En 2026, l’AI Act n’est plus un sujet réservé aux juristes ou aux grands groupes. Si votre PME utilise un chatbot client, un assistant de rédaction, un outil de tri de candidatures, un agent connecté au CRM ou une plateforme d’automatisation avec IA, vous êtes probablement concerné.
En 2026, l’AI Act n’est plus un sujet réservé aux juristes ou aux grands groupes. Si votre PME utilise un chatbot client, un assistant de rédaction, un outil de tri de candidatures, un agent connecté au CRM ou une plateforme d’automatisation avec IA, vous êtes probablement concerné.
La bonne nouvelle : l’AI Act ne demande pas à toutes les PME de monter une usine à conformité. Il impose une logique proportionnée au risque. La mauvaise nouvelle : attendre le dernier moment peut bloquer un projet IA, compliquer un achat logiciel ou créer un risque RH, client ou réglementaire évitable.
Cet article traduit l’AI Act en obligations concrètes pour dirigeants, responsables ops, produit, IT et scale-ups qui veulent continuer à déployer l’IA sans perdre le contrôle. Ce contenu est informatif et ne remplace pas un avis juridique adapté à votre situation.
Le texte de référence est le règlement européen sur l’intelligence artificielle, règlement UE 2024/1689. Il est entré en vigueur en 2024, mais ses obligations s’appliquent progressivement.
Date | Ce qui s’applique | Impact concret pour PME et scale-ups |
|---|---|---|
1er août 2024 | Entrée en vigueur du règlement | Le compte à rebours réglementaire commence. |
2 février 2025 | Interdiction de certaines pratiques IA et obligation d’AI literacy | Certaines pratiques sont déjà interdites. Les équipes doivent être sensibilisées aux usages et risques de l’IA. |
2 août 2025 | Obligations liées aux modèles d’IA à usage général et gouvernance européenne | Surtout pertinent si vous développez ou mettez à disposition des modèles de type GPAI. |
2 août 2026 | Application de la majorité des obligations opérationnelles | Date clé pour les systèmes à haut risque, la transparence, les obligations des fournisseurs et déployeurs. |
2 août 2027 | Application de certaines règles pour les systèmes à haut risque intégrés à des produits réglementés | Pertinent pour fabricants, medtech, machines, équipements, produits soumis à marquage CE. |
Pour une PME classique, le jalon prioritaire est le 2 août 2026. À cette date, il faut être capable de répondre à trois questions simples : quels systèmes IA utilisons-nous, quel niveau de risque portent-ils, et quelles preuves avons-nous que l’usage est maîtrisé ?
Une erreur fréquente consiste à se demander : sommes-nous une entreprise IA ? La bonne question est plutôt : avons-nous des systèmes IA qui influencent des personnes, des décisions ou des processus sensibles ?
Une même scale-up peut avoir plusieurs cas très différents :
Un assistant interne qui reformule des emails commerciaux, risque généralement faible.
Un chatbot public qui répond aux clients, obligations de transparence et de contrôle qualité.
Un outil qui présélectionne des candidats, cas potentiellement à haut risque.
Un agent IA qui déclenche des actions dans un ERP, risque opérationnel dépendant des actions autorisées.
L’AI Act fonctionne donc par cas d’usage. C’est pour cela qu’un registre IA simple devient l’un des premiers livrables à mettre en place.
Avant de parler conformité, il faut identifier votre rôle. Dans l’AI Act, les obligations diffèrent selon que vous développez, vendez, distribuez ou utilisez un système IA.
