L’AI Act est entr\u00e9 en vigueur le 1er ao\u00fbt 2024. Depuis, les entreprises avancent souvent \u00e0 t\u00e2tons. Pourtant, les premi\u00e8res \u00e9ch\u00e9ances contraignantes sont d\u00e9j\u00e0 pass\u00e9es \u2014 et les suivantes approchent rapidement.<\/p>\n\n\n\n
En effet, de nombreuses PME tech pensent encore que ce r\u00e8glement ne les concerne pas. C’est une erreur. D\u00e8s lors que vous d\u00e9veloppez, int\u00e9grez ou utilisez un syst\u00e8me d’intelligence artificielle dans un contexte professionnel, vous \u00eates directement concern\u00e9.<\/p>\n\n\n\n
Cet article vous explique donc ce que le r\u00e8glement europ\u00e9en sur l’IA exige concr\u00e8tement de votre entreprise en 2026. Vous d\u00e9couvrirez \u00e9galement comment distinguer vos obligations selon votre r\u00f4le dans la cha\u00eene IA.<\/p>\n\n\n\n
Le r\u00e8glement (UE) 2024\/1689, dit AI Act, est le premier cadre juridique mondial d\u00e9di\u00e9 \u00e0 l’intelligence artificielle. Il s’applique \u00e0 toutes les entreprises qui commercialisent ou utilisent des syst\u00e8mes d’IA sur le march\u00e9 europ\u00e9en, quelle que soit leur taille ou leur nationalit\u00e9.<\/p>\n\n\n\n
L’AI Act n’est donc pas une loi franco-fran\u00e7aise. C’est un r\u00e8glement europ\u00e9en directement applicable dans les 27 \u00c9tats membres, sans transposition nationale.<\/p>\n\n\n\n
Par ailleurs, il ne vise pas l’IA en g\u00e9n\u00e9ral. Il cible les syst\u00e8mes<\/em> d’IA, c’est-\u00e0-dire des outils capables de g\u00e9n\u00e9rer des sorties \u2014 recommandations, d\u00e9cisions, contenus \u2014 sur la base d’objectifs d\u00e9finis.<\/p>\n\n\n\n Concr\u00e8tement, cela inclut votre moteur de recommandation, votre outil de scoring client, votre chatbot, ou encore tout module d’IA g\u00e9n\u00e9rative int\u00e9gr\u00e9 \u00e0 votre produit SaaS.<\/p>\n\n\n\n L’AI Act suit un calendrier progressif. Voici les dates cl\u00e9s que toute PME tech doit avoir en t\u00eate.<\/p>\n\n\n\n F\u00e9vrier 2025<\/strong> \u2014 Les pratiques d’IA interdites<\/em> sont d\u00e9j\u00e0 prohib\u00e9es. Cela inclut notamment la manipulation comportementale subliminale, les syst\u00e8mes de notation sociale, et certains usages biom\u00e9triques intrusifs.<\/p>\n\n\n\n Ao\u00fbt 2025<\/strong> \u2014 Les obligations relatives aux mod\u00e8les d’IA \u00e0 usage g\u00e9n\u00e9ral (GPAI), comme les grands mod\u00e8les de langage, sont entr\u00e9es en application. Si vous utilisez un fournisseur de LLM tiers, vous \u00eates indirectement concern\u00e9 par ces exigences.<\/p>\n\n\n\n Ao\u00fbt 2026<\/strong> \u2014 C’est l’\u00e9ch\u00e9ance principale pour la grande majorit\u00e9 des PME tech. Les syst\u00e8mes d’IA \u00e0 haut risque list\u00e9s \u00e0 l’Annexe III du r\u00e8glement devront \u00eatre enti\u00e8rement conformes. C’est donc maintenant qu’il faut agir.<\/p>\n\n\n\n Ao\u00fbt 2027<\/strong> \u2014 Prolongation pour certains syst\u00e8mes de s\u00e9curit\u00e9 encadr\u00e9s par des directives sectorielles pr\u00e9existantes.<\/p>\n\n\n\n Avant toute chose, il faut comprendre votre r\u00f4le. En effet, l’AI Act distingue deux cat\u00e9gories d’acteurs principales, et les obligations diff\u00e8rent radicalement selon votre position.<\/p>\n\n\n\n Le fournisseur<\/strong> (provider<\/em>) d\u00e9veloppe un syst\u00e8me d’IA et le met sur le march\u00e9. Il peut s’agir d’une startup qui commercialise une solution SaaS int\u00e9grant un module d’IA, ou d’un \u00e9diteur de logiciel qui int\u00e8gre des fonctionnalit\u00e9s d’IA g\u00e9n\u00e9rative dans son produit.