Skip to content
Go To Agency
/Cybersécurité
Cybersécurité

AI Act européen : ce qui change pour les PME au 2 août 2026 (applicabilité générale et sanctions)

Le 2 août 2026, l’AI Act devient applicable dans son ensemble : déployeurs, haut risque, gouvernance, sanctions jusqu’à 35 M€. Guide pratique pour PME en Bourgogne-Franche-Comté.

Par Robin Monteiro23 mai 202612 min · 2 625 mots
AI ActConformitéRGPDIARéglementation
Partager l'article
AI Act européen : ce qui change pour les PME au 2 août 2026 (applicabilité générale et sanctions)

À Dijon comme ailleurs en Bourgogne-Franche-Comté, les PME ont massivement adopté l’IA générative depuis 18 mois. ChatGPT pour rédiger des offres commerciales, Claude pour synthétiser un appel d’offres, Mistral pour traduire un site, Midjourney pour produire des visuels : ce qui relevait du gadget en 2024 est devenu un outil de productivité quotidien en 2026. Près de 62 % des entreprises de moins de 250 salariés utilisent au moins un outil d’IA générative chaque semaine, souvent sans encadrement juridique formel.

Le problème : à partir du 2 août 2026, un palier majeur du règlement européen sur l’intelligence artificielle (l’AI Act, règlement UE 2024/1689) entre en application. Cette date n’est pas anodine : elle rend le règlement applicable dans son ensemble, obligations des déployeurs, systèmes à haut risque de l’annexe III, mise en place du système national de gouvernance, et active les sanctions financières, y compris sur les obligations GPAI que les fournisseurs de modèles doivent déjà respecter depuis le 2 août 2025. Nous avions présenté la vue d’ensemble dans notre article dédié à l’AI Act et ce qui change au 2 août 2026 ; cet article-ci se concentre sur le mode d’emploi pratique pour PME. Pour les PME, l’enjeu est double : comprendre ce qui les concerne directement (peu de choses, en réalité, mais ce peu compte) et anticiper la suite, car les contraintes les plus lourdes, celles des systèmes à haut risque de l’annexe III, s’appliquent dès ce palier d’août 2026, avant l’échéance d’août 2027 pour les produits réglementés. Chez Go To Agency, nous accompagnons les dirigeants dans cette transition réglementaire, dans la lignée de nos missions sur la conformité RGPD et la cybersécurité PME.

1. Calendrier complet de l’AI Act : où en sommes-nous ?

L’AI Act n’est pas entré en vigueur d’un coup : application progressive sur trois ans, quatre paliers clés. Comprendre ce calendrier, c’est savoir ce qui pèse sur votre entreprise aujourd’hui et demain.

1er août 2024 : entrée en vigueur formelle

Le règlement est publié au Journal officiel et devient juridiquement contraignant. Aucune obligation concrète ne s’applique encore aux entreprises : c’est le coup d’envoi du compte à rebours.

2 février 2025 : interdictions et littératie IA

Premier palier opérationnel. Les usages d’IA interdits par l’article 5 deviennent effectivement illégaux : notation sociale, manipulation cognitive ciblant des publics vulnérables, identification biométrique en temps réel dans l’espace public (sauf exceptions). Parallèlement, toute organisation utilisant l’IA doit assurer un niveau suffisant de « littératie IA » à ses collaborateurs (article 4).

2 août 2026 : applicabilité générale et sanctions, le palier qui nous occupe

Date charnière. Entrent en application : les obligations des déployeurs et le régime des systèmes à haut risque de l’annexe III, la désignation officielle des autorités nationales de surveillance (en France : la CNIL et la DGCCRF), les sanctions financières, y compris sur les obligations GPAI, applicables aux fournisseurs de modèles depuis le 2 août 2025, , le régime des bacs à sable réglementaires, et un premier socle d’obligations de transparence.

2 août 2027 : produits réglementés (annexe I) et modèles GPAI antérieurs

Palier final. Les systèmes d’IA à haut risque intégrés dans des produits déjà couverts par la législation européenne d’harmonisation (annexe I) et les modèles GPAI mis sur le marché avant août 2025 doivent être conformes : évaluation de conformité, marquage CE pour l’IA, registre européen, gestion documentaire, supervision humaine, etc. Attention toutefois : les usages à haut risque de l’annexe III (RH, tri de CV, scoring crédit, accès aux services essentiels) relèvent, eux, du palier du 2 août 2026, n’attendez pas 2027 pour ces cas.

