IA Act 2026 : Ce que Votre PME Française Doit Faire Avant le 2 Août
L'IA Act — premier règlement mondial sur l'intelligence artificielle — est entré en vigueur le 1er août 2024. Mais la date qui change tout pour la majorité des entreprises françaises, c'est le 2 août 2026 : pleine application des obligations pour les systèmes IA à haut risque, formation obligatoire des collaborateurs, sanctions effectives.
Moins de 30% des PME européennes ont entamé une démarche de mise en conformité. Si vous utilisez ChatGPT, Copilot, un outil de tri de CV ou de scoring client, vous êtes probablement concerné — et vous avez moins de 5 mois.
Ce guide ne reproduit pas le texte officiel — la Commission Européenne et la CNIL le font très bien. Il vous donne ce qu'ils ne donnent pas : une lecture pratique orientée PME française, avec une checklist actionnable et les décisions concrètes à prendre maintenant.
Comprendre
IA Act 2026 : qu'est-ce qui change vraiment pour votre entreprise ?
L'IA Act (Règlement UE 2024/1689) est le premier cadre juridique contraignant au monde spécifiquement consacré à l'intelligence artificielle. Son objectif : encadrer le développement, la mise sur le marché et l'utilisation des systèmes d'IA, selon leur niveau de risque pour les droits fondamentaux et la sécurité des personnes.
Ce qui le distingue du RGPD — auquel beaucoup de dirigeants le comparent — c'est son périmètre : là où le RGPD encadre les données personnelles, l'IA Act encadre les systèmes eux-mêmes, qu'ils traitent ou non des données personnelles. Les deux réglementations sont complémentaires et peuvent s'appliquer simultanément.
Le premier règlement mondial sur l'IA en 4 niveaux de risque IA Act
L'IA Act classe tout système d'IA dans l'une de ces quatre catégories. C'est votre première obligation : savoir où se situent vos outils.
Systèmes interdits
Pratiques totalement prohibées depuis le 2 février 2025.
Notation sociale, manipulation subliminale, reconnaissance émotionnelle au travail, scraping facial non ciblé, police prédictive individuelle.
Obligations strictes
Documentation, marquage CE, supervision humaine, gestion des risques. Échéance : 2 août 2026.
Tri de CV, scoring crédit, IA médicale, gestion RH automatisée, évaluation solvabilité, accès à l'éducation.
Obligation de transparence
L'utilisateur doit savoir qu'il interagit avec une IA. Obligation déjà en vigueur.
Chatbots clients, générateurs de contenu, deepfakes, assistants IA génériques.
Pas d'obligation spécifique
Aucune contrainte réglementaire lourde. Code de conduite volontaire.
Filtres anti-spam, correcteurs orthographiques, jeux vidéo avec IA, outils de recommandation basiques.
IA Act et RGPD : deux réglementations complémentaires, pas substituables
Une erreur fréquente chez les dirigeants : penser que la conformité RGPD couvre l'IA Act. Ce n'est pas le cas. Les deux textes ont des objets distincts :
| RGPD | IA Act | |
|---|---|---|
| Ce qu'il encadre | Les données personnelles | Les systèmes d'IA |
| Qui est visé | Responsables de traitement | Fournisseurs et déployeurs d'IA |
| Sanction max | 20M€ ou 4% CA mondial | 35M€ ou 7% CA mondial |
| Autorité FR | CNIL | ARCOM + DGCCRF |
| Application | Depuis 2018 | Progressive 2024–2027 |
Calendrier IA Act 2026 : les dates clés à ne pas manquer
Entrée en vigueur officielle de l'IA Act
Le Règlement UE 2024/1689 est publié au Journal Officiel de l'UE. Le texte entre en vigueur — mais son application est progressive.
Interdiction des systèmes IA à risque inacceptable
Les 8 pratiques interdites sont prohibées. La notation sociale, la manipulation subliminale, la reconnaissance émotionnelle au travail sont illégales depuis cette date.
Règles GPAI + désignation des autorités nationales
Obligations pour les modèles IA à usage général (GPAI comme GPT-4, Mistral, Gemini). Chaque État membre désigne ses autorités de contrôle. En France : ARCOM et DGCCRF.
🔴 Pleine application — Systèmes à haut risque + Formation obligatoire
C'est la date critique pour la majorité des PME. Obligation de formation IA pour tous les collaborateurs utilisant l'IA (article 4). Conformité complète pour les systèmes à haut risque : documentation, supervision humaine, marquage CE, inscription registre européen.
Application complète — Systèmes intégrés dans produits réglementés
Concerne les IA intégrées dans des dispositifs médicaux, véhicules, machines industrielles déjà soumis à des réglementations sectorielles.
Votre PME est-elle concernée par l'IA Act 2026 ?
La réponse courte : oui, si vous utilisez, déployez ou distribuez des systèmes d'IA dans l'UE — quelle que soit la taille de votre entreprise. L'IA Act ne fait pas de distinction par taille. Il fait une distinction par niveau de risque du système utilisé.
