directeur de publication.

Verdict final

Sources primaires