Réglementation IA25 mars 2026
AI Act 2026 : ce que votre PME française doit faire avant le 2 août (sans jargon)
Moins de 30% des PME européennes ont entamé une démarche de conformité AI Act (Centre for Data Innovation, fin 2025). Si vous utilisez un chatbot, un outil RH IA ou un système de scoring, vous êtes déjà concerné. Voici votre plan d'action pragmatique.
Le calendrier AI Act en 4 dates à retenir
✅ 1er août 2024
Entrée en vigueur du Règlement UE 2024/1689
✅ 2 février 2025
Interdictions IA à risque inacceptable
✅ 2 août 2025
Obligations GPAI (GPT-4, Gemini, Claude, Mistral)
⚠️ 2 août 2026
Application complète : haut risque + transparence ← VOUS ÊTES ICI
Êtes-vous fournisseur ou déployeur ? La question qui change tout
FOURNISSEUR
Développe l'IA → obligations lourdes :
documentation Annexe IV, marquage CE, enregistrement EU DB, système QMS
documentation Annexe IV, marquage CE, enregistrement EU DB, système QMS
DÉPLOYEUR (90% des PME)
Utilise l'IA d'un tiers → obligations allégées mais réelles :
supervision humaine effective, conservation logs 6 mois min, information des personnes concernées, AIDA si organisme public ou service essentiel, vérifier conformité du fournisseur contractuellement
supervision humaine effective, conservation logs 6 mois min, information des personnes concernées, AIDA si organisme public ou service essentiel, vérifier conformité du fournisseur contractuellement
Les obligations concrètes selon votre niveau de risque
| Niveau | Exemples | Obligations |
|---|---|---|
| Inacceptable (interdit depuis fév. 2025) | Scoring social citoyen, manipulation subliminale, biométrie temps réel espaces publics | Prohibition totale |
| Haut risque (Annexe III) | IA RH/recrutement, scoring crédit, systèmes médicaux, infra critique | Documentation, marquage CE, supervision humaine, logs, enregistrement EU DB |
| Risque limité (Art. 50) | Chatbots, génération contenu, deepfakes | Mention "vous parlez à une IA" obligatoire, watermarking contenu généré |
| Risque minimal | Filtre anti-spam, jeux vidéo IA | Aucune obligation réglementaire |
Ce que 90% des PME françaises oublient de faire
"Je ne développe pas d'IA, je ne suis pas concerné"
Faux : les déployeurs ont des obligations
"Mon fournisseur SaaS s'occupe de la conformité"
Faux : vous restez responsable en tant que déployeur
"Je suis une petite PME, on ne m'attrapera pas"
Les sanctions sont proportionnées mais réelles, et la CNIL est désignée autorité compétente France
"J'ai le temps, c'est pour 2026"
Les obligations de documentation doivent être préparées en amont
Votre plan d'action en 4 étapes avant août 2026
- Cartographier tous vos systèmes IA (y compris les SaaS tiers utilisant de l'IA)
- Qualifier votre statut pour chacun (fournisseur / déployeur)
- Classifier le niveau de risque (Annexe III ou non)
- Documenter et contractualiser (accords avec fournisseurs, politique interne IA)
FAQ
L'AI Act s'applique-t-il aux PME françaises ?
Oui. Le Règlement UE 2024/1689 s'applique à toute entreprise qui développe ou utilise des systèmes d'IA sur le territoire de l'UE, quelle que soit sa taille. La plupart des PME sont des "déployeurs" — elles utilisent des SaaS IA (CRM, RH, chatbot) sans les avoir développés — et ont des obligations propres depuis le 2 août 2026.
Quelles sont les dates clés du calendrier AI Act ?
1er août 2024 : entrée en vigueur. 2 février 2025 : interdictions IA à risque inacceptable (scoring social, manipulation subliminale, reconnaissance biométrique temps réel). 2 août 2025 : obligations GPAI (GPT-4, Gemini, Claude, etc.). 2 août 2026 : application complète — obligations pour systèmes à haut risque (Annexe III) + obligations de transparence (Art. 50).
Quelle est la différence entre fournisseur et déployeur dans l'AI Act ?
Fournisseur (provider) : développe et met sur le marché un système d'IA. Déployeur (deployer) : utilise un système d'IA développé par un tiers dans le cadre de son activité professionnelle. Une PME qui utilise un logiciel RH avec IA est déployeur — elle a des obligations (supervision humaine, conservation logs, information des personnes concernées) même si elle n'a pas développé l'IA.
Quelles sont les sanctions AI Act pour les PME ?
Jusqu'à 35M€ ou 7% du CA mondial pour utilisation de systèmes interdits (Article 99(1)). Jusqu'à 15M€ ou 3% du CA pour non-conformité des systèmes haut risque. Jusqu'à 7,5M€ ou 1,5% pour informations incorrectes. Des plafonds proportionnellement réduits sont prévus pour les PME et startups.
Reglai génère votre rapport de conformité AI Act en quelques minutes
Cartographie IA, qualification des rôles, classification des risques, plan d'action.
Démarrer l'audit gratuit →