L’AI Act est entré en vigueur le 1er août 2024. Depuis, les entreprises avancent souvent à tâtons. Pourtant, les premières échéances contraignantes sont déjà passées — et les suivantes approchent rapidement.
En effet, de nombreuses PME tech pensent encore que ce règlement ne les concerne pas. C’est une erreur. Dès lors que vous développez, intégrez ou utilisez un système d’intelligence artificielle dans un contexte professionnel, vous êtes directement concerné.
Cet article vous explique donc ce que le règlement européen sur l’IA exige concrètement de votre entreprise en 2026. Vous découvrirez également comment distinguer vos obligations selon votre rôle dans la chaîne IA.
Ce qu’est vraiment l’AI Act — et ce qu’il n’est pas
Le règlement (UE) 2024/1689, dit AI Act, est le premier cadre juridique mondial dédié à l’intelligence artificielle. Il s’applique à toutes les entreprises qui commercialisent ou utilisent des systèmes d’IA sur le marché européen, quelle que soit leur taille ou leur nationalité.
L’AI Act n’est donc pas une loi franco-française. C’est un règlement européen directement applicable dans les 27 États membres, sans transposition nationale.
Par ailleurs, il ne vise pas l’IA en général. Il cible les systèmes d’IA, c’est-à-dire des outils capables de générer des sorties — recommandations, décisions, contenus — sur la base d’objectifs définis.
Concrètement, cela inclut votre moteur de recommandation, votre outil de scoring client, votre chatbot, ou encore tout module d’IA générative intégré à votre produit SaaS.
Les grandes échéances à retenir en 2026
L’AI Act suit un calendrier progressif. Voici les dates clés que toute PME tech doit avoir en tête.
Février 2025 — Les pratiques d’IA interdites sont déjà prohibées. Cela inclut notamment la manipulation comportementale subliminale, les systèmes de notation sociale, et certains usages biométriques intrusifs.
Août 2025 — Les obligations relatives aux modèles d’IA à usage général (GPAI), comme les grands modèles de langage, sont entrées en application. Si vous utilisez un fournisseur de LLM tiers, vous êtes indirectement concerné par ces exigences.
Août 2026 — C’est l’échéance principale pour la grande majorité des PME tech. Les systèmes d’IA à haut risque listés à l’Annexe III du règlement devront être entièrement conformes. C’est donc maintenant qu’il faut agir.
Août 2027 — Prolongation pour certains systèmes de sécurité encadrés par des directives sectorielles préexistantes.
Fournisseur ou déployeur : une distinction fondamentale
Avant toute chose, il faut comprendre votre rôle. En effet, l’AI Act distingue deux catégories d’acteurs principales, et les obligations diffèrent radicalement selon votre position.
Le fournisseur (provider) développe un système d’IA et le met sur le marché. Il peut s’agir d’une startup qui commercialise une solution SaaS intégrant un module d’IA, ou d’un éditeur de logiciel qui intègre des fonctionnalités d’IA générative dans son produit.
Le déployeur (deployer) utilise un système d’IA dans le cadre de son activité professionnelle, pour son propre compte. Par exemple, une PME qui utilise un outil de scoring RH fourni par un tiers.
Ainsi, vous pouvez être à la fois fournisseur et déployeur — c’est souvent le cas des scale-ups qui développent leurs propres outils tout en utilisant des briques IA externes.
Cet article se concentre sur les obligations des fournisseurs et déployeurs de systèmes à haut risque, qui constituent la majorité des situations rencontrées en pratique.
Les systèmes à haut risque : êtes-vous concerné ?
L’Annexe III de l’AI Act liste les catégories de systèmes considérés comme à haut risque. Voici les plus fréquemment rencontrées dans l’écosystème tech B2B.
- Ressources humaines : systèmes de tri de CV, de scoring candidat, d’évaluation de performance
- Éducation et formation : outils d’évaluation des apprenants, d’orientation, de suivi des résultats
- Accès aux services essentiels : scoring de crédit, évaluation de solvabilité
- Application de la loi et justice : certains outils d’analyse comportementale
- Biométrie : identification à distance, reconnaissance d’émotions dans certains contextes
Si votre produit ou votre usage interne appartient à l’une de ces catégories, vous êtes donc soumis aux obligations renforcées décrites ci-dessous.
