À Dijon comme ailleurs en Bourgogne-Franche-Comté, les PME ont massivement adopté l’IA générative depuis 18 mois. ChatGPT pour rédiger des offres commerciales, Claude pour synthétiser un appel d’offres, Mistral pour traduire un site, Midjourney pour produire des visuels : ce qui relevait du gadget en 2024 est devenu un outil de productivité quotidien en 2026. Près de 62 % des entreprises de moins de 250 salariés utilisent au moins un outil d’IA générative chaque semaine, souvent sans encadrement juridique formel.
Le problème : à partir du 2 août 2026, un palier majeur du règlement européen sur l’intelligence artificielle (l’AI Act, règlement UE 2024/1689) entre en application. Cette date n’est pas anodine : elle rend le règlement applicable dans son ensemble, obligations des déployeurs, systèmes à haut risque de l’annexe III, mise en place du système national de gouvernance, et active les sanctions financières, y compris sur les obligations GPAI que les fournisseurs de modèles doivent déjà respecter depuis le 2 août 2025. Nous avions présenté la vue d’ensemble dans notre article dédié à l’AI Act et ce qui change au 2 août 2026 ; cet article-ci se concentre sur le mode d’emploi pratique pour PME. Pour les PME, l’enjeu est double : comprendre ce qui les concerne directement (peu de choses, en réalité, mais ce peu compte) et anticiper la suite, car les contraintes les plus lourdes, celles des systèmes à haut risque de l’annexe III, s’appliquent dès ce palier d’août 2026, avant l’échéance d’août 2027 pour les produits réglementés. Chez Go To Agency, nous accompagnons les dirigeants dans cette transition réglementaire, dans la lignée de nos missions sur la conformité RGPD et la cybersécurité PME.
1. Calendrier complet de l’AI Act : où en sommes-nous ?
L’AI Act n’est pas entré en vigueur d’un coup : application progressive sur trois ans, quatre paliers clés. Comprendre ce calendrier, c’est savoir ce qui pèse sur votre entreprise aujourd’hui et demain.
1er août 2024 : entrée en vigueur formelle
Le règlement est publié au Journal officiel et devient juridiquement contraignant. Aucune obligation concrète ne s’applique encore aux entreprises : c’est le coup d’envoi du compte à rebours.
2 février 2025 : interdictions et littératie IA
Premier palier opérationnel. Les usages d’IA interdits par l’article 5 deviennent effectivement illégaux : notation sociale, manipulation cognitive ciblant des publics vulnérables, identification biométrique en temps réel dans l’espace public (sauf exceptions). Parallèlement, toute organisation utilisant l’IA doit assurer un niveau suffisant de « littératie IA » à ses collaborateurs (article 4).
2 août 2026 : applicabilité générale et sanctions, le palier qui nous occupe
Date charnière. Entrent en application : les obligations des déployeurs et le régime des systèmes à haut risque de l’annexe III, la désignation officielle des autorités nationales de surveillance (en France : la CNIL et la DGCCRF), les sanctions financières, y compris sur les obligations GPAI, applicables aux fournisseurs de modèles depuis le 2 août 2025, , le régime des bacs à sable réglementaires, et un premier socle d’obligations de transparence.
2 août 2027 : produits réglementés (annexe I) et modèles GPAI antérieurs
Palier final. Les systèmes d’IA à haut risque intégrés dans des produits déjà couverts par la législation européenne d’harmonisation (annexe I) et les modèles GPAI mis sur le marché avant août 2025 doivent être conformes : évaluation de conformité, marquage CE pour l’IA, registre européen, gestion documentaire, supervision humaine, etc. Attention toutefois : les usages à haut risque de l’annexe III (RH, tri de CV, scoring crédit, accès aux services essentiels) relèvent, eux, du palier du 2 août 2026, n’attendez pas 2027 pour ces cas.
2. Le 2 août 2026 : qui est concerné, quoi exactement ?
La question revient sans cesse en rendez-vous client : « Est-ce que je suis concerné ? ». Réponse honnête : presque toutes les PME le sont, mais à des degrés différents.
