Aller au contenu principal
Diagnostic gratuit

Glossaire

25 définitions clés du Règlement

Obligations

24 articles détaillés avec échéances

Échéancier

Dates clés de 2025 à 2027

Diagnostic

Identifiez vos obligations en 3 minutes

Conformité PME

Vérifiez vos obligations AI Act en 30 secondes

Souveraineté européenne

Hébergement 100% en France

Assistant IA

IA contextuelle avec mémoire inter-sections

Génération documentaire

Texte conforme Annexe IV généré par IA

Diagnostic

Classification automatique de votre système

Versioning

Traçabilité des évolutions de vos projets

Multi-clients

Gestion multi-clients pour agences

Export PDF

PDF professionnels prêts pour l'audit

TarifsBlogConnexion
ai act pmeconformité ai act 2026obligations déployeur ai actclassification risques ia

AI Act et PME : ce que vous devez faire pour être conformes avant août 2026

13 mars 20269 min15
AI Act et PME : ce que vous devez faire pour être conformes avant août 2026

En bref

Le 2 août 2026, les obligations de l'AI Act entrent pleinement en vigueur pour les systèmes d'IA à haut risque et les règles de transparence. Les PME ne sont pas exemptées — qu'elles développent ou qu'elles utilisent des systèmes d'IA, elles ont des obligations concrètes à respecter. Voici un guide pratique pour se préparer avant l'échéance.

Quand on parle de conformité à l'AI Act (Règlement UE 2024/1689), les grandes entreprises technologiques monopolisent souvent le débat. Les PME, elles, ont tendance à penser que cette réglementation ne les concerne pas — ou pas encore. C'est une erreur qui pourrait coûter cher.

Le 2 août 2026, les obligations entrent en vigueur pour les systèmes d'IA à haut risque et pour les règles de transparence. Et une PME qui utilise un logiciel RH alimenté par l'IA, un outil de scoring de crédit, un chatbot de service client ou un système de recrutement automatisé est — qu'elle le sache ou non — un déployeur au sens de l'AI Act. Les obligations s'appliquent à elle.

PME et AI Act : de qui parle-t-on exactement ?

L'AI Act distingue deux rôles principaux :

  • Le fournisseur (provider) : celui qui développe et met sur le marché un système d'IA
  • Le déployeur (deployer) : celui qui utilise un système d'IA dans le cadre d'une activité professionnelle

La grande majorité des PME sont des déployeurs. Elles n'ont pas développé le modèle d'IA qu'elles utilisent — elles ont souscrit un abonnement à un SaaS, intégré un outil dans leur CRM, ou branché une API. Mais cela ne les exonère pas. L'Article 26 du règlement définit précisément leurs obligations.

Quelques PME sont également fournisseurs : celles qui développent et commercialisent un logiciel intégrant de l'IA. Si c'est votre cas, les exigences sont nettement plus lourdes (documentation technique Annexe IV, marquage CE, enregistrement dans la base de données EU). Cet article se concentre sur le cas le plus fréquent : la PME déployeuse.

Étape 1 — Inventoriez vos systèmes d'IA

Vous ne pouvez pas vous mettre en conformité avec ce que vous n'avez pas identifié. La première action concrète est de dresser un inventaire exhaustif de tous les systèmes d'IA utilisés dans votre organisation :

  • Logiciels RH avec scoring automatique (recrutement, évaluation de performance)
  • Outils de relation client intégrant un chatbot ou une IA générative
  • Systèmes de scoring de crédit ou d'analyse financière
  • Outils de surveillance ou d'analyse du travail des salariés
  • Toute solution SaaS mentionnant "IA", "machine learning" ou "prédictif" dans sa documentation

Pour chaque outil identifié, notez : le nom du fournisseur, la fonction exacte de l'IA, les données traitées et les personnes concernées.

Étape 2 — Classifiez les risques

Une fois l'inventaire établi, il faut classifier chaque système selon les niveaux de risque de l'AI Act :

  • Risque inacceptable (interdit) : notation sociale généralisée, manipulation subliminale, certains usages biométriques
  • Haut risque (Annexe III) : IA dans le recrutement, la gestion des salariés, l'accès aux services essentiels, l'éducation
  • Risque limité : chatbots, outils génératifs, deepfakes — obligations de transparence (Article 50)
  • Risque minimal : filtres anti-spam, recommandations de contenu — pas d'obligations spécifiques

C'est la classification qui détermine l'intensité de vos obligations. Un outil de tri de CV par IA tombe dans la catégorie "haut risque" (Annexe III, section 4) : les exigences qui s'y appliquent sont substantielles.

