Aller au contenu
Retour aux articles
EU AI Act : 11 semaines avant le 2 août 2026 (ce que ChatGPT, votre chatbot et votre IA RH vont devoir changer)Guide

EU AI Act : 11 semaines avant le 2 août 2026 (ce que ChatGPT, votre chatbot et votre IA RH vont devoir changer)

13 min de lecture
Auteur :

11 semaines. Et 80% des dirigeants de PME pensent que ça ne les concerne pas.

Le 2 août 2026, le règlement européen sur l'intelligence artificielle — l'AI Act (règlement UE 2024/1689) — devient pleinement applicable. Source : Commission européenne.

La plupart des dirigeants de PME que je rencontre pensent que ce texte concerne OpenAI, Google et Microsoft. C'est faux. L'AI Act s'applique à toute organisation qui *utilise* un système d'IA dans l'Union européenne — pas seulement à ceux qui les construisent.

Si votre site a un chatbot, si vous testez l'IA pour trier des CV, si vos équipes utilisent ChatGPT ou Copilot pour rédiger des contrats ou analyser des données clients, vous êtes concerné. Et selon ce que vous faites, les obligations vont d'une simple ligne de mention légale jusqu'à un dossier de conformité technique qui dépasse, en complexité, ce que vous avez vécu pour le RGPD.

Ce guide donne le calendrier réel, les obligations exactes par type d'usage, les sanctions chiffrées, et le plan d'action pour être prêt avant la deadline — en s'appuyant exclusivement sur les sources officielles (Commission européenne, Direction Générale des Entreprises, AI Act Service Desk, CNIL).

EU AI Act applicable aux PME françaises au 2 août 2026
Le règlement européen sur l'IA devient pleinement applicable le 2 août 2026 — y compris pour les TPE/PME utilisatrices

Le calendrier officiel (et le piège des dates décalées)

L'AI Act a été publié au *Journal officiel* de l'Union européenne le 1er août 2024. Il s'applique par étapes :

DateObligationArticles concernés
2 février 2025Interdiction des pratiques d'IA "à risque inacceptable" + obligation de littératie IA des équipesArticles 4 et 5
2 août 2025Obligations pour les modèles d'IA à usage général (GPT, Claude, Gemini, Mistral…)Chapitre V
2 août 2026Application générale : transparence, systèmes à haut risque hors produits réglementés, gouvernance, sanctions, sandboxes nationauxNotamment articles 6, 50, 62, 99
2 décembre 2027Systèmes haut risque dans biométrie, infrastructures critiques, emploi, éducation, migration (délai allongé suite à l'accord politique de mai 2026)Annexe III
2 août 2028Systèmes à haut risque intégrés à des produits réglementés (ascenseurs, jouets, dispositifs médicaux…)Annexe I

Source : AI Act Service Desk et Commission européenne.

Le piège : on entend souvent "on a jusqu'en 2027 pour le haut risque". C'est inexact. La date butoir générale, celle qui rend les sanctions effectives et qui impose la transparence sur les chatbots et l'IA générative, c'est bien le 2 août 2026. Le décalage à décembre 2027 concerne uniquement les systèmes à haut risque listés en Annexe III (et un sous-ensemble, pas l'intégralité).

Si vous voulez retenir une seule date, c'est celle-là : 2 août 2026.

Les 4 niveaux de risque (et lequel s'applique à votre cas)

L'AI Act classe les systèmes d'IA en quatre catégories. Votre niveau d'obligation dépend entièrement de cette classification.

1. Risque inacceptable (interdit depuis février 2025)

Pratiques bannies, sans exception possible :

  • Notation sociale par les autorités publiques
  • Manipulation comportementale exploitant des vulnérabilités (âge, handicap)
  • Identification biométrique en temps réel dans l'espace public (sauf exceptions très encadrées pour les forces de l'ordre)
  • Reconnaissance des émotions en milieu professionnel et scolaire
  • Catégorisation biométrique des personnes selon des données sensibles
  • Scraping massif d'images faciales pour constituer des bases de reconnaissance

Source : article 5 du règlement, en application depuis le 2 février 2025.