Rôle | Définition pratique | Exemple PME ou scale-up | Pourquoi c’est important |
|---|---|---|---|
Déployeur | Vous utilisez un système IA sous votre autorité, hors usage personnel | Vous utilisez un chatbot IA sur votre site ou un outil de résumé de réunions | Vous devez former, utiliser correctement, surveiller, informer dans certains cas et respecter le RGPD. |
Fournisseur | Vous développez ou faites développer un système IA et le mettez sur le marché ou en service sous votre nom | Vous vendez une plateforme SaaS avec scoring IA ou assistant intégré | Vous portez des obligations de conception, documentation, tests et conformité, surtout si le système est à haut risque. |
Importateur ou distributeur | Vous mettez à disposition en Europe une solution IA fournie par un tiers | Vous revendez une solution IA non européenne à vos clients | Vous devez vérifier certaines informations et ne pas distribuer un système manifestement non conforme. |
Fournisseur et déployeur | Vous développez un système IA pour votre propre usage interne | Vous créez un outil interne de tri RH ou d’aide à la décision commerciale | Vous pouvez cumuler des obligations de conception et d’utilisation. |
Cas fréquent : une PME qui utilise ChatGPT, Claude, Mistral ou Gemini via une interface standard est généralement déployeur. En revanche, une scale-up qui intègre un modèle tiers dans un produit vendu à ses clients peut devenir fournisseur du système IA, même si elle n’a pas entraîné le modèle de base.
Le règlement européen adopte une approche par risque. Plus l’usage peut affecter les droits, la sécurité ou les opportunités d’une personne, plus les obligations augmentent.
Niveau de risque | Exemples concrets | Obligations principales |
|---|---|---|
Risque interdit | Manipulation trompeuse causant un préjudice, exploitation de vulnérabilités, certains usages de reconnaissance émotionnelle au travail ou en éducation, scoring social | Ne pas déployer. Ces pratiques sont déjà interdites depuis février 2025. |
Haut risque | Recrutement, gestion des travailleurs, accès à l’éducation, crédit, assurance santé ou vie, certains produits réglementés | Documentation, gestion des risques, qualité des données, supervision humaine, logs, conformité, information des personnes selon les cas. |
Risque limité ou transparence | Chatbot public, contenu synthétique, deepfake, interaction utilisateur avec un système IA | Informer clairement l’utilisateur qu’il interagit avec une IA ou que le contenu est généré artificiellement. |
Risque faible ou minimal | Assistant de rédaction interne, recherche documentaire, aide à la synthèse, copilote non décisionnel | Pas d’obligation lourde spécifique, mais AI literacy, sécurité, RGPD et gouvernance interne restent nécessaires. |
La classification ne dépend pas uniquement de la technologie. Un même modèle de langage peut être utilisé pour générer un brouillon d’email, ce qui est peu risqué, ou pour classer des candidatures, ce qui peut devenir haut risque.
Le registre IA est le point de départ. Il peut tenir dans un tableur au début. L’objectif n’est pas de produire un document parfait, mais de savoir ce qui existe réellement dans l’entreprise.
Un registre utile contient au minimum : nom de l’outil, équipe utilisatrice, finalité, données utilisées, personnes impactées, fournisseur, niveau de risque estimé, owner métier, règles de validation, logs disponibles et statut de revue.
Ce registre permet aussi de lutter contre le shadow AI, c’est-à-dire l’usage dispersé d’outils IA non validés par l’entreprise. Pour aller plus loin, vous pouvez vous appuyer sur une démarche d’audit IA entreprise afin de prioriser les cas à valeur et les cas à risque.
Depuis février 2025, les fournisseurs et déployeurs doivent prendre des mesures pour assurer un niveau suffisant de maîtrise de l’IA chez les personnes qui utilisent ou supervisent ces systèmes.
Concrètement, une PME doit pouvoir montrer que les équipes concernées comprennent :
Les limites des modèles, notamment hallucinations, biais et erreurs de raisonnement.
Les règles de confidentialité, par exemple ne pas coller de données sensibles dans un outil non validé.
Les cas où une validation humaine est obligatoire.
Les règles internes sur les outils autorisés et les usages interdits.
Une formation utile n’est pas une conférence générique sur l’IA. Elle doit être liée aux métiers : support, sales, RH, finance, produit, ops. C’est exactement le rôle d’un programme d’adoption ou d’un AI trainer dans une entreprise qui commence à structurer ses usages.
