AI Act 2026 : guide pratique pour les PME et TPE

Votre PME utilise ChatGPT ou un chatbot ? L'AI Act vous concerne. Calendrier 2025-2026, 4 niveaux de risque et checklist actionnable pour rester conforme.

Bouclier de conformité stylisé avec coche au-dessus d'un réseau de nœuds d'intelligence artificielle, accents néon vert et orange sur fond sombre — conformité AI Act pour les PME IA
Sommaire
  1. L’AI Act, c’est quoi concrètement ?
  2. Un règlement européen, pas une loi française de plus
  3. Ce que l’AI Act signifie concrètement pour votre quotidien
  4. Qui est concerné ? Comprendre votre rôle
  5. Votre PME utilise des outils IA achetés ? Vous êtes déployeur
  6. Qui n’est pas concerné
  7. Le calendrier : ce qui change en 2025 et 2026
  8. Février 2025 : les interdictions sont déjà en vigueur
  9. Août 2025 : obligations sur les grands modèles d’IA (GPAI)
  10. Août 2026 et après : gouvernance, transparence, haut risque
  11. Les obligations concrètes pour une PME déployeuse
  12. Transparence : dire à vos utilisateurs qu’ils interagissent avec une IA
  13. Documentation et supervision humaine
  14. L’AI Act et le RGPD : les deux, pas l’un ou l’autre
  15. Checklist : par où commencer
  16. Questions fréquentes
  17. L’AI Act s’applique-t-il aux PME qui utilisent ChatGPT ?
  18. Quelles sont les obligations concrètes des entreprises selon l’AI Act ?
  19. Quand l’AI Act entre-t-il en vigueur pour les PME en France ?
  20. Quels usages de l’IA sont interdits par l’AI Act dans une entreprise ?
  21. Quelles sont les sanctions prévues par l’AI Act en cas de non-conformité ?
  22. Quelle est la différence entre l’AI Act et le RGPD pour une PME ?

L’AI Act (Règlement (UE) 2024/1689) est entré en vigueur le 1er août 2024 et s’applique à toute entreprise qui utilise ou déploie des outils d’IA dans l’Union européenne — pas seulement à celles qui les développent. Pour la grande majorité des PME, le niveau de risque est faible ou limité, ce qui signifie peu d’obligations lourdes. Ce guide vous explique qui est concerné, ce qui change et quand, et par quoi commencer concrètement.

Niveau de risqueExemples d’usages dans une PMECe qui s’appliqueDepuis quand
Inacceptable (interdit)Notation sociale des salariés, reconnaissance émotionnelle en réunionInterdit — à bannir immédiatement2 fév. 2025
Haut risqueLogiciel RH/recrutement IA, scoring crédit automatiséDocumentation, audit, supervision humaine renforcée2 août 2026 (Annexe III — report possible déc. 2027*)
Risque limitéChatbot client, génération de contenu, traduction IAInformer l’utilisateur qu’il interagit avec une IAAoût 2026
Risque minimalFiltre anti-spam, recommandations produit, correcteur orthographiqueAucune obligation AI Act spécifique

*Accord politique Digital Omnibus du 7 mai 2026 — non encore publié au Journal officiel à la date de rédaction.

L’AI Act, c’est quoi concrètement ?

Le Règlement (UE) 2024/1689 — dit “AI Act” ou “loi sur l’IA” — est un règlement européen, pas une loi française de plus. Cette distinction est importante : un règlement s’applique directement dans tous les États membres sans transposition nationale, avec les mêmes obligations pour une PME à Marseille et une PME à Berlin.

Son objectif n’est pas d’interdire l’IA. C’est d’encadrer les risques que certains usages peuvent faire peser sur les personnes — salariés, clients, utilisateurs. La plupart des PME qui utilisent ChatGPT, un chatbot ou un logiciel de traduction sont concernées par les catégories de risque les plus légères, avec des obligations proportionnées.

Pour comprendre les détails du texte, le texte officiel du règlement est disponible sur EUR-Lex et une version lisible sur artificialintelligenceact.eu.