Les usages IA courants en PME classés par niveau de risque IA Act
| Usage IA courant en PME | Niveau de risque IA Act | Obligation principale |
|---|---|---|
| Filtre anti-spam, correcteur orthographique | ✅ Minimal | Aucune obligation lourde |
| ChatGPT / Copilot pour rédaction interne | ℹ️ Limité | Transparence envers utilisateurs |
| Chatbot client sur site web | ℹ️ Limité | Mention "interaction avec IA" obligatoire |
| Outil de tri de CV automatisé | ⚠️ Haut risque | Documentation, supervision humaine, registre EU |
| Scoring crédit / évaluation solvabilité | ⚠️ Haut risque | Documentation, marquage CE, audit |
| IA d'évaluation des collaborateurs | ⚠️ Haut risque | Documentation, supervision humaine, registre EU |
| Notation sociale des employés | 🚫 Interdit | Interdit depuis février 2025 |
Fournisseur, déployeur : quel rôle IA Act pour votre entreprise ?
L'IA Act distingue plusieurs rôles. Les deux qui concernent la quasi-totalité des PME françaises sont :
- Fournisseur (provider) : vous développez ou commercialisez un système d'IA. Obligations maximales — conception conforme, documentation technique, marquage CE pour le haut risque.
- Déployeur (deployer) : vous utilisez un système d'IA développé par un tiers dans votre activité professionnelle. C'est le cas de la majorité des PME qui utilisent ChatGPT, un CRM avec IA, un outil de recrutement automatisé. Obligations allégées mais réelles : formation des équipes, supervision humaine, déclaration d'usage pour le haut risque.
Notre audit gratuit cartographie vos usages et identifie vos obligations en 30 minutes.
Obligations IA Act 2026 : ce que vous devez mettre en place
Obligation de formation IA Act : ce que dit l'article 4
C'est l'obligation qui concerne toutes les entreprises sans exception, quelle que soit la catégorie de risque de leurs outils IA. L'article 4 du Règlement impose que les personnes responsables du fonctionnement des systèmes d'IA disposent d'un niveau suffisant de culture IA — compréhension des capacités, des limites et des risques des systèmes utilisés.
Concrètement pour votre PME :
- Tout collaborateur utilisant un outil IA dans son travail doit avoir reçu une formation adaptée à son niveau d'usage
- La formation doit couvrir les capacités et limites de l'IA, les biais potentiels, et la supervision humaine
- Vous devez être capable de documenter et prouver que ces formations ont eu lieu
- Le contenu de la formation doit être proportionnel à la fonction — pas le même niveau pour un collaborateur qui rédige des emails avec Copilot et un DRH qui utilise un outil de scoring
Systèmes à haut risque IA Act : documentation, marquage CE, supervision humaine
Si votre PME utilise ou déploie un système classé haut risque — outil de tri de CV, scoring crédit, évaluation de performance — les obligations à partir du 2 août 2026 sont plus lourdes :
- Documentation technique complète : description du système, données utilisées, performances, limites connues, résultats des tests
- Système de gestion des risques : processus d'identification, évaluation et atténuation des risques tout au long du cycle de vie
- Supervision humaine effective : un humain doit pouvoir comprendre, surveiller et corriger les décisions de l'IA — et ne pas se contenter de valider automatiquement
- Journalisation (logs) : traçabilité des décisions de l'IA, durée de conservation définie
- Inscription au registre européen : avant toute mise en service, le système doit être enregistré dans la base de données centralisée de la Commission
- Marquage CE : pour les fournisseurs qui commercialisent un système haut risque
Sanctions IA Act 2026 : les amendes prévues
L'IA Act prévoit un régime de sanctions à trois niveaux, plus sévère que le RGPD sur le montant maximum. Les PME bénéficient de plafonds proportionnels à leur taille, mais les sanctions sont réelles et effectives dès août 2026.
Dans chaque cas, c'est le montant le plus élevé qui est retenu. Pour une PME avec 5M€ de chiffre d'affaires, le 3% représente 150 000€ — une sanction très concrète. Les décisions de sanction peuvent également être rendues publiques, avec un impact réputationnel significatif.
Checklist IA Act 2026 pour PME française — 5 actions avant août
Voici les 5 actions prioritaires à mener avant le 2 août 2026. Cliquez sur chaque item pour le marquer comme fait.
1. Cartographier tous vos usages IA
Listez tous les outils intégrant de l'IA utilisés dans votre entreprise : SaaS avec composant IA (CRM, ATS, ERP), APIs d'IA (ChatGPT, Copilot), outils internes. Pour chaque outil : fournisseur, finalité, données traitées, personnes impactées.
2. Classifier chaque outil par niveau de risque IA Act
Pour chaque outil identifié, déterminez s'il est interdit, haut risque, risque limité ou minimal. En cas de doute, classez plus haut — une mauvaise classification vers le bas vous expose à des sanctions.