2. Haut risque (la catégorie qui change tout)

Listée en Annexe III. Ce sont les systèmes qui impactent significativement la santé, la sécurité ou les droits fondamentaux. Pour une PME, les cas les plus fréquents :

  • Recrutement et RH : tri automatisé de CV, scoring de candidats, évaluation des employés, attribution de tâches, surveillance de la performance
  • Scoring de crédit ou évaluation de solvabilité (banques, assurances, fintech, plateformes de paiement à crédit)
  • Accès à l'éducation : outils d'évaluation, d'orientation, de notation automatisée
  • Services publics essentiels : éligibilité à des aides, priorisation des dossiers
  • Gestion d'infrastructures critiques (énergie, transport, eau)

Si votre PME utilise un outil de tri de candidatures (HelloWork, Welcome to the Jungle Discover, ou un outil sur mesure), vous êtes en haut risque. Source : DGE — entreprises.gouv.fr.

3. Risque limité (l'usage le plus courant en PME)

Concerne tout système qui interagit avec des humains ou génère du contenu, sans tomber dans le haut risque :

  • Chatbots sur votre site web ou WhatsApp
  • Assistants conversationnels internes (ChatGPT, Copilot, Claude utilisés par vos équipes)
  • Génération de contenu (images, vidéos, textes produits par IA et publiés)
  • Deepfakes (même artistiques ou publicitaires)

Obligation principale : transparence. Article 50 du règlement.

4. Risque minimal (la majorité des usages)

Filtres anti-spam, IA dans les jeux vidéo, optimisation de routes logistiques sans impact sur les personnes : aucune obligation particulière. La quasi-totalité des outils SaaS "boostés à l'IA" tombent ici.

Les 4 niveaux de risque de l'EU AI Act pour les PME
Une même technologie peut basculer d'un niveau de risque à l'autre selon le contexte d'usage

Votre usage IA → vos obligations exactes

Voici la grille de lecture concrète pour une PME française :

Usage en PMENiveau de risqueObligation principale (article)
Chatbot sur votre site webRisque limitéIndiquer clairement à l'utilisateur qu'il parle à une IA (Art. 50)
ChatGPT/Copilot utilisé en interneRisque limitéLittératie IA des équipes (Art. 4) + politique d'usage interne
IA générant des images/textes publiésRisque limitéMarquage du contenu comme généré par IA (Art. 50)
IA pour trier des CV / scorer des candidatsHaut risqueAnnexe III — dossier complet : gestion des risques, gouvernance des données, supervision humaine, journalisation, transparence (Art. 9-15)
IA pour évaluer la performance des employésHaut risqueIdem ci-dessus
IA de scoring de crédit B2CHaut risqueIdem ci-dessus
Recommandation produit sur e-commerceRisque limité à minimalMention si appel à un système algorithmique impactant le prix
Filtre anti-spam, OCR de factures, antifraude basiqueRisque minimalAucune obligation spécifique

Source des classifications : Commission européenne — Regulatory framework on AI, DGE — entreprises.gouv.fr.

Cas n°1 — Vous avez un chatbot sur votre site

C'est l'usage le plus répandu, et l'obligation est claire : l'article 50 impose que l'utilisateur sache qu'il interagit avec une IA, sauf si c'est évident par le contexte.

Concrètement, au 2 août 2026, votre chatbot doit :

1. Annoncer son statut d'IA dès le premier message (ex. "Bonjour, je suis l'assistant IA de Forge Agency. Pour parler à un humain, tapez 'humain'.") 2. Offrir un chemin vers un humain quand l'utilisateur le demande 3. Ne pas usurper l'identité d'un collaborateur réel (pas de "Bonjour, je suis Sophie") 4. Marquer comme généré par IA tout contenu visuel ou texte produit par le bot qui serait diffusé publiquement (rapport, ticket, FAQ générée)

Pour 95% des PME, c'est une modification de prompt + une ligne en pied de chatbot. Comptez 2 à 4 heures de dev si votre chatbot est déjà en place. Si vous le développez en mai-juillet 2026, intégrez-le directement dans la spec.

Le piège : les chatbots WordPress et e-commerce "tout-en-un" (Tawk.to, Tidio, Crisp en mode bot) embarquent souvent une persona humaine par défaut. À désactiver impérativement avant le 2 août.