Un règlement européen, pas une loi française de plus

Parce que c’est un règlement (et non une directive), la France n’a pas de marge pour l’assouplir ou le durcir au niveau national. Plusieurs autorités françaises sont désignées comme compétentes selon les secteurs : la DGCCRF (coordinatrice du marché), la CNIL (données personnelles, biométrie, secteur travail), l’ARCOM (médias et plateformes) et l’ACPR (secteur financier). Ces autorités pourront contrôler et sanctionner les entreprises françaises.

Ce que l’AI Act signifie concrètement pour votre quotidien

Non, l’AI Act n’interdit pas à votre PME d’utiliser ChatGPT. Il ne supprime pas votre chatbot de service client. Ce qu’il impose, c’est d’utiliser ces outils de façon transparente et documentée — deux exigences que la majorité des PME peuvent satisfaire sans restructuration majeure. La clé est de savoir dans quelle catégorie de risque tombent vos usages actuels.

Qui est concerné ? Comprendre votre rôle

Le règlement distingue quatre rôles principaux. Votre PME en occupe probablement un ou deux.

Le fournisseur développe ou met sur le marché un système d’IA. C’est OpenAI, Microsoft, l’éditeur de votre logiciel RH — et, rarement, la PME qui crée son propre modèle en interne.

Le déployeur utilise un système d’IA développé par un tiers dans un contexte professionnel. C’est le rôle de la grande majorité des PME : vous achetez ou abonnez à des outils IA, vous ne les construisez pas.

Le distributeur met un système d’IA à disposition sur le marché sans le modifier.

L’importateur introduit sur le marché européen un système d’IA développé hors UE.

Une précision importante : même une entreprise dont le siège est hors de l’UE est soumise à l’AI Act si ses produits ou services sont distribués dans l’Union.

Votre PME utilise des outils IA achetés ? Vous êtes déployeur

Si vous utilisez Notion AI, ChatGPT Teams, Microsoft Copilot, un chatbot Tidio, ou un logiciel de présélection de CV avec module IA, vous êtes un déployeur au sens du règlement. Vos obligations sont allégées par rapport à celles du fournisseur, mais elles existent : transparence envers vos utilisateurs, supervision humaine sur les décisions sensibles, documentation des outils.

À noter : un agent IA — un système qui agit de façon autonome sur plusieurs tâches enchaînées — peut relever d’une catégorie de risque différente d’un simple chatbot selon ce qu’il décide et sur qui cela impacte. Si vous déployez ce type de solution, vérifiez son niveau de risque au cas par cas.

Qui n’est pas concerné

Deux exceptions prévues par le règlement : les usages strictement privés (non professionnels) et la R&D expérimentale encadrée (Art. 2, §6 du règlement). Hors de ces cas, si vous utilisez un outil IA dans votre activité professionnelle, l’AI Act s’applique.

Le calendrier : ce qui change en 2025 et 2026

L’erreur à ne pas commettre est de croire que “l’AI Act s’applique en août 2026”. Le règlement est mis en œuvre de façon échelonnée sur plusieurs années. Voici les cinq étapes clés, disponibles également sur entreprises.gouv.fr.

1er août 2024 : entrée en vigueur du règlement. Le texte existe, le compteur tourne.

2 février 2025 : les interdictions absolues (Art. 5) sont applicables. C’est maintenant — voir la section suivante.

2 août 2025 : obligations sur les grands modèles d’IA à usage général (GPAI — General Purpose AI Models). Cela concerne directement les fournisseurs comme OpenAI, Google et Meta, pas la PME déployeuse. Impact indirect pour vous : vos fournisseurs SaaS doivent être conformes — demandez-leur leur documentation.

2 août 2026 : obligations générales de gouvernance et obligations de transparence pour les risques limités (chatbot, génération de contenu). C’est à cette date que la majorité des PME déployeuses doivent être prêtes. C’est aussi la date d’origine pour les systèmes à haut risque de l’Annexe III (logiciels RH, scoring crédit) — mais un accord politique distinct modifie ce point (voir ci-dessous).