2. Le 2 août 2026 : qui est concerné, quoi exactement ?

La question revient sans cesse en rendez-vous client : « Est-ce que je suis concerné ? ». Réponse honnête : presque toutes les PME le sont, mais à des degrés différents.

Les fournisseurs de GPAI

Première catégorie clairement visée : les éditeurs de modèles d’IA à usage général (OpenAI, Anthropic, Mistral, Google, Meta, etc.). Eux portent l’essentiel des obligations, documentation technique, résumé public des données d’entraînement, respect du droit d’auteur, gestion des risques systémiques pour les modèles dépassant 10^25 FLOPS, , applicables depuis le 2 août 2025 ; le 2 août 2026 y ajoute surtout les pouvoirs de sanction. Pour une PME française moyenne, ces obligations ne s’appliquent pas directement.

Les « déployeurs » (et c’est là que vous arrivez)

Si votre entreprise utilise ChatGPT, Claude, Copilot, Mistral, Gemini, ou tout autre outil d’IA dans ses opérations, vous êtes un « déployeur » au sens de l’AI Act. Le 2 août 2026 active pour vous : la consolidation de la littératie IA (article 4), l’obligation de transparence quand vos clients interagissent avec une IA (chatbot, génération de contenu), et la nécessité de pouvoir documenter quels outils sont utilisés, par qui, pour quoi. C’est le cœur du sujet pour 90 % des PME.

Les autorités de surveillance entrent en jeu

À partir du 2 août 2026, la CNIL et la DGCCRF disposent du pouvoir effectif de contrôler, sanctionner et exiger des comptes. Avant cette date, les contrôles n’étaient pas formellement adossés à un texte applicable. Désormais, oui.

3. Les obligations GPAI : ce que vos fournisseurs d’IA doivent (et pourquoi ça vous concerne indirectement)

Même si vous n’êtes pas fournisseur de modèle, comprendre les obligations GPAI vous arme dans vos négociations contractuelles et vos choix d’outils.

Documentation technique transmise aux déployeurs

Tout fournisseur de GPAI doit publier (ou mettre à disposition contractuellement) une documentation technique précisant : capacités du modèle, limites connues, données d’entraînement de haut niveau, biais documentés. Vous pouvez et devez exiger cette documentation de vos fournisseurs IA payants, c’est un droit, pas une faveur.

Droit d’auteur et risque systémique

Le fournisseur doit avoir mis en place une politique conforme au droit européen du copyright, notamment vis-à-vis des opt-out déclarés par les ayants droit. Les modèles dépassant un certain seuil de puissance (GPT-4, Claude Opus, Gemini Ultra, Llama 3 405B) sont en outre soumis à des obligations renforcées : tests d’adversarial robustness, signalement d’incidents graves, cybersécurité du modèle.

4. Les quatre catégories de risque : où se range votre usage ?

L’AI Act organise l’ensemble des systèmes d’IA en quatre catégories. C’est la grille de lecture indispensable pour évaluer votre exposition.

Risque inacceptable (interdit)

Manipulation subliminale, exploitation de vulnérabilités (mineurs, handicap), notation sociale, reconnaissance biométrique en temps réel dans l’espace public, reconnaissance des émotions au travail ou à l’école. Interdiction en vigueur depuis février 2025.

Haut risque

Systèmes d’IA utilisés pour : recrutement et gestion RH (tri de CV), scoring crédit, accès aux services publics essentiels, dispositifs médicaux, infrastructures critiques, justice. Pour les PME, deux usages reviennent souvent : tri automatisé de CV et scoring client. Si vous y touchez, préparez-vous au régime lourd de l’annexe III, qui s’applique dès le 2 août 2026.

Risque limité (transparence)

Chatbots, deepfakes, contenus générés ou modifiés par IA. Obligation : signaler clairement à l’utilisateur. C’est ici que tombent 80 % des usages PME : chatbot site web, articles assistés par IA, visuels Midjourney sur les réseaux, voix synthétique en podcast.

Risque minimal

Tout le reste : filtres anti-spam, recommandations produits basiques, jeux vidéo intégrant de l’IA. Aucune obligation spécifique au-delà de la littératie générale.

5. Concrètement, pour une PME qui utilise ChatGPT, Claude ou Mistral : que faire avant le 2 août ?

Sortons de la théorie. Voici la check-list opérationnelle que nous appliquons chez nos clients PME en Bourgogne-Franche-Comté.