En revanche, si votre système d’IA présente un risque limité — par exemple un simple chatbot informatif — vos obligations se réduisent principalement à des exigences de transparence envers l’utilisateur.
Les 5 obligations concrètes pour les PME tech en 2026
1. Évaluer la conformité de vos systèmes
En premier lieu, vous devez identifier et documenter les systèmes d’IA que vous développez ou utilisez. Pour chaque système à haut risque, une évaluation de conformité est obligatoire avant la mise sur le marché ou la mise en service.
Cette évaluation couvre notamment : la gestion des risques, la qualité des données d’entraînement, la documentation technique, et les mesures de cybersécurité.
Pour de nombreuses PME, c’est donc par un audit interne que le projet de conformité doit commencer.
2. Constituer une documentation technique
Les fournisseurs de systèmes à haut risque doivent établir et tenir à jour une documentation technique complète. Celle-ci doit décrire la finalité du système, ses performances, ses limites, les données utilisées, et les risques identifiés.
Concrètement, il s’agit d’un dossier structuré, comparable à un dossier technique CE pour les produits industriels. Ce document peut être demandé par les autorités nationales de surveillance du marché.
3. Assurer la supervision humaine
L’AI Act impose que les systèmes à haut risque soient conçus et déployés de façon à permettre une supervision humaine effective. En d’autres termes, un être humain doit pouvoir comprendre, surveiller et — si nécessaire — corriger ou neutraliser les décisions du système.
Cela implique donc de revoir vos interfaces et processus internes. Par exemple, un outil de scoring RH ne peut pas décider seul du rejet d’un candidat sans possibilité d’intervention humaine.
4. Enregistrer votre système dans la base de données EU
Avant de commercialiser un système d’IA à haut risque, les fournisseurs doivent l’enregistrer dans la base de données publique mise en place par la Commission européenne. Cet enregistrement est obligatoire. Il conditionne la délivrance du marquage CE pour les systèmes concernés.
Ainsi, si vous distribuez votre produit dans l’UE, cette étape est une condition préalable incontournable.
5. Informer les utilisateurs et garantir la transparence
Enfin, lorsque votre produit intègre un système d’IA interagissant directement avec des utilisateurs finaux, vous devez les en informer clairement. L’utilisation de deepfakes, de voix synthétiques ou de contenus générés par IA doit être signalée.
Par ailleurs, les utilisateurs professionnels (déployeurs) doivent recevoir les instructions nécessaires pour utiliser le système en conformité avec le règlement.
AI Act et RGPD : deux règlements, une seule stratégie
C’est pourquoi il est essentiel de traiter la conformité AI Act et RGPD de façon coordonnée. Ces deux textes se superposent largement : tout système d’IA qui traite des données personnelles est simultanément soumis aux deux.
En pratique, cela signifie que votre AIPD (Analyse d’Impact sur la Protection des Données) doit intégrer les risques spécifiques liés à l’IA. De même, les contrats avec vos sous-traitants IA doivent inclure des clauses spécifiques au titre de l’AI Act — en complément des clauses RGPD habituelles.
Cependant, cette double conformité est aussi une opportunité. Une entreprise capable de démontrer sa maîtrise réglementaire dispose d’un avantage concurrentiel réel, notamment face aux grands comptes et aux partenaires institutionnels.
Ce que vous risquez en cas de non-conformité
Les sanctions prévues par l’AI Act sont significatives. Pour les violations les plus graves — notamment le déploiement de pratiques interdites — les amendes peuvent atteindre 35 millions d’euros ou 7 % du chiffre d’affaires mondial.
Pour les autres violations, notamment le non-respect des obligations applicables aux systèmes à haut risque, les sanctions peuvent atteindre 15 millions d’euros ou 3 % du chiffre d’affaires.
