Logo
Sollea AI
Retour au blog
AI Act 20 mars 2026 6 min de lecture

AI Act 2026 : ce qui change concrètement pour les PME françaises

L'AI Act entre en vigueur le 2 août 2026. Quelles obligations concrètes pour les PME françaises qui utilisent des outils IA ? Ce guide pratique démêle les niveaux de risque, les obligations réelles et les sanctions encourues.

AI ActRéglementationPME
A
Amine
Sollea AI
AI Act 2026 : ce qui change concrètement pour les PME françaises

L'AI Act : la première réglementation mondiale sur l'intelligence artificielle

Adopté en mai 2024 et publié au Journal officiel de l'Union européenne en juillet 2024, l'AI Act (Règlement (UE) 2024/1689) constitue la première réglementation mondiale exhaustive sur les systèmes d'intelligence artificielle. Il s'applique à toute organisation — quelle que soit sa taille, y compris les PME — qui développe, déploie ou utilise des systèmes d'IA au sein de l'Union européenne ou dont les outputs affectent des personnes sur le territoire européen.

La date clé à retenir : le 2 août 2026, les obligations concernant les systèmes d'IA à haut risque deviennent pleinement applicables. Pour les systèmes à risque inacceptable, l'interdiction est entrée en vigueur dès février 2025. Pour les modèles d'IA à usage général (GPAI), les règles s'appliquent depuis août 2025.

Autant dire que le compte à rebours est engagé.

L'approche par les risques : 4 niveaux à connaître

L'AI Act repose sur une logique de proportionnalité : plus le risque que fait peser un système IA sur les droits fondamentaux des individus est élevé, plus les obligations sont strictes. Quatre niveaux ont été définis.

Niveau 1 — Risque inacceptable (interdit)

Certains usages sont purement et simplement interdits depuis le 2 février 2025 :

  • La surveillance biométrique de masse dans les espaces publics (avec exceptions très encadrées pour les forces de l'ordre)
  • Les systèmes de notation sociale (social scoring) par les gouvernements
  • Les IA manipulatrices exploitant des vulnérabilités psychologiques
  • La reconnaissance des émotions en milieu professionnel ou scolaire

Pour la très grande majorité des PME, ces cas ne se posent pas. Passez au niveau suivant.

Niveau 2 — Haut risque (obligations strictes)

C'est ici que les choses se compliquent. Un système IA est classé à haut risque s'il est utilisé dans des domaines sensibles listés en annexe du règlement :

  • Recrutement et gestion RH (CV screening automatisé, outils d'évaluation des candidats)
  • Scoring de crédit et évaluation de solvabilité
  • Aide au diagnostic médical
  • Gestion des infrastructures critiques (énergie, eau, transport)
  • Éducation (évaluation automatisée des apprenants)
  • Services essentiels (accès aux prestations sociales)

Niveau 3 — Risque limité (obligation de transparence)

Les chatbots, les systèmes de génération de contenu et certains outils de recommandation entrent dans cette catégorie. L'obligation principale est la transparence : informer explicitement l'utilisateur qu'il interagit avec une IA.

Niveau 4 — Risque minimal (aucune obligation spécifique)

Les filtres anti-spam, les moteurs de recommandation de contenu standard, les outils d'automatisation des tâches bureautiques — la grande majorité des outils IA grand public — relèvent du risque minimal. Aucune obligation réglementaire nouvelle ne s'y applique.

Ce que « haut risque » signifie concrètement pour une PME

Si votre PME utilise un logiciel de présélection automatisée des CV (même un outil intégré à votre ATS), un système de scoring de crédit pour vos clients, ou un outil d'aide au diagnostic dans un contexte médical ou paramédical, vous êtes soumis aux obligations du haut risque. Ces obligations sont substantielles :

  1. Système de gestion des risques : mettre en place et maintenir un processus d'identification, d'évaluation et de mitigation des risques tout au long du cycle de vie du système.
  2. Gouvernance des données : s'assurer que les données d'entraînement et d'exploitation sont représentatives, exemptes de biais et documentées.
  3. Documentation technique : maintenir une documentation complète du système, de ses performances et de ses limites.
  4. Journalisation automatique : le système doit enregistrer ses décisions pour permettre une traçabilité.
  5. Surveillance humaine : définir des procédures permettant à un être humain de superviser, corriger ou interrompre le système.
  6. Robustesse et précision : garantir des niveaux de performance documentés et maintenir la sécurité cybernétique du système.

Si vous êtes utilisateur d'un système à haut risque (et non son développeur), vos obligations sont allégées mais réelles : vérifier que le fournisseur est conforme (marquage CE pour les systèmes IA à haut risque), former vos équipes, mettre en place la supervision humaine, et signaler les incidents graves.

Ce que la plupart des PME utilisent réellement : peu de haut risque

Soyons directs : la grande majorité des PME françaises qui utilisent l'IA au quotidien — ChatGPT pour rédiger des emails, un outil de CRM avec scoring IA, des workflows d'automatisation (n8n, Make, Zapier), un chatbot de support client — ne sont pas exposées aux obligations du haut risque.

