L’AI Act entre en vigueur en 2026 et aucune PME française ne peut l’ignorer
Février 2025, les premières interdictions absolues de l’AI Act sont entrées en application. Août 2026, c’est la date butoir pour les systèmes à haut risque. Entre les deux, beaucoup de PME françaises ont continué à fonctionner comme si rien ne s’était passé. C’est une erreur.
Les PME représentent 99,9% du tissu économique français – soit environ 4 millions d’entreprises. Le règlement européen sur l’intelligence artificielle les concerne donc massivement et pas seulement les grandes structures qui ont des équipes juridiques dédiées.
L’AI Act divise les risques en trois groupes. Risque inacceptable: les systèmes interdits depuis février 2025 – notation sociale à la façon chinoise, manipulation comportementale subliminale, reconnaissance faciale en temps réel dans l’espace public (sauf exceptions très encadrées). Risque élevé: les outils qui alimentent des décisions sensibles – recrutement, crédit, sécurité, éducation. Risque limité ou minimal: les usages courants comme les chatbots ou les générateurs de texte marketing.
Pour une PME, c’est très concret. Un logiciel RH qui trie automatiquement des CV ? Haut risque. Un chatbot de service client qui répond aux questions sur les horaires d’ouverture ? Risque limité. Le problème : beaucoup de dirigeants ignorent dans quelle catégorie tombent leurs outils. Ils utilisent des IA intégrées dans des SaaS achetés sans y prêter attention – CRM prédictif, scoring client, logiciels de planification.
Les sanctions les plus graves peuvent atteindre 35 millions d’euros ou 7% du chiffre d’affaires mondial. Pour une PME de 15 personnes, même divisé par la taille, ce niveau d’exposition n’est pas anodin.
Risque faible, risque élevé : où se situent vraiment la majorité des PME françaises ?
La majorité des PME françaises qui utilisent de l’IA au quotidien opèrent dans les catégories à faible risque réglementaire. Mais celles qui ont des outils à haut risque sous-estiment souvent l’ampleur de leurs obligations. Voici ce qui se joue vraiment.
| Usage IA | Niveau de risque | Obligations principales | Coût estimé de mise en conformité |
|---|---|---|---|
| Chatbot service client | Limité | Transparence : informer l’utilisateur qu’il parle à une IA | 500 à 2000€ |
| Logiciel de tri de CV / recrutement | Élevé | Documentation complète, audit, supervision humaine obligatoire | 5000 à 20000€ |
| Outil de scoring crédit pour TPE | Élevé | Supervision humaine avant décision, logs obligatoires | 8000 à 30000€ |
| Maintenance prédictive industrielle | Élevé (selon secteur) | Certification, documentation technique, traçabilité | 10000 à 50000€ |
| Génération de contenu marketing (texte, image) | Minimal | Bonne pratique de mention IA si non évident | Quasi nul |
Une précision importante : les PME qui utilisent ChatGPT ou Midjourney pour produire des visuels ou des textes commerciaux relèvent de la catégorie à risque minimal. La transparence reste obligatoire. Si un contenu est généré par IA et que ce n’est pas évident pour le destinataire, il faut le mentionner – dans une newsletter, un post LinkedIn, une fiche produit. Pas de certification ni d’audit, mais oublier cette mention de façon systématique peut constituer une infraction.
Le vrai piège concerne les outils intégrés dans des processus décisionnels. Beaucoup de PME ont signé des solutions SaaS qui intègrent des modules IA pour classer les prospects, évaluer les profils ou prédire les comportements d’achat. Ces fonctionnalités, souvent activées par défaut, peuvent basculer l’usage vers la catégorie haut risque sans que le dirigeant le remarque.
Les 5 obligations concrètes qu’une PME doit remplir avant août 2026
Pas besoin d’un service juridique pléthorique pour commencer. Voici ce qu’une PME doit faire, dans l’ordre.