Si un client parle à un chatbot IA, il doit généralement être informé qu’il interagit avec une IA. Si vous publiez un contenu synthétique susceptible d’être pris pour un contenu réel, notamment image, audio, vidéo ou deepfake, l’information doit aussi être claire.
Pour un site web, cela peut se traduire par une mention visible dans l’interface du chatbot, une page d’aide expliquant les limites de l’assistant, une option de contact humain et des règles internes sur les réponses interdites.
La transparence ne doit pas être réduite à une phrase juridique cachée dans les conditions générales. Elle doit aider l’utilisateur à comprendre le niveau de fiabilité attendu et les recours disponibles.
Les systèmes à haut risque sont ceux à traiter avec le plus de prudence. Pour les PME et scale-ups, les zones les plus fréquentes sont le recrutement, la gestion des travailleurs, l’évaluation de performance, l’accès à certains services essentiels, le crédit, l’assurance et certains produits réglementés.
Si vous utilisez une IA pour classer des CV, filtrer des candidats, recommander une promotion, évaluer un collaborateur ou influencer l’accès à un service important, ne traitez pas cela comme un simple outil de productivité. Il faut documenter la finalité, comprendre le fournisseur, vérifier la qualité des données, prévoir une supervision humaine réelle, conserver les logs disponibles et informer les personnes concernées lorsque le règlement l’exige.
Dans certains cas, une analyse d’impact sur les droits fondamentaux peut être requise, notamment pour certains déployeurs publics ou certains usages liés au crédit et à l’assurance. Même quand elle n’est pas formellement obligatoire pour votre entreprise, la logique reste saine : documenter qui est impacté, quelles erreurs sont possibles, quels recours existent et comment l’humain garde la main.
En 2026, acheter un outil IA sans vérifier la conformité devient risqué. Votre due diligence fournisseur doit couvrir au minimum les points suivants : documentation produit, lieu de traitement des données, politique de rétention, usage des données pour l’entraînement, logs, sécurité, sous-traitants, DPA au titre du RGPD, réversibilité et support en cas d’incident.
Le RGPD continue de s’appliquer en parallèle de l’AI Act. Si votre système traite des données personnelles, vous devez garder une base légale, appliquer la minimisation, encadrer les sous-traitants et, dans certains cas, réaliser une analyse d’impact relative à la protection des données. Le texte du RGPD reste donc central pour les projets IA.
Si votre scale-up développe un produit IA, vos obligations peuvent être plus fortes que celles d’un simple utilisateur. L’enjeu principal est de savoir si vous êtes fournisseur d’un système IA, fournisseur d’un modèle d’IA à usage général, ou fournisseur d’un système à haut risque.
Situation | Ce qu’il faut anticiper |
|---|---|
Vous intégrez un LLM dans votre SaaS B2B | Vous êtes potentiellement fournisseur du système IA livré à vos clients. Préparez documentation, limites d’usage, sécurité, logs, informations client et clauses contractuelles. |
Vous vendez un outil RH avec scoring ou tri de candidats | Usage potentiellement à haut risque. Il faut prévoir gestion des risques, documentation technique, qualité des données, supervision humaine, conformité et surveillance après mise sur le marché. |
Vous développez un chatbot support pour des clients | Souvent risque limité, mais transparence, sécurité, confidentialité, contrôle des réponses et documentation sont indispensables. |
Vous entraînez ou mettez à disposition un modèle d’IA à usage général | Les obligations spécifiques aux modèles GPAI peuvent s’appliquer : documentation, informations aux intégrateurs, politique de droits d’auteur, résumé des données d’entraînement selon les exigences du règlement. |
Vous fabriquez un produit réglementé avec composant IA | Les obligations peuvent s’articuler avec le marquage CE et certaines règles applicables à partir de 2027. |
Pour une solution IA vendue à des clients, la conformité doit être pensée dès la conception. Corriger après coup un produit qui n’a pas de logs, pas de séparation des rôles, pas de documentation ou pas de mécanisme de supervision humaine coûte beaucoup plus cher que de l’intégrer dans l’architecture initiale.
