Le 2 août 2026, les obligations "systèmes IA à haut risque" de l'AI Act européen deviennent enforceables. Pour la majorité des PME, l'impact reste limité. Pour celles concernées par le "haut risque", c'est sérieux. Voici les faits, sans alarmisme.
Le calendrier AI Act
- Février 2025 : Article 5 (interdictions) en vigueur
- Août 2025 : règles sur GPAI (modèles généralistes) en vigueur
- 2 août 2026 : règles sur "systèmes haut risque" (Annex III) deviennent enforceables
- Août 2027 : reste des dispositions enforceables
Qui est concerné par "haut risque"
Annex III liste les usages IA classés haut risque. Pour des PME 1-30M€, les cas concernés sont limités :
- Recrutement IA : screening CV automatique, entretiens IA, scoring candidats
- Crédit / scoring : décisions de prêt ou solvabilité automatisées
- Évaluation salariés : promotion, rémunération, sanctions via IA
- Éducation : notation automatisée, admission, personnalisation parcours
- Services essentiels : électricité, eau, urgences (rare en PME)
- Migration / asile : pas applicable aux PME standards
- Justice : pas applicable aux PME standards
95% des PME ne sont PAS concernées
La majorité des usages PME (productivité interne, automation reporting, support client basique, qualif leads B2B) ne tombent PAS sous "haut risque".
Si votre IA n'évalue pas des humains pour des décisions importantes (embauche, crédit, évaluation, éducation), vous êtes très probablement hors du scope haut risque.
Les obligations si vous êtes concernés
- Système de gestion des risques documenté
- Qualité des données utilisées pour entraîner / fine-tuner
- Documentation technique détaillée
- Transparence et traçabilité des décisions
- Supervision humaine des décisions critiques
- Robustesse, précision, cybersécurité
- Évaluation de conformité (souvent par tiers)
Coûts de compliance
Étude d'impact PME de la Commission européenne : 6 000 à 7 000 € par système haut risque pour la mise en conformité.
Compter en plus du temps interne et potentiellement audit externe pour les systèmes les plus critiques.
Sanctions en cas de non-conformité
| Type d'infraction | Sanction maximale |
|---|---|
| Usage interdit (Article 5) | 35 M€ ou 7% CA mondial |
| Non-conformité haut risque | 15 M€ ou 3% CA mondial |
| Information trompeuse régulateur | 7,5 M€ ou 1% CA mondial |
Pour une PME 5M€, ces plafonds restent largement dissuasifs. Mais en pratique, les régulateurs ciblent en priorité les acteurs majeurs.
Le checklist pratique d'avril à août 2026
- Lister tous les systèmes IA utilisés en interne (incluant SaaS branché à vos données)
- Pour chaque : déterminer s'il tombe sous "haut risque" Annex III
- Si oui : démarrer documentation conformité maintenant, ne pas attendre août
- Si non : documenter quand même votre analyse pour traçabilité
- Mettre à jour politique de confidentialité (mention IA si pas déjà fait)
- Former 30 minutes les équipes sur les usages IA acceptables
Pour aller plus loin
L'AI Act Compliance Checker (gratuit, fourni par l'UE) permet de tester rapidement votre situation : disponible sur le site officiel UE.
Pour le RGPD côté IA : IA et RGPD pour dirigeants.
Tu veux qu'on identifie ta contrainte IA n°1 ?
Audit offert 25 min avec Maxence. Plan d'action écrit livré sous 48h.
Réserver mon audit