AI Act conformite PME gouvernance IA

AI Act : l'échéance d'août 2026 pour les PME

Rodrigue Le Gall | | 8 min de lecture

L’AI Act est le règlement européen qui encadre l’usage de l’intelligence artificielle, et une nouvelle vague d’obligations devient applicable le 2 août 2026 : transparence, gouvernance des modèles à usage général, et premières exigences sur les systèmes à haut risque. Si vous utilisez l’IA dans votre PME — ne serait-ce que ChatGPT pour rédiger des emails — vous êtes concerné. La bonne nouvelle : pour une PME classique, 5 à 10 jours de travail avant l’été suffisent à être en règle. Voici exactement quoi faire, et dans quel ordre.

Ce qui change concrètement le 2 août 2026

L’AI Act s’applique par paliers depuis 2024. Trois jalons à retenir :

  1. Février 2025 : interdiction des usages “à risque inacceptable” (notation sociale, manipulation, surveillance biométrique non autorisée). Déjà en vigueur.
  2. Août 2025 : obligations sur les modèles à usage général (GPAI) — les fournisseurs comme OpenAI, Anthropic, Google. Déjà en vigueur côté éditeurs.
  3. 2 août 2026 : c’est le palier qui vous concerne en tant qu’utilisateur professionnel (déployeur). Obligations de transparence renforcées, gouvernance des systèmes à haut risque, désignation de référents, traçabilité.

Autrement dit : jusqu’ici, la pression portait surtout sur les éditeurs de modèles. À partir d’août 2026, c’est vous, l’entreprise qui utilise l’IA, qui devez démontrer un cadre.

Êtes-vous vraiment concerné ? Le test en 3 questions

Beaucoup de dirigeants pensent que l’AI Act ne vise que les géants de la tech. Faux. Posez-vous ces 3 questions :

  • Utilisez-vous un outil IA dans l’UE ? (ChatGPT, Copilot, un chatbot, un outil de tri de CV…) → vous êtes “déployeur”.
  • L’IA touche-t-elle des décisions sur des personnes ? (recrutement, crédit, évaluation, accès à un service) → vous entrez potentiellement en zone “haut risque”.
  • L’IA interagit-elle directement avec vos clients ? (chatbot, génération de contenu, voix) → obligation de transparence.

Si vous répondez oui à au moins une, vous avez des obligations dès août 2026. Pour 80 % des PME, ce sont des obligations légères (transparence + bon sens documenté). Pour celles qui font du RH, du scoring ou du crédit, c’est plus sérieux.

Les 4 classes de risque de l’AI Act

L’AI Act classe les systèmes IA en quatre niveaux. Comprendre où vous vous situez détermine tout le reste.

Classe de risqueExemplesVos obligations
Risque inacceptableNotation sociale, manipulationInterdit, point.
Haut risqueTri de CV, scoring crédit, IA RH, biométrieLourdes : documentation, supervision humaine, logs, évaluation
Risque limitéChatbots, génération de contenu, deepfakesTransparence : informer l’utilisateur qu’il parle à une IA
Risque minimalFiltres anti-spam, suggestions, brouillonsAucune obligation spécifique

La grande majorité des usages PME tombent en risque limité ou minimal. Le piège, c’est le RH : un outil de tri de candidatures bascule en haut risque, avec des obligations bien plus lourdes.

La checklist : ce qu’une PME doit avoir fait avant l’été

Voici les 7 actions à boucler avant le 2 août 2026, classées par priorité.

1. Inventorier vos usages IA (1-2 jours)

Listez tous les outils IA utilisés dans l’entreprise, y compris les usages “sauvages” des collaborateurs. Pour chacun : qui, pour quoi, avec quelles données, quelle classe de risque. C’est la fondation : sans inventaire, impossible de prouver quoi que ce soit. Nous détaillons la méthode dans notre article sur la gouvernance IA en PME.

2. Classer chaque usage par niveau de risque (1 jour)

Pour chaque outil de l’inventaire, attribuez une des 4 classes. Repérez surtout les usages haut risque (RH, crédit, biométrie) qui demandent un traitement spécifique.

3. Activer la transparence client (1-2 jours)

Tout système IA qui parle à un client ou génère du contenu doit le signaler. Mention sur les chatbots (“Je suis un assistant IA”), disclosure dans les emails automatisés, marquage des contenus générés. C’est l’obligation la plus visible et la plus facile à oublier.

4. Mettre une supervision humaine sur les décisions à impact (1 jour)

Aucune décision RH, financière ou juridique ne doit être prise par l’IA seule. Définissez qui valide quoi. Pour les usages haut risque, c’est une obligation légale ; pour les autres, c’est du bon sens qui vous protège.

5. Documenter une politique d’usage IA (2-3 jours)

Une charte de 2-4 pages : outils autorisés, données interdites de copier-coller, règles de relecture, disclosure. C’est le document que vous présenterez en cas de contrôle, à un client B2B exigeant, ou à votre assureur cyber.

