AI Act 2026 : checklist 5 points pour mettre ta PME en conformité avant août

Le règlement européen sur l'intelligence artificielle (EU AI Act, règlement (UE) 2024/1689) est entré en vigueur le 1^er août 2024. Son application s'échelonne sur 36 mois, mais le 2 août 2026 marque le grand basculement : la majorité des obligations deviennent opposables et les autorités nationales — en France, la CNIL — pourront prononcer des sanctions. Si tu diriges une PME qui utilise ne serait-ce que ChatGPT, Copilot ou un outil de scoring automatisé, tu es concerné. Voici ce qu'il faut faire avant le compte à rebours.

1. AI Act 2026 : ce qui change pour les PME françaises (deadline août 2026)

L'AI Act est le premier cadre juridique mondial qui régule l'IA selon une approche par les risques. Trois dates structurent son déploiement :

• 2 février 2025 — Pratiques IA interdites (Article 5) + obligation de literacy IA (Article 4) : déjà applicables.
• 2 août 2025 — Règles sur les modèles d'IA à usage général (GPAI) et désignation des autorités nationales compétentes.
• 2 août 2026 — Pleine application : systèmes à haut risque listés en Annexe III, obligations de transparence (Article 50), base de données européenne (Article 49), pouvoirs de contrôle et de sanction.

Pour une PME française classique (commerce, services, conseil, agence, e-commerce), trois conséquences concrètes :

• Tu dois documenter les usages IA dans ton entreprise.
• Tu dois former tes équipes qui interagissent avec ces outils.
• Tu dois être capable de justifier en cas de contrôle CNIL la nature des systèmes utilisés et leur niveau de risque.

Bonne nouvelle : l'AI Act prévoit un régime allégé pour les PME (allègements documentaires, sandbox réglementaire, plafonnement des amendes au montant le plus bas entre forfait et pourcentage de CA). L'idée du législateur européen n'est pas de tuer les PME, mais de leur faire prendre le sujet au sérieux.

2. Article 4 (literacy) : l'obligation de former tes équipes IA

C'est l'obligation la plus sous-estimée — et la plus directement applicable. Le texte de l'Article 4 est limpide :

« Les fournisseurs et les déployeurs de systèmes d'IA prennent des mesures pour garantir, dans toute la mesure du possible, un niveau suffisant de maîtrise de l'IA pour leur personnel et les autres personnes s'occupant du fonctionnement et de l'utilisation des systèmes d'IA pour leur compte. »
— Règlement (UE) 2024/1689, Article 4

Traduction concrète pour ta PME : dès qu'un collaborateur utilise un outil d'IA (générative ou non) dans le cadre professionnel, l'entreprise doit s'assurer qu'il dispose d'une formation adaptée à son rôle, à la criticité du système et au contexte d'usage. Ce n'est pas une formation diplômante imposée, mais c'est une obligation de moyens documentée.

Que doit couvrir cette formation IA obligatoire AI Act ?

• Compréhension générale du fonctionnement de l'IA et de ses limites (hallucinations, biais).
• Risques juridiques : RGPD, propriété intellectuelle, secret professionnel.
• Bonnes pratiques de prompt et de vérification des sorties.
• Cadre interne de l'entreprise (outils autorisés, données sensibles à protéger).

La CNIL a publié en 2025 des recommandations qui précisent ce que doit couvrir cette literacy. Notre formation IA Générative (RS6776) est calibrée pour cocher cette case et délivrer une certification opposable.

3. Cartographier les systèmes IA utilisés dans ton entreprise (méthode 30 min)

Avant de te demander si tu es conforme, il faut d'abord savoir ce que tu utilises. La plupart des dirigeants sont surpris en faisant l'exercice : entre les outils officiels et le « shadow AI » (outils installés par les salariés sans validation), une PME de 20 personnes utilise en moyenne entre 8 et 15 systèmes IA différents.

Voici la méthode 30 minutes pour faire ton inventaire :

1. Listes les outils SaaS que tu paies : ChatGPT Business, Copilot M365, Gemini Workspace, Claude Pro, Notion AI, HubSpot AI, Make/Zapier scenarios IA, etc.
2. Sonde les équipes en 1 question : « Quels outils IA utilises-tu pour ton travail, même non officiels ? ». Tableau Notion ou Google Form, anonyme.
3. Audite les intégrations dans ton CRM, ta facturation, ton site (chatbots, scoring leads, recommandations).
4. Pour chaque outil identifié, note : finalité métier, qui l'utilise, données traitées (sensibles ou non), fournisseur, niveau de risque AI Act estimé.

Format livrable : un tableau à 6 colonnes que tu pourras présenter à la CNIL en cas de contrôle. Ce document est aussi la base de ta politique IA interne (cf. point 6).

4. Niveaux de risque AI Act : où tu te situes

L'AI Act classe les systèmes en 4 niveaux. Pour 95% des PME, la grande majorité de tes outils tomberont dans les niveaux 3 ou 4 (faible ou minimal).