<\/p>\n\n\n\n Le d\u00e9ployeur<\/strong> (deployer<\/em>) utilise un syst\u00e8me d’IA dans le cadre de son activit\u00e9 professionnelle, pour son propre compte. Par exemple, une PME qui utilise un outil de scoring RH fourni par un tiers.<\/p>\n\n\n\n Ainsi, vous pouvez \u00eatre \u00e0 la fois fournisseur et d\u00e9ployeur \u2014 c’est souvent le cas des scale-ups qui d\u00e9veloppent leurs propres outils tout en utilisant des briques IA externes.<\/p>\n\n\n\n Cet article se concentre sur les obligations des fournisseurs et d\u00e9ployeurs de syst\u00e8mes \u00e0 haut risque, qui constituent la majorit\u00e9 des situations rencontr\u00e9es en pratique.<\/p>\n\n\n\n L’Annexe III de l’AI Act liste les cat\u00e9gories de syst\u00e8mes consid\u00e9r\u00e9s comme \u00e0 haut risque. Voici les plus fr\u00e9quemment rencontr\u00e9es dans l’\u00e9cosyst\u00e8me tech B2B.<\/p>\n\n\n\n Si votre produit ou votre usage interne appartient \u00e0 l’une de ces cat\u00e9gories, vous \u00eates donc soumis aux obligations renforc\u00e9es d\u00e9crites ci-dessous.<\/p>\n\n\n\n En revanche, si votre syst\u00e8me d’IA pr\u00e9sente un risque limit\u00e9 \u2014 par exemple un simple chatbot informatif \u2014 vos obligations se r\u00e9duisent principalement \u00e0 des exigences de transparence envers l’utilisateur.<\/p>\n\n\n\n En premier lieu, vous devez identifier et documenter les syst\u00e8mes d’IA que vous d\u00e9veloppez ou utilisez. Pour chaque syst\u00e8me \u00e0 haut risque, une \u00e9valuation de conformit\u00e9 est obligatoire avant la mise sur le march\u00e9 ou la mise en service.<\/p>\n\n\n\n Cette \u00e9valuation couvre notamment : la gestion des risques, la qualit\u00e9 des donn\u00e9es d’entra\u00eenement, la documentation technique, et les mesures de cybers\u00e9curit\u00e9.<\/p>\n\n\n\n Pour de nombreuses PME, c’est donc par un audit interne que le projet de conformit\u00e9 doit commencer.<\/p>\n\n\n\n Les fournisseurs de syst\u00e8mes \u00e0 haut risque doivent \u00e9tablir et tenir \u00e0 jour une documentation technique compl\u00e8te. Celle-ci doit d\u00e9crire la finalit\u00e9 du syst\u00e8me, ses performances, ses limites, les donn\u00e9es utilis\u00e9es, et les risques identifi\u00e9s.<\/p>\n\n\n\n Concr\u00e8tement, il s’agit d’un dossier structur\u00e9, comparable \u00e0 un dossier technique CE pour les produits industriels. Ce document peut \u00eatre demand\u00e9 par les autorit\u00e9s nationales de surveillance du march\u00e9.<\/p>\n\n\n\n L’AI Act impose que les syst\u00e8mes \u00e0 haut risque soient con\u00e7us et d\u00e9ploy\u00e9s de fa\u00e7on \u00e0 permettre une supervision humaine effective. En d’autres termes, un \u00eatre humain doit pouvoir comprendre, surveiller et \u2014 si n\u00e9cessaire \u2014 corriger ou neutraliser les d\u00e9cisions du syst\u00e8me.<\/p>\n\n\n\n Cela implique donc de revoir vos interfaces et processus internes. Par exemple, un outil de scoring RH ne peut pas d\u00e9cider seul du rejet d’un candidat sans possibilit\u00e9 d’intervention humaine.<\/p>\n\n\n\n Avant de commercialiser un syst\u00e8me d’IA \u00e0 haut risque, les fournisseurs doivent l’enregistrer dans la base de donn\u00e9es publique mise en place par la Commission europ\u00e9enne. Cet enregistrement est obligatoire. Il conditionne la d\u00e9livrance du marquage CE pour les syst\u00e8mes concern\u00e9s.<\/p>\n\n\n\n Ainsi, si vous distribuez votre produit dans l’UE, cette \u00e9tape est une condition pr\u00e9alable incontournable.