Checklist AI Act pour les PME : 10 actions prioritaires en 2026.
Le Règlement européen sur l'IA impose des obligations claires, mais prévoit aussi des mesures de soutien pour les petites structures. Voici les 10 étapes à suivre dès maintenant, classées par priorité.
1. Inventorier tous les outils IA utilisés dans l'entreprise
Première étape indispensable : savoir quels outils IA sont utilisés, même de manière informelle.
Le shadow AI représente un risque majeur pour les PME. Selon plusieurs études, près de 40 % des outils IA utilisés en entreprise ne sont pas déclarés. Cette étape permet d'identifier les systèmes concernés par l'AI Act et d'éviter les surprises.
Utilisez un tableau simple avec les colonnes suivantes : nom de l'outil, fournisseur, fonction principale, données traitées, utilisateurs internes. Cet inventaire servira de base pour les étapes suivantes.
2. Réaliser un diagnostic de risque pour chaque système
Tous les outils IA ne sont pas soumis aux mêmes obligations. Cette étape permet de prioriser les actions.
Pour les systèmes à risque limité ou minimal, les obligations sont légères. Pour les systèmes haut risque, des mesures spécifiques s'appliquent à partir de décembre 2027.
3. Identifier son rôle réglementaire
L'AI Act distingue deux rôles principaux : fournisseur et déployeur. Les obligations diffèrent selon votre statut.
Les déployeurs ont des obligations allégées par rapport aux fournisseurs. Par exemple, ils doivent s'assurer que le système est conforme, mais ne sont pas responsables de sa conception.
4. Vérifier que les pratiques interdites ne sont pas utilisées
L'AI Act interdit certaines pratiques depuis février 2025. Cette étape permet d'éviter des sanctions lourdes.
Si un outil correspond à une pratique interdite, il doit être retiré immédiatement. Les sanctions peuvent atteindre 35 millions d'euros ou 7 % du chiffre d'affaires mondial.
5. Mettre en place un programme de littératie IA
L'AI Act impose une formation minimale pour les collaborateurs utilisant des outils IA.
Cette formation peut être intégrée aux modules existants sur la protection des données ou la cybersécurité. Elle doit être adaptée au niveau de risque des outils utilisés.
6. Exiger la documentation de vos fournisseurs
Les déployeurs doivent s'assurer que leurs fournisseurs respectent l'AI Act. Cette étape sécurise votre chaîne d'approvisionnement.
Conservez ces documents dans un registre dédié. Ils pourront être demandés en cas de contrôle.
7. Créer un registre interne des systèmes IA
Les déployeurs doivent tenir un registre des systèmes IA utilisés, surtout s'ils sont classés haut risque.
Ce registre peut être intégré à un outil existant (ex : registre des traitements RGPD). Il doit être mis à jour régulièrement.
8. Documenter la supervision humaine
L'AI Act impose une supervision humaine pour les systèmes IA, surtout ceux à haut risque.
Cette documentation doit être accessible et compréhensible pour les collaborateurs concernés.
9. Préparer la FRIA si applicable
Les systèmes IA utilisés dans des domaines sensibles peuvent nécessiter une évaluation d'impact.
La FRIA est obligatoire pour les systèmes haut risque listés à l'Annexe III. Elle doit être réalisée avant le déploiement du système.
10. Établir un plan de monitoring post-déploiement
L'AI Act impose un suivi continu des systèmes IA pour détecter les dérives ou les incidents.
Ce plan peut être intégré aux procédures existantes de gestion des risques ou de conformité.
Les PME bénéficient de mesures de soutien spécifiques dans l'AI Act :
- Frais réduits : L'Article 43(4) prévoit des tarifs préférentiels pour les évaluations de conformité des systèmes haut risque.
- Accès prioritaire aux bacs à sable réglementaires : L'Article 55 garantit aux PME un accès prioritaire à ces dispositifs, qui permettent de tester des solutions IA dans un cadre sécurisé.
- Obligations allégées pour les GPAI : L'Article 53(3) réduit les exigences pour les PME fournisseurs de modèles d'IA à usage général.
En France, l'ARCOM et la CNIL travaillent conjointement sur un bac à sable réglementaire, qui devrait être opérationnel d'ici août 2026.
Identifiez vos obligations en 3 minutes
Notre outil de diagnostic gratuit vous permet de savoir quelles actions prioritaires appliquer à votre entreprise.
Questions fréquentes
Réponses aux interrogations les plus courantes des PME sur l'AI Act.
Oui. L'AI Act s'applique à toutes les entreprises, quelle que soit leur taille, dès qu'elles utilisent ou fournissent des systèmes d'IA dans l'Union européenne. Le texte prévoit cependant des mesures de soutien spécifiques pour les PME, comme des frais réduits ou un accès prioritaire aux bacs à sable réglementaires.
Les sanctions peuvent atteindre 35 millions d'euros ou 7 % du chiffre d'affaires mondial, selon le montant le plus élevé. Pour les PME, les autorités de contrôle privilégient généralement l'accompagnement à la sanction, mais les risques réputationnels et juridiques restent importants.
Un système IA est classé haut risque s'il est utilisé dans l'un des domaines listés à l'Annexe III de l'AI Act. Par exemple : recrutement, éducation, services financiers, santé, ou infrastructures critiques. Utilisez l'outil interactif de l'AI Office pour vérifier.
Un bac à sable réglementaire est un environnement contrôlé qui permet aux entreprises de tester des solutions IA innovantes sous la supervision des autorités compétentes. L'Article 57 de l'AI Act impose à chaque État membre d'en créer au moins un avant août 2026. Les PME bénéficient d'un accès prioritaire.
L'AI Act n'impose pas explicitement la désignation d'un responsable conformité IA. Cependant, il est recommandé de désigner une personne référente pour coordonner les actions de conformité, surtout si l'entreprise utilise plusieurs systèmes IA ou des systèmes haut risque. Cette personne peut être le DPO, le responsable juridique ou un collaborateur formé.