IA et AI Act 2026 : ce qui change pour les entreprises
L'AI Act encadre l'IA dans toute l'Union. Risque interdit, haut risque, transparence : ce que les entreprises françaises doivent organiser en 2026, avec le calendrier et les sanctions.
Ce sujet relève de notre mission
Transformation digitale finance | Automatisation & pilotageNote de l'expert : Cet article a été rédigé par notre cabinet d'expertise comptable. Les informations sont à jour en 2026. Pour une étude personnalisée de votre situation, contactez-nous.
Réponse rapide. L'AI Act (règlement UE 2024/1689) encadre l'IA dans toute l'Union européenne depuis le 1er août 2024, avec une application par étapes jusqu'en 2027. Pour une entreprise française, l'enjeu 2026 est de savoir si vos usages relèvent du risque interdit, du haut risque ou de la simple transparence, puis d'organiser littératie, documentation et supervision humaine avant les échéances.
L'intelligence artificielle s'est installée dans les outils du quotidien des entreprises, des agents conversationnels aux logiciels de recrutement. En parallèle, l'Union européenne a adopté le premier cadre juridique complet au monde sur l'IA. Beaucoup de dirigeants pensent que ce texte ne vise que les géants de la technologie. C'est une erreur : il concerne aussi les PME qui se contentent d'utiliser l'IA. Voici ce qui change concrètement, et comment nous accompagnons les dirigeants dans leur transformation digitale.
L'AI Act, un règlement directement applicable#
Le règlement (UE) 2024/1689, dit AI Act, a été adopté le 13 juin 2024 et publié au Journal officiel de l'Union le 12 juillet 2024. Étant un règlement, il s'applique directement dans les 27 États membres, sans transposition nationale. Il est entré en vigueur 20 jours après sa publication, soit le 1er août 2024, mais ses obligations se déploient par étapes jusqu'en 2027.
Le texte vise deux acteurs principaux : le fournisseur, qui développe ou met sur le marché un système d'IA, et le déployeur, l'entreprise qui utilise un système d'IA dans le cadre de son activité. La très grande majorité des PME françaises sont des déployeurs : elles n'écrivent pas l'algorithme, elles l'utilisent. Cela ne les exonère pas de toute obligation, comme nous le verrons. La portée est par ailleurs extraterritoriale : un éditeur établi hors de l'Union, dont le système est utilisé en France, entre dans le champ du règlement.
Les quatre niveaux de risque#
L'AI Act classe les usages, pas les technologies. Un même modèle peut être anodin dans un cas et à haut risque dans un autre. Quatre niveaux structurent le règlement.
| Niveau de risque | Exemples d'usage | Obligation principale |
|---|---|---|
| Inacceptable (interdit) | Notation sociale, manipulation comportementale, certaines biométries | Interdiction depuis le 2 février 2025 |
| Haut risque | Tri de CV au recrutement, scoring de crédit, biométrie, éducation | Documentation, supervision humaine, gestion des risques |
| Risque limité | Agent conversationnel, contenus générés (texte, image, audio) | Transparence : informer l'utilisateur |
| Minimal | Filtre anti-spam, suggestions de produits, jeux | Aucune obligation spécifique |
Pour une PME, le niveau qui surprend le plus est le haut risque, car il englobe des usages très répandus en ressources humaines. Un logiciel qui trie automatiquement les candidatures ou évalue des salariés relève de l'annexe III du règlement : c'est un usage à haut risque, assorti d'obligations lourdes.
Le calendrier d'application#
Les obligations n'entrent pas en vigueur d'un bloc. Voici les jalons fixés par le texte de base.
| Date | Ce qui devient applicable |
|---|---|
| 2 février 2025 | Interdiction des pratiques inacceptables et obligation de littératie de l'IA |
| 2 août 2025 | Règles sur les modèles d'IA à usage général et gouvernance (autorités, sanctions) |
| 2 août 2026 | Obligations des systèmes à haut risque de l'annexe III et règles de transparence |
| 2 août 2027 | Systèmes à haut risque intégrés dans des produits déjà réglementés (annexe I) |
Entre la publication et la pleine application du volet haut risque, il s'écoule un peu plus de 24 mois. Ce délai n'est pas du temps perdu : il sert à cartographier vos usages, former vos équipes et documenter vos systèmes. Beaucoup d'entreprises découvrent tard qu'un outil RH ou un module de scoring acheté sur étagère relève du haut risque.
Fournisseur ou déployeur : vos obligations diffèrent#
La distinction est décisive, car les obligations ne pèsent pas de la même façon.
