AI Act 2026 PME : Ce qui Change le 2 Août, Concrètement

Le constat : L'AI Act (règlement européen 2024/1689) entre dans sa phase la plus sensible le 2 août 2026. Cette date n'est pas négociable et touche directement les PME françaises qui utilisent ou déploient des systèmes IA — pas seulement les éditeurs de modèles.

Pourtant, beaucoup de dirigeants pensent encore que "l'AI Act, c'est pour OpenAI et Google". Faux. Si vous utilisez un agent IA dans votre process commercial, RH ou support, vous êtes déployeur au sens du règlement et vous avez des obligations. Voici lesquelles, sans jargon, avec les actions concrètes à mener avant l'été.

1. AI Act : un calendrier, 4 niveaux de risque

Le calendrier d'application

L'AI Act a été adopté en août 2024 et s'applique progressivement :

Février 2025 : interdiction des pratiques à risque inacceptable (notation sociale, manipulation comportementale)
Août 2025 : obligations pour les modèles d'IA à usage général (ChatGPT, Claude, Gemini)
Août 2026 ⚠️ : la majorité des obligations entrent en application, dont celles sur les systèmes à haut risque
Août 2027 : conformité finale pour les systèmes pré-existants en haut risque

Les 4 niveaux de risque

L'AI Act classe les systèmes selon leur impact potentiel sur les droits fondamentaux. Cette classification détermine vos obligations.

Niveau	Exemples	Statut
Inacceptable	Notation sociale, manipulation, identification biométrique en temps réel dans l'espace public	Interdit
Haut risque	Recrutement, scoring crédit, éducation, infrastructures critiques, justice	Autorisé sous conditions strictes
Limité	Chatbots, voice agents, IA générative, deepfakes	Obligation de transparence
Minimal	Filtres anti-spam, jeux vidéo IA, recommandation produits	Libre, sans obligation

Bonne nouvelle pour les PME : la majorité des cas d'usage courants (chatbot client, automatisation devis, support interne) tombent en risque limité ou minimal. Les obligations restent gérables.

Attention aux cas piège : dès que votre IA prend une décision affectant directement une personne (embauche, accès crédit, suivi RH, scoring candidat), vous basculez en haut risque, peu importe la taille de votre PME.

2. Vos obligations dépendent de votre rôle

L'AI Act distingue plusieurs rôles. Pour une PME française, deux concernent quasi tout le monde : déployeur et, plus rarement, fournisseur.

Si vous êtes déployeur (cas le plus fréquent)

Vous utilisez un système IA conçu par un tiers (OpenAI, Anthropic, Lewis, etc.) dans vos opérations. Vos obligations principales sur les systèmes à haut risque :

Supervision humaine effective : un humain peut comprendre, valider et stopper le système
Conserver les journaux d'audit du système au moins 6 mois
Informer les personnes concernées (candidats, clients) qu'une IA intervient dans la décision
Vérifier la qualité des données que vous fournissez en entrée
Suivre la performance et signaler les incidents graves à l'autorité compétente

Si vous êtes fournisseur (rare en PME)

Vous concevez et mettez sur le marché un système IA (vous l'avez développé en interne, ou avez fait du fine-tuning substantiel d'un modèle existant). Obligations supplémentaires : marquage CE, documentation technique complète, système de management de la qualité, déclaration de conformité.

"La plupart des PME pensent à tort qu'elles sont fournisseurs parce qu'elles 'utilisent l'IA'. Non : utiliser, c'est déployer. Concevoir et mettre sur le marché, c'est fournir. La distinction change radicalement vos obligations."

Audit AI Act gratuit · 30 minutes

Vos systèmes IA seront-ils conformes au 2 août 2026 ?

On classe vos systèmes par niveau de risque, on identifie les manques de conformité, on vous repart avec un plan d'action chiffré.

Réserver mon audit gratuit ou nous écrire directement

3. Les 5 actions concrètes à mener avant le 2 août 2026

On vous demande souvent : "Par où commencer ?". Voici les cinq actions prioritaires pour une PME française.

Action 1 : faire l'inventaire de vos systèmes IA

Listez tous les systèmes IA utilisés dans votre PME : chatbots, agents IA, outils de scoring, scripts d'automatisation, fonctions IA dans vos SaaS (HubSpot, Notion, etc.). Beaucoup d'IA sont "cachées" dans les outils que vous utilisez déjà sans le savoir.

Action 2 : classer chaque système par niveau de risque

Pour chaque système, posez-vous trois questions : prend-il une décision affectant directement une personne (RH, crédit, accès) ? Traite-t-il des données sensibles (santé, biométrie) ? Est-il utilisé dans un contexte critique ? Si oui à l'une, vous êtes potentiellement en haut risque.

Action 3 : produire la documentation manquante

Pour chaque système à haut risque : DPIA, FRIA (analyse d'impact sur les droits fondamentaux), description des données d'entraînement et de validation, procédure de supervision humaine, plan de gestion des incidents. Pour les autres : documentation simplifiée mais traçable.