<\/p>\n\n\n\n Enfin, lorsque votre produit int\u00e8gre un syst\u00e8me d’IA interagissant directement avec des utilisateurs finaux, vous devez les en informer clairement. L’utilisation de deepfakes, de voix synth\u00e9tiques ou de contenus g\u00e9n\u00e9r\u00e9s par IA doit \u00eatre signal\u00e9e.<\/p>\n\n\n\n Par ailleurs, les utilisateurs professionnels (d\u00e9ployeurs) doivent recevoir les instructions n\u00e9cessaires pour utiliser le syst\u00e8me en conformit\u00e9 avec le r\u00e8glement.<\/p>\n\n\n\n C’est pourquoi il est essentiel de traiter la conformit\u00e9 AI Act et RGPD de fa\u00e7on coordonn\u00e9e. Ces deux textes se superposent largement : tout syst\u00e8me d’IA qui traite des donn\u00e9es personnelles est simultan\u00e9ment soumis aux deux.<\/p>\n\n\n\n En pratique, cela signifie que votre AIPD (Analyse d’Impact sur la Protection des Donn\u00e9es) doit int\u00e9grer les risques sp\u00e9cifiques li\u00e9s \u00e0 l’IA. De m\u00eame, les contrats avec vos sous-traitants IA doivent inclure des clauses sp\u00e9cifiques au titre de l’AI Act \u2014 en compl\u00e9ment des clauses RGPD habituelles.<\/p>\n\n\n\n Cependant, cette double conformit\u00e9 est aussi une opportunit\u00e9. Une entreprise capable de d\u00e9montrer sa ma\u00eetrise r\u00e9glementaire dispose d’un avantage concurrentiel r\u00e9el, notamment face aux grands comptes et aux partenaires institutionnels.<\/p>\n\n\n\n Les sanctions pr\u00e9vues par l’AI Act sont significatives. Pour les violations les plus graves \u2014 notamment le d\u00e9ploiement de pratiques interdites \u2014 les amendes peuvent atteindre 35 millions d’euros ou 7 % du chiffre d’affaires mondial<\/strong>.<\/p>\n\n\n\n Pour les autres violations, notamment le non-respect des obligations applicables aux syst\u00e8mes \u00e0 haut risque, les sanctions peuvent atteindre 15 millions d’euros ou 3 % du chiffre d’affaires<\/strong>.<\/p>\n\n\n\n Enfin, pour les informations inexactes transmises aux autorit\u00e9s, la sanction peut aller jusqu’\u00e0 7,5 millions d’euros ou 1,5 % du chiffre d’affaires<\/strong>.<\/p>\n\n\n\n Des d\u00e9rogations proportionn\u00e9es existent pour les PME et les startups. Elles ne les exemptent toutefois pas des obligations de fond.<\/p>\n\n\n\n La conformit\u00e9 AI Act n’est pas un projet purement technique. C’est avant tout un projet juridique, organisationnel et contractuel.<\/p>\n\n\n\n Concr\u00e8tement, un accompagnement juridique couvre trois axes principaux.<\/p>\n\n\n\n D’abord, la cartographie.<\/strong> Il s’agit d’identifier tous vos syst\u00e8mes d’IA, de les classifier selon le niveau de risque, et de d\u00e9terminer votre r\u00f4le exact (fournisseur, d\u00e9ployeur, ou les deux).<\/p>\n\n\n\n Ensuite, la documentation et les contrats.<\/strong> Il faut r\u00e9diger ou adapter votre documentation technique, vos CGU, vos contrats fournisseurs, et vos DPA pour int\u00e9grer les exigences de l’AI Act.<\/p>\n\n\n\n Enfin, la gouvernance.<\/strong> Il s’agit de mettre en place les proc\u00e9dures internes \u2014 supervision humaine, gestion des incidents, registre des syst\u00e8mes IA \u2014 pour assurer une conformit\u00e9 durable.<\/p>\n\n\n\n Atias Avocats accompagne les startups, scale-ups et PME tech dans leur mise en conformit\u00e9 AI Act, en coordination avec leur conformit\u00e9 RGPD existante.<\/p>\n\n\n\n L’AI Act n’est pas une contrainte abstraite. C’est un texte qui produit des effets juridiques concrets d\u00e8s aujourd’hui \u2014 et dont les exigences principales s’appliquent \u00e0 partir d’ao\u00fbt 2026.<\/p>\n\n\n\n En r\u00e9sum\u00e9 :<\/p>\n\n\n\n Plus vous anticipez, moins la mise en conformit\u00e9 est co\u00fbteuse. C’est pourquoi il est conseill\u00e9 d’agir avant l’\u00e9ch\u00e9ance d’ao\u00fbt 2026 plut\u00f4t qu’apr\u00e8s.