Cas n°2 — Vous utilisez ChatGPT, Copilot ou Claude en interne

C'est l'usage qui touche le plus de PME : un dirigeant ou un collaborateur qui rédige des contrats, analyse des données clients, ou prépare des documents commerciaux avec ChatGPT.

Trois obligations s'enclenchent :

a) La littératie IA (article 4 — déjà en vigueur depuis février 2025)

Vous devez vous assurer que vos collaborateurs qui utilisent un système d'IA ont un niveau suffisant de compétence pour comprendre ce qu'il fait, ses limites, et les risques associés.

Pour une PME, ça signifie concrètement : - Une formation interne de 1 à 2 heures sur les bons usages (ce qu'on peut/ne peut pas partager, les hallucinations, la propriété intellectuelle) - Une trace écrite que cette formation a eu lieu - Une politique d'usage interne (charte IA) signée par les utilisateurs

b) La protection des données (RGPD + AI Act)

Si vous collez dans ChatGPT des données personnelles de clients ou collaborateurs, vous engagez votre responsabilité RGPD. La CNIL a publié plusieurs recommandations sur le sujet, notamment sur la base légale "intérêt légitime" pour le webscraping et l'entraînement (webinaire du 2 avril 2026). Source : cnil.fr/fr/intelligence-artificielle.

Règles minimales en PME : - Pas de données personnelles identifiables dans les prompts utilisés sur la version grand public de ChatGPT - Si besoin d'IA générative avec données clients : passer sur ChatGPT Enterprise, Copilot for Business ou une API hébergée en UE (Mistral, Scaleway) - Anonymiser systématiquement les noms, emails, montants identifiants

c) Le marquage des contenus générés (article 50)

Si vous publiez sur votre site, votre blog ou vos réseaux sociaux des contenus générés en grande partie par IA (textes, images, vidéos), vous devez le signaler de manière lisible par les machines (métadonnées, marqueurs C2PA) et lisible par les humains (mention discrète mais présente).

Pour les images, les générateurs sérieux (Midjourney, Adobe Firefly, DALL·E) marquent désormais automatiquement. Pour les textes, la mention "contenu rédigé avec assistance IA" en pied d'article suffit.

Cas n°3 — Vous testez l'IA pour le recrutement ou les RH

C'est le cas où vous basculez en haut risque. L'Annexe III du règlement liste explicitement : - Recrutement et sélection de candidats - Décisions d'évaluation, de promotion, de licenciement - Allocation de tâches en fonction du comportement - Surveillance et évaluation de la performance

Obligations (articles 9 à 15, 16, 26) : 1. Système de gestion des risques documenté 2. Gouvernance des données d'entraînement (qualité, biais, représentativité) 3. Documentation technique détaillée du système 4. Journalisation automatique (logs) des décisions 5. Transparence vis-à-vis des candidats : leur dire qu'une IA est utilisée 6. Supervision humaine effective : un humain doit pouvoir contrôler et passer outre la décision 7. Précision, robustesse, cybersécurité documentées 8. Marquage CE et enregistrement dans la base de données européenne (pour le fournisseur)

En pratique, deux scénarios :

Vous êtes…Charge réelle
Utilisateur d'un outil RH IA (ATS)Vérifier que le fournisseur est conforme (marquage CE, dossier de conformité fourni), informer les candidats, garantir la supervision humaine sur chaque décision finale
Développeur d'un outil RH IA en interneDossier de conformité complet, ~3 à 9 mois de mise en conformité, audit externe possible

Pour la grande majorité des PME : vous êtes en posture d'utilisateur, pas de fournisseur. La charge reste réelle mais gérable. Et si votre prestataire RH ne peut pas vous fournir un attestation de conformité à jour, changez de prestataire avant le 2 décembre 2027.

Cas n°4 — IA et site e-commerce (recommandation, pricing, scoring)

Les recommandations produit classiques sur un Shopify ou WooCommerce relèvent du risque limité ou minimal. Aucune obligation lourde.

Mais si votre e-commerce utilise : - Pricing dynamique algorithmique impactant le prix vu par chaque utilisateur (selon profil, géolocalisation, historique) - Scoring d'éligibilité au paiement en X fois (Klarna, Alma, Younited) - Détection automatique de fraude bloquant des transactions

…alors vous entrez dans des zones où la transparence est requise (info utilisateur, droit de contestation) et, pour le scoring de crédit, en haut risque. C'est typiquement le cas que je rencontre dans les missions de refonte e-commerce sur mesure : on documente clairement, dans le bon de commande, quels traitements algorithmiques s'appliquent.

