AI Act en France : ce que les entreprises doivent savoir en 2026
Depuis le 1er août 2024, le règlement européen sur l'intelligence artificielle — communément appelé AI Act — est officiellement entré en vigueur dans l'ensemble des États membres de l'Union européenne, France comprise. Ce texte fondateur impose un cadre juridique contraignant à toutes les entreprises qui développent, déploient ou utilisent des systèmes d'IA sur le marché européen. Pour les dirigeants de PME, les DSI et les DPO, la question n'est plus de savoir si ce règlement les concerne, mais dans quelle mesure et à quelle échéance.
L'erreur la plus fréquente consiste à croire que l'AI Act ne cible que les grandes entreprises technologiques ou les éditeurs de modèles d'IA. C'est faux. Une PME française qui utilise un outil de recrutement automatisé, un logiciel de scoring de crédit ou un système de surveillance de ses employés peut très bien tomber sous le coup des obligations les plus strictes du règlement. Le critère déterminant n'est pas la taille de l'entreprise, mais la nature et le niveau de risque du système d'IA utilisé.
En 2026, plusieurs obligations majeures deviennent pleinement applicables, notamment pour les systèmes classés à risque élevé. Les entreprises qui n'auront pas anticipé leur mise en conformité s'exposeront à des sanctions financières significatives et à un risque réputationnel difficile à absorber. Voici ce que vous devez comprendre pour agir maintenant.
Le règlement européen sur l'intelligence artificielle s'applique bien aux entreprises françaises, sans exception
L'AI Act adopte une logique de règlement européen à application directe : il ne nécessite aucune transposition en droit français pour produire ses effets juridiques. Toute entreprise établie en France, ou dont les systèmes d'IA produisent leurs effets sur le territoire de l'Union européenne, est concernée. Cela inclut explicitement les PME, même celles qui n'ont pas développé elles-mêmes leurs outils d'IA mais qui les déploient dans leur activité courante.
Le texte distingue plusieurs catégories d'acteurs : les fournisseurs qui mettent un système d'IA sur le marché, les déployeurs qui l'utilisent dans un contexte professionnel, et les importateurs ou distributeurs. Pour les PME françaises, c'est souvent la qualité de déployeur qui s'applique, et elle emporte des obligations réelles. Un dirigeant qui intègre un outil de gestion RH basé sur l'IA, ou qui automatise la relation client via un chatbot, endosse une responsabilité juridique qu'il ne peut pas déléguer entièrement à son fournisseur technologique.
Il est important de comprendre que le règlement s'applique aussi aux systèmes d'IA utilisés en interne, sans mise sur le marché. Une entreprise qui développe ou fait développer un outil d'IA pour ses propres besoins reste soumise aux exigences du texte dès lors que cet outil entre dans une catégorie à risque. L'enjeu est donc de cartographier précisément ses usages avant de déterminer son niveau d'exposition.
Le calendrier d'application de l'AI Act impose des échéances précises que les dirigeants ne peuvent plus ignorer
Entree en vigueur
- Publication au Journal officiel de l'UE
- Debut du compte a rebours reglementaire
- Creation du Bureau europeen de l'IA (AI Office)
Interdictions des pratiques inacceptables
- Reconnaissance faciale en temps reel dans l'espace public
- Notation sociale algorithmique (type credit social)
- Manipulation comportementale subliminale
- Inference d'emotions au travail ou en classe
Obligations sur les modeles GPAI
- ChatGPT, Claude, Gemini, Mistral : documentation obligatoire
- Publication d'un resume des donnees d'entrainement
- Modeles tres puissants (+10²⁵ FLOPs) : obligations renforcees
- Transparence sur les risques systemiques
Regles sur les systemes a haut risque
- IA dans le recrutement, le credit, la sante, l'education
- Obligation d'audit, de registre et de surveillance humaine
- Conformite obligatoire avant mise sur le marche
- La CNIL devient autorite nationale de surveillance
Application complete de l'AI Act
- Toutes les dispositions en vigueur
- Sanctions jusqu'a 35 millions d'euros ou 7% du CA
- Mise en conformite complete pour tous les acteurs
Source : Reglement (UE) 2024/1689 — AI Act
Le règlement s'applique de manière progressive selon un calendrier échelonné sur 36 mois. Les premières interdictions absolues — concernant les systèmes d'IA jugés à risque inacceptable — sont effectives depuis le 2 février 2025. Sont visées notamment les pratiques de manipulation comportementale subliminale, la notation sociale généralisée des individus par des autorités publiques, ou encore certains systèmes de surveillance biométrique en temps réel dans les espaces publics.
