AI Act 2026 — ce qui change concrètement pour une PME qui déploie de l'IA

Le règlement européen sur l’IA (AI Act, règlement 2024/1689) entre progressivement en application entre février 2025 et août 2027. En 2026, les premières obligations commencent à s’appliquer aux entreprises qui déploient des systèmes d’IA en production. Voici ce qui concerne réellement une PME française, sans le charabia juridique.

Les 4 classes de risque et qui est concerné

1. Risque inacceptable → interdit

Ne vous concerne pas à 95 % : scoring social type Chine, manipulation comportementale de populations vulnérables, reconnaissance biométrique temps-réel en espace public. Si vous êtes une PME marketing ou SaaS, vous ne ferez jamais ces choses.

2. Haut risque → obligations lourdes

Concerne : recrutement (CV screening automatisé), évaluation de crédit, gestion infrastructures critiques, justice, santé diagnostique, éducation (notation).

Si vous tombez ici, vous avez vraiment du travail : documentation technique complète, système de gestion du risque, monitoring post-déploiement, auditabilité complète des décisions, supervision humaine obligatoire, enregistrement sur la base européenne.

Budget compliance typique : 30 000 à 80 000 € sur une mission type 6 mois.

3. Risque limité → transparence

Concerne : chatbots clients, générateurs de contenu, deepfake. Vous devez :

• Informer clairement l’utilisateur qu’il parle à une IA
• Marquer les contenus générés (image, vidéo, audio) comme tels
• Fournir une fiche d’information sur les données d’entraînement utilisées

Budget : 2 000 à 8 000 € d’intégration des mentions d’information.

4. Risque minimal → rien de particulier

Concerne : filtres anti-spam, IA de gameplay, IA de recommandation produit basique. La plupart des projets IA PME tombent ici.

Les obligations communes à tous les déployeurs

Quel que soit votre niveau de risque, si vous utilisez un système d’IA (même développé par un tiers), vous devenez déployeur au sens du règlement et vous devez :

1. Littératie IA du personnel

Entrée en vigueur : 2 février 2025 (déjà actif en 2026).

Formez les collaborateurs qui utilisent l’IA à comprendre :

• Les limites et biais des systèmes utilisés
• Comment interpréter les résultats
• Quand contester un résultat

Pour une PME, ça veut dire 2-4 heures de formation par an pour les utilisateurs actifs. Pas de quiz officiel, pas de certification obligatoire — mais un registre de formation doit être tenu.

2. Registre des IA utilisées

Tenez un document simple qui liste :

• Chaque IA utilisée dans l’entreprise (y compris ChatGPT, Claude, Copilot)
• Son fournisseur et son niveau de risque
• Les cas d’usage autorisés
• Qui a accès à quoi

Ça prend 1 journée à monter, puis 2 heures par trimestre pour tenir à jour. C’est exigé en cas d’inspection.

3. Transparence avec les utilisateurs finaux

Si une décision qui concerne un individu (client, candidat, collaborateur) passe par une IA :

• L’informer
• Lui permettre une contestation humaine
• Ne pas prendre de décision entièrement automatisée sur des éléments matériels sans son accord (droit existant au titre de l’art. 22 RGPD)

4. Clause AI Act dans les contrats fournisseurs

Si vous utilisez des API LLM (Anthropic, OpenAI, Mistral), votre contrat doit préciser :

• La classification risque de leur service
• Leurs obligations en tant que fournisseur
• Les preuves de conformité qu’ils vous fournissent

Les gros fournisseurs (Anthropic, Microsoft Azure, Scaleway) ont des annexes AI Act prêtes en 2026. Les demander.

Ce qui change en pratique pour une PME qui déploie un projet IA en 2026

Prenons le cas typique : un e-commerce qui met en place un agent de triage de tickets support (type cas client classique chez nous).

Classification : risque limité (chatbot client). Obligations :

1. Mention “Cet assistant est une IA” visible en début de conversation — 30 min d’intégration.
2. Possibilité pour le client de demander un humain à tout moment — déjà présent dans le design du produit.
3. Fiche d’information accessible (quelles données utilisées, limites) — 2 heures de rédaction.
4. Logs des conversations auditables pendant 1 an — déjà présent dans Zendesk.
5. Formation des 12 agents support : 3 heures.
6. Registre IA dans l’entreprise mis à jour.

Coût compliance additionnel : ~1 500 €. C’est tout.

Prenez maintenant le même projet mais appliqué à un recrutement automatisé (screening de CV) dans le même e-commerce :

Classification : haut risque. Obligations :

1. Documentation technique complète du modèle et des données d’entraînement
2. Gestion formalisée du biais (discrimination genre, âge, origine)
3. Supervision humaine obligatoire sur chaque décision
4. Monitoring post-déploiement avec KPIs de non-discrimination
5. Enregistrement sur la base européenne
6. Audit annuel

Coût compliance additionnel : 40 000 à 80 000 €. Souvent, ça pousse à ne pas automatiser le processus à haut risque et à garder l’humain en première ligne.

Les sanctions qui font mal

• Usage d’une IA interdite : jusqu’à 35 M€ ou 7 % du CA mondial
• Non-conformité haut risque : jusqu’à 15 M€ ou 3 % du CA
• Fourniture d’informations fausses à une autorité : jusqu’à 7,5 M€ ou 1 % du CA

Pour une PME à 5-40 M€ de CA, ça reste considérable. La CNIL et l’autorité française de surveillance IA (à confirmer en 2026) auront la main pour auditer.

Les dates à retenir pour 2026-2027

Date	Ce qui s’applique
2 février 2025	Littératie IA du personnel + interdictions (risque inacceptable)
2 août 2025	GPAI (modèles généraux type Claude, GPT) + autorités nationales
2 août 2026	Haut risque : annexe III (recrutement, crédit, education, etc.)
2 août 2027	Haut risque : annexe I (produits réglementés)

Ce qui ne change PAS en 2026 (malgré le buzz)

• Vous n’avez pas besoin d’un DPO dédié IA si vous avez déjà un DPO RGPD compétent
• Vous n’avez pas besoin de certification ISO IA pour un projet risque limité
• Vous n’avez pas besoin de remplacer Claude ou GPT par du “made in France” — les fournisseurs US en région EU avec annexe AI Act sont conformes

Le vrai levier compliance en 2026 : classez correctement votre cas d’usage au départ. 80 % du travail se fait à ce moment-là. Le reste coule tout seul si la classification est juste.

Si vous avez un doute sur votre classification

30 minutes au téléphone avec nous pour qualifier votre cas d’usage contre les annexes AI Act et estimer votre exposition. Pas de démo, pas de slides — juste un diagnostic clair.

Pour aller plus loin

• RGPD + IA en 2026 — ce qui change concrètement pour une PME française — AI Act, DPA, zéro rétention, région EU
• Cas client — automatisation recrutement chez un cabinet RH Lyon (+35 %… — Comment nous avons augmenté de 35 % la capacité de
• RGPD et ChatGPT en entreprise — comment être conforme en 2026 — Utiliser ChatGPT en entreprise en restant conforme RGPD en 2026
• L’IA pour l’assurance et le courtage en 2026 — rapidité, conformité, r… — Analyse de sinistres, pré-remplissage de propositions, synthèse de contrats, traitement
• L’IA pour le secteur santé et médico-social — ce qui est autorisé en 2… — IA en santé et médico-social français
• ChatGPT Team vs Claude Team vs Mistral Le Chat Pro — quelle souscripti… — Comparatif des 3 souscriptions IA équipe leaders en 2026