AI Act : ce que votre PME doit préparer avant août 2026

Pourquoi c'est différent cette fois

L'AI Act n'est pas un énième texte européen sans conséquence. C'est le premier cadre juridique mondial sur l'intelligence artificielle, et il classe les systèmes IA par niveau de risque : inacceptable, élevé, limité, minimal. Le texte officiel est publié par la Commission européenne et consultable dans son intégralité sur EUR-Lex.

La bonne nouvelle pour les PME : la plupart de vos usages (chatbots, assistants de rédaction, outils d'analyse) tombent dans la catégorie risque limité ou minimal. Les obligations sont proportionnées.

La mauvaise nouvelle : même en risque limité, vous avez des obligations de transparence. Si un client interagit avec un chatbot IA, il doit le savoir. Si vous utilisez de l'IA générative pour produire du contenu, c'est pareil.

Les 4 niveaux de risque, traduits pour une PME

Risque inacceptable : interdit partout en Europe depuis février 2025. Notation sociale, manipulation comportementale, reconnaissance faciale en temps réel dans l'espace public. Vous n'êtes probablement pas concerné.

Risque élevé : encadré strictement. IA qui filtre des CV, qui décide d'un crédit, qui évalue un étudiant, qui contrôle un accès. Beaucoup de PME utilisent ce type d'outil sans le savoir, via un logiciel RH ou un outil de scoring commercial. Si c'est votre cas, la documentation technique, l'évaluation des risques et la supervision humaine deviennent obligatoires.

Risque limité : obligation de transparence. Chatbots, générateurs de texte ou d'images, deepfakes. L'utilisateur doit savoir qu'il interagit avec une IA ou que le contenu a été généré. C'est la case où tombent 80% des usages PME.

Risque minimal : pas d'obligation spécifique. Filtres anti-spam, correcteurs orthographiques, outils de productivité sans impact sur les personnes.

Le piège n'est pas dans les extrêmes. Il est dans la frontière entre risque limité et risque élevé : dès que l'outil touche au recrutement, à la notation d'un salarié, à l'accès à un service, vous changez de catégorie.

Le calendrier réel, sans langue de bois

Trois dates structurent votre plan d'action.

2 février 2025 : les interdictions sont déjà actives. Les pratiques de risque inacceptable sont bannies depuis cette date. C'est derrière nous.

2 août 2025 : obligations pour les modèles d'IA à usage général (GPAI). Cela concerne les éditeurs comme OpenAI, Anthropic ou Mistral, pas directement les PME utilisatrices. Mais vos fournisseurs d'outils IA sont impactés, donc leurs conditions d'utilisation évoluent.

2 août 2026 : entrée en application complète pour les systèmes à haut risque et les obligations de transparence. C'est la date qui vous concerne directement. Les autorités nationales de surveillance seront opérationnelles à partir de cette date.

Les sanctions, pour que ça pique

Les amendes prévues par l'AI Act ne sont pas symboliques.

Jusqu'à 35 millions d'euros ou 7% du chiffre d'affaires mondial pour les pratiques interdites. Jusqu'à 15 millions d'euros ou 3% pour les violations des obligations à haut risque. Jusqu'à 7,5 millions d'euros ou 1,5% pour les informations inexactes fournies aux autorités.

Pour une PME, on parlera en pourcentage plutôt qu'en millions. Mais 1,5% de votre chiffre d'affaires annuel, ça reste une très mauvaise journée.

Ce que l'Europe prévoit pour les PME

L'AI Act n'oublie pas les petites structures. Trois dispositifs sont prévus.

Les bacs à sable réglementaires : chaque pays doit en créer au moins un d'ici août 2026. Accès prioritaire et gratuit pour les PME. C'est un espace pour tester vos usages IA et vérifier votre conformité, accompagné par les autorités compétentes. En France, la CNIL et l'Arcom travaillent à la mise en place du dispositif national.

Des formulaires simplifiés : la Commission européenne doit publier des modèles de documentation technique adaptés aux PME. Pas besoin d'un cabinet d'avocats pour les remplir. Ces modèles seront mis à disposition gratuitement.

Des frais proportionnés : les coûts de mise en conformité et d'enregistrement doivent tenir compte de la taille de l'entreprise. Les sanctions également, dans une certaine mesure.

Les 5 actions à lancer avant août 2026

1. Cartographier vos usages IA. Listez tous les outils utilisés dans l'entreprise, même les gratuits, même ceux qu'un seul collaborateur utilise ponctuellement. Incluez les fonctionnalités IA intégrées dans vos logiciels existants (Microsoft 365, Google Workspace, Notion, etc.).
2. Classer chaque usage par niveau de risque selon les 4 catégories. Un tableau à trois colonnes suffit : outil, usage, niveau de risque.
3. Écrire une charte IA interne. Règles d'usage, données autorisées, types de décisions qui doivent rester humaines, procédure en cas de doute. Deux pages maximum pour être lue.
4. Former les équipes. Pas un cours magistral de 2 heures sur l'histoire de l'IA. Un atelier pratique sur vos cas concrets : comment utiliser Copilot sans divulguer de données clients, comment vérifier la sortie d'un générateur de texte, quand dire non à l'outil.
5. Documenter les décisions. Tracer qui a validé quel usage, quand, sur quels critères. En cas de contrôle, c'est la preuve de votre diligence raisonnable qui vous protège.

Pour aller plus loin sur l'étape 3, voir notre guide charte IA en entreprise. Pour l'étape 4, la méthode pas à pas est décrite dans par où commencer avec l'IA.

La co-écriture, preuve par l'exemple

Cet article a été co-écrit avec Claude (Anthropic). Le brief, l'angle éditorial et la validation sont de Stéphane. La recherche, la structuration et la première rédaction sont de Claude. Le résultat est relu, challengé et ajusté par un humain.

C'est exactement ce que nous enseignons chez EvidencAI : l'IA comme outil de levier intellectuel, pas comme remplacement. Et oui, au regard de l'AI Act, nous venons de vous informer que ce contenu a été produit avec l'aide d'une IA. Conformité : check.