Le 2 août 2026, l'AI Act européen s'applique. Pour de vrai, cette fois.
Les obligations qui rentrent en vigueur ce jour-là concernent les systèmes d'IA classés à haut risque. Un système d'IA qui aide à recruter, à scorer un client, à évaluer un salarié, à trier des dossiers de prêt ou à gérer une réclamation client tombe dans cette catégorie. Si votre PME en utilise un — y compris sous la forme d'un module dans un SaaS RH ou un CRM — vous êtes concerné.
Les sanctions vont jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour les usages prohibés, 15 millions ou 3 % pour les systèmes à haut risque non conformes. L'article 99 prévoit que les PME sont sanctionnées sur le moindre des deux montants — ce qui adoucit la peine, mais une PME de 5 M€ de CA peut quand même se retrouver avec une sanction à 150 000 € si les choses tournent mal.
Une mise à jour importante : le Parlement européen a voté le 26 mars 2026 le texte "Digital Omnibus" qui propose un report au 2 décembre 2027 des obligations sur certains systèmes haut risque autonomes. Les trilogues sont en cours et la date finale n'est pas figée. Mon conseil opérationnel : ne pariez pas sur le report. Préparez-vous pour le 2 août 2026, et si la date glisse, vous aurez un beau matelas. L'inverse n'est pas vrai.
J'ai déployé l'IA dans une trentaine de PME françaises depuis 2023. Cet article est la check-list que je sors quand un dirigeant me dit "on n'y connaît rien et on a 8 semaines". Vous pouvez la dérouler vous-même, sans avocat, en 30 minutes.
D'abord, comprendre les 4 niveaux de risque (5 minutes)
L'AI Act classe les systèmes d'IA en quatre catégories.
Niveau 1 — Risque inacceptable (interdit depuis février 2025)
Notation sociale, manipulation comportementale subliminale, identification biométrique en temps réel dans l'espace public. Si vous êtes une PME française qui n'opère pas dans la sécurité, vous n'êtes pas concerné.
Niveau 2 — Haut risque (obligations lourdes au 2 août 2026)
Les systèmes IA utilisés pour recrutement et tri de CV, évaluation salariés, scoring de crédit/assurance, tri de dossiers d'aide, gestion d'infrastructures critiques, identification biométrique hors temps réel.
Niveau 3 — Risque limité (obligations de transparence depuis août 2025)
Chatbots, deepfakes, contenu généré par IA. Vous devez signaler à l'utilisateur qu'il interagit avec une IA.
Niveau 4 — Risque minimal (aucune obligation)
Filtres anti-spam, IA dans un jeu vidéo, recommandation de produits.
Pour comprendre la classification : guide Leto et texte officiel.
La check-list en 30 minutes
Étape 1 — Recensez vos outils qui font appel à de l'IA (10 min)
Catégories à scanner :
Outils RH : tri de CV automatique, scoring candidat, génération d'offres
CRM : scoring lead, qualification automatique, recommandation
Marketing : génération de contenu, ciblage publicitaire
Financiers : scoring de risque client, prédiction d'impayés
Opérationnels : optimisation de tournées, prédiction de stock
Internes : Microsoft Copilot, Notion AI, ChatGPT Team/Enterprise
Pour chaque outil, notez : nom et éditeur, données d'entrée, type de décision automatisée, présence ou non d'un humain dans la boucle.
À la fin : 8 à 25 outils. Aucune PME n'en a moins.
Étape 2 — Pour chaque outil, classez le niveau de risque (10 min)
Question A : Cet outil influence-t-il une décision sur une personne physique ? Si oui → potentiellement haut risque.
Question B : La décision finale est-elle prise par un humain qui peut s'écarter de la recommandation IA ? Si non → vous êtes en haut risque pur.
Cas typiques en haut risque : tri automatique de CV avant qu'un humain ne regarde, scoring automatique de demandes de devis, génération d'évaluation de performance salarié, refus automatique de paiement à crédit.
Médiane sur 30 cas audités : 3 à 5 outils en haut risque par PME.
Étape 3 — Pour chaque outil haut risque, vérifiez 4 obligations (10 min)
1. Documentation technique du système. Le fournisseur doit la fournir. S'il ne sait pas répondre dans la semaine, drapeau rouge majeur.
2. Système de gestion des risques. Une note interne de 2-3 pages : risques identifiés + mitigations.
3. Traçabilité des décisions. Pouvoir reconstituer entrée → sortie IA → décision finale humaine.
4. Supervision humaine effective. Un humain qualifié peut comprendre, s'écarter, désactiver.
Si vous ne pouvez pas cocher ces 4 cases sur un outil haut risque au 2 août 2026, vous êtes en non-conformité.
Les outils à arrêter d'utiliser dès maintenant
1. ChatGPT (compte personnel ou Plus) pour des données client réelles
C'est la pratique la plus répandue et la plus dangereuse.
Pourquoi c'est un problème :
ChatGPT compte personnel utilise vos prompts pour entraîner ses modèles
Données transitent par Microsoft Azure US, soumises au Cloud Act
Vous violez probablement le RGPD et bientôt l'AI Act
Ce qu'il faut faire : ChatGPT Team (avec hébergement EU activé), ChatGPT Enterprise, Mistral Le Chat Pro (200 €/mois pour 50 users, hébergement FR), ou Claude Team.