- Réaliser un inventaire de tous les systèmes IA utilisés – y compris les SaaS tiers comme HubSpot, Salesforce ou les logiciels RH. Une PME de 20 salariés doit compter 2 à 3 jours de travail sérieux pour bien faire. Il s’agit de lister chaque outil, identifier s’il intègre des fonctions IA et documenter son rôle exact dans l’entreprise.
- Classifier chaque outil selon la grille de risque de l’AI Act – l’annexe III du règlement identifie 8 domaines à haut risque : recrutement, crédit, éducation, sécurité critique, administration de la justice, biométrie, infrastructures critiques et gestion des migrations. Un outil qui touche à l’un de ces domaines passe automatiquement en catégorie haut risque.
- Pour les outils à haut risque : mettre en place une documentation technique, des logs de fonctionnement horodatés et une supervision humaine effective avant toute décision automatisée. l’exigence centrale du règlement pour ces usages.
- Mettre à jour les mentions légales et politiques de confidentialité pour informer les utilisateurs, clients et candidats de l’usage d’IA dans les processus qui les concernent. Une clause générale dans les CGV ne suffit pas si l’usage est significatif.
- Désigner au moins un référent IA en interne. Des formations certifiantes existent déjà à moins de 1500€. Même dans une TPE de 8 personnes, confier cette mission à quelqu’un évite d’être pris au dépourvu lors d’un contrôle.
Combien ça coûte vraiment de se mettre en conformité avec l’AI Act pour une PME ?
TPE de moins de 10 salariés utilisant uniquement des outils grand public (ChatGPT, outils de traduction, génération d’images): coût quasi nul. Quelques heures de sensibilisation interne et une mise à jour des CGU suffisent.
PME de 10 à 50 salariés utilisant un logiciel RH ou un CRM avec scoring automatisé : entre 3000€ et 15000€ pour un audit complet accompagné d’une mise en conformité documentaire. C’est le profil le plus courant et le plus sous-estimé.
ETI de 50 à 250 salariés avec des systèmes IA intégrés dans des processus critiques (crédit, recrutement, sécurité): entre 20000€ et 80000€. Ce chiffre couvre l’audit, la documentation, la formation des équipes et éventuellement un conseil juridique spécialisé.
Le crédit d’impôt innovation (CII) peut couvrir jusqu’à 30% des dépenses de conformité technologique. C’est un levier que peu de PME activent.
Avant tout investissement, un diagnostic gratuit auprès d’un avocat en droit du numérique ou d’un consultant certifié reste la meilleure protection contre la surenchère de mise en conformité. Et les fournisseurs d’IA – Microsoft, Google, Salesforce – ont l’obligation réglementaire de fournir la documentation technique à leurs clients PME. Exigez-la.
Les PME qui fournissent de l’IA à d’autres entreprises portent une responsabilité bien plus lourde
Il faut distinguer deux profils : les PME qui utilisent des systèmes IA et celles qui en fournissent. La différence est fondamentale, les obligations jouent dans des ligues différentes.
Pour les éditeurs de logiciels, développeurs d’applications et startups qui commercialisent des solutions IA, les exigences changent complètement. Documentation technique à jour, enregistrement dans la base de données européenne EU AI Act Database pour les systèmes à haut risque, système de management de la qualité, marquage CE pour certains systèmes. Et une responsabilité juridique directe en cas de défaillance du système chez le client.
On estime qu’il existe entre 4000 et 5000 startups et PME tech en France qui développent ou commercialisent des solutions IA. Ces entreprises entrent pleinement dans la catégorie « fournisseur » au sens de l’AI Act. Le cabinet Roland Berger estime que le coût de conformité pour ces structures peut atteindre 15% à 25% de leur budget R&D annuel. C’est très lourd pour une jeune pousse qui investit l’essentiel de ses ressources au développement produit.
En France, deux autorités jouent un rôle de surveillance aux côtés de la future autorité nationale : l’ANSSI pour la cybersécurité des systèmes IA et la CNIL pour les aspects données personnelles – qui restent entièrement régis par le RGPD.