Annexe III — haut risque standalone (RH, scoring crédit) : date en cours de modification. Le texte original fixait cette échéance au 2 août 2026. Un accord politique dit “Digital Omnibus”, conclu le 7 mai 2026, prévoit un report au 2 décembre 2027 pour ces systèmes — mais cet accord n’est pas encore publié au Journal officiel à la date de rédaction. À suivre si vous déployez un logiciel de recrutement IA ou de scoring crédit. À ne pas confondre avec l’Annexe I (IA intégrée à des produits réglementés : dispositifs médicaux, machines, jouets), dont la date d’application originale est le 2 août 2027.

Février 2025 : les interdictions sont déjà en vigueur

Depuis le 2 février 2025, huit pratiques sont interdites (Art. 5 du règlement). Pour une PME, les cas les plus concrets : utiliser un outil IA pour noter socialement vos salariés ou clients (scoring comportemental généralisé), analyser les émotions d’un collaborateur lors d’un entretien ou d’une réunion, ou scraper des visages de façon non ciblée. Ces interdictions s’appliquent maintenant, quelle que soit votre taille.

Août 2025 : obligations sur les grands modèles d’IA (GPAI)

Cette étape concerne les fournisseurs de modèles fondationnels — OpenAI, Google, Meta, Mistral — pas la PME qui les utilise. L’impact indirect pour vous : vérifiez que vos outils SaaS affichent une documentation de conformité GPAI. Les fournisseurs sérieux l’ont déjà publié ou annoncé.

Août 2026 et après : gouvernance, transparence, haut risque

À partir d’août 2026, les obligations de gouvernance (politiques IA internes, registre des outils) et les obligations de transparence (mentionner l’IA à vos utilisateurs) deviennent exigibles. Pour les systèmes à haut risque de l’Annexe III, le calendrier est encore en cours de finalisation via le Digital Omnibus — prudence donc si vous déployez un logiciel de recrutement IA ou de scoring crédit.

Les obligations concrètes pour une PME déployeuse

Pour la grande majorité des PME — déployeuses d’outils à risque limité ou minimal —, les obligations se résument à quatre axes. Le ROI de l’IA reste positif même en les appliquant : ces obligations ne nécessitent pas de budget significatif pour les PME aux usages courants.

Transparence : dire à vos utilisateurs qu’ils interagissent avec une IA

Si votre site comporte un chatbot, vos emails sont générés ou assistés par une IA, ou vos formulaires font appel à un traitement automatisé, vous devez en informer vos interlocuteurs. La formulation “Ce service utilise une intelligence artificielle” suffit dans la plupart des cas pour satisfaire l’obligation de transparence. Pas besoin d’un document juridique de cinq pages — une mention claire et visible fait le travail.

Documentation et supervision humaine

Conservez une trace simple de vos outils IA : nom de l’outil, éditeur, usage dans l’entreprise, date de mise en service, niveau de risque estimé. Un tableur suffit pour démarrer. Cette documentation vous permettra, en cas de contrôle, de démontrer que vous connaissez vos outils et que vous les utilisez de façon réfléchie.

La supervision humaine, c’est le pendant opérationnel : ne laissez pas une IA prendre seule des décisions qui ont un impact important sur une personne (sélection d’un candidat, refus de crédit, évaluation d’un salarié). Un humain doit valider ces décisions, même si l’IA les prépare.

L’AI Act et le RGPD : les deux, pas l’un ou l’autre

Les deux règlements se chevauchent souvent en PME. Un chatbot qui collecte un email active simultanément le RGPD (traitement de donnée personnelle) et l’AI Act (système IA de niveau limité). Bonne nouvelle : si vous êtes déjà conforme RGPD — base légale identifiée, politique de confidentialité à jour, droits des personnes respectés —, vous avez déjà construit une grande partie de la base de conformité AI Act. La conformité RGPD et consentement numérique et la conformité AI Act sont à traiter ensemble, pas séquentiellement.

La CNIL prépare un dossier de conformité unifié AI Act + RGPD pour alléger la charge des entreprises. Ses recommandations sont consultables sur cnil.fr.