Les fournisseurs de GPAI
Première catégorie clairement visée : les éditeurs de modèles d’IA à usage général (OpenAI, Anthropic, Mistral, Google, Meta, etc.). Eux portent l’essentiel des obligations, documentation technique, résumé public des données d’entraînement, respect du droit d’auteur, gestion des risques systémiques pour les modèles dépassant 10^25 FLOPS, , applicables depuis le 2 août 2025 ; le 2 août 2026 y ajoute surtout les pouvoirs de sanction. Pour une PME française moyenne, ces obligations ne s’appliquent pas directement.
Les « déployeurs » (et c’est là que vous arrivez)
Si votre entreprise utilise ChatGPT, Claude, Copilot, Mistral, Gemini, ou tout autre outil d’IA dans ses opérations, vous êtes un « déployeur » au sens de l’AI Act. Le 2 août 2026 active pour vous : la consolidation de la littératie IA (article 4), l’obligation de transparence quand vos clients interagissent avec une IA (chatbot, génération de contenu), et la nécessité de pouvoir documenter quels outils sont utilisés, par qui, pour quoi. C’est le cœur du sujet pour 90 % des PME.
Les autorités de surveillance entrent en jeu
À partir du 2 août 2026, la CNIL et la DGCCRF disposent du pouvoir effectif de contrôler, sanctionner et exiger des comptes. Avant cette date, les contrôles n’étaient pas formellement adossés à un texte applicable. Désormais, oui.
3. Les obligations GPAI : ce que vos fournisseurs d’IA doivent (et pourquoi ça vous concerne indirectement)
Même si vous n’êtes pas fournisseur de modèle, comprendre les obligations GPAI vous arme dans vos négociations contractuelles et vos choix d’outils.
Documentation technique transmise aux déployeurs
Tout fournisseur de GPAI doit publier (ou mettre à disposition contractuellement) une documentation technique précisant : capacités du modèle, limites connues, données d’entraînement de haut niveau, biais documentés. Vous pouvez et devez exiger cette documentation de vos fournisseurs IA payants, c’est un droit, pas une faveur.
Droit d’auteur et risque systémique
Le fournisseur doit avoir mis en place une politique conforme au droit européen du copyright, notamment vis-à-vis des opt-out déclarés par les ayants droit. Les modèles dépassant un certain seuil de puissance (GPT-4, Claude Opus, Gemini Ultra, Llama 3 405B) sont en outre soumis à des obligations renforcées : tests d’adversarial robustness, signalement d’incidents graves, cybersécurité du modèle.
4. Les quatre catégories de risque : où se range votre usage ?
L’AI Act organise l’ensemble des systèmes d’IA en quatre catégories. C’est la grille de lecture indispensable pour évaluer votre exposition.
Risque inacceptable (interdit)
Manipulation subliminale, exploitation de vulnérabilités (mineurs, handicap), notation sociale, reconnaissance biométrique en temps réel dans l’espace public, reconnaissance des émotions au travail ou à l’école. Interdiction en vigueur depuis février 2025.
Haut risque
Systèmes d’IA utilisés pour : recrutement et gestion RH (tri de CV), scoring crédit, accès aux services publics essentiels, dispositifs médicaux, infrastructures critiques, justice. Pour les PME, deux usages reviennent souvent : tri automatisé de CV et scoring client. Si vous y touchez, préparez-vous au régime lourd de l’annexe III, qui s’applique dès le 2 août 2026.
Risque limité (transparence)
Chatbots, deepfakes, contenus générés ou modifiés par IA. Obligation : signaler clairement à l’utilisateur. C’est ici que tombent 80 % des usages PME : chatbot site web, articles assistés par IA, visuels Midjourney sur les réseaux, voix synthétique en podcast.
Risque minimal
Tout le reste : filtres anti-spam, recommandations produits basiques, jeux vidéo intégrant de l’IA. Aucune obligation spécifique au-delà de la littératie générale.
5. Concrètement, pour une PME qui utilise ChatGPT, Claude ou Mistral : que faire avant le 2 août ?
Sortons de la théorie. Voici la check-list opérationnelle que nous appliquons chez nos clients PME en Bourgogne-Franche-Comté.
Inventorier les usages IA en interne
Première étape, et la plus négligée. Faites le tour de vos équipes : qui utilise quoi, pour quelles tâches, avec quel compte (perso ou pro), sur quelles données. Vous serez surpris de découvrir que la comptable utilise ChatGPT pour reformuler des relances clients, que le commercial fait synthétiser ses appels avec Otter.ai, que le marketing produit des visuels avec Midjourney depuis un compte personnel. Sans inventaire, aucune conformité n’est possible.