Les sanctions (article 99) : ce que la presse ne dit jamais clairement

L'article 99 du règlement définit trois niveaux d'amendes, en prenant le montant le plus élevé entre l'absolu et le pourcentage :

Type de manquementSanction maximale
Pratique d'IA interdite (article 5)35 millions € ou 7% du CA mondial annuel
Non-respect des autres obligations (transparence, haut risque, gouvernance — articles 16, 22, 23, 24, 26, 31, 33, 34, 50)15 millions € ou 3% du CA mondial annuel
Fourniture d'informations inexactes ou trompeuses aux autorités7,5 millions € ou 1% du CA mondial annuel

Source : AI Act — Article 99.

Bonne nouvelle pour les PME : l'article 99 prévoit explicitement que pour les PME et startups, les amendes sont plafonnées au montant ou au pourcentage le plus bas parmi les options applicables. Pour une PME française, le 7% du CA mondial devient le plafond, mais on parle de millions d'euros uniquement pour des CA très élevés.

Concrètement, pour une PME de 5 M€ de CA, le plafond théorique de la sanction "haut risque" est de l'ordre de 150 000 €. Ce n'est pas anecdotique. Mais ce ne sont pas non plus les ordres de grandeur de la GDPR pour les GAFAM.

Les autorités modulent en fonction de : gravité, durée, récidive, coopération, intentionnalité.

Les dispositions PME que personne ne met en avant (article 62)

Le règlement reconnaît explicitement la charge disproportionnée pour les petites structures. Trois leviers utiles :

1. Bacs à sable réglementaires (regulatory sandboxes)

Au 2 août 2026, chaque État membre doit avoir mis en place au moins un bac à sable réglementaire IA. Source : Commission européenne.

C'est un espace contrôlé où vous pouvez tester un système d'IA innovant sous supervision de l'autorité, avec une certaine flexibilité réglementaire pendant le temps du test. Les PME bénéficient d'un accès prioritaire et gratuit (article 62).

En France, le pilotage est confié à la DGE (Direction Générale des Entreprises) avec l'appui de la CNIL pour les questions de données personnelles.

2. Documentation technique simplifiée

L'article 11 et l'annexe IV permettent aux PME de fournir une documentation technique simplifiée pour les systèmes à haut risque. Vous n'avez pas à produire le même volume de documentation qu'OpenAI.

3. Frais de conformité proportionnés

Les coûts d'évaluation de la conformité doivent être proportionnés à la taille de l'entreprise (article 62). Les organismes notifiés ne peuvent pas appliquer une grille tarifaire identique à une PME et à une multinationale.

L'accord politique de mai 2026 : ce qui a changé récemment

En mai 2026, un accord politique entre les institutions européennes a introduit deux ajustements importants :

1. Décalage de certaines échéances haut risque à décembre 2027 et août 2028 (pour les systèmes intégrés à des produits réglementés) 2. Simplifications administratives pour les PME, notamment sur la documentation technique et les obligations d'audit

Source : AI Act Service Desk — Implementation timeline.

À retenir : le 2 août 2026 reste la date pivot. Les décalages concernent des sous-ensembles techniques. Si vous attendez décembre 2027 en pensant que ça vous sauve, vous avez tort.

Le plan d'action : 11 semaines avant le 2 août 2026

Semaines 1-2 : audit de votre exposition IA

Listez tous les systèmes d'IA actuellement utilisés ou en projet dans votre entreprise :

  • Chatbots et assistants en ligne
  • Outils RH (ATS, scoring candidats, évaluation)
  • IA générative utilisée par vos équipes (ChatGPT, Copilot, Claude, Mistral)
  • Modules IA dans vos SaaS métier (Pennylane "smart", HubSpot AI, Salesforce Einstein, Notion AI…)
  • Outils de marketing automation avec IA (recommandations, segmentation)
  • Détection de fraude, scoring, antispam

Pour chacun : qui le fournit, quel niveau de risque, quelle donnée traitée.

