AI Act PME 2026 : obligations, calendrier et conformité

Réponse rapide. Le règlement européen 2024/1689 (AI Act) est entré en vigueur le 1er août 2024 et devient pleinement applicable le 2 août 2026. Pratiques interdites et obligation de littératie IA (art. 4) s'appliquent depuis le 2 février 2025, règles GPAI depuis le 2 août 2025. Sanctions jusqu'à 35 M€ ou 7 % du chiffre d'affaires mondial pour les pratiques interdites (article 99).

L'AI Act n'est plus un dossier juridique abstrait en mai 2026. Il s'invite dans les comités de direction parce que la quasi-totalité des PME utilise désormais de l'intelligence artificielle, le plus souvent sans s'en rendre compte : assistant ChatGPT, Copilot Microsoft 365, Mistral pour la rédaction commerciale, extraction de factures dans Pennylane, scoring de prospects dans le CRM, présélection de CV, prévision de trésorerie ou rapprochement bancaire automatique.

La bonne question n'est donc plus "utilisons-nous de l'IA ?" mais "savons-nous quels usages sont autorisés, qui les valide, qui assume l'erreur et comment nous le prouvons en cas de contrôle ?". Le règlement (UE) 2024/1689 du 13 juin 2024, dit AI Act, a été publié au JOUE le 12 juillet 2024. Il établit un cadre horizontal de classification par les risques et impose des obligations graduées aux fournisseurs et déployeurs d'IA, partout dans l'Union, y compris pour les éditeurs et utilisateurs établis hors UE dès lors que la production de l'IA est utilisée dans l'Union.

Chez Hayot Expertise, nous accompagnons en 2026 plusieurs PME parisiennes qui découvrent, à l'occasion d'un audit interne ou d'une demande client, qu'elles utilisent déjà cinq à dix outils IA sans politique formelle. Le présent guide synthétise le cadre applicable à date et propose une méthode pragmatique pour le piloter sans freiner la productivité.

L'AI Act suit un déploiement par paliers étalé sur quatre ans, ce qui crée régulièrement de la confusion chez les dirigeants.

Au 17 mai 2026, les pratiques interdites et l'obligation de formation des collaborateurs sont donc déjà en vigueur depuis plus de quinze mois. Les sanctions deviennent pleinement actionnables par les autorités nationales le 2 août 2026 : pour une PME française, le mot d'ordre est de boucler sa cartographie et sa gouvernance avant l'été.

Le règlement distingue plusieurs rôles, et une même PME peut cumuler plusieurs casquettes selon l'outil concerné. Comprendre son rôle conditionne la nature et l'intensité des obligations.

Dans 90 % des cas, une PME française est uniquement déployeur. Les obligations sont alors significativement plus légères que pour un fournisseur, mais elles existent : surveillance humaine, journalisation, information des personnes concernées, vérification que l'usage reste conforme à la notice du fournisseur, et formation des équipes.

L'AI Act repose sur une pyramide à quatre niveaux. Chaque niveau déclenche un régime distinct.

Pour la grande majorité des PME, l'IA utilisée relève du risque minimal ou de la transparence spécifique. La vigilance se concentre sur trois familles d'usages susceptibles de basculer en haut risque : le recrutement et l'évaluation RH, le scoring crédit ou tarification d'assurance, et toute intégration dans un produit CE (santé, sécurité, jouets, machines).

Depuis le 2 février 2025, tous les fournisseurs et déployeurs doivent garantir un niveau suffisant de maîtrise de l'IA chez les personnes qui utilisent les systèmes en leur nom, y compris les salariés, prestataires et sous-traitants. L'article 4 ne fixe aucun seuil de taille : une PME de cinq salariés est concernée comme un grand groupe.

La littératie IA n'impose pas un format pédagogique précis. Elle exige que les utilisateurs comprennent les capacités, les limites, les risques et les responsabilités liés aux outils déployés. Concrètement, la Commission attend une démarche structurée :

1. recenser les outils IA effectivement utilisés par chaque équipe ;
2. identifier les compétences nécessaires par profil (commercial, comptable, RH, dirigeant) ;
3. organiser des sessions de sensibilisation adaptées (45 minutes à 2 heures suffisent pour un usage standard) ;
4. documenter la formation (date, contenu, participants) dans le registre interne ;
5. mettre à jour les chartes d'utilisation et le règlement intérieur ;
6. réviser annuellement le plan de formation.