Formaliser une charte IA interne
Document court (2-4 pages suffisent) listant : outils autorisés, données interdites en entrée (clients, RH, financières sensibles), obligations de relecture humaine, règles de marquage des contenus diffusés. La charte n’est pas obligatoire stricto sensu, mais elle conditionne l’efficacité de toutes les autres obligations. Et elle vous protège en cas de litige interne.
Activer la transparence côté client
Si vous utilisez un chatbot sur votre site, signalez-le explicitement (« Je suis un assistant virtuel » dès le premier message). Si vous générez des images IA pour vos campagnes sociales, ajoutez une mention discrète mais lisible. Si vous publiez des articles assistés par IA, indiquez-le dans la signature ou les mentions éditoriales. Cette transparence est due au public depuis le 2 août 2026 pour tous les contenus générés ou substantiellement modifiés par IA.
Former les équipes (littératie IA)
L’article 4 impose un niveau suffisant de littératie IA. Pas besoin d’envoyer tout le monde à HEC : une session de 2 heures bien préparée (risques d’hallucination, fuite de données, biais, droit d’auteur, RGPD) couvre l’essentiel pour une équipe de 10 à 50 personnes. Conservez la trace : feuille d’émargement, support de présentation, attestation. En cas de contrôle, c’est cette preuve qui vous sauvera.
6. Le registre IA : tenir un inventaire des usages en interne
Le « registre IA » n’est pas explicitement nommé dans l’AI Act pour les déployeurs non haut risque, mais il découle directement de plusieurs obligations combinées (transparence, gouvernance, supervision humaine, articulation RGPD). Dans les faits, toute PME sérieuse en tient un à partir du 2 août 2026.
Que doit contenir un registre IA ?
Un tableau simple, tenu par le DPO ou un référent IA désigné, listant pour chaque outil : nom et fournisseur, catégorie de risque AI Act, finalité, utilisateurs habilités, données traitées en entrée, mesures de transparence, date de revue. Un tableau Excel ou Notion suffit pour démarrer.
Articulation avec le registre RGPD
Si vous tenez déjà un registre des traitements RGPD (article 30), votre registre IA peut y être intégré comme annexe. Un seul outil de pilotage, un seul responsable, une seule logique documentaire. Revue minimum annuelle, idéalement semestrielle : l’écosystème IA évolue vite et un outil « risque limité » en 2026 peut basculer en haut risque si son éditeur ajoute des fonctionnalités RH.
7. Sanctions : 7 à 35 M€ ou pourcentage du chiffre d’affaires
L’AI Act applique une logique de sanctions calquée sur le RGPD : montants élevés, dissuasifs, et calculés au plus fort entre une somme fixe et un pourcentage du chiffre d’affaires mondial du groupe.
Les trois niveaux
Premier niveau, le plus lourd : usages interdits (article 5). Sanction maximale de 35 millions d’euros ou 7 % du chiffre d’affaires mondial annuel, la valeur la plus élevée étant retenue. Deuxième niveau : non-respect des obligations applicables aux fournisseurs et déployeurs. 15 millions d’euros ou 3 % du CA mondial. Troisième niveau : informations fausses, incomplètes ou trompeuses fournies aux autorités. 7,5 millions d’euros ou 1 % du CA mondial.
Modulation PME et autorités compétentes
Bonne nouvelle : l’AI Act prévoit explicitement une modulation pour les PME et start-ups (article 99.6). Les autorités tiennent compte de la taille et du modèle économique. En pratique, on ne verra pas de PME française condamnée à 35 M€ pour un chatbot mal étiqueté ; mais 50 000 à 500 000 € restent plausibles en cas de manquement caractérisé. En France, la CNIL pilote les volets RGPD/IA, la DGCCRF les pratiques commerciales déloyales liées à l’IA, et l’AI Office européen coordonne les sujets transfrontaliers.
8. Synergie RGPD + AI Act : le DPO devient pivot de la conformité IA
L’erreur la plus fréquente que nous voyons : traiter l’AI Act comme un sujet isolé, distinct du RGPD. C’est faux. Les deux textes se chevauchent, se complètent et doivent être pilotés ensemble.
