AI Act · ce qui change pour les PME-ETI européennes au 2 août 2026

Le 2 août 2026, le règlement européen sur l'intelligence artificielle — AI Act — entre pleinement en application. Adopté le 21 mai 2024 et entré en vigueur le 1^er août de la même année, ce texte est la première législation globale au monde encadrant l'usage de l'IA. Pour les PME et ETI européennes, l'échéance d'août 2026 marque le passage d'une logique de veille à une logique de conformité opposable.

Cette note résume ce qui change concrètement, expose le calendrier officiel après les amendements adoptés le 7 mai 2026 par le Parlement et le Conseil, et propose six actions à engager dans les semaines qui viennent.

Le règlement en bref

L'AI Act ne régule pas l'IA en tant que technologie, mais ses usages. Le règlement adopte une approche fondée sur le risque : plus un système d'IA est susceptible d'affecter des droits fondamentaux ou la sécurité des personnes, plus les obligations qui pèsent sur ses fournisseurs et déployeurs sont strictes.

Quatre catégories sont définies :

• Risque inacceptable · les systèmes purement et simplement interdits (scoring social de masse, manipulation subliminale, certaines reconnaissances biométriques). Interdiction effective depuis le 2 février 2025.
• Risque élevé · les systèmes utilisés dans des domaines sensibles : recrutement, gestion RH, accès aux services essentiels, éducation, infrastructures critiques. Obligations renforcées (documentation technique, supervision humaine, registre EU).
• Risque limité · les chatbots, IA génératives, deepfakes. Obligations de transparence (informer l'utilisateur qu'il interagit avec une machine, marquer les contenus synthétiques).
• Risque minimal · filtres anti-spam, recommandations de contenu. Pas d'obligations spécifiques.

Les dates qui structurent l'année 2026-2027

Le 7 mai 2026, après une négociation tendue, le Parlement et le Conseil européens ont adopté un accord politique sur le Digital Omnibus on AI, qui ajuste certaines échéances. L'objectif : laisser plus de temps aux entreprises et aux autorités nationales pour s'organiser, après le constat que les standards techniques harmonisés ne seraient pas prêts à temps.

• 2 février 2025 · effectif

  Interdictions des pratiques d'IA inacceptables

  Scoring social de masse, manipulation subliminale, exploitation de vulnérabilités. Obligations d'alphabétisation IA pour les employeurs.

• 2 août 2025 · effectif

  Obligations pour les modèles d'IA à usage général (GPAI)

  Les fournisseurs de modèles comme GPT-4, Claude, Gemini sont soumis à des obligations de documentation et de gouvernance.

• 2 août 2026 · pleine application

  Obligations de transparence (article 50) — chatbots, deepfakes, contenus génératifs

  Tout déployeur d'un chatbot ou d'un système génératif doit informer l'utilisateur. Les modèles GPAI mis sur le marché avant le 2 août 2025 disposent d'un délai jusqu'au 2 août 2027.

• 2 décembre 2026 · effectif

  Marquage des contenus générés par IA (watermarking)

  Délai réduit à 3 mois (au lieu de 6) après le compromis du 7 mai. Délai serré pour les éditeurs de contenu.

• 2 décembre 2027 · effectif

  Obligations pour les systèmes d'IA à haut risque listés à l'Annexe III

  Report de 16 mois acté par le Digital Omnibus. Concerne biométrie, infrastructures critiques, éducation, emploi, migration.

• 2 août 2028 · effectif

  Obligations pour les systèmes d'IA à haut risque embarqués dans des produits régulés

  Dispositifs médicaux, jouets, ascenseurs, équipements radio : transition étendue.

Qui est concerné, et à quel titre

L'erreur la plus fréquente consiste à croire que l'AI Act ne concerne que les éditeurs de modèles d'IA. C'est faux. Le règlement distingue plusieurs rôles, et la plupart des PME-ETI sont dans la position de déployeurs (deployers) — c'est-à-dire d'utilisateurs professionnels de systèmes d'IA développés par des tiers.

Une PME devient déployeur dès lors qu'elle utilise, intègre ou met à disposition de ses clients :

• Un chatbot service client, même fourni par un éditeur tiers
• Un outil de recrutement automatisant le tri ou la notation des candidats
• Une plateforme RH qui évalue ou note la performance des salariés
• Un système de scoring de crédit, même en marque blanche
• Un assistant génératif intégré dans un produit ou un service exposé au public
• Un outil de surveillance ou de notation d'utilisateurs

Pour chacun de ces usages, le déployeur a des obligations propres, même si le fournisseur du système est lui-même conforme. La conformité n'est pas contagieuse — elle s'évalue à chaque maillon.

