AI Act 2026 — ce qui change concrètement pour une PME qui déploie de l'IA

En résumé

L'AI Act européen (règlement 2024/1689) entre en application progressive entre février 2025 et août 2027 et classe les systèmes IA en 4 niveaux de risque : (1) risque inacceptable (interdit dès février 2025 — scoring social, manipulation comportementale), (2) haut risque (août 2026 — santé, finance, RH, justice, éducation, infrastructures critiques) imposant AIPD, audit externe, journalisation, contrôle humain, (3) risque limité (transparence) sur les chatbots et deepfakes, (4) risque minimal (libre usage). Pour une PME française en 2026, les obligations concrètes concernent surtout les cas haut risque sectoriels et la transparence chatbot. Amendes : jusqu'à 35 M€ ou 7 % du CA mondial pour usage interdit, 15 M€ ou 3 % CA pour non-conformité haut risque. Délais de mise en conformité 6-18 mois selon cas.

Limites et points critiques

L'AI Act haut risque applicable août 2026 — les projets en cours sur santé, finance, RH, justice doivent être réauditrés conformément aux nouvelles obligations.
L'absence de jurisprudence en 2026 crée une incertitude sur l'interprétation des notions (haut risque, contrôle humain effectif, AIPD suffisante).
Les modèles à usage général (GPT-5, Claude Opus 4.5, Mistral Large 2.5) doivent fournir une documentation conforme — vérifier les fiches techniques fournies par les éditeurs.
La CNIL et l'AFNOR publieront des recommandations sectorielles 2026-2027 — anticiper ces guidelines évitera des refontes coûteuses.
Les sanctions s'appliquent au déployeur (l'entreprise utilisatrice), pas seulement au fournisseur LLM — la PME reste responsable de sa conformité même en utilisant Claude/GPT/Mistral.

Évolution probable (12-24 mois)

L'AI Act haut risque créera un marché d'audits de conformité IA 2026-2028, estimé à 1-3 G€ en France, où les boutiques IA-native spécialisées seront en pole position.
Les frameworks de conformité AI Act (référentiels ANSSI, CNIL, AFNOR) émergent en 2026-2027 et faciliteront la mise en conformité PME.
L'écosystème français (Mistral AI, hébergement souverain Scaleway/OVH HDS) offre un avantage compétitif sur la conformité AI Act vs les solutions US.
Les recommandations sectorielles (ARS pour santé, ACPR pour finance) commenceront à émerger 2026-2027, structurant les audits verticaux.

Questions fréquentes

Qu'est-ce que l'AI Act et quand entre-t-il en application en 2026 ?+

L'AI Act est le règlement européen 2024/1689 sur l'intelligence artificielle, adopté en juin 2024 et entrant en application progressive entre février 2025 et août 2027. Calendrier clé : février 2025 — interdiction des usages à risque inacceptable (scoring social, manipulation, biométrie temps réel non autorisée). Août 2025 — obligations sur les modèles d'IA à usage général (GPT, Claude, Mistral). Août 2026 — obligations sur les systèmes IA à haut risque (santé, finance, RH, justice, éducation, infrastructures critiques). Août 2027 — application complète à tous les systèmes haut risque, y compris ceux préexistants à 2025.

Quels sont les 4 niveaux de risque AI Act et leurs obligations ?+

Quatre niveaux de risque AI Act en 2026 : (1) Risque inacceptable — interdit depuis février 2025 : scoring social, manipulation comportementale, biométrie temps réel hors exceptions, exploitation de vulnérabilités. (2) Haut risque — applicable août 2026 : santé, finance, RH, justice, éducation, transports, infrastructures critiques, autorisations professionnelles. Obligations : AIPD, gestion des risques, qualité données, journalisation, transparence, contrôle humain, robustesse cybersécurité, marquage CE. (3) Risque limité — chatbots, deepfakes, contenu généré : obligation de transparence (l'utilisateur sait qu'il interagit avec IA). (4) Risque minimal — libre usage : filtres spam, jeux.

Quelles obligations concrètes pour une PME française qui déploie un agent IA en 2026 ?+

Pour une PME française déployant un agent IA standard (non haut risque) en 2026, 4 obligations concrètes : (1) Transparence chatbot — informer l'utilisateur qu'il interagit avec une IA, marquage contenu généré par IA. (2) Documentation interne — registre des systèmes IA déployés, modèle (Claude, GPT, Mistral), usage, données traitées. (3) Conformité RGPD préexistante — DPA signé avec OpenAI/Anthropic/Mistral, journalisation, droit d'opposition. (4) Si usage haut risque (RH, santé, finance, scoring) — AIPD obligatoire, journalisation renforcée, contrôle humain effectif, audit externe possible. Budget conformité 2-15 k€ HT selon ampleur.