Cas d’usage | Niveau probable | Action prioritaire |
|---|---|---|
Assistant interne de rédaction ou synthèse | Faible à limité | Charte d’usage, formation, confidentialité, validation humaine sur contenus sensibles. |
Chatbot support client sur le site | Transparence | Mention IA visible, base de connaissance maîtrisée, escalade humaine, logs, mesure qualité. |
Assistant RAG sur documentation interne | Faible à limité selon données | Contrôles d’accès, sources de vérité, citations, journalisation, règles sur données sensibles. |
Agent IA qui modifie CRM, factures ou tickets | Variable selon actions | Permissions minimales, mode aperçu, validations, logs, rollback, monitoring coûts et erreurs. |
Scoring de leads B2B | Généralement faible à limité, avec enjeu RGPD | Vérifier les données personnelles, éviter les biais commerciaux, documenter la logique de scoring. |
Tri de CV ou présélection de candidats | Potentiellement haut risque | Analyse juridique, documentation renforcée, supervision humaine, information des candidats, tests de biais. |
Évaluation automatisée de salariés | Potentiellement haut risque | Prudence élevée, information des travailleurs, gouvernance RH, recours humain, documentation. |
Cette matrice ne remplace pas une qualification juridique, mais elle suffit pour identifier les cas qui doivent remonter en priorité dans votre gouvernance.
Pour une PME ou scale-up, le bon objectif n’est pas de produire 80 pages de politique IA. Le bon objectif est d’avoir des décisions traçables, des owners identifiés et des garde-fous proportionnés.
Période | Livrable | Résultat attendu |
|---|---|---|
Semaine 1 | Inventaire des outils et usages IA | Vous savez qui utilise quoi, avec quelles données et pour quelle finalité. |
Semaine 2 | Classification des risques | Les usages interdits, sensibles ou à haut risque sont identifiés. |
Semaine 3 | Revue fournisseurs et données | Les contrats, DPA, politiques de rétention, accès et logs sont vérifiés pour les outils critiques. |
Semaine 4 | Charte, formation et procédure de validation | Les équipes savent quoi faire, quoi éviter et quand escalader. |
Le livrable final peut être très simple : un registre IA, une politique données vert-orange-rouge, une checklist fournisseur, une fiche par cas d’usage critique et un rituel de revue mensuel. Pour structurer cela dans une feuille de route plus large, vous pouvez aussi vous inspirer d’un plan IA 30-60-90 jours.
La conformité ne doit pas tuer l’innovation. Elle doit empêcher les mauvaises décisions : un outil RH lancé sans contrôle, un chatbot qui invente des réponses contractuelles, un agent qui modifie des données sans validation, ou des équipes qui collent des données clients dans des outils non approuvés.
La bonne approche pour une PME est une gouvernance légère mais obligatoire. Elle repose sur quelques artefacts : registre IA, classification des données, owner métier par cas d’usage, protocole de test, logs, validation humaine pour les décisions sensibles et revue fournisseur.
Cette logique rejoint les bonnes pratiques de mise en production IA : sécurité, observabilité, mesure du ROI et contrôle des risques. Si vous industrialisez des agents, des RAG ou des automatisations, le sujet n’est pas seulement juridique. Il est aussi produit, technique et opérationnel. Notre guide sur les risques clés et contrôles de l’intelligence artificielle en entreprise détaille ces garde-fous côté architecture et exploitation.
L’AI Act s’applique-t-il à une PME qui utilise seulement des outils IA du marché ? Oui, si l’usage est professionnel et lié à l’Union européenne, vous pouvez être déployeur. Les obligations sont souvent limitées, mais vous devez notamment former les équipes, respecter le RGPD, informer les utilisateurs dans certains cas et encadrer les usages à risque.