Semaines 3-4 : classification et priorisation

Confrontez chaque usage à la grille de risque. Identifiez : - Les usages haut risque → action immédiate - Les usages risque limité → mise à jour des mentions et politiques - Les usages risque minimal → documentation simple suffisante

Semaines 5-6 : mise en conformité documentaire

  • Rédigez une charte d'usage IA interne
  • Programmez une formation littératie IA (1h-2h) pour les utilisateurs (article 4)
  • Mettez à jour vos mentions légales site web (chatbots, contenus générés)
  • Mettez à jour vos mentions RH si vous utilisez de l'IA en recrutement
  • Mettez à jour votre politique de confidentialité pour mentionner les traitements IA

Semaines 7-8 : ajustements techniques

  • Mise à jour des prompts de votre chatbot pour qu'il s'annonce comme IA
  • Désactivation des personas humaines par défaut
  • Mise en place du marquage C2PA sur les contenus visuels générés
  • Si IA RH : exiger du fournisseur son attestation de conformité AI Act

Semaines 9-10 : test et formation

  • Test utilisateur sur le parcours chatbot (l'utilisateur comprend-il qu'il parle à une IA ?)
  • Formation des équipes RH si IA recrutement
  • Procédure de supervision humaine documentée pour les décisions automatisées

Semaine 11 : revue de conformité finale

  • Audit interne : tout est en place ?
  • Documentation centralisée et accessible
  • Personne référente IA désignée

Le piège que personne ne vous montre

Les éditeurs de SaaS "AI-powered" ont tous intérêt à minimiser leur niveau de risque dans leur communication. Beaucoup vous diront que leur outil est "risque limité" alors qu'il tombe en réalité dans une catégorie supérieure (typiquement les outils RH).

Trois questions à poser systématiquement à chaque fournisseur d'outil IA :

1. "Votre système est-il classé haut risque au sens de l'Annexe III ?" — exigez une réponse écrite 2. "Disposez-vous d'une attestation de conformité AI Act ?" — sera obligatoire pour le haut risque dès août 2026 3. "Où sont hébergées les données traitées par votre IA ?" — UE obligatoire pour la plupart des cas RGPD

Si le fournisseur élude une de ces trois questions, c'est qu'il n'est pas prêt — et c'est votre responsabilité juridique en tant qu'utilisateur, pas la sienne.

C'est le même réflexe que pour le choix d'une agence web sérieuse ou d'une Plateforme Agréée pour la facturation électronique : la conformité n'est pas une fonctionnalité optionnelle.

L'AI Act et les autres réglementations qui s'empilent

L'AI Act ne remplace pas les autres règlements — il s'ajoute. En 2026, une PME française qui utilise de l'IA est simultanément soumise à :

  • RGPD (depuis 2018) — protection des données personnelles
  • AI Act (2 août 2026) — gouvernance des systèmes IA
  • DSA / DMA (depuis 2024) — services numériques et marchés (selon votre taille)
  • NIS2 (transposition en cours) — cybersécurité des entités essentielles et importantes
  • Facturation électronique (1er septembre 2026) — voir notre guide dédié

L'enjeu n'est pas de traiter chaque réglementation isolément, mais de bâtir une gouvernance unifiée : une charte data, une cartographie des outils, un référent unique. C'est exactement la logique qu'on applique dans les missions de refonte de site web sur mesure — la conformité est traitée dès la conception, pas en patch après coup.

Quand l'IA reste un levier de productivité, pas un risque

L'AI Act n'est pas anti-IA. La majorité des usages PME — automatisation de tâches répétitives, agents IA pour la facturation et la relance, assistants commerciaux — tombent en risque limité ou minimal. La conformité est légère et le ROI reste excellent.

Le vrai message du règlement : utiliser l'IA n'exonère pas de la responsabilité humaine. Si votre IA prend une décision, vous restez juridiquement responsable. C'est exactement la même logique que celle qu'on défend dans l'IA ne remplacera pas votre agence web : la machine assiste, l'humain décide.

Pour les PME qui anticipent, l'AI Act est aussi un filtre concurrentiel. Les fournisseurs sérieux seront en règle. Les autres sortiront du marché. C'est plutôt sain.