Depuis août 2025, les obligations relatives aux modèles d'IA à usage général — les GPAI, comme les grands modèles de langage — sont entrées en application. Les fournisseurs de ces modèles doivent désormais respecter des exigences de documentation, de transparence et, pour les modèles à impact systémique, des évaluations renforcées. Pour une PME française qui utilise des API de modèles tiers, cela signifie que ses fournisseurs doivent eux-mêmes être en conformité, ce qui doit figurer dans les contrats.
L'échéance d'août 2026 est la plus critique pour les PME déployant des systèmes à risque élevé
C'est en août 2026 que les obligations les plus lourdes deviennent pleinement opposables pour les systèmes d'IA classés à risque élevé. Les entreprises concernées devront avoir finalisé leur documentation technique, mis en place des systèmes de gestion des risques, assuré la traçabilité des données d'entraînement et instauré une supervision humaine effective. Le délai pour agir est donc compté, et commencer la démarche de conformité au dernier moment n'est pas une stratégie viable.
La classification par niveau de risque détermine directement l'étendue de vos obligations légales
Risque inacceptable — INTERDIT
Pratiques bannies depuis fevrier 2025. Violation = sanction immediate.
Risque eleve — TRES ENCADRE
Autorise mais soumis a audit, documentation et surveillance humaine obligatoires. En vigueur aout 2026.
Obligations : audit pre-marche, registre UE, surveillance humaine, gestion des biais
Risque limite — TRANSPARENCE OBLIGATOIRE
Autorise avec obligation d'informer l'utilisateur qu'il interagit avec une IA.
Obligations : mention claire "genere par IA", marquage des deepfakes
Risque minimal — LIBRE
Aucune obligation specifique. Vaste majorite des usages IA du quotidien.
Source : Reglement (UE) 2024/1689 — AI Act, articles 5, 6 et 50
L'AI Act structure ses exigences autour de quatre niveaux de risque. Les systèmes à risque inacceptable sont purement et simplement interdits. Les systèmes à risque limité — comme les chatbots — sont soumis à des obligations de transparence légères : l'utilisateur doit savoir qu'il interagit avec une IA. Les systèmes à risque minimal, qui représentent la grande majorité des applications IA du marché, ne font l'objet d'aucune obligation réglementaire spécifique.
C'est la catégorie du risque élevé qui concentre l'essentiel des obligations. Elle recouvre des domaines précisément listés en annexes du règlement : infrastructure critique, éducation, emploi et gestion des ressources humaines, accès aux services essentiels (crédit, assurance), application de la loi, immigration, administration de la justice. Une PME qui utilise un outil d'IA pour présélectionner des candidats, évaluer la solvabilité de clients ou gérer les performances de ses salariés est très probablement dans le champ du risque élevé.
Les usages IA les plus courants en PME peuvent relever du risque élevé sans que les dirigeants le réalisent
| Outil | Niveau de risque | Obligations cles | Impact France |
|---|---|---|---|
ChatGPT / OpenAI GPAI a tres large diffusion |
GPAI + risque limite |
Documentation donnees d'entrainement
Transparence risques systemiques
Mention "genere par IA" obligatoire
|
Restrictions DPO dans secteurs regules. Donnees non protegees par defaut. |
Claude / Anthropic GPAI — usage general |
GPAI + risque limite |
Documentation entrainement
Garanties contractuelles entreprise
Non-utilisation donnees pour entrainement
|
Meilleur positionnement secteurs regules. Garanties RGPD plus solides. |
Gemini / Google GPAI integre a Workspace |
GPAI + risque limite |
Documentation obligatoire
Transparence sur Workspace AI
Mention IA dans les documents
|
Questions souverainete donnees. Hebergement hors UE par defaut. |
Mistral AI GPAI — hebergement EU |
GPAI — risque reduit |
Documentation entrainement
On-premise : obligations allegees
|
Avantage decisif : hebergement UE, souverainete des donnees, RGPD natif. |
IA RH (recrutement) Scoring, matching, CV parsing |
Risque eleve |
Audit obligatoire avant deploiement
Registre UE requis
Surveillance humaine obligatoire
Gestion des biais documentee
|
Mise en conformite obligatoire aout 2026. Fort impact RH. |
IA medicale / sante Diagnostic, imagerie, triage |
Risque eleve |
Certification CE obligatoire
Traçabilite complete
Validation clinique requise
|
HAS et ANSM impliquees. Secteur le plus contraint de l'AI Act. |
Chatbots / assistants web Support client, FAQ automatisee |
Risque limite |
Mention "vous parlez a une IA" obligatoire
Possibilite de joindre un humain
|
Obligation simple mais souvent ignoree. Risque de sanction pour les e-commerces. |
Sources : AI Act art. 5, 6, 50, 52 — CNIL 2025 — AI Office EU
Nombreux sont les dirigeants qui découvrent tardivement que leurs outils métiers intègrent des composantes d'IA relevant du risque élevé. Un logiciel de gestion RH qui inclut un module de scoring des candidats, une solution de crédit-scoring B2B, un outil de détection de fraude interne : autant d'exemples concrets où la PME déployeuse devient responsable au sens de l'AI Act. L'inventaire des outils utilisés est donc la première étape indispensable de toute démarche de conformité sérieuse.