• Risque inacceptable (interdit) — scoring social, manipulation cognitive, identification biométrique en temps réel dans l'espace public. Si tu fais ça, change de métier.
• Risque élevé (Annexe III) — IA utilisée pour le recrutement, la notation de crédit, l'évaluation des salariés, la sécurité d'infrastructures critiques. Documentation technique lourde + enregistrement en base européenne + supervision humaine.
• Risque limité — chatbots, deepfakes, IA générative qui interagit avec des humains. Obligation de transparence : la personne doit savoir qu'elle parle à une IA.
• Risque minimal — filtres anti-spam, jeux vidéo, recommandations basiques. Aucune obligation spécifique, hors literacy (Article 4).

Pour les modèles d'IA à usage général (GPAI : GPT, Claude, Gemini, Mistral…), le règlement impose des obligations au fournisseur, pas à la PME utilisatrice. Tu n'as donc pas à documenter les paramètres de GPT-5 — c'est OpenAI qui doit le faire. À toi de documenter comment tu l'utilises.

5. Sanctions et délais

L'AI Act prévoit trois plafonds de sanctions, calibrés sur la gravité du manquement. Pour les PME, le montant retenu est toujours le plus bas entre le forfait et le pourcentage de CA — un garde-fou explicite.

• Pratiques interdites (Article 5) : jusqu'à 35 M€ ou 7% du CA mondial.
• Manquements sur systèmes à haut risque, transparence, gouvernance : jusqu'à 15 M€ ou 3% du CA.
• Information inexacte aux autorités : jusqu'à 7,5 M€ ou 1% du CA.

En France, c'est la CNIL qui coordonnera les contrôles (en lien avec l'ANSSI pour les sujets cybersécurité et la DGCCRF pour les sujets consommation). Les premiers contrôles attendus seront pédagogiques dans les 6 à 12 premiers mois : un rappel à l'ordre plutôt qu'une amende, à condition que tu puisses prouver ta bonne foi avec une cartographie et un plan de formation.

6. Checklist 5 points pour être conforme avant août

Tu peux exécuter cette checklist en 2 à 4 semaines selon la taille de ta PME. Chaque point est actionnable, sans jargon juridique inutile.

7. Financer la mise en conformité (cumul OPCO + FNE + Osez l'IA)

La conformité AI Act coûte moins cher qu'on le croit, surtout en cumulant les dispositifs. Trois leviers s'additionnent :

• OPCO — chaque OPCO (AGEFICE, OPCO EP, AKTO, Atlas, OPCO 2i…) finance la formation IA des salariés. Ticket modérateur souvent couvert à 100% pour les TPE/PME.
• FNE-Formation — dispositif d'État géré par les OPCO, conçu pour les transitions économiques et technologiques. L'IA est explicitement éligible. Prise en charge jusqu'à 100% du coût pédagogique selon la taille de l'entreprise.
• Plan « Osez l'IA » — programme lancé fin 2025 par le gouvernement pour accompagner les TPE/PME dans l'adoption de l'IA. Audit, formation et accompagnement subventionnés.
• CPF du collaborateur — chaque salarié peut mobiliser ses propres droits pour suivre une certification RS/RNCP. Voir notre guide CPF formation IA 2026.

En pratique, une PME de 10 personnes peut être à 100% conforme (cartographie + politique + literacy certifiée pour les 10 salariés) pour 0 € de reste à charge en cumulant correctement les dispositifs. Encore faut-il monter les dossiers — c'est ce que notre équipe fait gratuitement pour ses clients.

8. Ressources officielles France (CNIL, ANSSI, AI Office EU)

Pour aller directement aux sources, voici les liens à garder en favoris :

• Texte officiel — Règlement (UE) 2024/1689 sur EUR-Lex
• CNIL — autorité française de référence — cnil.fr/fr/intelligence-artificielle
• AI Office (Commission européenne) — digital-strategy.ec.europa.eu/en/policies/ai-office
• FAQ officielle de la Commission — Navigating the AI Act
• ANSSI — volet cybersécurité — cyber.gouv.fr
• Plan « Osez l'IA » — disponible via les CCI et le portail entreprises.gouv.fr

Tu peux aussi consulter nos guides connexes : Claude AI pour entreprise, Comparatif IA pour PME, et Agent IA : former ou déléguer ?.

9. FAQ AI Act PME

En résumé

L'AI Act n'est pas un RGPD bis qui va paralyser ta PME — c'est un cadre par les risques qui demande surtout du bon sens et de la documentation. Les 5 points de la checklist (cartographie, formation literacy, politique interne, évaluation des systèmes critiques, référent IA) sont actionnables en quelques semaines, financables à 100% via le cumul OPCO + FNE + Osez l'IA. Ne pas agir, c'est s'exposer à des contrôles CNIL dès septembre 2026 et — pire — passer à côté d'une montée en compétences IA stratégique pour ton activité.