Conclusion

Le 2 août 2026, l'AI Act devient pleinement applicable. Pour une PME française, l'enjeu n'est pas le développement d'une IA — c'est l'usage des IA déjà présentes dans votre entreprise. Chatbot, ChatGPT en interne, outils RH boostés à l'IA : à chacun ses obligations.

Les bons réflexes : auditer dès maintenant vos usages, classer par niveau de risque, mettre en place une charte interne, et exiger de chaque fournisseur une attestation de conformité écrite. 11 semaines suffisent pour les usages courants. Pour le haut risque (IA RH, scoring), l'effort est plus lourd mais reste gérable d'ici décembre 2027.

Si vous voulez auditer votre exposition en 30 minutes — chatbot, IA en interne, outils RH — parlons-en. On regarde concrètement quels usages relèvent de quel niveau, et on chiffre l'effort de mise en conformité.

Questions fréquentes

Notre PME utilise ChatGPT pour rédiger des emails, sommes-nous concernés ?

Oui, à deux titres. Article 4 (littératie IA, déjà en vigueur) : vos équipes doivent avoir une formation de base sur ce qu'est ChatGPT et ses limites. RGPD : si vous collez des données clients dans ChatGPT version grand public, vous engagez votre responsabilité — passez sur ChatGPT Enterprise ou une alternative hébergée en UE. En revanche, vous n'êtes ni "fournisseur" ni "déployeur" au sens lourd du règlement, sauf si vous re-paramétrez profondément le modèle.

J'ai un chatbot Tidio sur mon site Shopify, que dois-je faire avant le 2 août 2026 ?

Trois actions concrètes : (1) modifier le message d'accueil pour annoncer que c'est une IA et non un humain ; (2) supprimer toute persona humaine par défaut (pas de "Bonjour, je suis Sophie") ; (3) mettre à jour vos mentions légales pour indiquer l'usage d'un assistant IA et la possibilité de demander un humain. Compter 1 à 2 heures de travail.

On utilise un outil de tri de CV qui dit "boosté à l'IA", sommes-nous en haut risque ?

Probablement oui. L'Annexe III liste explicitement le recrutement et la sélection de candidats parmi les usages à haut risque. Exigez de votre prestataire (par écrit) sa classification au sens du règlement et son attestation de conformité. S'il ne peut pas la fournir avant fin 2026, prévoyez un changement de prestataire avant la date butoir de l'Annexe III (2 décembre 2027). Pendant ce temps, garantissez une supervision humaine effective sur chaque décision : aucun rejet de candidat ne doit être pris uniquement par l'IA.

Les sanctions de 35 millions d'euros peuvent-elles vraiment frapper une PME française ?

L'article 99 prévoit explicitement que pour les PME, les amendes sont plafonnées au pourcentage le plus bas applicable. Pour une PME de 5 M€ de CA, le plafond théorique haut risque tourne autour de 150 000 €. Ce n'est pas la peine capitale, mais c'est très significatif. Et au-delà du montant, une sanction publique pour non-conformité IA peut affecter durablement votre crédibilité commerciale, surtout en B2B.

Notre comptable utilise Pennylane qui a des modules IA, devons-nous faire quelque chose ?

Pennylane et les SaaS de compta équivalents sont fournisseurs au sens du règlement — c'est leur responsabilité de garantir la conformité de leurs modules IA. Demandez-leur leur attestation. Vous, en tant qu'utilisateur, vous devez juste vérifier que les modules ne sortent pas du cadre annoncé (ex : pas d'utilisation des modules IA pour scorer du crédit si vous n'êtes pas habilité). En pratique, pour un usage standard de comptabilité, vous êtes en risque minimal.

Y a-t-il un guichet unique pour se faire accompagner en France ?

Pas un guichet IA dédié à ce stade. La DGE (Direction Générale des Entreprises) mène les actions de sensibilisation côté entreprises. La CNIL est compétente sur le volet protection des données. Le portail entreprises.gouv.fr centralise les décryptages officiels. Pour les PME du numérique, Bpifrance finance certains diagnostics IA.

Un projet en tête ? Parlons-en

Discutons de votre projet lors d'un appel gratuit de 30 minutes. Notre équipe à Lyon est là pour transformer vos idées en réalité.

Réserver un appel gratuit

Articles suggérés