Inventorier les usages IA en interne

Première étape, et la plus négligée. Faites le tour de vos équipes : qui utilise quoi, pour quelles tâches, avec quel compte (perso ou pro), sur quelles données. Vous serez surpris de découvrir que la comptable utilise ChatGPT pour reformuler des relances clients, que le commercial fait synthétiser ses appels avec Otter.ai, que le marketing produit des visuels avec Midjourney depuis un compte personnel. Sans inventaire, aucune conformité n’est possible.

Formaliser une charte IA interne

Document court (2-4 pages suffisent) listant : outils autorisés, données interdites en entrée (clients, RH, financières sensibles), obligations de relecture humaine, règles de marquage des contenus diffusés. La charte n’est pas obligatoire stricto sensu, mais elle conditionne l’efficacité de toutes les autres obligations. Et elle vous protège en cas de litige interne.

Activer la transparence côté client

Si vous utilisez un chatbot sur votre site, signalez-le explicitement (« Je suis un assistant virtuel » dès le premier message). Si vous générez des images IA pour vos campagnes sociales, ajoutez une mention discrète mais lisible. Si vous publiez des articles assistés par IA, indiquez-le dans la signature ou les mentions éditoriales. Cette transparence est due au public depuis le 2 août 2026 pour tous les contenus générés ou substantiellement modifiés par IA.

Former les équipes (littératie IA)

L’article 4 impose un niveau suffisant de littératie IA. Pas besoin d’envoyer tout le monde à HEC : une session de 2 heures bien préparée (risques d’hallucination, fuite de données, biais, droit d’auteur, RGPD) couvre l’essentiel pour une équipe de 10 à 50 personnes. Conservez la trace : feuille d’émargement, support de présentation, attestation. En cas de contrôle, c’est cette preuve qui vous sauvera.

6. Le registre IA : tenir un inventaire des usages en interne

Le « registre IA » n’est pas explicitement nommé dans l’AI Act pour les déployeurs non haut risque, mais il découle directement de plusieurs obligations combinées (transparence, gouvernance, supervision humaine, articulation RGPD). Dans les faits, toute PME sérieuse en tient un à partir du 2 août 2026.

Que doit contenir un registre IA ?

Un tableau simple, tenu par le DPO ou un référent IA désigné, listant pour chaque outil : nom et fournisseur, catégorie de risque AI Act, finalité, utilisateurs habilités, données traitées en entrée, mesures de transparence, date de revue. Un tableau Excel ou Notion suffit pour démarrer.

Articulation avec le registre RGPD

Si vous tenez déjà un registre des traitements RGPD (article 30), votre registre IA peut y être intégré comme annexe. Un seul outil de pilotage, un seul responsable, une seule logique documentaire. Revue minimum annuelle, idéalement semestrielle : l’écosystème IA évolue vite et un outil « risque limité » en 2026 peut basculer en haut risque si son éditeur ajoute des fonctionnalités RH.

7. Sanctions : 7 à 35 M€ ou pourcentage du chiffre d’affaires

L’AI Act applique une logique de sanctions calquée sur le RGPD : montants élevés, dissuasifs, et calculés au plus fort entre une somme fixe et un pourcentage du chiffre d’affaires mondial du groupe.

Les trois niveaux

Premier niveau, le plus lourd : usages interdits (article 5). Sanction maximale de 35 millions d’euros ou 7 % du chiffre d’affaires mondial annuel, la valeur la plus élevée étant retenue. Deuxième niveau : non-respect des obligations applicables aux fournisseurs et déployeurs. 15 millions d’euros ou 3 % du CA mondial. Troisième niveau : informations fausses, incomplètes ou trompeuses fournies aux autorités. 7,5 millions d’euros ou 1 % du CA mondial.

Modulation PME et autorités compétentes

Bonne nouvelle : l’AI Act prévoit explicitement une modulation pour les PME et start-ups (article 99.6). Les autorités tiennent compte de la taille et du modèle économique. En pratique, on ne verra pas de PME française condamnée à 35 M€ pour un chatbot mal étiqueté ; mais 50 000 à 500 000 € restent plausibles en cas de manquement caractérisé. En France, la CNIL pilote les volets RGPD/IA, la DGCCRF les pratiques commerciales déloyales liées à l’IA, et l’AI Office européen coordonne les sujets transfrontaliers.

8. Synergie RGPD + AI Act : le DPO devient pivot de la conformité IA

L’erreur la plus fréquente que nous voyons : traiter l’AI Act comme un sujet isolé, distinct du RGPD. C’est faux. Les deux textes se chevauchent, se complètent et doivent être pilotés ensemble.