L'exposition financière et réputationnelle

Le règlement prévoit trois niveaux de sanctions, calibrés en fonction de la gravité du manquement :

• Jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial annuel pour la mise sur le marché de pratiques interdites (manipulation, scoring social).
• Jusqu'à 15 millions d'euros ou 3 % pour le non-respect des obligations sur les systèmes à haut risque.
• Jusqu'à 7,5 millions d'euros ou 1 % pour la communication d'informations inexactes aux autorités.

À ces sanctions administratives s'ajoutent des risques annexes que la presse économique sous-estime souvent :

• Le retrait obligatoire de systèmes mal classifiés (rappel ou interdiction de commercialisation).
• Les actions civiles d'individus s'estimant lésés par une décision automatisée (recrutement, crédit, accès à un service).
• L'engagement de la responsabilité pénale dans certaines juridictions, notamment pour les pratiques d'IA générant des contenus illégaux.
• Le cumul avec les sanctions RGPD (jusqu'à 20 millions d'euros ou 4 %), particulièrement pour les usages biométriques ou de reconnaissance d'émotions.

« Le coût de la non-conformité n'est pas seulement l'amende. C'est aussi le retrait d'un produit en plein cycle commercial, et l'effondrement de la confiance d'un acheteur institutionnel qui aura fait sa propre due diligence avant de signer. »

Six actions à engager dans les 90 jours

Pour un dirigeant de PME ou d'ETI, la mise en conformité ne se traite pas comme un projet IT isolé. C'est une démarche transverse qui mobilise la direction générale, les responsables métiers (RH, commercial, juridique), et le DSI / RSSI. Voici les six actions structurantes à engager dès maintenant.

1. Constituer l'inventaire exhaustif des systèmes d'IA en usage

Tout commence par un recensement. Pour chaque outil identifié, noter : nom du fournisseur, fonction d'IA précise, données traitées, personnes affectées, qualification probable selon les quatre catégories de risque. Cet inventaire devient la base documentaire de toute la mise en conformité.

2. Classifier chaque système selon le niveau de risque

Un même type d'outil peut basculer d'une catégorie à l'autre selon le contexte d'usage. Un assistant génératif en interne n'est pas soumis aux mêmes obligations que le même outil exposé à des clients. La classification doit être motivée et documentée, avec mention de l'article du règlement applicable.

3. Interroger ses fournisseurs avec un cadre précis

Cinq questions à poser systématiquement à chaque éditeur tiers :

• Votre système est-il classifié comme à haut risque au sens de l'AI Act ?
• Disposez-vous d'une documentation technique conforme à l'Annexe IV ?
• Quelles données d'entraînement ont été utilisées, et comment sont-elles documentées ?
• Quels mécanismes de supervision humaine offrez-vous à vos clients ?
• Êtes-vous enregistré dans la base de données EU des systèmes à haut risque ?

Un fournisseur qui ne sait pas répondre à ces questions est un risque de conformité. Cela doit se refléter dans les contrats.

4. Mettre à jour les contrats fournisseurs

Les clauses standards d'achat de service IT ne couvrent généralement pas l'AI Act. Il faut ajouter : clause de conformité explicite, droit d'audit, obligation d'information en cas de modification substantielle du système, partage de responsabilité en cas de sanction.

5. Former la direction et les managers exposés

L'article 4 du règlement impose une obligation d'« AI literacy » (alphabétisation IA) pour tous les employeurs depuis février 2025. Concrètement : formation des salariés qui utilisent ou supervisent des systèmes d'IA, avec proportionnalité au niveau de risque. Cette formation doit être documentée — elle est opposable en cas de contrôle.

6. Désigner un référent et formaliser la gouvernance

Sans être obligatoire, la désignation d'un référent AI Act (équivalent du DPO pour le RGPD) est fortement recommandée pour les organisations qui déploient plusieurs systèmes ou opèrent dans des secteurs régulés. Ce référent est l'interlocuteur unique des autorités nationales en cas de question ou de contrôle.

Au-delà de la conformité, un avantage stratégique

La tentation est forte de traiter l'AI Act comme une contrainte administrative. C'est une erreur de positionnement. Les organisations qui anticipent cette réglementation construisent en réalité un avantage commercial durable : capacité à répondre aux appels d'offres exigeant la conformité AI Act, crédibilité accrue auprès des acheteurs institutionnels, réduction du risque de litige contentieux.

Plusieurs grands donneurs d'ordre — institutions européennes, banques, assureurs, collectivités — intègrent déjà la conformité AI Act dans leurs critères de sélection fournisseurs. Ce filtre va se généraliser avant même l'application effective d'août 2026.

Pour une PME ou une ETI qui investit aujourd'hui dans une gouvernance IA structurée, le retour sur investissement n'est pas seulement défensif. Il est aussi commercial. Le coût d'une démarche de mise en conformité organisée et progressive — entre 6 et 18 mois selon la maturité initiale — est sans commune mesure avec celui d'une régularisation forcée en urgence sous menace de sanction.