Étape 3 — Remplissez vos obligations de déployeur

Pour les systèmes classés à haut risque, l'Article 26 impose aux déployeurs :

  • Supervision humaine effective : les décisions importantes produites par le système doivent pouvoir être revues, contestées et corrigées par un humain compétent. Ce contrôle doit être réel, pas formel.
  • Conservation des logs : vous devez conserver les journaux automatiques générés par le système d'IA conformément à vos obligations légales, afin de permettre une traçabilité en cas de litige ou de contrôle.
  • Utilisation conforme aux instructions du fournisseur : vous ne pouvez pas détourner le système de son usage prévu. Si le fournisseur limite certains usages dans sa documentation, vous devez respecter ces limites.
  • Information des personnes concernées : toute personne soumise à une décision prise ou influencée par un système d'IA à haut risque doit en être informée (Article 50 et Article 26(6)).
  • Évaluation d'impact sur les droits fondamentaux (Article 27) : obligatoire pour les organismes publics et certains opérateurs de services essentiels. À vérifier selon votre secteur.

Étape 4 — Gérez la transparence pour tous les autres systèmes

Même si aucun de vos systèmes n'est classé à haut risque, l'Article 50 s'applique à tous les outils qui interagissent avec des humains ou génèrent du contenu :

  • Un chatbot déployé sur votre site doit clairement indiquer à l'utilisateur qu'il parle à une IA
  • Un outil de génération de contenu (textes, images, vidéos) doit indiquer que le contenu est généré par IA
  • Tout contenu de synthèse vocale imitant une voix humaine doit être identifié comme tel

Ces obligations de transparence sont souvent sous-estimées par les PME, mais elles sont applicables dès le 2 août 2026, quel que soit le niveau de risque du système.

Étape 5 — Dialoguez avec vos fournisseurs SaaS

En tant que déployeur, vous avez le droit — et l'obligation — de vous assurer que les outils que vous utilisez sont eux-mêmes conformes. Posez concrètement ces questions à vos fournisseurs :

  • Votre système est-il classé à haut risque au titre de l'AI Act ?
  • Disposez-vous d'une documentation technique conforme à l'Annexe IV ?
  • Quelles données d'entraînement ont été utilisées et comment sont-elles documentées ?
  • Quels mécanismes de supervision humaine prévoyez-vous pour vos clients ?
  • Êtes-vous enregistré dans la base de données EU pour les systèmes à haut risque ?

Un fournisseur qui ne peut pas répondre à ces questions est un risque de conformité pour votre organisation. Cela doit figurer dans vos contrats.

Ce que vous risquez si vous ne faites rien

L'AI Act prévoit un régime de sanctions progressif :

  • Jusqu'à 35 millions d'euros ou 7 % du CA mondial pour les pratiques interdites (Article 99(1))
  • Jusqu'à 15 millions d'euros ou 3 % du CA mondial pour la non-conformité des systèmes à haut risque
  • Jusqu'à 7,5 millions d'euros ou 1 % du CA mondial pour la fourniture d'informations inexactes aux autorités

Pour les PME, le règlement prévoit explicitement que les autorités de surveillance doivent tenir compte de la taille de l'organisation et des ressources disponibles. Mais l'exemption n'existe pas : une PME ne peut pas ignorer la réglementation, elle peut seulement bénéficier d'une application proportionnée.

Par où commencer concrètement ?

La bonne nouvelle : vous n'avez pas besoin d'une équipe juridique dédiée pour démarrer. Trois actions suffisent à enclencher la démarche :

  1. Inventaire : listez tous vos outils SaaS et interrogez-vous sur la présence d'une composante IA
  2. Classification : pour chaque outil identifié, déterminez son niveau de risque selon l'Annexe III
  3. Documentation : commencez à tracer vos décisions, vos processus de supervision et vos échanges avec vos fournisseurs

Ces trois étapes peuvent être réalisées en quelques jours. Elles constituent la base de tout dossier de conformité solide — et la preuve, en cas de contrôle, que vous avez agi de bonne foi avant l'échéance.

Le diagnostic AI Act d'AiActo vous guide à travers cette classification et génère automatiquement les premiers éléments de votre dossier de conformité, adaptés à votre profil de déployeur ou de fournisseur.

Partager cet article

Articles similaires

AI Act août 2026 : ce qui change pour les systèmes IA à haut risque et les obligations de transparence
ai act août 2026systèmes ia haut risqueobligations ai act

AI Act août 2026 : ce qui change pour les systèmes IA à haut risque et les obligations de transparence

Le 2 août 2026, les obligations de l'AI Act entrent en vigueur pour les systèmes IA à haut risque (Annexe III) et les règles de transparence (Article 50). Voici ce qui change concrètement pour les fournisseurs et déployeurs, et comment s'y préparer.

9 février 202610 min