Mon prior pour une PME française : Mistral Le Chat Pro. Hébergement souverain, RGPD natif, droit français applicable, performance proche de GPT-4 sur 90 % des tâches PME.
2. Les ATS qui scrutent les CV sans audit de biais
Exigez de votre éditeur un audit de biais récent (genre, âge, origine), une documentation technique du modèle, et la possibilité d'exporter les décisions pour audit. Sinon, basculez sur Teamtailor (suédois) ou Welcome to the Jungle (français).
3. Les chatbots clients sans annonce IA visible
Non-conformité depuis août 2025. Ajoutez : "Vous discutez avec une assistance automatique. Pour parler à un humain, tapez 'humain'". 10 minutes de modification.
4. Les outils de scoring lead "boîte noire"
Si vous l'utilisez pour décider qui jeter à la corbeille (et pas juste prioriser), c'est haut risque. Exigez l'explicabilité.
Les alternatives souveraines à connaître
Usage | Outil US courant | Alternative souveraine |
|---|---|---|
LLM généraliste | ChatGPT, Gemini | Mistral Le Chat Pro (FR) ou Claude Team sur région UE |
LLM développeur | GitHub Copilot | Mistral Devstral, Continue.dev sur Mistral |
Transcription réunion | Otter, Fathom | Vidby (CH), AssemblyAI EU, Whisper local |
Résumé de doc | Notion AI | Nyota (FR), Mistral via API, Claude Team |
Génération image | Midjourney, DALL-E | Photoroom (FR), Bria EU, Stable Diffusion local |
Hébergement modèles | OpenAI, Anthropic | Scaleway IA (FR), OVHcloud AI Endpoints (FR), Mistral Cloud (FR) |
Ce tableau évolue vite. Demandez-nous une mise à jour avant chaque arbitrage important.
Ce qu'on fait chez Studioverse pour vos confrères
Sur les 30 dernières PME accompagnées, aucune n'était en conformité AI Act au moment du premier audit.
Notre méthode "AI Act en 5 jours" :
Jour 1 : audit complet des outils
Jour 2 : classification de risque
Jour 3 : note de risque interne + plan de mise en conformité
Jour 4 : migration des outils non-conformes (souvent : bascule ChatGPT perso → Mistral Le Chat Pro)
Jour 5 : formation équipe (1h) sur les bonnes pratiques
Coût type : 3 800 € HT. Reste à charge après aides Bpifrance + France Num : entre 760 € et 1 520 € HT selon votre éligibilité.
Pour une PME de 30 salariés qui prend 3 800 € HT pour éviter une amende potentielle de 150 000 €, c'est probablement le meilleur ratio risque/coût de votre année 2026.
Réservez votre audit AI Act gratuit (30 min, sans engagement)
Bloquez 30 minutes : cal.com/studioverse/30min
On regarde ensemble combien d'outils IA tournent dans votre PME, combien sont en haut risque, quelles aides publiques peuvent absorber le coût de mise en conformité, et le calendrier réaliste avant le 2 août.
Si vous êtes déjà conforme, on vous le dit franchement et on s'arrête là.
FAQ AI Act PME
Si je n'ai aucune IA "haut risque", je n'ai rien à faire ?
Vous devez quand même respecter les obligations de transparence (annoncer les chatbots, signaler le contenu généré). C'est moins lourd, mais pas zéro.
Mon SaaS me dit qu'il est "AI Act compliant", c'est suffisant ?
Non. Vous restez responsable en tant qu'utilisateur (Article 26). Demandez la documentation technique et conservez-la.
On utilise ChatGPT depuis 2 ans en PME. On risque quelque chose maintenant ?
Pas de sanction rétroactive. Mais à partir du 2 août 2026, l'usage continu sans bascule sur une offre Enterprise + audit de biais sur les usages haut risque vous expose.
Combien coûte un avocat spécialisé AI Act ?
Entre 4 500 et 12 000 € HT pour une PME pour un audit complet. Légitime pour une ETI ou un groupe. Pour une PME de 25 salariés, probablement disproportionné.
On est sous-traitant d'un grand groupe qui nous demande "êtes-vous AI Act compliant" ?
Vous répondez "oui, nos systèmes IA sont classifiés et nous respectons les obligations applicables à notre statut. Documentation disponible sur demande." Sans ça, vous perdez le contrat.
Si Bruxelles repousse la date au 2 décembre 2027, j'ai 16 mois de plus ?
Probablement, sur les systèmes autonomes haut risque (Annexe III). Pas sur les obligations déjà entrées en vigueur. Préparez-vous pour août 2026 et bénissez le report s'il arrive.
Cet article a été rédigé par Sabry Parra, fondateur de Studioverse, agence IA pour PME françaises. Les chiffres et constats opérationnels sont issus d'un échantillon de 30 audits PME réalisés entre janvier 2024 et avril 2026. Aucun cas client nominatif n'est cité dans cet article — par construction, les usages non-conformes constatés sont sensibles et restent confidentiels. Cet article n'est pas un avis juridique. Pour les sanctions ou les zones grises, consultez un avocat spécialisé.
Follow me to keep in touch
Where I share my creative journey, design experiments, and industry thoughts.
