AI Act : ce qu'une PME doit faire concrètement en 2026
Par Alexandre Saint-Jean

L'AI Act inquiète beaucoup de dirigeants de PME, souvent pour de mauvaises raisons. Non, il n'interdit pas l'IA. Non, il n'oblige pas à tout héberger en Europe. Il impose une démarche de bon sens : savoir où vous utilisez l'IA, à quel niveau de risque, et avoir formé les gens qui s'en servent. Voici la to-do concrète pour 2026.
L'AI Act m'oblige-t-il à arrêter ou à tout relocaliser ?
Non, ni l'un ni l'autre. Le règlement UE 2024/1689 ne parle pas de localisation des données : cette question relève du RGPD et de la souveraineté, deux sujets distincts que beaucoup confondent (j'y reviens dans l'article sur l'IA sans perdre le contrôle de ses données).
Ce que l'AI Act fait, c'est encadrer l'usage de l'IA selon une logique de risque. Plus l'usage est sensible, plus les obligations sont fortes. Pour la grande majorité des PME, qui utilisent l'IA pour de la rédaction, de la synthèse ou de l'assistance, on reste dans les niveaux bas du barème.
Quels sont les quatre niveaux de risque ?
Le texte classe les usages en quatre catégories, des plus encadrées aux moins encadrées.
| Niveau | Exemples | Ce que ça implique |
|---|---|---|
| Inacceptable | Notation sociale, manipulation, certaines reconnaissances | Interdit depuis le 2 février 2025 |
| Haut risque | RH (tri de CV), crédit, biométrie, infrastructures | Obligations lourdes (documentation, supervision humaine, gestion des risques) |
| Risque limité | Chatbots, génération de contenu | Transparence : informer que l'on interagit avec une IA |
| Risque minimal | Assistance à la rédaction, filtres anti-spam | Aucune obligation spécifique |
La plupart des usages courants en PME tombent en risque limité ou minimal. Le réflexe utile est donc de vérifier d'abord si l'un de vos usages bascule en haut risque (typiquement le tri automatisé de candidatures ou une décision de crédit), car c'est là que les obligations changent d'échelle.
Suis-je fournisseur ou déployeur ?
L'AI Act distingue deux rôles, et vos obligations en dépendent. Le fournisseur développe ou met sur le marché un système d'IA. Le déployeur l'utilise dans le cadre de son activité. La quasi-totalité des PME sont des déployeurs : elles utilisent ChatGPT, Copilot ou un outil métier intégrant de l'IA, sans le construire. Les obligations les plus lourdes pèsent sur les fournisseurs et sur les usages à haut risque. En tant que déployeur d'usages courants, vos obligations principales se résument à la transparence et à la formation de vos équipes.
Quel est le calendrier d'application ?
Le règlement est entré en vigueur le 1er août 2024, mais ses obligations s'appliquent par paliers.
- 2 février 2025 : les pratiques interdites sont prohibées et l'obligation de littératie IA s'applique.
- 2 août 2025 : règles sur les modèles d'IA à usage général (GPAI) et mise en place de la gouvernance.
- 2 août 2026 : application générale, dont les systèmes à haut risque de l'annexe III.
- 2 août 2027 : systèmes à haut risque intégrés à des produits déjà réglementés (annexe I).
Un paquet de simplification (le Digital Omnibus, proposé par la Commission en novembre 2025) est en discussion et pourrait ajuster certaines échéances pour le haut risque. Cela ne change rien à ce qu'une PME doit faire dès maintenant.
L'obligation que tout le monde oublie : la littératie IA
C'est le point le plus concret et le plus négligé. Depuis le 2 février 2025, l'article 4 impose que les personnes qui utilisent l'IA dans votre organisation aient un niveau de compréhension suffisant : ce qu'est l'outil, ses limites, les risques d'erreur, la protection des données.
La conformité AI Act commence par la formation des équipes, pas par un audit technique. C'est l'obligation déjà en vigueur, et c'est aussi la moins coûteuse à satisfaire.
Bonne nouvelle : cette formation est finançable par votre OPCO, et c'est exactement le type d'action que je propose aux PME et aux écoles (voir comment financer un projet IA en PME).
Les sanctions, faut-il vraiment s'inquiéter ?
Les montants affichés sont impressionnants : jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour les pratiques interdites, jusqu'à 15 millions ou 3 % pour les autres manquements. Mais deux nuances comptent pour une PME. D'abord, ces plafonds visent les manquements graves, en particulier les usages interdits et les obligations des systèmes à haut risque, pas l'usage courant d'un assistant. Ensuite, le règlement prévoit une proportionnalité pour les PME et les jeunes entreprises, avec des plafonds adaptés.
Autrement dit, le risque réel pour une PME qui utilise l'IA de façon raisonnable et forme ses équipes est faible. Le vrai enjeu n'est pas la peur de l'amende, c'est de faire les choses proprement une bonne fois, ce qui coûte peu et rassure clients comme salariés.
Par où commencer concrètement ?
Pour une PME, la mise en conformité tient en trois livrables simples, sans grand projet informatique.
- Une cartographie des usages : lister où l'IA est utilisée (outils, services, données concernées) et classer chaque usage par niveau de risque.
- Une charte d'usage de l'IA : règles claires sur les données autorisées, la validation humaine, la transparence vis-à-vis des clients.
- Un plan de formation : porter chaque utilisateur au niveau de littératie attendu, traçable.
C'est précisément le point de départ de mon accompagnement pour une IA souveraine et conforme : cadrer le besoin réel, écarter les usages à risque, et mettre en place le minimum nécessaire, ni plus ni moins. La CNIL fournit par ailleurs des repères utiles pour articuler AI Act et RGPD.
Questions fréquentes
- L'AI Act s'applique-t-il à ma PME si je ne fais qu'utiliser ChatGPT ou Copilot ?
- Oui, en tant que déployeur d'un système d'IA, mais l'essentiel des obligations lourdes vise les fournisseurs et les usages à haut risque. Pour un usage courant (rédaction, synthèse, assistance), vous êtes en risque limité ou minimal : vos obligations principales sont la transparence vis-à-vis des personnes et la formation de vos équipes.
- Quelle est la première échéance déjà passée ?
- Le 2 février 2025 : depuis cette date, les pratiques d'IA interdites sont prohibées et l'obligation de littératie IA (article 4) s'applique. Vous devez vous assurer que les personnes qui utilisent l'IA dans votre organisation disposent d'un niveau de compréhension suffisant.
- Dois-je héberger mes données en Europe pour être conforme AI Act ?
- Non. L'AI Act ne traite pas de la localisation des données, qui relève du RGPD et de la souveraineté. Vous pouvez être conforme AI Act avec un fournisseur non européen, et inversement choisir un hébergement européen pour des raisons de souveraineté sans que l'AI Act l'impose.
- Quand l'essentiel du règlement devient-il applicable ?
- Le 2 août 2026 pour la majorité des obligations, dont celles sur les systèmes à haut risque listés à l'annexe III. Les systèmes à haut risque intégrés à des produits déjà réglementés suivent au 2 août 2027. Un paquet de simplification (Digital Omnibus, proposé en novembre 2025) est en discussion et pourrait ajuster certaines échéances.
Sources
Pour aller plus loin
IA souveraine et conforme AI Act