Guide pratique

AI Act et PME : ce qui change concrètement en août 2026

Mis à jour le 7 mars 2026 · Lecture : 8 minutes · Par l'équipe KonformAI

Le Règlement (UE) 2024/1689 sur l'intelligence artificielle — communément appelé AI Act — est entré en vigueur le 1er août 2024. Il s'applique progressivement. Pour la grande majorité des PME françaises et européennes, l'échéance critique est le 2 août 2026. Voici ce que ça signifie concrètement.

En bref : Si votre entreprise utilise ChatGPT, Copilot, un outil de recrutement automatisé, ou n'importe quel logiciel intégrant de l'IA pour des décisions professionnelles — vous êtes concerné par l'AI Act en tant que déployeur.

Qu'est-ce que le statut de "déployeur" ?

L'AI Act distingue deux rôles principaux : les fournisseurs (ceux qui développent et mettent sur le marché un système IA) et les déployeurs (ceux qui utilisent un système IA dans un contexte professionnel). Les PME sont presque toujours des déployeurs.

En tant que déployeur, vous n'avez pas à certifier votre outil IA — c'est la responsabilité d'OpenAI, Microsoft, ou de votre fournisseur logiciel. Mais vous avez des obligations propres, indépendamment du niveau de risque de l'outil.

Les obligations qui s'appliquent à toutes les PME déployeuses

Depuis le 2 août 2025, et renforcées au 2 août 2026, les obligations minimales pour tout déployeur sont les suivantes :

1. La maîtrise des outils utilisés (Article 4)

L'article 4 impose une obligation de compétence : les personnes qui utilisent ou supervisent des systèmes IA doivent disposer d'une formation ou d'informations suffisantes sur les capacités et les limites de ces systèmes. En pratique, cela signifie rédiger des consignes d'usage et les diffuser à vos équipes.

2. L'inventaire des systèmes IA utilisés

Il n'existe pas d'obligation légale de tenir un registre formel pour les systèmes à risque faible — mais c'est la base d'une démarche de conformité défendable. Documenter quels outils vous utilisez, dans quel but, et qui y a accès est la première étape attendue par toute autorité de contrôle.

3. La transparence envers les tiers (Articles 50 et 52)

Si vous utilisez un système IA dans vos interactions avec des clients ou des candidats, vous devez en informer les personnes concernées. Cela passe notamment par vos mentions légales, vos CGV, ou toute communication directe. Les chatbots doivent être clairement identifiés comme non-humains.

4. Le croisement avec le RGPD

La plupart des outils IA traitent des données personnelles. L'AI Act et le RGPD se cumulent — ils ne s'excluent pas. Vérifier les CGU de vos fournisseurs, s'assurer qu'il existe des accords de traitement des données (DPA), et mettre à jour votre registre RGPD sont des étapes indissociables de la conformité IA.

Ce qui change selon le niveau de risque

Niveau	Exemples d'usages	Obligations principales
Risque minimal	Rédaction, traduction, résumés, code	Formation équipes, consignes écrites, transparence si contact client
Risque limité	Chatbot client, scoring marketing, analyse de données sensibles	Information clients, vérification CGU, clauses DPA fournisseurs
Risque élevé (Annexe III)	Recrutement IA, scoring crédit, aide au diagnostic médical, surveillance	Supervision humaine formalisée, journalisation, évaluation d'impact, clause contractuelle obligatoire

Bonne nouvelle : la grande majorité des PME utilisent des outils à risque faible ou limité (ChatGPT, Copilot, Notion AI, HubSpot IA). Les obligations sont proportionnées et accessibles sans cabinet juridique spécialisé.

Quelles sont les sanctions en cas de non-conformité ?

L'AI Act prévoit un système de sanctions graduées, appliquées par les autorités nationales de surveillance (en France, la CNIL est pressentie comme autorité compétente) :

Jusqu'à 35 millions d'euros ou 7% du CA mondial pour les infractions les plus graves (usages interdits).
Jusqu'à 15 millions d'euros ou 3% du CA mondial pour le non-respect des obligations déployeurs.
Jusqu'à 7,5 millions d'euros ou 1,5% du CA mondial pour la fourniture d'informations incorrectes aux autorités.

Pour une PME de 2 millions d'euros de chiffre d'affaires, 3% représente 60 000 euros. La proportionnalité est réelle, mais le risque n'est pas négligeable — d'autant que les premières sanctions serviront d'exemple.

Le calendrier à retenir

1 août 2024 — Entrée en vigueur du Règlement.
2 février 2025 — Interdiction des pratiques IA inacceptables (manipulation, notation sociale).
2 août 2025 — Obligations de formation et compétences (Article 4) applicables.
2 août 2026 — Toutes les obligations déployeurs applicables, dont la supervision humaine des systèmes à haut risque (Article 26).

Par où commencer ?

La démarche recommandée pour une PME qui part de zéro :

Inventorier tous les outils IA utilisés dans l'entreprise (y compris les fonctionnalités IA des outils existants comme Outlook, HubSpot, Notion).
Évaluer le niveau de risque de chaque usage selon l'Annexe III du Règlement.
Désigner un référent IA — il n'a pas besoin d'être un juriste, mais quelqu'un qui centralise la démarche.
Rédiger une charte d'usage à destination des équipes.
Vérifier les CGU et DPA de vos principaux fournisseurs IA.
Mettre à jour vos mentions légales pour mentionner les usages IA en contact avec des tiers.
Documenter l'ensemble dans un dossier daté, signé, disponible sur demande de l'autorité de contrôle.

Générez votre dossier en 15 minutes

KonformAI vous guide à travers les 30 questions clés et produit un PDF complet — inventaire, plan d'action, page de signature. Vos données ne quittent pas votre ordinateur.

Commencer le questionnaire →

Questions fréquentes

L'AI Act s'applique-t-il aux auto-entrepreneurs et indépendants ?

Oui, dès lors que vous utilisez des outils IA dans un contexte professionnel, même en tant que freelance. Les obligations sont proportionnées à la taille de la structure, mais elles existent. Un indépendant qui utilise ChatGPT pour rédiger des livrables clients est considéré comme déployeur.

Faut-il un avocat pour se mettre en conformité ?

Pour la majorité des PME utilisant des outils à risque faible ou limité : non. La conformité passe d'abord par de la documentation interne, des consignes d'usage, et quelques mises à jour contractuelles. Un conseil juridique spécialisé est recommandé uniquement pour les usages classifiés à haut risque (Annexe III).

Quelle autorité contrôlera l'AI Act en France ?

La Commission européenne supervise le cadre général. En France, la CNIL est l'autorité pressentie pour les aspects touchant aux données personnelles. Un projet de loi national est attendu pour désigner formellement l'autorité nationale de surveillance IA.

Mon logiciel métier intègre maintenant de l'IA. Suis-je concerné ?

Oui. Si votre ERP, votre CRM, ou votre outil RH a ajouté des fonctionnalités IA (scoring, recommandations, génération de contenu), vous utilisez un système IA au sens de l'AI Act. Votre fournisseur logiciel a l'obligation de vous informer des caractéristiques du système — vérifiez leur documentation ou contactez leur support.