L'absence de plan de littératie est l'un des manquements les plus simples à constater pour une autorité de contrôle. C'est aussi le premier signal qu'un dirigeant pilote — ou non — son risque IA.

L'AI Act ne se substitue pas au RGPD ; il s'y additionne. La CNIL, désignée comme l'une des autorités de référence pour l'application de l'AI Act en France, a finalisé en juillet 2025 ses recommandations sur le développement des systèmes d'IA et publie des fiches pratiques sectorielles. Pour toute IA traitant des données personnelles, les obligations RGPD restent intégralement applicables : base légale, information, AIPD si le traitement présente un risque élevé, minimisation, durée de conservation, sécurité.

Le RGPD est même un préalable à la conformité AI Act pour les systèmes à haut risque : la déclaration UE de conformité d'un fournisseur ne sera crédible que si le traitement des données d'entraînement et d'inférence respecte le règlement (UE) 2016/679. Concrètement, une PME qui déploie une IA RH devra produire deux dossiers : un dossier RGPD (registre, AIPD, information des candidats) et un dossier AI Act (notice fournisseur, surveillance humaine, formation des utilisateurs, journalisation).

Récemment, un dirigeant d'une PME de services parisienne de 30 salariés nous a sollicités pour comprendre son exposition AI Act. Après cartographie, sept outils IA étaient en usage quotidien : ChatGPT, Copilot, un assistant commercial dans le CRM HubSpot, Pennylane pour la pré-comptabilité, Dext pour les notes de frais, un module de tri de candidatures dans l'ATS RH, et un assistant de relecture juridique. Aucun ne relevait du haut risque sauf le module de tri de candidatures — qui devait alors basculer vers un usage purement assistif avec décision humaine finale, documentée.

Notre conviction : pour 90 % des PME françaises en 2026, la conformité AI Act tient en quatre livrables — une cartographie des outils IA et de leur classification, une charte interne validée en CSE quand l'effectif l'impose, un plan de formation annuel intégré au plan de développement des compétences, et un registre des incidents IA tenu par un référent (DPO, RSSI ou DAF selon l'organisation). Inutile de surinvestir dans une gouvernance lourde si l'usage reste sur des outils SaaS standards à risque minimal.

L'erreur que nous voyons le plus souvent consiste à coller des données sensibles (balance comptable, fichier client, contrat, fiche de paie) dans un outil grand public dont les conditions générales autorisent la réutilisation pour l'entraînement. C'est moins un problème AI Act qu'une violation RGPD et un risque concurrentiel direct. La parade est simple : liste blanche d'outils, comptes professionnels avec opt-out d'entraînement, et règle "pas de donnée client identifiable hors d'outils approuvés".

• PME e-commerce : usage de modèles GPAI pour la rédaction de fiches produit ou la traduction. Régime de transparence : le contenu généré n'a pas à être étiqueté pour le grand public si la finalité est informative, mais les visuels deepfake et le contenu audio synthétique doivent l'être (art. 50).
• Cabinet médical et libéraux santé : toute IA d'aide au diagnostic relève du règlement (UE) 2017/745 sur les dispositifs médicaux et bascule en haut risque AI Act. Le marquage CE et la documentation technique sont obligatoires.
• Startup éditrice d'un SaaS IA : statut de fournisseur — système qualité ISO/IEC 42001 recommandé, documentation technique selon l'annexe IV, déclaration UE de conformité, marquage CE pour les systèmes à haut risque, et enregistrement dans la base de données UE.
• PME industrielle utilisant l'IA en sécurité produit : haut risque si l'IA est composant de sécurité d'un produit couvert par l'annexe I (machines, jouets, ascenseurs). Coordination obligatoire avec l'organisme notifié du produit.
• Profession réglementée (avocat, expert-comptable) : règles déontologiques propres en plus de l'AI Act. Le secret professionnel impose souvent une instance privée (hébergement UE, pas de réutilisation des prompts).

L'article 99 du règlement organise trois niveaux d'amendes administratives. Pour les PME, la rédaction du règlement prévoit que le plus bas des deux montants s'applique (et non le plus élevé comme pour les grands groupes).