L’AIPD étendue aux usages IA
Toute analyse d’impact (AIPD/DPIA) doit désormais intégrer la dimension IA quand un outil d’IA traite des données personnelles. C’est l’extension naturelle de l’article 35 du RGPD à l’ère générative. Un commercial qui colle un fichier prospects dans ChatGPT pour le segmenter ? AIPD nécessaire si le volume ou la sensibilité le justifie.
Le DPO comme référent IA
Si vous avez un DPO, c’est lui ou elle qui doit piloter la mise en conformité AI Act. Pas besoin de recruter un « responsable IA » dédié : le DPO existant, formé aux spécificités IA, fait parfaitement le travail. C’est plus économique, plus cohérent, et reconnu par la CNIL comme bonne pratique depuis ses lignes directrices de février 2026. Ces obligations IA s’articulent aussi avec la directive NIS2 et notre stratégie nationale cybersécurité PME 2026-2030 : une fuite de prompt contenant des données clients via ChatGPT relève à la fois du RGPD, de l’AI Act et potentiellement de NIS2.
9. Cas pratique : audit conformité IA pour une PME de 50 personnes
Imaginons une PME industrielle bourguignonne, 50 salariés, 8 M€ de CA, deux sites (Dijon et Beaune), DPO mutualisé. Voici le plan que nous lui proposerions en avril 2026 pour être prête au 2 août.
Semaines 1-2 : cartographie
Questionnaire à toute l’entreprise (10 minutes par personne) : quels outils IA, pour quoi, à quelle fréquence. Entretiens approfondis avec les 5 « champions IA » identifiés (commercial, marketing, RH, R&D, comptabilité). Résultat type : 12 à 18 outils IA différents, dont 4 à 6 stratégiques.
Semaines 3-4 : classification et remédiation
Chaque outil est classé dans une des quatre catégories de risque. Pour notre PME : typiquement 1 outil de tri de CV (haut risque, prioritaire), 6 outils de risque limité, 8 outils de risque minimal. Pour le haut risque : bascule en revue humaine systématique d’ici 2027 ou remplacement. Pour les risques limités : marquage transparence sur site et réseaux. Pour tous : intégration au registre RGPD comme annexe IA.
Semaines 5-8 : formation et clôture
Session de littératie IA de 2 heures pour les 50 salariés, en deux groupes. Adoption formelle de la charte IA en CSE. Mise à jour des mentions légales. Budget total typique : 6 à 12 k€ en externalisation, ou 30-40 jours-homme en interne si le DPO pilote.
C’est exactement ce type de mission que nous menons dans notre offre de conseil stratégique digital élargi à la conformité IA, en partenariat avec des juristes spécialisés.
FAQ : vos questions sur l’AI Act et le 2 août 2026
Synthèse des questions qui reviennent le plus en rendez-vous client.
Conclusion : agir maintenant, sans céder à la panique
L’AI Act n’est ni un cataclysme réglementaire ni un détail négligeable. C’est un cadre structurant qui, comme le RGPD en 2018, semblera évident dans cinq ans. Le 2 août 2026 marque un palier important : les sanctions deviennent effectives, les autorités opérationnelles, et les obligations GPAI, applicables depuis août 2025, désormais sanctionnables. Mais l’essentiel pour une PME se joue dans les bonnes habitudes : inventorier ses usages, former ses équipes, articuler IA et RGPD via le DPO, signaler les contenus générés.
Si vous n’avez encore rien fait, ne paniquez pas : 60 à 90 jours de travail méthodique suffisent pour mettre une PME de moins de 100 personnes en conformité raisonnable. Au-delà, vous gagnerez en sécurité juridique, en crédibilité client, et vous serez prêt pour le régime haut risque de l’annexe III applicable dès août 2026, qui est, lui, beaucoup plus exigeant, et pour l’échéance d’août 2027 sur les produits réglementés de l’annexe I.
Chez Go To Agency à Dijon, nous accompagnons les dirigeants de Bourgogne-Franche-Comté dans cette transition. Audit complet, cartographie des usages, rédaction de la charte IA, formation des équipes, articulation avec votre DPO existant : nous adaptons la mission à votre taille et votre maturité. Demandez votre devis personnalisé pour un audit conformité AI Act, ou contactez-nous via notre page agence pour échanger en amont.