Le fournisseur d'un système à haut risque porte la charge la plus lourde : système de gestion des risques, documentation technique complète, journalisation, marquage CE, déclaration de conformité, enregistrement dans la base de données européenne.
Le déployeur professionnel a des obligations plus ciblées mais bien réelles : utiliser le système conformément à sa notice, assurer une supervision humaine effective, surveiller le fonctionnement, conserver les journaux pendant la durée prévue (au moins 6 mois dans plusieurs cas), et informer les personnes concernées lorsqu'une décision les visant s'appuie sur un système à haut risque.
Les obligations concrètes dès 2026#
Trois obligations méritent l'attention d'un dirigeant cette année.
La littératie de l'IA (article 4) est en vigueur depuis le 2 février 2025. Fournisseurs et déployeurs doivent garantir un niveau suffisant de compréhension de l'IA chez les personnes qui s'en servent. Concrètement, cela passe par une sensibilisation et une formation adaptées aux usages réels de l'entreprise, comme le montre notre article sur les agents IA pour automatiser le back-office.
La transparence (article 50) impose, à compter du 2 août 2026, d'informer l'utilisateur qu'il interagit avec une IA et d'étiqueter les contenus générés ou manipulés par IA (texte, image, son, vidéo). Un agent conversationnel sur votre site ou des visuels produits par IA sont directement concernés.
La supervision humaine s'impose pour tout usage à haut risque : une personne doit pouvoir comprendre, surveiller et, au besoin, écarter la décision automatique. Sur un outil de tri de CV, cela signifie qu'un humain garde la main sur la sélection finale.
Les sanctions#
Le règlement prévoit des amendes parmi les plus élevées du droit européen (article 99).
| Manquement | Plafond |
|---|---|
| Recours à une pratique interdite | 35 millions d'euros ou 7 % du chiffre d'affaires mondial |
| Non-respect des autres obligations (dont haut risque) | 15 millions d'euros ou 3 % du chiffre d'affaires mondial |
| Informations inexactes fournies aux autorités | 7,5 millions d'euros ou 1 % du chiffre d'affaires mondial |
Le plafond retenu est, en principe, le montant le plus élevé entre la somme fixe et le pourcentage. Pour les PME et les jeunes pousses, le règlement prévoit toutefois que l'amende correspond au plus faible des deux, afin de ne pas pénaliser de façon disproportionnée les petites structures.
Le point 2026 : la révision « Digital Omnibus »#
Un ajustement du calendrier est en discussion. Le 7 mai 2026, le Conseil, le Parlement et la Commission sont parvenus à un accord politique provisoire, dit « Digital Omnibus », qui reporterait l'entrée en application des obligations du haut risque de l'annexe III du 2 août 2026 au 2 décembre 2027, et celles de l'annexe I au 2 août 2028. Le texte introduirait aussi de nouvelles interdictions visant les contenus pédocriminels et les images intimes non consenties générés par IA.
À la date de cet article, cet accord n'est pas encore formellement adopté ni publié au Journal officiel : il reste donc indicatif. Nous recommandons de continuer à préparer la conformité sur la base du calendrier en vigueur, tout en suivant l'adoption définitive du texte. Anticiper coûte presque toujours moins cher que rattraper.
Notre lecture#
Dans nos dossiers, l'AI Act soulève moins une question technologique qu'une question de gouvernance. Le premier réflexe utile n'est pas juridique mais documentaire : recenser les outils d'IA réellement utilisés dans l'entreprise, ce qui réserve souvent des surprises (un module de scoring dans le CRM, un tri de candidatures dans le logiciel RH, un assistant de rédaction). Une fois la cartographie posée, le classement par niveau de risque devient simple, et la charge de conformité se concentre sur deux ou trois usages au plus.
C'est particulièrement vrai pour les startups tech qui intègrent l'IA au coeur de leur produit, et qui peuvent être fournisseur sur une brique et déployeur sur une autre. Pour la fonction comptable et financière elle-même, nous avons détaillé les usages, le retour sur investissement et les risques dans notre guide de l'IA en comptabilité. L'AI Act ne doit pas freiner l'adoption de l'IA : bien menée, elle reste un levier de productivité, comme le montrent nos cas d'usage de l'IA générative pour un dirigeant.
Cas fréquent#
Une PME de services de 40 salariés nous interroge sur son logiciel de recrutement, qui classe automatiquement les candidatures par score de pertinence. Cet usage relève de l'annexe III : c'est du haut risque. L'entreprise est déployeur, pas fournisseur, mais elle doit néanmoins garantir une supervision humaine de la sélection, informer les candidats que l'outil intervient, et conserver les journaux. Nous avons aidé le dirigeant à obtenir de l'éditeur la documentation de conformité, à inscrire la supervision humaine dans le processus RH, et à ajouter une mention d'information dans le parcours candidat. Le chantier a pris quelques semaines, sans bloquer l'activité, parce qu'il a été traité avant l'échéance plutôt que dans l'urgence.