Action 4 : implémenter les obligations de transparence

Tout chatbot doit informer l'utilisateur qu'il discute avec une IA. Tout contenu généré par IA (texte, image, voix) doit être marqué comme tel. Tout candidat à un poste doit être informé qu'une IA participe à l'évaluation. Ces mentions sont concrètes : 2 lignes en pied d'email, 1 sticker dans l'interface.

Action 5 : former vos équipes

L'AI Act introduit une obligation explicite de littératie IA : les personnes qui utilisent ou supervisent un système IA doivent comprendre ses capacités, ses limites et ses risques. Une demi-journée de formation suffit pour la plupart des PME, mais elle doit être documentée.

4. Cas concret : RH d'un cabinet de recrutement

Contexte : un cabinet de recrutement français (15 consultants, 1 200 candidatures par mois) qui utilise un agent IA pour le tri CV et le scoring initial des candidats. Cas d'usage RH = haut risque au sens AI Act, peu importe la taille du cabinet.

Diagnostic initial (avant accompagnement Lewis)

Aucune DPIA en place pour le système de scoring CV
Aucune information aux candidats qu'une IA intervient dans le tri
Logs de scoring conservés 30 jours seulement (insuffisant)
Pas de procédure de recours humain documentée pour les candidats refusés
Données d'entraînement de l'IA non documentées

Mise en conformité Lewis (3 semaines)

Semaine 1 : DPIA + FRIA produites, classification AI Act documentée, données d'entraînement tracées
Semaine 2 : ajout d'une mention "Une IA participe à l'évaluation initiale de votre candidature, vous pouvez demander un examen humain à tout moment" sur tous les formulaires de candidature, ajout d'un workflow d'opposition explicite
Semaine 3 : passage des logs à 6 mois, dashboard de supervision humaine livré aux 3 consultants seniors, formation littératie IA de 4h pour l'ensemble du cabinet

Résultat : conformité AI Act validée par audit externe, sans baisse de productivité du tri CV. Le cabinet peut continuer d'utiliser son agent IA RH avec sérénité.

5. AI Act + RGPD : ce qui se cumule (et ne se substitue pas)

Beaucoup de dirigeants pensent à tort que "puisque je suis RGPD, l'AI Act est couvert". Faux. Les deux règlements se cumulent avec des angles différents.

RGPD protège les données personnelles : finalité, minimisation, durée, droits des personnes
AI Act protège les droits fondamentaux face aux décisions algorithmiques : transparence, supervision, robustesse, biais

Pour un système à haut risque, vous devez désormais produire une DPIA (RGPD) et une FRIA (AI Act). Bonne nouvelle : Lewis fournit un template combiné qui couvre les deux dans un seul document. Plus de détails sur notre approche RGPD agents IA.

6. Sanctions et risques réels pour une PME

Le barème des sanctions de l'AI Act fait peur sur le papier. En pratique pour une PME française, l'enjeu est moins l'amende maximale théorique que la réputation, le contrat client perdu et le recours d'un candidat ou d'un salarié.

Le barème théorique

Pratiques interdites : jusqu'à 35 M€ ou 7% du CA mondial annuel
Manquements obligations haut risque : jusqu'à 15 M€ ou 3% du CA mondial annuel
Information incorrecte fournie aux autorités : jusqu'à 7,5 M€ ou 1,5% du CA mondial annuel

Les risques réels au quotidien

Recours individuels : un candidat refusé qui prouve qu'aucun humain n'a revu sa candidature peut saisir la CNIL ou le tribunal
Audit clients : vos clients grands comptes (qui sont eux soumis à l'AI Act sur l'ensemble de leur chaîne) vont vous demander de prouver votre conformité avant de signer
Réputation : un incident IA visible (biais, décision absurde) peut tuer une PME plus vite qu'une amende

Synthèse AI Act PME

Échéance critique : 2 août 2026
Inventaire + classification = action 1 prioritaire
RH, crédit, suivi candidat = haut risque automatique
AI Act ne remplace pas le RGPD : ils se cumulent

Articles connexes

L'agence derrière ce guide

Agence Lewis : l'IA sur-mesure, livrée et formée

On conçoit des agents IA métiers sur-mesure pour les PME de 1 à 50 personnes — pas d'outils génériques, pas de SaaS interchangeable. Chaque agent est branché à vos outils existants (ATS, CRM, mails, jobboards, ERP) et déployé en production en 2 à 4 semaines après un audit sous 24h.

On a un vertical fort sur les cabinets de recrutement — sourcing, tri CV, suivi candidat — et on accompagne aussi les PME industrielles, les sociétés de services et les éditeurs SaaS. La formation est incluse via le Lewis AI Club : vos équipes savent piloter l'agent après livraison, sans dépendre de nous.