Pour les manquements à l'article 4 (littératie) et à la majorité des obligations procédurales, le plafond se situe sur le second ou le troisième niveau. La pratique d'autres sanctions européennes (RGPD, DSA) montre que les autorités modulent fortement selon la coopération, la durée du manquement et la gravité du dommage.

1. Confondre AI Act et RGPD : les deux cadres se cumulent, l'AIPD n'épuise pas la documentation AI Act.
2. Penser qu'une PME de moins de 50 salariés est exemptée : seules certaines obligations sont allégées pour les PME, aucune n'est totalement levée.
3. Oublier l'article 4 : la formation des collaborateurs est exigible depuis février 2025, sans seuil.
4. Considérer ChatGPT ou Copilot comme "neutres" : le risque dépend de la donnée saisie, pas du logo.
5. Négliger la chaîne sous-traitance : un prestataire qui utilise de l'IA pour vous rend vos données accessibles à son fournisseur GPAI ; clause contractuelle requise.
6. Sous-estimer le scoring crédit interne : un score client maison utilisé pour décider d'octroi d'encours peut basculer en haut risque.
7. Empiler les outils sans mesure de ROI : la maturité IA se mesure aussi en consolidation et arrêt d'outils redondants.

Notre démarche d'accompagnement combine transformation digitale de la fonction finance PME, expertise comptable Paris 8 et missions de DAF externalisé startup et PME. Nous mobilisons les principes décrits dans nos articles IA comptable : automatiser sans renoncer à l'expertise et intelligence artificielle et comptabilité. La conformité IA est par ailleurs étroitement liée à la directive NIS2 et cybersécurité PME 2026 et à la question DPO obligatoire ou non.

1. Semaine 1-2 : entretien dirigeant + cartographie des outils via questionnaire à chaque manager.
2. Semaine 3-4 : classification des usages, identification des risques RH et finance, audit des contrats SaaS.
3. Semaine 5-6 : rédaction de la charte IA interne et de la liste d'outils approuvés.
4. Semaine 7-8 : sessions de littératie IA (1 heure par équipe métier).
5. Semaine 9-10 : mise en place du registre des incidents et du circuit d'approbation des nouveaux outils.
6. Semaine 11-12 : revue dirigeant, plan de remédiation des écarts, suivi annuel programmé.

Les directions financières qui souhaitent industrialiser leurs flux peuvent rapprocher ce chantier d'une pré-comptabilité IA avec Pennylane et d'une extraction de factures avec Dext, en gardant la validation humaine systématique sur les écritures et déclarations. Pour les jeunes pousses, la page secteur startups tech relie IA, conformité et croissance.

Le 2 août 2026 marque l'entrée en vigueur des pouvoirs de sanction des autorités nationales. Concrètement, la CNIL, l'ARCOM ou la DGCCRF (selon les domaines) pourront contrôler et sanctionner. Notre conviction : les premiers contrôles cibleront en priorité les acteurs des annexes I et III (santé, RH à grande échelle, scoring crédit). Les PME en risque minimal ne seront pas la cible immédiate, mais l'absence totale de documentation deviendra un facteur aggravant en cas de plainte salariée, client ou candidat.

Conseil Hayot Expertise. Ne sous-traitez pas l'AI Act au DSI seul ni au juriste seul. Constituez un trio dirigeant + DAF/RSSI + DPO pour cartographier en 30 jours, formaliser une charte courte en 30 jours et déployer la formation en 30 jours. Vous serez prêt avant l'été 2026, sans surinvestissement.

• L'AI Act (règlement UE 2024/1689) devient pleinement applicable le 2 août 2026.
• L'obligation de littératie IA (article 4) est en vigueur depuis le 2 février 2025, sans seuil de taille.
• Une PME est presque toujours déployeur ; les obligations lourdes pèsent surtout sur les fournisseurs et les usages à haut risque.
• Le RGPD se cumule avec l'AI Act : double documentation pour les IA à haut risque traitant des données personnelles.
• Les sanctions atteignent 35 M€ ou 7 % du CA mondial pour les pratiques interdites, avec un régime plus favorable aux PME.
• Une feuille de route 90 jours (cartographie, charte, formation, registre) suffit à la grande majorité des PME françaises.

Pour passer des usages ponctuels a une gouvernance finance claire, consultez le guide IA en comptabilite 2026 : cas d'usage, ROI, risques et AI Act. Il aide a arbitrer outils, donnees sensibles, controle humain et ROI.