6. Former vos équipes (AI literacy) (continu)

L’AI Act impose depuis février 2025 un niveau de “maîtrise de l’IA” suffisant chez les utilisateurs (art. 4). Concrètement : une sensibilisation d’une demi-journée suffit pour une PME. C’est rarement fait, et c’est pourtant explicitement exigé.

7. Désigner un référent IA (décision managériale)

Pas besoin d’un poste dédié. Une personne (souvent DSI ou direction) porte l’inventaire, la veille réglementaire et les arbitrages. C’est le point de contact unique en interne.

Combien ça coûte, et combien coûte de ne rien faire

Trois chiffres à garder en tête :

  • Mise en conformité PME : 5 à 10 jours.homme pour un usage “risque limité”, soit 3 000 à 8 000 EUR en interne ou en accompagnement externe.
  • Amende maximale AI Act : jusqu’à 35 MEUR ou 7 % du chiffre d’affaires mondial pour les usages interdits ; jusqu’à 15 MEUR ou 3 % pour les autres manquements graves.
  • Risque réel pour une PME : au-delà de l’amende (peu probable pour une petite structure si vous êtes de bonne foi), le vrai risque est de perdre un contrat B2B quand l’acheteur exige la conformité, ou un refus d’assurance cyber. Coût observé : 30 à 200 KEUR par incident.

Chez PIWA, nous le voyons déjà : sur les appels d’offres B2B de 2026, la conformité AI Act devient une case à cocher éliminatoire. Ce n’est plus un sujet juridique abstrait, c’est un sujet commercial.

Le calendrier recommandé avant le 2 août

  • Mai-juin : actions 1, 2, 3 (inventaire, classement, transparence). La base visible.
  • Juin-juillet : actions 4, 5, 6 (supervision, charte, formation). Le cadre interne.
  • Juillet : action 7 (référent) + relecture finale. Vous êtes prêt avant l’échéance, sans rush de dernière minute.

En partant maintenant, vous avez plus de deux mois de marge confortable. En attendant septembre, vous serez déjà hors délai.

FAQ

L’AI Act s’applique-t-il aux PME ou seulement aux grandes entreprises ?

L’AI Act s’applique à toute organisation qui développe ou utilise un système IA dans l’Union européenne, quelle que soit sa taille. Les obligations sont proportionnées au risque, pas à la taille de l’entreprise. Une PME qui utilise un simple chatbot a des obligations légères ; une PME qui fait du tri de CV automatisé a des obligations lourdes.

Que se passe-t-il concrètement le 2 août 2026 ?

C’est la date d’entrée en application des obligations pour les déployeurs (utilisateurs professionnels) et des règles de gouvernance sur les systèmes à haut risque. Les paliers précédents (février 2025, août 2025) visaient surtout les usages interdits et les fournisseurs de modèles. Août 2026 est le palier qui concerne directement la majorité des entreprises utilisatrices.

Si j’utilise seulement ChatGPT, suis-je concerné ?

Oui, mais légèrement. Vous êtes “déployeur” d’un système à risque minimal ou limité. Vos obligations principales : transparence (signaler les contenus générés ou les interactions IA avec vos clients), formation de base de vos équipes (AI literacy), et une politique d’usage documentée. Comptez quelques jours de travail, pas un projet de conformité lourd.

Quelle est l’amende maximale prévue par l’AI Act ?

Jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires annuel mondial pour les usages à risque inacceptable. Jusqu’à 15 millions d’euros ou 3 % pour les autres manquements graves (non-conformité d’un système à haut risque, par exemple). Pour une PME de bonne foi, le risque réel se situe davantage côté commercial et assurantiel que côté amende directe.

Par où commencer si je n’ai rien fait ?

Par l’inventaire de vos usages IA (action 1 de la checklist). C’est rapide, ça ne coûte rien, et ça révèle immédiatement vos zones de risque. À partir de là, 80 % des PME découvrent qu’elles sont presque conformes et qu’il ne manque que la transparence et la documentation. Voir aussi notre checklist des 10 garde-fous de gouvernance IA.

Prochaine étape : un audit AI Act express avant l’été

Vous ne savez pas où vous en êtes par rapport à l’échéance d’août ? C’est exactement ce qu’un audit IA couvre chez PIWA. On part de vos usages réels, on les classe par niveau de risque, on identifie les 3 actions prioritaires à boucler avant le 2 août, et on chiffre l’effort.

Réservez un audit conformité AI Act — 30 minutes pour faire le point sur votre exposition AI Act et repartir avec un plan d’action daté avant l’échéance d’août 2026.

Checklist gratuite : 10 processus à automatiser avec l'IA

Identifiez le potentiel d'automatisation de votre PME en 2 minutes.

Télécharger

Le Brief IA — 3x par semaine

L'essentiel de l'actu IA pour les dirigeants de PME. Gratuit, sans jargon.

Gratuit, 3x par semaine. Désabonnement en un clic.

Retour au blog

Passez à l'action

Prêt à automatiser vos tâches répétitives ?

Découvrez ce que l'IA peut concrètement changer dans votre entreprise. En 2 heures, nous identifions vos opportunités d'automatisation.

Réservez votre workshop IA Contactez-nous

Checklist IA gratuite

10 processus à automatiser dans votre PME

Télécharger le PDF