Pour les enjeux voisins de sécurité des données, voyez aussi notre checklist cybersécurité pour PME et notre point sur la directive NIS2.
Questions fréquentes
Mon entreprise est-elle concernée par l'AI Act si elle ne développe pas d'IA ?+
Oui, très probablement. Le règlement vise aussi les déployeurs, c'est-à-dire les entreprises qui utilisent un système d'IA dans leur activité. Si vous employez un agent conversationnel, un outil de tri de CV ou un module de scoring, vous entrez dans le champ, avec des obligations qui dépendent du niveau de risque de l'usage.
Quels usages d'IA sont interdits ?+
Depuis le 2 février 2025, sont interdits les usages jugés à risque inacceptable : la notation sociale des personnes, les techniques de manipulation exploitant des vulnérabilités, certaines formes de reconnaissance biométrique en temps réel dans l'espace public, ou l'inférence des émotions sur le lieu de travail hors cas de sécurité. Ces pratiques ne sont pas négociables.
Qu'est-ce qu'un système d'IA à haut risque ?+
C'est un usage listé à l'annexe III du règlement : recrutement et gestion des travailleurs, accès au crédit, biométrie, éducation, justice ou infrastructures critiques, entre autres. Pour ces usages, fournisseurs et déployeurs doivent assurer documentation, supervision humaine, gestion des risques et traçabilité. Beaucoup d'outils RH du marché relèvent de cette catégorie.
Quelles sont les sanctions en cas de non-conformité ?+
Les amendes peuvent atteindre 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour une pratique interdite, 15 millions d'euros ou 3 % pour le non-respect des autres obligations, et 7,5 millions d'euros ou 1 % pour des informations inexactes aux autorités. Pour les PME, le plafond retenu est le plus faible des deux montants.
L'obligation de littératie de l'IA, qu'implique-t-elle ?+
Depuis le 2 février 2025, vous devez garantir un niveau suffisant de compréhension de l'IA chez les personnes qui l'utilisent dans l'entreprise. Cela passe par une sensibilisation et une formation adaptées aux outils réellement employés, proportionnées à votre taille et à vos usages. Aucun diplôme n'est exigé : l'objectif est un usage éclairé et responsable.
Le calendrier de l'AI Act va-t-il être repoussé ?+
Un accord politique provisoire de mai 2026, dit Digital Omnibus, prévoit de reporter l'application des obligations du haut risque de l'annexe III au 2 décembre 2027. À ce stade, il n'est pas définitivement adopté. Nous conseillons de continuer à préparer la conformité sur la base du calendrier en vigueur, en suivant l'adoption finale du texte.
À retenir#
- L'AI Act (règlement UE 2024/1689) est directement applicable depuis le 1er août 2024, avec une montée en charge par étapes jusqu'en 2027.
- Il classe les usages en quatre niveaux : inacceptable (interdit), haut risque, risque limité et minimal.
- La plupart des PME sont déployeurs : leurs obligations portent surtout sur la supervision humaine, la transparence et la littératie de l'IA.
- Les usages RH (tri de CV, évaluation) relèvent souvent du haut risque, au titre de l'annexe III.
- Les sanctions atteignent 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour les pratiques interdites.
- Un report du volet haut risque au 2 décembre 2027 est en discussion (Digital Omnibus) mais n'est pas encore adopté : préparez-vous sur le calendrier actuel.
Article rédigé par le cabinet Hayot Expertise, inscrit à l'Ordre des experts-comptables d'Île-de-France. Mis à jour pour 2026. Cet article a une portée informative et ne remplace pas une analyse de votre situation propre.
Article rédigé par Samuel HAYOT
Expert-Comptable diplômé, inscrit au Tableau de l'Ordre des Experts-Comptables.
Cabinet d'expertise comptable et de commissariat aux comptes base a Paris 8, pense pour accompagner des entreprises partout en France avec une approche digitale et orientee decision.
Sources du dossier
Sources officielles et de reference citees pour cette page.
Ce sujet relève de notre mission Transformation digitale finance | Automatisation & pilotage
Besoin d'un devis ou d'un conseil personnalisé ?
Notre cabinet d'expertise comptable vous accompagne dans toutes vos démarches. Obtenez un devis gratuit pour analyser votre situation et vous proposer une offre tarifaire sur-mesure ou contactez-nous directement.