Le 2 août 2026, dans 25 jours, l'IA Act entre dans sa phase la plus concrète pour les entreprises qui utilisent l'intelligence artificielle au quotidien.
Si vous dirigez une PME de 5 à 50 personnes et que vous utilisez ChatGPT pour répondre à vos clients, Copilot pour coder, ou un outil RH basé sur l'IA pour trier des CV, vous êtes concerné. Pas par les amendes maximales - les pénalités sont proportionnelles à la taille de l'entreprise - mais par des obligations de bon sens que vous pouvez régler en une matinée.
Cet article couvre ce qui change au 2 août 2026, ce qui ne change pas, et ce que vous devez faire ce mois-ci pour être en règle sans y passer un budget.
Pourquoi août 2026 est une date clé
L'IA Act (Règlement UE 2024/1689) est entré en vigueur le 1er août 2024, mais ses obligations sont déployées par phases. Voici où on en est :
- Février 2025 : interdiction des pratiques IA inacceptables (notation sociale, manipulation comportementale) + obligation de littératie IA (Article 4)
- Août 2025 : régime de sanctions applicable
- 2 août 2026 : obligations pour les déployeurs de systèmes IA à haut risque + transparence des systèmes à risque limité (chatbots, deepfakes)
C'est cette dernière échéance qui nous intéresse. Car c'est la première fois que des obligations touchent directement les entreprises utilisatrices d'IA - pas seulement les fournisseurs.
En parallèle, le 7 mai 2026, un accord politique sur la simplification de l'IA Act a été trouvé (le « paquet Omnibus IA »). L'objectif : alléger la charge administrative pour les PME. Les détails finaux sont en cours de publication, mais la tendance est clairement à la proportionnalité.
Les quatre catégories de risque : où se situe votre PME
L'IA Act classe les usages de l'IA en quatre niveaux de risque. La bonne nouvelle : la plupart des PME françaises sont dans les deux catégories les moins contraignantes.
Risque minimal (non régulé)
C'est là que se situe l'écrasante majorité des usages PME : ChatGPT pour rédiger des emails, Claude pour analyser des documents, Copilot pour vous aider à coder, les filtres anti-spam, les outils de productivité basiques.
Obligation : aucune. Vous pouvez continuer comme avant.
Risque limité (transparence)
Si vous utilisez un chatbot sur votre site web (même un simple assistant développé avec n8n + OpenAI), ou si vous générez du contenu par IA sans le préciser, vous entrez dans cette catégorie.
Obligation : informer vos interlocuteurs qu'ils interagissent avec un système IA. Concrètement : un bandeau « Vous discutez avec un assistant IA » sur votre chatbot, ou une mention en bas de page de contenu généré par IA.
Ce que ça coûte : entre 0 € et 500 € - une modification de vos CGV et un bandeau sur votre site. Si vous avez un chatbot IA, c'est réglé en 30 minutes.
Risque élevé (obligations complètes)
Votre entreprise entre dans cette catégorie si vous utilisez l'IA pour :
- Recruter : tri automatique de CV, évaluation de candidats par IA
- Accorder du crédit : scoring client, évaluation de solvabilité
- Gérer l'accès à l'éducation ou à la formation professionnelle
- Évaluer les performances des employés de manière automatisée
Si vous utilisez un SaaS RH qui fait du tri de CV par IA, c'est votre fournisseur qui doit être conforme - mais vous aussi en tant que déployeur.
Obligations concrètes :
- Surveillance humaine des décisions IA
- Documentation des données d'entraînement
- Transparence sur les critères utilisés
- Mise en place d'un système de gestion des risques proportionné
Ce que ça coûte : 5 000 € à 15 000 € pour une première mise en conformité, avec un possible accompagnement juridique.
Risque inacceptable (interdit depuis février 2025)
Manipulation comportementale, notation sociale, reconnaissance faciale en temps réel dans l'espace public - tout cela est déjà interdit. Aucune PME normale n'est concernée.
Littératie IA (Article 4) : l'obligation discrète qui est déjà en vigueur
Depuis février 2025, l'Article 4 impose aux entreprises de s'assurer que leurs équipes ont un niveau suffisant de culture IA.
Dans une PME de 10 personnes, ça ne signifie pas un responsable IA à temps plein. Ça signifie :
- Former les collaborateurs qui utilisent l'IA aux risques de base (hallucinations, biais, confidentialité)
- Établir une politique interne d'usage de l'IA
- Conserver une trace des formations
Comment faire concrètement :
- Organisez une session interne de 1 à 2 heures sur les bases de l'IA : ce que c'est, ses limites, ce qu'on ne doit pas lui confier (données clients, informations confidentielles)
- Rédigez une note de 2 pages qui précise les outils autorisés et les règles d'usage
- Stockez la liste des participants et le support de formation
Coût estimé : 0 € à 500 € pour une micro-entreprise utilisant les ressources gratuites de la Commission européenne (guide de littératie IA, base de programmes de formation).