Un chatbot client est-il automatiquement un système à haut risque ? Non. Un chatbot de support ou d’avant-vente relève souvent des obligations de transparence plutôt que du haut risque. Il faut toutefois informer l’utilisateur, contrôler les réponses, prévoir une escalade humaine et protéger les données personnelles.
Que faut-il faire avant le 2 août 2026 ? Priorisez cinq actions : inventorier les usages IA, classifier les risques, former les équipes, vérifier les fournisseurs et documenter les cas sensibles. Les projets RH, crédit, assurance, éducation ou décision automatisée doivent être revus en priorité.
Quelle différence entre AI Act et RGPD ? Le RGPD protège les données personnelles. L’AI Act encadre les systèmes IA selon leur risque. Les deux s’additionnent. Un outil IA peut être conforme à certaines exigences de l’AI Act tout en posant encore un problème RGPD si les données, la base légale ou les transferts ne sont pas maîtrisés.
Doit-on interdire les outils comme ChatGPT ou Claude en entreprise ? Pas nécessairement. Une interdiction totale pousse souvent les usages dans l’ombre. Il vaut mieux définir des outils autorisés, des règles de données, des cas interdits, des exemples de bons usages et une formation courte par métier.
Qui est responsable si le fournisseur IA est américain ou non européen ? Le fournisseur peut avoir ses propres obligations si son système est mis sur le marché européen ou si ses sorties sont utilisées dans l’UE. Mais votre entreprise reste responsable de son usage, de ses données, de ses décisions internes et de la transparence vis-à-vis des personnes impactées.
Quelles sont les sanctions prévues par l’AI Act ? Les plafonds peuvent être élevés, jusqu’à plusieurs millions d’euros ou un pourcentage du chiffre d’affaires mondial selon l’infraction, avec des règles spécifiques pour PME et start-ups. En pratique, le premier enjeu pour une PME est surtout d’éviter les usages interdits, les décisions sensibles non maîtrisées, les risques RH ou clients et les blocages contractuels avec grands comptes.
L’AI Act ne doit pas être vu uniquement comme une contrainte. Bien traité, il force l’entreprise à clarifier ses usages, ses données, ses responsabilités et ses critères de qualité. C’est exactement ce qui distingue une expérimentation IA fragile d’une solution IA fiable, intégrée et mesurable.
Impulse Lab accompagne les PME et scale-ups sur ce passage à l’échelle : audits d’opportunités IA, cartographie des risques, formations d’adoption, automatisation de processus, intégration avec vos outils existants et développement de plateformes web et IA sur mesure.
Si vous voulez savoir quels usages IA sont prioritaires, lesquels sont risqués et comment préparer août 2026 sans ralentir vos équipes, vous pouvez contacter Impulse Lab pour cadrer un audit ou un plan d’action concret.
Notre équipe d'experts vous répond rapidement pour comprendre vos besoins et vous proposer la meilleure solution.
Vous avez des questions ? On a les réponses.
Leonard
Co-fondateur
Souvent interdite sauf exceptions très limitées |
Éviter par défaut et demander un avis juridique spécialisé. |
Crédit, assurance santé ou assurance vie avec scoring IA | Haut risque possible | Analyse d’impact, documentation, supervision humaine, conformité fournisseur, recours utilisateur. |
Continuez votre lecture avec ces articles
Le bon chatbot n’est pas celui qui semble le plus impressionnant en démonstration. C’est celui qui répond à un besoin précis, avec le bon niveau d’autonomie, les bonnes données et les bons garde-fous.
Les projets IA ne manquent jamais. Un dirigeant entend parler d’un chatbot, une équipe commerciale veut automatiser la qualification, les opérations imaginent un agent qui traite les tickets, la finance veut extraire des données de factures. Le problème n’est plus de trouver des idées, mais de savoi...