Vous êtes concerné. Oui, vous.
Vous utilisez ChatGPT pour rédiger vos fiches produits. Vous avez un chatbot IA sur votre site Shopify. Votre équipe RH utilise un logiciel de tri de CV. Vous générez des images avec Midjourney pour vos réseaux sociaux.
Au sens de l'AI Act, vous êtes un déployeur de système d'IA — et vous avez des obligations légales à respecter d'ici le 2 août 2026. Pas en 2030. Pas « un jour ». Dans 4 mois.
La bonne nouvelle : pour 90% des PME françaises, la mise en conformité se résume à quelques actions simples réalisables en quelques jours. La mauvaise : les amendes sont réelles — jusqu'à 15 millions d'euros ou 3% du CA pour les manquements aux obligations de transparence et de haut risque, et jusqu'à 35 millions ou 7% du CA pour les pratiques interdites. Des plafonds proportionnels réduits s'appliquent aux PME et startups, mais le risque n'est pas que financier : un système non conforme peut être interdit d'exploitation sur le marché européen.
Le calendrier : ce qui est déjà en vigueur et ce qui arrive
L'AI Act est entré en vigueur le 1er août 2024, mais son application est progressive.
Déjà en vigueur :
- Février 2025 — Interdiction des pratiques IA à risque inacceptable : scoring social, manipulation comportementale, reconnaissance faciale en temps réel dans les espaces publics.
- Août 2025 — Obligations pour les fournisseurs de modèles d'IA à usage général (GPAI). Concerne OpenAI, Google, Anthropic et Mistral — pas directement les PME qui utilisent leurs outils.
Ce qui arrive :
- 2 août 2026 — C'est la date critique. Les obligations de transparence (Article 50) entrent en application. Les règles pour les systèmes IA à haut risque aussi (sauf report par l'Omnibus).
- 2027-2028 — Extension aux systèmes IA intégrés dans des produits réglementés (machines, dispositifs médicaux, jouets).
Le rebondissement Omnibus
Le 18 mars 2026, le Parlement européen a adopté un paquet de simplification qui propose de repousser les obligations « haut risque » au 2 décembre 2027. Les négociations (trilogues) sont en cours. Côté transparence, l'Article 50 reste applicable en août 2026, mais certaines modalités techniques (watermarking) pourraient être décalées au 2 novembre 2026. Conseil : préparez-vous pour août 2026. Si un report intervient, vous aurez de l'avance plutôt que du retard.
Les 4 niveaux de risque : où se situe votre PME ?
Risque inacceptable — INTERDIT
Scoring social, manipulation comportementale par IA, reconnaissance faciale en temps réel dans les espaces publics. Amende maximale : 35 millions d'euros ou 7% du CA.
Haut risque — OBLIGATIONS LOURDES
C'est là que ça concerne certaines PME directement :
- RH : tri automatisé de CV, notation des performances, décisions de licenciement assistées par IA
- Finance : scoring crédit, évaluation des risques pour l'octroi de prêts ou d'assurances
- Éducation : systèmes d'évaluation automatisés, détection de triche
Si vous utilisez l'IA dans ces domaines, vous devez documenter votre système, évaluer les risques, mettre en place une supervision humaine et conserver les logs.
Risque limité — OBLIGATIONS DE TRANSPARENCE
C'est le cas de la majorité des PME qui utilisent l'IA. Chatbots, génération de contenu, traduction automatique, assistants IA. L'obligation principale : informer les utilisateurs qu'ils interagissent avec une IA ou que le contenu a été généré par IA.
Risque minimal — AUCUNE OBLIGATION
Filtres anti-spam, correcteurs orthographiques, recommandations produits basiques. Pas de contrainte réglementaire spécifique.
La checklist concrète pour les PME françaises
Étape 1 : Inventoriez vos outils IA (1 jour)
Listez tout ce qui utilise l'IA dans votre entreprise :
- ChatGPT, Claude, Gemini pour la rédaction de contenu
- Chatbot IA sur votre site (JennAI, Gorgias, Tidio, Intercom)
- Outils de génération d'images (Midjourney, DALL-E, Canva AI)
- Logiciels RH avec IA (tri de CV, évaluation)
- Outils marketing (Jasper, Copy.ai, HubSpot AI)
- Analytics prédictives, scoring client
Pour chaque outil, notez : quel usage, quelles données traitées, qui y a accès, quel fournisseur.