<\/p>\n\n\n\n Vous avez des questions sur vos obligations AI Act ?<\/strong> Atias Avocats vous propose un premier entretien de cadrage pour identifier vos risques et d\u00e9finir une feuille de route adapt\u00e9e \u00e0 votre activit\u00e9.<\/p>\n\n\n\n Prendre rendez-vous \u2192<\/a><\/p>\n\n\n\n L’AI Act s’applique-t-il aux petites entreprises ?<\/strong> Oui. L’AI Act s’applique \u00e0 toutes les entreprises qui mettent sur le march\u00e9 ou utilisent des syst\u00e8mes d’IA dans l’Union europ\u00e9enne, quelle que soit leur taille. Des dispositions all\u00e9g\u00e9es existent toutefois pour les PME et les startups sur certains points proc\u00e9duraux.<\/p>\n\n\n\n Mon entreprise est hors UE. L’AI Act me concerne-t-il ?<\/strong> Oui, si vos syst\u00e8mes d’IA sont utilis\u00e9s dans l’Union europ\u00e9enne ou si leurs r\u00e9sultats affectent des personnes situ\u00e9es dans l’UE. Le r\u00e8glement a une port\u00e9e extraterritoriale comparable au RGPD.<\/p>\n\n\n\n Quelle est la diff\u00e9rence entre fournisseur et d\u00e9ployeur au sens de l’AI Act ?<\/strong> Le fournisseur d\u00e9veloppe et commercialise un syst\u00e8me d’IA. Le d\u00e9ployeur l’utilise dans son activit\u00e9 professionnelle. Les obligations sont distinctes : le fournisseur porte les obligations de documentation et de certification, tandis que le d\u00e9ployeur est responsable de l’usage conforme et de la supervision humaine.<\/p>\n\n\n\n Dois-je faire appel \u00e0 un avocat pour ma conformit\u00e9 AI Act ?<\/strong> La conformit\u00e9 AI Act n\u00e9cessite une analyse juridique pr\u00e9cise de votre situation, notamment pour classifier vos syst\u00e8mes, adapter vos contrats, et r\u00e9diger votre documentation. Un avocat sp\u00e9cialis\u00e9 en droit num\u00e9rique et en AI Act vous permet d’\u00e9viter les erreurs d’interpr\u00e9tation et d’optimiser votre d\u00e9marche.<\/p>\n\n\n\n Quand les sanctions AI Act entrent-elles en vigueur ?<\/strong> Les sanctions pour pratiques interdites sont applicables depuis f\u00e9vrier 2025. Les sanctions pour non-conformit\u00e9 des syst\u00e8mes \u00e0 haut risque seront pleinement applicables \u00e0 partir d’ao\u00fbt 2026.<\/p>\n\n\n\n Article r\u00e9dig\u00e9 par David Atias, Avocat au Barreau de Paris, fondateur d’Atias Avocats \u2014 cabinet sp\u00e9cialis\u00e9 en droit num\u00e9rique, AI Act, RGPD et contrats IT.<\/em> Derni\u00e8re mise \u00e0 jour : mai 2026<\/em><\/p>\n\n\n\n LinkedIn \u2014 Joseph David Atias<\/a><\/p>\n\n\n\n
\n\n\n\nLes grandes \u00e9ch\u00e9ances \u00e0 retenir en 2026<\/h2>\n\n\n\n
\n\n\n\nFournisseur ou d\u00e9ployeur : une distinction fondamentale<\/h2>\n\n\n\n
\n\n\n\nLes syst\u00e8mes \u00e0 haut risque : \u00eates-vous concern\u00e9 ?<\/h2>\n\n\n\n
\n
\n\n\n\nLes 5 obligations concr\u00e8tes pour les PME tech en 2026<\/h2>\n\n\n\n
1. \u00c9valuer la conformit\u00e9 de vos syst\u00e8mes<\/h3>\n\n\n\n
2. Constituer une documentation technique<\/h3>\n\n\n\n
3. Assurer la supervision humaine<\/h3>\n\n\n\n
4. Enregistrer votre syst\u00e8me dans la base de donn\u00e9es EU<\/h3>\n\n\n\n
5. Informer les utilisateurs et garantir la transparence<\/h3>\n\n\n\n
\n\n\n\nAI Act et RGPD : deux r\u00e8glements, une seule strat\u00e9gie<\/h2>\n\n\n\n
\n\n\n\nCe que vous risquez en cas de non-conformit\u00e9<\/h2>\n\n\n\n
\n\n\n\nPar o\u00f9 commencer ? Le r\u00f4le de l’avocat<\/h2>\n\n\n\n
\n\n\n\nCe qu’il faut retenir<\/h2>\n\n\n\n
\n
\n\n\n\n
\n\n\n\nFAQ \u2014 Questions fr\u00e9quentes sur l’AI Act pour les PME<\/h2>\n\n\n\n
\n\n\n\n
atiasavocats.com<\/a><\/p>\n\n\n\n