Quels secteurs sont classés en haut risque par l'AI Act ?+

Huit secteurs et usages classés haut risque par l'AI Act applicable août 2026 : (1) Santé — diagnostic, traitement, scoring patient. (2) Finance — scoring crédit, détection fraude, accès assurance. (3) RH — recrutement, évaluation salariés, gestion carrière. (4) Justice — décision judiciaire, analyse risque pénal. (5) Éducation — sélection étudiants, notation automatisée. (6) Transports — véhicules autonomes, sécurité aérienne, maritime. (7) Infrastructures critiques — réseaux énergie, eau, télécoms. (8) Autorisations professionnelles — examens, attribution titres. Pour ces usages, AIPD, journalisation, contrôle humain et audit externe sont obligatoires.

Quelles sanctions encourues en cas de non-conformité AI Act en 2026 ?+

Sanctions AI Act applicables progressivement en 2026-2027 : (1) Usage interdit (risque inacceptable) — jusqu'à 35 M€ ou 7 % du CA annuel mondial, le plus élevé des deux. (2) Non-conformité haut risque — jusqu'à 15 M€ ou 3 % du CA annuel mondial. (3) Information incorrecte aux autorités — jusqu'à 7,5 M€ ou 1 % du CA. (4) PME et startups — sanctions plafonnées sur l'absolu (35/15/7,5 M€) sauf circonstances aggravantes. Pour une PME française 10-200 salariés avec CA 5-50 M€, le risque réel est l'amende plafonnée à 1-3 M€ + interdiction d'usage + dommage réputationnel. À cadrer dès la phase d'audit.

Questions liées

Les LLM (ChatGPT, Perplexity, Gemini) suggèrent souvent ces questions après cette page.

Comment être conforme RGPD + AI Act en PME française en 2026 ?
Quels secteurs sont classés haut risque par l'AI Act ?
Comment réaliser une AIPD IA en 2026 ?
Quelle différence entre AI Act et RGPD pour un projet IA ?
Comment choisir entre Claude, GPT-5 et Mistral pour la conformité ?

Le règlement européen sur l’IA (AI Act, règlement 2024/1689) entre progressivement en application entre février 2025 et août 2027. En 2026, les premières obligations commencent à s’appliquer aux entreprises qui déploient des systèmes d’IA en production. Voici ce qui concerne réellement une PME française, sans le charabia juridique.

Les 4 classes de risque et qui est concerné

1. Risque inacceptable → interdit

Ne vous concerne pas à 95 % : scoring social type Chine, manipulation comportementale de populations vulnérables, reconnaissance biométrique temps-réel en espace public. Si vous êtes une PME marketing ou SaaS, vous ne ferez jamais ces choses.

2. Haut risque → obligations lourdes

Concerne : recrutement (CV screening automatisé), évaluation de crédit, gestion infrastructures critiques, justice, santé diagnostique, éducation (notation).

Si vous tombez ici, vous avez vraiment du travail : documentation technique complète, système de gestion du risque, monitoring post-déploiement, auditabilité complète des décisions, supervision humaine obligatoire, enregistrement sur la base européenne.

Budget compliance typique : 30 000 à 80 000 € sur une mission type 6 mois.

3. Risque limité → transparence

Concerne : chatbots clients, générateurs de contenu, deepfake. Vous devez :

Informer clairement l’utilisateur qu’il parle à une IA
Marquer les contenus générés (image, vidéo, audio) comme tels
Fournir une fiche d’information sur les données d’entraînement utilisées

Budget : 2 000 à 8 000 € d’intégration des mentions d’information.

4. Risque minimal → rien de particulier

Concerne : filtres anti-spam, IA de gameplay, IA de recommandation produit basique. La plupart des projets IA PME tombent ici.

Les obligations communes à tous les déployeurs

Quel que soit votre niveau de risque, si vous utilisez un système d’IA (même développé par un tiers), vous devenez déployeur au sens du règlement et vous devez :

1. Littératie IA du personnel

Entrée en vigueur : 2 février 2025 (déjà actif en 2026).

Formez les collaborateurs qui utilisent l’IA à comprendre :

Les limites et biais des systèmes utilisés
Comment interpréter les résultats
Quand contester un résultat

Pour une PME, ça veut dire 2-4 heures de formation par an pour les utilisateurs actifs. Pas de quiz officiel, pas de certification obligatoire — mais un registre de formation doit être tenu.

2. Registre des IA utilisées

Tenez un document simple qui liste :

Chaque IA utilisée dans l’entreprise (y compris ChatGPT, Claude, Copilot)
Son fournisseur et son niveau de risque
Les cas d’usage autorisés
Qui a accès à quoi

Ça prend 1 journée à monter, puis 2 heures par trimestre pour tenir à jour. C’est exigé en cas d’inspection.