L’AIPD étendue aux usages IA

Toute analyse d’impact (AIPD/DPIA) doit désormais intégrer la dimension IA quand un outil d’IA traite des données personnelles. C’est l’extension naturelle de l’article 35 du RGPD à l’ère générative. Un commercial qui colle un fichier prospects dans ChatGPT pour le segmenter ? AIPD nécessaire si le volume ou la sensibilité le justifie.

Le DPO comme référent IA

Si vous avez un DPO, c’est lui ou elle qui doit piloter la mise en conformité AI Act. Pas besoin de recruter un « responsable IA » dédié : le DPO existant, formé aux spécificités IA, fait parfaitement le travail. C’est plus économique, plus cohérent, et reconnu par la CNIL comme bonne pratique depuis ses lignes directrices de février 2026. Ces obligations IA s’articulent aussi avec la directive NIS2 et notre stratégie nationale cybersécurité PME 2026-2030 : une fuite de prompt contenant des données clients via ChatGPT relève à la fois du RGPD, de l’AI Act et potentiellement de NIS2.

9. Cas pratique : audit conformité IA pour une PME de 50 personnes

Imaginons une PME industrielle bourguignonne, 50 salariés, 8 M€ de CA, deux sites (Dijon et Beaune), DPO mutualisé. Voici le plan que nous lui proposerions en avril 2026 pour être prête au 2 août.

Semaines 1-2 : cartographie

Questionnaire à toute l’entreprise (10 minutes par personne) : quels outils IA, pour quoi, à quelle fréquence. Entretiens approfondis avec les 5 « champions IA » identifiés (commercial, marketing, RH, R&D, comptabilité). Résultat type : 12 à 18 outils IA différents, dont 4 à 6 stratégiques.

Semaines 3-4 : classification et remédiation

Chaque outil est classé dans une des quatre catégories de risque. Pour notre PME : typiquement 1 outil de tri de CV (haut risque, prioritaire), 6 outils de risque limité, 8 outils de risque minimal. Pour le haut risque : bascule en revue humaine systématique d’ici 2027 ou remplacement. Pour les risques limités : marquage transparence sur site et réseaux. Pour tous : intégration au registre RGPD comme annexe IA.

Semaines 5-8 : formation et clôture

Session de littératie IA de 2 heures pour les 50 salariés, en deux groupes. Adoption formelle de la charte IA en CSE. Mise à jour des mentions légales. Budget total typique : 6 à 12 k€ en externalisation, ou 30-40 jours-homme en interne si le DPO pilote.

C’est exactement ce type de mission que nous menons dans notre offre de conseil stratégique digital élargi à la conformité IA, en partenariat avec des juristes spécialisés.

FAQ : vos questions sur l’AI Act et le 2 août 2026

Synthèse des questions qui reviennent le plus en rendez-vous client.

Conclusion : agir maintenant, sans céder à la panique

L’AI Act n’est ni un cataclysme réglementaire ni un détail négligeable. C’est un cadre structurant qui, comme le RGPD en 2018, semblera évident dans cinq ans. Le 2 août 2026 marque un palier important : les sanctions deviennent effectives, les autorités opérationnelles, et les obligations GPAI, applicables depuis août 2025, désormais sanctionnables. Mais l’essentiel pour une PME se joue dans les bonnes habitudes : inventorier ses usages, former ses équipes, articuler IA et RGPD via le DPO, signaler les contenus générés.

Si vous n’avez encore rien fait, ne paniquez pas : 60 à 90 jours de travail méthodique suffisent pour mettre une PME de moins de 100 personnes en conformité raisonnable. Au-delà, vous gagnerez en sécurité juridique, en crédibilité client, et vous serez prêt pour le régime haut risque de l’annexe III applicable dès août 2026, qui est, lui, beaucoup plus exigeant, et pour l’échéance d’août 2027 sur les produits réglementés de l’annexe I.

Chez Go To Agency à Dijon, nous accompagnons les dirigeants de Bourgogne-Franche-Comté dans cette transition. Audit complet, cartographie des usages, rédaction de la charte IA, formation des équipes, articulation avec votre DPO existant : nous adaptons la mission à votre taille et votre maturité. Demandez votre devis personnalisé pour un audit conformité AI Act, ou contactez-nous via notre page agence pour échanger en amont.

VEILLE IA · GO TO AGENCY

L'actu IA décryptée, pour ceux qui construisent

Une fois par semaine, notre analyse sans bruit des sorties IA qui comptent : modèles, outils, prix. Zéro spam.