Les sanctions : oui, ça peut faire mal
Les montants qui circulent dans la presse (7 % du chiffre d'affaires mondial) concernent les violations les plus graves et les plus grandes entreprises.
Pour une PME, le barème est plus nuancé :
| Type de violation | Amende maximum (PME) |
|---|---|
| Pratiques interdites (Article 5) | 35 M€ ou 7 % du CA - plafonné au plus faible des deux pour les PME |
| Non-respect des obligations IA à haut risque | 15 M€ ou 3 % du CA |
| Information incorrecte aux autorités | 7,5 M€ ou 1,5 % du CA |
Le vrai risque n'est pas l'amende maximale - c'est le contrôle de la CNIL, qui est l'autorité compétente en France. Un signalement, une plainte client, ou un audit sectoriel, et vous devez justifier de votre conformité.
Dans la pratique, une PME qui peut démontrer qu'elle a pris des mesures proportionnées (formation, transparence, documentation) n'a rien à craindre. L'approche des régulateurs est clairement pédagogique, pas répressive, pour les petits acteurs.
Les 4 choses à faire CE mois-ci (avant le 2 août)
Voici votre checklist pour être en règle avant la deadline, sans y passer plus d'une demi-journée.
1. Auditez vos usages IA (30 min)
Faites le tour de tous les outils IA utilisés dans votre entreprise : ChatGPT, Copilot, les chatbots sur votre site, votre outil RH, votre logiciel de comptable s'il utilise l'IA.
Question à vous poser pour chaque outil :
- Est-ce que cet outil interagit avec un client ou un prospect ? → risque limité (transparence)
- Est-ce qu'il prend une décision qui impacte une personne (embauche, crédit, évaluation) ? → risque élevé
- Est-ce juste un outil interne de productivité ? → risque minimal, rien à faire
2. Mettez à jour vos mentions légales (30 min)
Ajoutez une clause dans vos CGV et votre politique de confidentialité qui précise :
- Quels outils IA vous utilisez
- Dans quel but
- Comment les données sont traitées
Si vous avez un chatbot sur votre site, ajoutez un bandeau visible : « Vous discutez avec un assistant IA. »
3. Formez votre équipe (1 à 2 heures)
Organisez une session de sensibilisation. Au programme :
- Ce que l'IA peut et ne peut pas faire
- Les données qu'on ne doit jamais mettre dans un outil IA public (données clients, infos confidentielles)
- Comment vérifier les résultats d'une IA (lutte contre les hallucinations)
- Les bonnes pratiques de « human in the loop »
Gardez une trace : convocation, support, émargement.
4. Documentez votre conformité (30 min)
Créez un dossier (un Google Doc suffit) qui contient :
- La liste de vos usages IA avec leur classification par risque
- Votre politique interne d'usage de l'IA
- Le support de formation et la liste des participants
- Les mises à jour de vos CGV
Ce dossier est votre preuve en cas de contrôle. Si vous avez ça, vous êtes en conformité pour une PME de taille standard.
Et si vous ne faites rien ?
Honnêtement ? Il ne se passera probablement rien le 3 août 2026. La CNIL n'a ni les effectifs ni la mission de contrôler 40 000 PME françaises le lendemain de l'échéance.
Le risque est ailleurs :
- Un client ou un candidat qui porte plainte parce qu'il n'a pas été informé qu'il interagissait avec une IA
- Un audit sectoriel déclenché par un incident
- Une clause de conformité dans un contrat avec un donneur d'ordres ou un sous-traitant exigeant la preuve de votre conformité IA Act (de plus en plus fréquent)
Dans ces cas, ne pas avoir de dossier, c'est exposer l'entreprise à une amende qui aurait pu être évitée avec 2 heures de travail.
L'IA Act n'est pas un problème technique, c'est un problème d'organisation
Si vous retenez une chose de cet article : l'IA Act n'exige pas que vous arrêtiez d'utiliser l'IA. Il exige que vous sachiez ce que vous utilisez, pourquoi, et que vos équipes aient les bases pour le faire correctement.
Pour une PME, c'est une question d'organisation, pas de budget. Le coût de mise en conformité estimé est de 0 € à 3 000 € selon votre situation. Et les ressources officielles - guide PME de la Commission, AI Act Compliance Checker, recommandations CNIL - sont gratuites.
Si le sujet vous semble encore flou ou si vous voulez être sûr de ne rien oublier avant le 2 août, je construis ce type de diagnostics pour les PME françaises. On en discute en 30 minutes et vous repartez avec votre checklist personnalisée.
Existe aussi : Lire en anglais