Ces usages relèvent du risque minimal ou limité. L'obligation principale qui s'applique à la plupart des PME est donc simple : si vous déployez un chatbot IA face à vos clients, vous devez leur indiquer clairement qu'ils parlent à une IA. C'est tout. Une mention dans l'interface ou dans les CGU suffit dans la plupart des cas.

L'obligation de transparence : ce qu'elle implique en pratique

Pour tout système IA interagissant avec des personnes (chatbot, assistant vocal, avatar IA), l'AI Act impose d'informer les utilisateurs de la nature artificielle de leur interlocuteur — au moment de l'interaction, pas seulement dans les mentions légales. Cette obligation s'applique dès lors que le système est susceptible de ne pas être identifié comme une IA par un utilisateur raisonnable.

Concrètement : ajouter un badge « Assisté par IA » dans votre interface de chat, mentionner en début de conversation « Vous interagissez avec un assistant IA », ou afficher une mention visible dans l'interface. Simple à mettre en place, mais attention aux oublis.

Les sanctions : jusqu'à 35 millions d'euros

L'AI Act prévoit des pénalités à trois niveaux :

  • Utilisation d'un système d'IA à risque inacceptable (interdit) : jusqu'à 35 M€ ou 7 % du chiffre d'affaires mondial
  • Non-conformité aux obligations des systèmes à haut risque : jusqu'à 15 M€ ou 3 % du CA mondial
  • Fourniture d'informations incorrectes aux autorités : jusqu'à 7,5 M€ ou 1,5 % du CA mondial

Des ajustements proportionnels sont prévus pour les PME et les startups, mais la logique reste dissuasive. La Commission européenne a annoncé la création d'un Bureau de l'IA chargé de la supervision au niveau européen, en coordination avec les autorités nationales (en France, probablement la CNIL et l'ANSSI).

Le lien avec le RGPD : une conformité qui se cumule

L'AI Act ne remplace pas le RGPD — il s'y superpose. Si votre système IA traite des données personnelles (ce qui est presque toujours le cas), les deux réglementations s'appliquent simultanément. La bonne nouvelle : une PME déjà conforme au RGPD dispose d'une base solide pour la conformité AI Act, notamment sur la gouvernance des données et la documentation des traitements.

Comment Sollea vous aide à vous conformer avant août 2026

L'audit IA Sollea inclut désormais un volet conformité AI Act : nous identifions l'ensemble des systèmes IA que vous utilisez ou envisagez de déployer, nous les classons selon les niveaux de risque du règlement, et nous vous remettons une feuille de route de mise en conformité priorisée. L'objectif : vous éviter les mauvaises surprises et vous permettre d'aborder l'échéance du 2 août 2026 avec sérénité.

Foire aux questions (4)
L'AI Act s'applique-t-il aux PME ou seulement aux grandes entreprises ?+
L'AI Act s'applique à toutes les organisations, quelle que soit leur taille, dès lors qu'elles développent, déploient ou utilisent des systèmes d'IA en Europe ou affectant des personnes en Europe. Des dispositions allégées et des délais supplémentaires sont prévus pour les PME et microentreprises, mais les obligations fondamentales restent les mêmes.
Utiliser ChatGPT en entreprise m'expose-t-il à des obligations AI Act ?+
Dans la majorité des cas, non. L'utilisation de ChatGPT ou d'outils similaires pour des tâches de bureautique, de rédaction ou d'analyse interne relève du risque minimal. Aucune obligation spécifique ne s'y applique. Si vous l'intégrez dans un service face à vos clients (chatbot, interface publique), l'obligation de transparence s'applique : vous devez informer vos utilisateurs qu'ils interagissent avec une IA.
Quelle est la différence entre l'AI Act et le RGPD ?+
Le RGPD régule le traitement des données personnelles ; l'AI Act régule les systèmes d'intelligence artificielle en tant que tels, indépendamment des données traitées. Les deux réglementations se cumulent : un système IA traitant des données personnelles doit être conforme aux deux. La bonne nouvelle, c'est que la rigueur documentaire demandée par le RGPD constitue une base solide pour la conformité AI Act.
Qu'est-ce qu'une évaluation de conformité AI Act et dois-je en faire une ?+
Pour les systèmes à haut risque, une évaluation de conformité formelle est obligatoire avant tout déploiement. Pour les systèmes à risque limité ou minimal, aucune évaluation formelle n'est exigée. Un audit préventif reste toutefois recommandé pour identifier si vos outils IA actuels ou futurs entrent dans la catégorie haut risque — éviter une mise en conformité d'urgence à quelques semaines de l'échéance coûte toujours moins cher qu'une amende.

Aller plus loin

L'AI Act entre en vigueur le 2 août 2026. Quelles obligations concrètes pour les PME françaises qui utilisent des outils...

Réserver un audit IA gratuitContactez-nous