Les obligations concrètes des PME françaises face à l'AI Act vont bien au-delà d'une simple déclaration
Pour les systèmes à risque élevé, le règlement impose un ensemble cohérent d'exigences opérationnelles. Le déployeur doit mettre en place un système de gestion des risques tout au long du cycle de vie du système d'IA, assurer la surveillance humaine effective de ses décisions automatisées, et tenir un registre documenté des usages. Il doit également s'assurer que les données utilisées sont pertinentes, suffisamment représentatives et exemptes de biais discriminatoires.
La transparence vis-à-vis des personnes affectées est une obligation centrale. Lorsqu'un système d'IA prend ou influence une décision ayant un impact significatif sur un individu — refus de crédit, non-sélection à un poste, évaluation de performance — l'entreprise doit être en mesure d'expliquer cette décision de manière intelligible. Cette exigence rejoint et renforce celle du RGPD sur la logique des décisions automatisées, créant un double cadre de conformité que les DPO doivent intégrer dans leur gouvernance.
La documentation technique et la traçabilité sont au cœur des exigences de conformité AI Act
OpenAI, Anthropic, Google, Mistral
Developpe et distribue le modele IA
- Documentation technique complete du modele
- Resume des donnees d'entrainement publie
- Politique droits d'auteur documentee
- Evaluation risques systemiques si +10²⁵ FLOPs
- Signalement incidents au Bureau europeen IA
- Filigrane sur contenus generes
Editeurs SaaS, agences, DSI
Integre un modele IA dans un produit ou service
- Analyse de conformite avant deploiement
- Information utilisateur — mention IA obligatoire
- Surveillance humaine sur systemes a haut risque
- Registre de logs et traçabilite des decisions IA
- Evaluation d'impact RGPD + AI Act combine
- Formation equipes sur usages conformes
PME, TPE, independants
Utilise un outil IA dans son activite
- Verifier que l'outil utilise est conforme AI Act
- Informer ses clients si IA impliquee dans une decision
- Ne pas detourner un outil vers un usage interdit
- Conserver les logs si systeme a haut risque
- Clause contractuelle IA dans les CGV si pertinent
Sources : AI Act art. 3, 16, 25, 26 — CNIL 2025 — AI Office EU
Les fournisseurs de systèmes à risque élevé ont l'obligation de fournir une documentation technique complète à leurs clients déployeurs. Les PME ont tout intérêt à exiger contractuellement cette documentation et à vérifier que leurs fournisseurs ont obtenu ou engagé les évaluations de conformité requises. En l'absence de cette documentation, la PME ne peut pas démontrer sa propre conformité et s'expose à une responsabilité en cascade.
La CNIL joue un rôle central dans l'application de l'AI Act en France et peut contrôler votre organisation
En France, la CNIL a été désignée comme autorité nationale compétente pour superviser l'application de l'AI Act, en coordination avec d'autres autorités sectorielles selon les domaines concernés. Cette désignation n'est pas anodine : la CNIL dispose déjà d'une expérience solide en matière de contrôle du RGPD, et son cadre d'investigation et de sanction s'appliquera également aux manquements à l'AI Act. Les entreprises qui ont déjà été contrôlées sur le RGPD savent que ces procédures sont sérieuses et exigeantes.