Un mot sur les coûts : des estimations de marché situent le coût de conformité AI Act entre 8 000 et 30 000 € en première année pour une PME avec des usages complexes (haut risque inclus). Pour une PME aux usages courants (risque limité ou minimal), le coût est bien inférieur — principalement du temps de mise en place, pas de prestation externe lourde. Des dispositifs d’accompagnement existent, notamment le Diagnostic Data IA de Bpifrance, partiellement pris en charge pour les PME de 10 à 2 000 salariés dans le cadre du plan “Osez l’IA” : après subvention, le reste à charge pour l’entreprise s’élève à environ 7 500 € HT. Le tarif brut et le taux de prise en charge ayant été révisés début 2026, vérifiez les conditions en vigueur sur diag.bpifrance.fr.

Checklist : par où commencer

Pas besoin de tout faire en une semaine. L’enjeu pour une PME est de progresser méthodiquement, du plus urgent (ce qui est déjà en vigueur) au plus structurant (gouvernance d’août 2026).

Étape 1 — Cartographier vos outils IA

Listez tous les logiciels et plugins IA que votre équipe utilise, même informellement : ChatGPT, Copilot, Notion AI, chatbot sur votre site, logiciel RH avec module d’analyse, outils de génération d’images ou de texte. L’objectif n’est pas d’en avoir peu — c’est d’en avoir la liste. Pour savoir par où se lancer dans l’IA en PME de façon structurée, notre guide dédié couvre la priorisation des usages.

Étape 2 — Qualifier leur niveau de risque

Pour chaque outil listé, comparez avec le tableau des 4 niveaux en haut de cet article. La plupart des outils courants (ChatGPT pour la rédaction, chatbot de support, correcteur orthographique) tombent en risque minimal ou limité. Si un outil touche au recrutement, à l’évaluation des salariés ou au scoring financier, il mérite un examen plus attentif — et selon votre situation, l’avis d’un conseil spécialisé.

Étape 3 — Mettre en place la transparence

Ajoutez une mention claire sur tous les points de contact où une IA est présente : votre chatbot, vos modèles d’emails générés par IA, vos formulaires automatisés. Cette obligation sera exigible en août 2026 — autant l’anticiper maintenant.

Étape 4 — Documenter simplement

Créez un tableur avec les colonnes suivantes : nom de l’outil, éditeur/fournisseur, usage dans l’entreprise, date de mise en service, niveau de risque estimé, responsable interne. Mettez-le à jour à chaque nouvel outil. C’est votre première brique de gouvernance AI Act.

Pour les PME qui veulent aller plus loin — audit de leurs outils IA, intégration conforme de nouveaux workflows —, nous pouvons vous accompagner pour déployer vos outils IA de façon conforme. L’accompagnement TechPath est établi sur devis selon votre périmètre.


Mis à jour : juin 2026. Ce guide est à caractère informatif et pédagogique. Il ne constitue pas un conseil juridique. Pour les usages à haut risque ou toute question relative à votre situation spécifique, rapprochez-vous d’un conseil spécialisé.

Questions fréquentes

L’AI Act s’applique-t-il aux PME qui utilisent ChatGPT ?

Oui. Votre PME est alors considérée comme “déployeuse” de système d’IA. Pour un usage courant (rédaction, résumé, support), le niveau de risque est limité ou minimal : les obligations principales se résument à informer vos utilisateurs qu’ils interagissent avec une IA et à conserver une trace de vos outils.

Quelles sont les obligations concrètes des entreprises selon l’AI Act ?

Cela dépend de votre rôle et du niveau de risque de l’outil. Pour une PME déployeuse en risque limité ou minimal : informer les utilisateurs qu’ils interagissent avec une IA, documenter simplement les outils utilisés, maintenir une supervision humaine sur les décisions importantes. Haut risque (RH IA, scoring crédit) : gestion des risques formelle et documentation renforcée.

Quand l’AI Act entre-t-il en vigueur pour les PME en France ?

Le calendrier est échelonné : les pratiques interdites (notation sociale, reconnaissance émotionnelle) sont en vigueur depuis le 2 février 2025. Les obligations sur les grands modèles (GPAI) s’appliquent depuis août 2025. Les obligations de gouvernance et de transparence entrent en vigueur en août 2026. Les obligations haut risque (Annexe III) font l’objet d’un accord politique (Digital Omnibus, mai 2026) potentiellement reporté à décembre 2027.