3. Vérifier la conformité de vos fournisseurs IA haut risque
Pour chaque outil classé haut risque, vérifiez que votre fournisseur est lui-même conforme IA Act : documentation technique disponible, inscription au registre européen, marquage CE. Si le fournisseur n'est pas conforme, votre responsabilité peut être engagée.
4. Former vos collaborateurs et documenter les formations
Organisez une formation IA pour tous les collaborateurs utilisant des outils IA, adaptée à leur niveau d'usage. Conservez les preuves (dates, participants, contenu couvert). Cette obligation s'applique à tous, même pour les usages à risque minimal.
5. Désigner un responsable conformité IA dans votre structure
Nommez une personne (ou externalisez à un prestataire) chargée de suivre la conformité IA Act, mettre à jour la cartographie, gérer les évolutions réglementaires et servir d'interlocuteur en cas de contrôle. Ce rôle peut être combiné avec le DPO existant.
IA locale et conformité IA Act : l'avantage structurel
L'IA Act ne cite pas explicitement l'IA locale comme solution de conformité. Mais dans la pratique, choisir une IA locale auto-hébergée simplifie considérablement plusieurs obligations clés.
| Obligation IA Act | IA Cloud (ChatGPT, Copilot…) | IA Locale (Ollama, Mistral…) |
|---|---|---|
| Traçabilité des usages (logs) | Dépend du fournisseur | ✅ Contrôle total sur vos serveurs |
| Supervision humaine | Possible mais non garantie | ✅ Architecture maîtrisée |
| Conformité RGPD simultanée | Transferts hors UE à justifier | ✅ Données en France, pas de transfert |
| Vérification conformité fournisseur | Dépend d'OpenAI, Microsoft… | ✅ Modèles open source, vous contrôlez |
| Documentation technique | Fournie par le fournisseur | ✅ Vous la produisez vous-même |
| Soumission au Cloud Act US | Oui — risque résiduel | ❌ Non — données 100% locales |
En choisissant une IA locale, vous restez dans la catégorie déployeur avec des obligations allégées, vous maîtrisez votre infrastructure, et vous évitez les risques liés à la conformité des fournisseurs cloud américains — dont la mise en conformité IA Act peut évoluer indépendamment de vos propres obligations.
FAQ — IA Act 2026
Oui, sans exception de taille. L'IA Act s'applique à toute organisation qui développe, commercialise ou utilise des systèmes d'IA sur le marché européen. Les PME et start-ups bénéficient de plafonds d'amendes proportionnels et d'un accès prioritaire aux bacs à sable réglementaires, mais les obligations de fond — notamment la formation obligatoire — s'appliquent à toutes les structures dès lors qu'elles utilisent de l'IA.
Oui. En tant que déployeur de ChatGPT dans un cadre professionnel, vous êtes soumis aux obligations de l'IA Act. Pour un usage courant (rédaction, résumé, questions générales), ChatGPT est généralement classé en risque limité — votre obligation principale est d'informer les personnes impactées qu'elles interagissent avec une IA, et de former vos collaborateurs. Si vous utilisez ChatGPT pour des décisions RH, financières ou médicales, le niveau de risque est potentiellement plus élevé.
L'article 4 de l'IA Act impose une "culture IA" adaptée aux fonctions de chaque collaborateur — pas une simple présentation générale. La formation doit couvrir les capacités réelles et les limites du système utilisé, les biais potentiels, et comment exercer une supervision humaine effective. Et surtout, vous devez pouvoir en apporter la preuve documentée en cas de contrôle.
Très probablement oui. L'Annexe III de l'IA Act liste explicitement les systèmes d'IA utilisés dans le recrutement et la sélection de candidats comme à haut risque. Cela inclut les outils qui trient, classent ou évaluent automatiquement des candidatures. Si vous utilisez un tel outil — même via un ATS ou un logiciel RH intégrant de l'IA — vous devez vérifier sa conformité IA Act auprès de votre fournisseur avant le 2 août 2026.
Non. Malgré des tentatives de lobbying pour reporter certaines échéances, la Commission Européenne a confirmé en juillet 2025 que le calendrier serait maintenu. Le 2 août 2026 est une date ferme. Les autorités nationales (ARCOM, DGCCRF en France) doivent avoir leur infrastructure de contrôle opérationnelle à cette date.
Les deux textes sont complémentaires et s'appliquent simultanément si votre IA traite des données personnelles. Le RGPD reste en vigueur pour tout ce qui concerne les données personnelles — bases légales, droits des personnes, transferts hors UE. L'IA Act y ajoute des obligations sur le système lui-même : documentation technique, supervision humaine, transparence sur la nature IA. La conformité à l'un ne dispense pas de l'autre.
Prêt pour l'IA Act avant le 2 août 2026 ?
Notre audit gratuit cartographie vos usages IA, identifie vos obligations réelles et vous donne une feuille de route de mise en conformité adaptée à votre PME.