Une réalité contractuelle s’impose progressivement : les PME sous-traitantes d’ETI ou de grands groupes vont devoir prouver leur conformité. Comme le RGPD avant lui, l’AI Act va descendre dans les chaînes de valeur via les clauses contractuelles. Mieux vaut anticiper.
Trois questions que tous les dirigeants de PME se posent sur l’AI Act
Mon entreprise utilise ChatGPT pour rédiger des emails commerciaux, suis-je concerné par l’AI Act ?
Oui, mais les obligations restent légères. Si on envoyez des emails commerciaux dont le contenu provient entièrement d’une IA sans que ce soit clair pour le destinataire, on devez le préciser. C’est la transparence de base, applicable depuis les premières dispositions du règlement. Aucune certification ni audit requis pour cet usage. Une mention simple dans la signature ou les mentions légales de l’email suffit.
Nous utilisons un logiciel RH qui classe automatiquement les candidatures, que devons-nous faire avant août 2026 ?
Cet usage relève directement du haut risque – le recrutement figure à l’annexe III. Les obligations : obtenir la documentation technique complète de son fournisseur logiciel (s’il refuse, c’est très mauvais signe), mettre en place une supervision humaine effective avant toute décision d’exclusion ou de sélection, conserver des logs horodatés des décisions automatisées et informer les candidats que leur dossier passe par un système automatisé. Contactez son éditeur logiciel maintenant pour vérifier son avancement de conformité – il a lui aussi des obligations envers on.
Y a-t-il des amendes immédiates dès 2026 ou une période de tolérance ?
Le règlement prévoit une montée en charge progressive. Les interdictions absolues – notation sociale, manipulation subliminale, reconnaissance biométrique en temps réel non encadrée – s’appliquent depuis février 2025 et les sanctions aussi. Pour les systèmes à haut risque, les obligations jouent pleinement à partir d’août 2026. Les autorités nationales devraient privilégier dans un premier temps la mise en demeure avant sanction pour les PME qui documentent une démarche de bonne foi – mais aucun texte ne le garantit formellement. Attendre août 2026 pour commencer serait une erreur.
L’AI Act est une chance pour les PME françaises, pas un fardeau bureaucratique de plus
Soyons clairs : l’AI Act va sélectionner. Pas au sens darwinien, mais au sens commercial. Les PME qui se mettent en conformité tôt gagnent un avantage concurrentiel. Celles qui traînent vont souffrir.
On a connu exactement ça avec le RGPD en 2018. Au début, tout le monde se plaignait de la charge administrative. Trois ans plus tard, les grandes entreprises et les collectivités intégraient la conformité RGPD dans leurs critères d’appels d’offres. Les PME qui avaient anticipé possédaient un argument commercial réel. Celles qui avaient traîné se retrouvaient à courir après le marché. L’AI Act reproduira ce schéma – probablement plus vite, car les enjeux de réputation liés à l’IA mal utilisée sont plus immédiats et plus visibles.
Ce qui me préoccupe vraiment, c’est l’absence d’un guichet unique opérationnel pour les PME françaises. Les ressources existent – BPI France, CCI, CNIL – mais leur coordination laisse à désirer. Une PME de province qui veut comprendre ses obligations concrètes navigue encore entre trois organismes avec des messages pas toujours alignés. C’est un problème réel.
Et je pense que 60 à 70% des PME françaises ne savent pas encore qu’elles sont concernées. un déficit d’information qui ressemble à celui de 2017 avant le RGPD. Il faudrait une campagne nationale portée par l’État et les chambres consulaires plutôt que de laisser le sujet aux seuls cabinets de conseil qui ont un intérêt commercial à le dramatiser.
Mon conviction : une IA non régulée crée des risques réputationnels et juridiques bien plus coûteux que la mise en conformité. Un recrutement biaisé par un algorithme opaque, un scoring crédit discriminant, un chatbot qui induit les clients en erreur – ces situations exposent à des recours qui dépassent le coût d’un audit préventif. L’AI Act n’est pas un fardeau. C’est un standard de qualité. Les PME françaises ont tout à gagner à le traiter comme tel.