Étape 2 : Classifiez le niveau de risque (1 jour)
Pour chaque outil identifié, déterminez dans quelle catégorie il tombe :
- Chatbot support client → Risque limité (obligation de transparence)
- Génération de contenu → Risque limité (obligation de disclosure)
- Tri de CV automatisé → Haut risque (obligations complètes)
- Recommandation produits → Risque minimal (pas d'obligation)
Étape 3 : Ajoutez les mentions de transparence (1-2 jours)
C'est l'action prioritaire pour 90% des PME. L'Article 50 exige :
- Chatbots : informer l'utilisateur qu'il interagit avec une IA, pas un humain
- Contenu généré par IA : mentionner que le contenu a été créé avec l'assistance de l'IA
- Images/vidéos IA : marquer les contenus générés comme tels
Concrètement :
- Sur votre chatbot : un message d'accueil type « Vous échangez avec un assistant IA. Un conseiller humain peut prendre le relais si besoin. »
- Sur vos articles : un disclaimer type « Cet article a été rédigé avec l'assistance de l'intelligence artificielle. »
- Sur vos visuels IA : une mention dans les métadonnées ou à proximité de l'image
Étape 4 : Formez vos équipes (1 jour)
Toute personne qui utilise des outils IA dans votre entreprise doit comprendre les bases : ne pas utiliser l'IA pour des décisions discriminatoires, vérifier les sorties IA, respecter les mentions de transparence. Une formation d'une heure suffit pour la plupart des équipes.
Étape 5 : Documentez (en continu)
Conservez un registre simple de vos systèmes IA, de leurs usages et des mesures prises. En cas de contrôle, c'est ce document qui prouve votre bonne foi.
Verdict checklist
Pour 90% des PME (usages à risque limité), la mise en conformité se fait en 3 à 5 jours de travail. Les étapes 1 à 3 sont les plus urgentes et suffisent pour être en règle sur l'Article 50.
AI Act vs RGPD : le double piège
| RGPD | AI Act | |
|---|---|---|
| Ce qui est protégé | Les données personnelles | Les droits fondamentaux face à l'IA |
| Qui est concerné | Toute entreprise traitant des données personnelles | Toute entreprise utilisant des systèmes IA |
| Obligation principale | Consentement + information | Transparence + gestion des risques |
| Amendes max | 20M€ ou 4% du CA | 35M€ ou 7% du CA |
| Autorité de contrôle (France) | CNIL | CNIL + DGCCRF + Arcom |
| En vigueur depuis | Mai 2018 | Progressivement depuis août 2024 |
Le piège : les deux réglementations peuvent s'appliquer simultanément. Si votre chatbot IA traite des données personnelles de clients, vous devez être conforme au RGPD ET à l'AI Act. Si vous avez un DPO, intégrez-le dans vos projets IA dès maintenant.
Combien ça coûte réellement
Pour une PME avec des usages IA à risque limité (chatbot, génération de contenu, outils marketing) :
- Inventaire et classification : 1 à 2 jours de travail interne
- Ajout des mentions de transparence : quelques heures de développement → 0 à 500€
- Formation équipe : 1 session d'1 heure → 0 à 300€ si externalisée
- Total estimé : entre 0 et 1 000€ pour la majorité des PME
Pour une PME utilisant l'IA à haut risque (RH, finance, scoring) :
- Évaluation de conformité complète : 2 000 à 8 000€/an
- Accompagnement spécialisé : le programme IA Booster de BPI France peut financer une partie
Comparé aux amendes potentielles (jusqu'à 15 millions d'euros pour le haut risque), l'investissement est dérisoire.
Les erreurs à éviter absolument
Ne pas confondre « déployeur » et « simple utilisateur ». Si vous intégrez ChatGPT dans un workflow client (chatbot, génération de contenu publié, réponses automatiques), vous êtes un déployeur avec des obligations.
Ne pas croire que « c'est pour les grandes entreprises ». L'AI Act s'applique à toute entité, quelle que soit sa taille. Les amendes sont proportionnelles pour les PME, mais elles existent.
Ne pas attendre l'Omnibus. Le report potentiel ne concerne que le haut risque. Les obligations de transparence de l'Article 50 restent ciblées pour août 2026.
Ne pas oublier les contenus générés par IA. Si vous publiez des articles, des fiches produits ou des visuels générés par IA sans le mentionner, vous serez en infraction avec l'Article 50 à partir d'août 2026.
Notre verdict
L'AI Act n'est pas le monstre réglementaire que certains décrivent. Pour les PME françaises avec des usages IA à risque limité — soit la grande majorité —, se mettre en conformité prend moins d'une semaine et coûte moins de 1 000€. L'essentiel tient en trois mots : inventoriez, classifiez, informez. Les PME qui anticipent transforment la contrainte en avantage : un badge « IA responsable » rassure les clients, les partenaires et les investisseurs. Le moment d'agir, c'est maintenant.