Quels usages de l’IA sont interdits par l’AI Act dans une entreprise ?

Depuis le 2 février 2025, huit pratiques sont interdites (Art. 5 du règlement). Pour une PME, les plus concrètes : la notation sociale des salariés ou clients, la reconnaissance de l’état émotionnel en réunion ou entretien, le scraping non ciblé de visages sur internet, et l’identification biométrique en temps réel dans les espaces publics.

Quelles sont les sanctions prévues par l’AI Act en cas de non-conformité ?

L’AI Act prévoit trois paliers : jusqu’à 35 M€ ou 7 % du CA mondial pour les pratiques interdites ; 15 M€ ou 3 % pour les autres obligations ; 7,5 M€ ou 1 % pour des informations incorrectes. Pour les PME, l’Art. 99 §6 prévoit un principe de proportionnalité — la sanction retenue est le montant le plus bas des deux plafonds.

Quelle est la différence entre l’AI Act et le RGPD pour une PME ?

Le RGPD encadre le traitement des données personnelles ; l’AI Act encadre les systèmes d’IA selon leur niveau de risque. Les deux se chevauchent fréquemment en PME : un chatbot qui collecte un email active simultanément les deux règlements. Si vous êtes déjà conforme RGPD, vous avez une base solide. La CNIL prépare un dossier de conformité unifié AI Act + RGPD pour simplifier la démarche.

Questions fréquentes

On a sûrement la réponse.

  • L'AI Act s'applique-t-il aux PME qui utilisent ChatGPT ?

    Oui. Votre PME est alors considérée comme "déployeuse" de système d'IA. Pour un usage courant (rédaction, résumé, support), le niveau de risque est limité ou minimal : les obligations principales se résument à informer vos utilisateurs qu'ils interagissent avec une IA et à conserver une trace de vos outils.

  • Quelles sont les obligations concrètes des entreprises selon l'AI Act ?

    Cela dépend de votre rôle et du niveau de risque de l'outil. Pour une PME déployeuse en risque limité ou minimal : informer les utilisateurs qu'ils interagissent avec une IA, documenter simplement les outils utilisés, maintenir une supervision humaine sur les décisions importantes. Haut risque (RH IA, scoring crédit) : gestion des risques formelle et documentation renforcée.

  • Quand l'AI Act entre-t-il en vigueur pour les PME en France ?

    Le calendrier est échelonné : les pratiques interdites (notation sociale, reconnaissance émotionnelle) sont en vigueur depuis le 2 février 2025. Les obligations sur les grands modèles (GPAI) s'appliquent depuis août 2025. Les obligations de gouvernance et de transparence entrent en vigueur en août 2026. Les obligations haut risque (Annexe III) font l'objet d'un accord politique (Digital Omnibus, mai 2026) potentiellement reporté à décembre 2027.

  • Quels usages de l'IA sont interdits par l'AI Act dans une entreprise ?

    Depuis le 2 février 2025, huit pratiques sont interdites (Art. 5 du règlement). Pour une PME, les plus concrètes : la notation sociale des salariés ou clients, la reconnaissance de l'état émotionnel en réunion ou entretien, le scraping non ciblé de visages sur internet, et l'identification biométrique en temps réel dans les espaces publics.

  • Quelles sont les sanctions prévues par l'AI Act en cas de non-conformité ?

    L'AI Act prévoit trois paliers : jusqu'à 35 M€ ou 7 % du CA mondial pour les pratiques interdites ; 15 M€ ou 3 % pour les autres obligations ; 7,5 M€ ou 1 % pour des informations incorrectes. Pour les PME, l'Art. 99 §6 prévoit un principe de proportionnalité — la sanction retenue est le montant le plus bas des deux plafonds.

  • Quelle est la différence entre l'AI Act et le RGPD pour une PME ?

    Le RGPD encadre le traitement des données personnelles ; l'AI Act encadre les systèmes d'IA selon leur niveau de risque. Les deux se chevauchent fréquemment en PME : un chatbot qui collecte un email active simultanément les deux règlements. Si vous êtes déjà conforme RGPD, vous avez une base solide. La CNIL prépare un dossier de conformité unifié AI Act + RGPD pour simplifier la démarche.