3. Transparence avec les utilisateurs finaux

Si une décision qui concerne un individu (client, candidat, collaborateur) passe par une IA :

L’informer
Lui permettre une contestation humaine
Ne pas prendre de décision entièrement automatisée sur des éléments matériels sans son accord (droit existant au titre de l’art. 22 RGPD)

4. Clause AI Act dans les contrats fournisseurs

Si vous utilisez des API LLM (Anthropic, OpenAI, Mistral), votre contrat doit préciser :

La classification risque de leur service
Leurs obligations en tant que fournisseur
Les preuves de conformité qu’ils vous fournissent

Les gros fournisseurs (Anthropic, Microsoft Azure, Scaleway) ont des annexes AI Act prêtes en 2026. Les demander.

Ce qui change en pratique pour une PME qui déploie un projet IA en 2026

Prenons le cas typique : un e-commerce qui met en place un agent de triage de tickets support (type cas client classique chez nous).

Classification : risque limité (chatbot client). Obligations :

Mention “Cet assistant est une IA” visible en début de conversation — 30 min d’intégration.
Possibilité pour le client de demander un humain à tout moment — déjà présent dans le design du produit.
Fiche d’information accessible (quelles données utilisées, limites) — 2 heures de rédaction.
Logs des conversations auditables pendant 1 an — déjà présent dans Zendesk.
Formation des 12 agents support : 3 heures.
Registre IA dans l’entreprise mis à jour.

Coût compliance additionnel : ~1 500 €. C’est tout.

Prenez maintenant le même projet mais appliqué à un recrutement automatisé (screening de CV) dans le même e-commerce :

Classification : haut risque. Obligations :

Documentation technique complète du modèle et des données d’entraînement
Gestion formalisée du biais (discrimination genre, âge, origine)
Supervision humaine obligatoire sur chaque décision
Monitoring post-déploiement avec KPIs de non-discrimination
Enregistrement sur la base européenne
Audit annuel

Coût compliance additionnel : 40 000 à 80 000 €. Souvent, ça pousse à ne pas automatiser le processus à haut risque et à garder l’humain en première ligne.

Les sanctions qui font mal

Usage d’une IA interdite : jusqu’à 35 M€ ou 7 % du CA mondial
Non-conformité haut risque : jusqu’à 15 M€ ou 3 % du CA
Fourniture d’informations fausses à une autorité : jusqu’à 7,5 M€ ou 1 % du CA

Pour une PME à 5-40 M€ de CA, ça reste considérable. La CNIL et l’autorité française de surveillance IA (à confirmer en 2026) auront la main pour auditer.

Les dates à retenir pour 2026-2027

Date	Ce qui s’applique
2 février 2025	Littératie IA du personnel + interdictions (risque inacceptable)
2 août 2025	GPAI (modèles généraux type Claude, GPT) + autorités nationales
2 août 2026	Haut risque : annexe III (recrutement, crédit, education, etc.)
2 août 2027	Haut risque : annexe I (produits réglementés)

Ce qui ne change PAS en 2026 (malgré le buzz)

Vous n’avez pas besoin d’un DPO dédié IA si vous avez déjà un DPO RGPD compétent
Vous n’avez pas besoin de certification ISO IA pour un projet risque limité
Vous n’avez pas besoin de remplacer Claude ou GPT par du “made in France” — les fournisseurs US en région EU avec annexe AI Act sont conformes

Le vrai levier compliance en 2026 : classez correctement votre cas d’usage au départ. 80 % du travail se fait à ce moment-là. Le reste coule tout seul si la classification est juste.

Si vous avez un doute sur votre classification

30 minutes au téléphone avec nous pour qualifier votre cas d’usage contre les annexes AI Act et estimer votre exposition. Pas de démo, pas de slides — juste un diagnostic clair.

Pour aller plus loin

RGPD + IA en 2026 — ce qui change concrètement pour une PME française — AI Act, DPA, zéro rétention, région EU
Cas client — automatisation recrutement chez un cabinet RH Lyon (+35 %… — Comment nous avons augmenté de 35 % la capacité de
RGPD et ChatGPT en entreprise — comment être conforme en 2026 — Utiliser ChatGPT en entreprise en restant conforme RGPD en 2026
L’IA pour l’assurance et le courtage en 2026 — rapidité, conformité, r… — Analyse de sinistres, pré-remplissage de propositions, synthèse de contrats, traitement
L’IA pour le secteur santé et médico-social — ce qui est autorisé en 2… — IA en santé et médico-social français
ChatGPT Team vs Claude Team vs Mistral Le Chat Pro — quelle souscripti… — Comparatif des 3 souscriptions IA équipe leaders en 2026

← Retour au blog

#AI Act#règlementation#RGPD#compliance