Les sanctions prévues par l'AI Act sont proportionnées à la gravité de l'infraction et à la taille de l'entreprise. Les violations les plus graves — utilisation de systèmes interdits ou non-conformité sur les systèmes à risque élevé — peuvent entraîner des amendes allant jusqu'à 30 millions d'euros ou 6 % du chiffre d'affaires annuel. Pour les PME, même un pourcentage apparemment modeste peut représenter une menace existentielle. Des dispositions atténuées existent pour les petites structures, mais elles ne dispensent pas des obligations de fond.
Les PME françaises ont tout intérêt à anticiper leur conformité AI Act plutôt qu'à attendre les contrôles
L'anticipation n'est pas seulement une obligation légale, c'est un avantage concurrentiel. Les entreprises qui documentent leurs usages IA, forment leurs équipes et instaurent une gouvernance claire seront mieux positionnées face à leurs clients, partenaires et investisseurs. La conformité AI Act devient progressivement un critère d'évaluation dans les appels d'offres publics et les due diligences d'investissement, au même titre que le RGPD l'est aujourd'hui.
La démarche concrète commence par un audit des usages IA existants dans l'organisation, suivi d'une classification de ces usages selon la grille de risque du règlement. Cette étape permet d'identifier rapidement les zones d'exposition prioritaires et de concentrer les efforts de mise en conformité là où ils sont réellement nécessaires. Il ne s'agit pas de tout traiter simultanément, mais de prioriser intelligemment en fonction des risques réels. Pour structurer cette démarche et mobiliser les bonnes expertises, les PME peuvent s'appuyer sur des partenaires spécialisés capables d'allier conseil juridique et transformation digitale, comme le propose Quillet Digital dans ses services d'accompagnement.
La conformité au règlement européen intelligence artificielle n'est pas un projet ponctuel mais un processus continu d'adaptation. Les textes d'application, les normes harmonisées et les lignes directrices de la CNIL continueront d'évoluer dans les prochains mois. Les entreprises qui auront instauré une veille réglementaire active et une gouvernance IA robuste seront les mieux armées pour naviguer dans cet environnement normatif en pleine construction et pour transformer cette contrainte réglementaire en levier de confiance durable.
COMPRENDRE DAVANTAGE l’AI act
-
L'AI Act est le premier cadre réglementaire mondial sur l'intelligence artificielle, adopté par l'Union européenne. Il s'applique à toutes les entreprises qui développent, déploient ou utilisent des systèmes d'IA sur le territoire européen, y compris les PME françaises. Son objectif est d'encadrer les risques liés à l'IA tout en favorisant l'innovation.
-
L'AI Act suit une mise en œuvre progressive depuis son entrée en vigueur en août 2024. En 2026, les obligations concernant les systèmes d'IA à haut risque deviennent pleinement applicables, après une période de transition. Les entreprises françaises doivent donc avoir complété leur mise en conformité avant ces échéances clés.
-
L'AI Act classe les systèmes d'IA en quatre niveaux de risque : inacceptable, élevé, limité et minimal. Les systèmes à risque inacceptable, comme la notation sociale des citoyens, sont purement interdits. Ceux à haut risque, notamment dans les domaines des RH, du crédit ou de la santé, sont soumis à des obligations strictes de transparence et de contrôle.
-
Les PME utilisant des systèmes d'IA à haut risque doivent réaliser des évaluations de conformité, documenter leurs usages et garantir une supervision humaine effective. Elles doivent également informer les utilisateurs lorsqu'ils interagissent avec un système d'IA, notamment dans le cas des chatbots. Des obligations allégées existent pour les systèmes présentant un risque faible ou minimal.
-
Les sanctions peuvent être très lourdes, allant jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires annuel pour les infractions les plus graves. Pour les violations liées aux systèmes à haut risque, les amendes peuvent atteindre 15 millions d'euros ou 3 % du chiffre d'affaires. Les PME ne sont pas exemptées, même si des mesures proportionnées sont prévues pour tenir compte de leur taille.
-
La première étape consiste à réaliser un inventaire complet des outils d'IA utilisés dans l'entreprise et à identifier leur niveau de risque selon la classification européenne. Il est ensuite recommandé de désigner un référent IA interne et de se faire accompagner par un expert juridique spécialisé. Des guides pratiques sont également disponibles auprès de la CNIL et des organismes professionnels français.