5.0/5 Avis Sortlist

2-4 sem. Premier agent en prod

ROI 2-8 mois Selon le périmètre

Lyon · Montpellier · Paris France entière

Réserver un audit gratuit Découvrir l'agence →

Questions Fréquentes

Qu'est-ce que l'AI Act exactement ? +

L'AI Act est le règlement européen 2024/1689 sur l'intelligence artificielle. Adopté en août 2024, il s'applique progressivement. La plupart des obligations entrent en application le 2 août 2026 et concernent la conception, le déploiement et l'usage des systèmes d'IA dans l'UE. Les amendes peuvent atteindre 7% du chiffre d'affaires mondial pour les pratiques interdites, et 3% pour les manquements aux obligations des systèmes à haut risque.

Mon PME est-elle concernée par l'AI Act ? +

Oui, dès lors que vous utilisez ou déployez un système d'IA dans vos opérations, même si vous n'êtes pas l'éditeur du modèle. Les obligations varient selon votre rôle (déployeur ou fournisseur) et le niveau de risque du système. Une PME utilisatrice de ChatGPT pour des tâches internes a moins d'obligations qu'une PME qui déploie un agent IA prenant des décisions sur des candidats à l'embauche.

Quels sont les 4 niveaux de risque de l'AI Act ? +

Risque inacceptable (interdit) : notation sociale, manipulation, identification biométrique en temps réel dans l'espace public. Haut risque (autorisé sous conditions) : recrutement, scoring crédit, éducation, infrastructures critiques. Risque limité (transparence) : chatbots, deepfakes, IA générative. Risque minimal (libre) : filtres anti-spam, jeux vidéo IA. La majorité des cas d'usage PME tombent en risque limité ou minimal.

Quelles sont mes obligations si j'utilise un système IA à haut risque ? +

Cinq obligations principales pour le déployeur : maintenir une supervision humaine effective, conserver les journaux d'audit du système au moins 6 mois, informer les personnes concernées (candidats, clients) qu'une IA intervient dans la décision, vérifier la qualité des données d'entrée, suivre la performance du système et signaler les incidents graves. Lewis livre par défaut tous ces éléments documentés.

Qu'est-ce qu'une DPIA et quand est-elle obligatoire ? +

Une DPIA (Data Protection Impact Assessment) est une analyse d'impact sur la protection des données, déjà obligatoire au titre du RGPD pour les traitements à risque élevé. L'AI Act la combine avec une FRIA (Fundamental Rights Impact Assessment) pour les systèmes à haut risque. En pratique, dès qu'une IA prend une décision affectant directement des personnes (embauche, crédit, accès à un service), la DPIA + FRIA devient obligatoire avant la mise en production.

Comment Lewis garantit la conformité AI Act de ses déploiements ? +

Quatre piliers : classification systématique du système au niveau de risque AI Act dès l'audit initial, infrastructure souveraine France (data residency UE par défaut), documentation technique complète (logs, modèles, données d'entraînement) livrée avec chaque déploiement, et FRIA + DPIA documentées pour les systèmes à haut risque. Si votre cas relève du risque inacceptable, on vous le dit et on ne le déploie pas.

LWS

Vos systèmes IA seront-ils conformes au 2 août 2026 ?

Audit AI Act gratuit · Classification + plan de conformité en 30 minutes.

Audit gratuit · 30 minutes

Faisons le point sur la conformité AI Act de votre PME

On classe vos systèmes IA par niveau de risque, on identifie les obligations à couvrir avant le 2 août 2026 et on vous repart avec un plan d'action chiffré. Aucun engagement.

Réserver mon audit gratuit Nous écrire

5.0/5 sur Sortlist

· Réponse sous 24h · Lyon · Montpellier · Paris · France

AI Act 2026 pour PME : Ce qui Change le 2 Août, Concrètement

1. AI Act : un calendrier, 4 niveaux de risque

Le calendrier d'application

Les 4 niveaux de risque

2. Vos obligations dépendent de votre rôle

Si vous êtes déployeur (cas le plus fréquent)

Si vous êtes fournisseur (rare en PME)

Vos systèmes IA seront-ils conformes au 2 août 2026 ?

3. Les 5 actions concrètes à mener avant le 2 août 2026

Action 1 : faire l'inventaire de vos systèmes IA

Action 2 : classer chaque système par niveau de risque

Action 3 : produire la documentation manquante

Action 4 : implémenter les obligations de transparence

Action 5 : former vos équipes

4. Cas concret : RH d'un cabinet de recrutement

Diagnostic initial (avant accompagnement Lewis)

Mise en conformité Lewis (3 semaines)

5. AI Act + RGPD : ce qui se cumule (et ne se substitue pas)

6. Sanctions et risques réels pour une PME

Le barème théorique

Les risques réels au quotidien

Synthèse AI Act PME

Articles connexes

Agence Lewis : l'IA sur-mesure, livrée et formée

Questions Fréquentes

Vos systèmes IA seront-ils conformes au 2 août 2026 ?

Faisons le point sur la conformité AI Act de votre PME