Enfin, pour les informations inexactes transmises aux autorités, la sanction peut aller jusqu’à 7,5 millions d’euros ou 1,5 % du chiffre d’affaires.
Des dérogations proportionnées existent pour les PME et les startups. Elles ne les exemptent toutefois pas des obligations de fond.
Par où commencer ? Le rôle de l’avocat
La conformité AI Act n’est pas un projet purement technique. C’est avant tout un projet juridique, organisationnel et contractuel.
Concrètement, un accompagnement juridique couvre trois axes principaux.
D’abord, la cartographie. Il s’agit d’identifier tous vos systèmes d’IA, de les classifier selon le niveau de risque, et de déterminer votre rôle exact (fournisseur, déployeur, ou les deux).
Ensuite, la documentation et les contrats. Il faut rédiger ou adapter votre documentation technique, vos CGU, vos contrats fournisseurs, et vos DPA pour intégrer les exigences de l’AI Act.
Enfin, la gouvernance. Il s’agit de mettre en place les procédures internes — supervision humaine, gestion des incidents, registre des systèmes IA — pour assurer une conformité durable.
Atias Avocats accompagne les startups, scale-ups et PME tech dans leur mise en conformité AI Act, en coordination avec leur conformité RGPD existante.
Ce qu’il faut retenir
L’AI Act n’est pas une contrainte abstraite. C’est un texte qui produit des effets juridiques concrets dès aujourd’hui — et dont les exigences principales s’appliquent à partir d’août 2026.
En résumé :
- Identifiez votre rôle : fournisseur, déployeur, ou les deux
- Classifiez vos systèmes d’IA selon le niveau de risque
- Préparez votre documentation technique dès maintenant
- Coordonnez votre conformité AI Act avec votre conformité RGPD
- Adaptez vos contrats fournisseurs et vos CGU en conséquence
Plus vous anticipez, moins la mise en conformité est coûteuse. C’est pourquoi il est conseillé d’agir avant l’échéance d’août 2026 plutôt qu’après.
Vous avez des questions sur vos obligations AI Act ? Atias Avocats vous propose un premier entretien de cadrage pour identifier vos risques et définir une feuille de route adaptée à votre activité.
FAQ — Questions fréquentes sur l’AI Act pour les PME
L’AI Act s’applique-t-il aux petites entreprises ? Oui. L’AI Act s’applique à toutes les entreprises qui mettent sur le marché ou utilisent des systèmes d’IA dans l’Union européenne, quelle que soit leur taille. Des dispositions allégées existent toutefois pour les PME et les startups sur certains points procéduraux.
Mon entreprise est hors UE. L’AI Act me concerne-t-il ? Oui, si vos systèmes d’IA sont utilisés dans l’Union européenne ou si leurs résultats affectent des personnes situées dans l’UE. Le règlement a une portée extraterritoriale comparable au RGPD.
Quelle est la différence entre fournisseur et déployeur au sens de l’AI Act ? Le fournisseur développe et commercialise un système d’IA. Le déployeur l’utilise dans son activité professionnelle. Les obligations sont distinctes : le fournisseur porte les obligations de documentation et de certification, tandis que le déployeur est responsable de l’usage conforme et de la supervision humaine.
Dois-je faire appel à un avocat pour ma conformité AI Act ? La conformité AI Act nécessite une analyse juridique précise de votre situation, notamment pour classifier vos systèmes, adapter vos contrats, et rédiger votre documentation. Un avocat spécialisé en droit numérique et en AI Act vous permet d’éviter les erreurs d’interprétation et d’optimiser votre démarche.
Quand les sanctions AI Act entrent-elles en vigueur ? Les sanctions pour pratiques interdites sont applicables depuis février 2025. Les sanctions pour non-conformité des systèmes à haut risque seront pleinement applicables à partir d’août 2026.
Article rédigé par David Atias, Avocat au Barreau de Paris, fondateur d’Atias Avocats — cabinet spécialisé en droit numérique, AI Act, RGPD et contrats IT. Dernière mise à jour : mai 2026