1 email par semaine · désinscription en 1 clic · données RGPD

RM

A propos de l'auteur

Robin Monteiro

Co-fondateur de Go To Agency

Développeur full-stack et co-fondateur de Go To Agency, Robin conçoit des solutions web performantes avec Next.js, React et les dernières technologies.

Découvrir l'équipe

Go To Agency — agence digitale à Dijon

L'équipe derrière cet article peut le faire pour vous

Sites et e-commerce Next.js sur mesure, SEO qui positionne, campagnes publicitaires mesurées au retour près. Tout se passe par écrit, sans rendez-vous : décrivez votre besoin, on revient vers vous avec une lecture concrète.

Votre demande arrive directement sur [email protected] — réponse sous 24 h ouvrées, aucun engagement.

Partager l'article

Questions fréquentes

Mon usage de ChatGPT au bureau est-il concerné par l’AI Act ?+

Oui, mais dans la catégorie la plus légère. Utiliser ChatGPT ou Claude pour rédiger, traduire ou résumer relève en général du « risque limité » : votre obligation principale est la transparence (signaler les contenus générés ou substantiellement modifiés par IA quand ils sont publiés) et la formation interne à la littératie IA. Vous devez aussi pouvoir documenter qui utilise l’outil et pour quoi (registre IA). En revanche, si vous y collez des données personnelles de clients ou de salariés, vous repassez dans le champ du RGPD avec ses propres obligations (AIPD éventuelle, base légale, information des personnes).

Faut-il une AIPD (DPIA) pour chaque outil IA que j’utilise ?+

Non, pas systématiquement. Une analyse d’impact n’est obligatoire que si le traitement présente un risque élevé pour les droits et libertés des personnes, au sens de l’article 35 du RGPD. Concrètement : tri automatisé de CV, scoring crédit, profilage marketing à grande échelle, traitement de données sensibles. Pour un usage de ChatGPT en rédaction de contenu marketing sans données personnelles, pas d’AIPD nécessaire. En cas de doute, la CNIL recommande de la mener par précaution, c’est plus rapide et moins risqué qu’un contrôle qui révélerait son absence.

Le marquage transparence est-il obligatoire pour les images générées par IA ?+

Oui, depuis le 2 août 2026. L’article 50 de l’AI Act impose aux déployeurs de signaler clairement que des contenus image, audio ou vidéo ont été générés ou substantiellement modifiés par IA. La forme du marquage n’est pas figée : mention textuelle dans la légende, watermark visible, métadonnées C2PA, hashtag #IA sur les réseaux sociaux. L’essentiel est que l’utilisateur moyen puisse identifier le caractère artificiel du contenu. Exception : usages clairement satiriques, artistiques ou créatifs explicitement présentés comme tels.

Quelles sanctions concrètes en France pour une PME en 2026 ?+

L’AI Act prévoit des sanctions maximales théoriques très élevées (jusqu’à 35 M€ ou 7 % du CA mondial pour les usages interdits, 15 M€ ou 3 % pour les autres manquements). Mais l’article 99.6 impose explicitement de tenir compte de la taille et du modèle économique pour les PME et start-ups. En pratique en 2026, on s’attend à voir des sanctions modulées entre 5 000 et 200 000 € pour les PME en cas de manquement caractérisé, sauf cas extrême (usage interdit identifié, refus de coopérer). La CNIL a indiqué privilégier la mise en demeure avant la sanction pécuniaire dans la première année d’application.

Qui contrôle l’AI Act en France ?+

Deux autorités principales se partagent la mission. La CNIL est désignée comme autorité de surveillance du marché pour les systèmes d’IA touchant aux données personnelles, à la biométrie et aux droits fondamentaux, soit la grande majorité des cas pour une PME. La DGCCRF intervient sur les pratiques commerciales déloyales liées à l’IA (publicité trompeuse, deepfakes commerciaux non signalés). Au niveau européen, l’AI Office (institué auprès de la Commission) coordonne et traite les sujets transfrontaliers. En cas de manquement, c’est typiquement la CNIL qui vous écrira en premier.

Comment se mettre en conformité AI Act en 90 jours ?+

Plan type que nous appliquons chez nos clients PME. Jours 1-15 : cartographie complète des usages IA (questionnaire interne + entretiens). Jours 16-30 : classification AI Act de chaque outil (risque minimal/limité/haut/interdit) et priorisation. Jours 31-50 : rédaction de la charte IA interne, mise à jour du registre RGPD avec volet IA, articulation avec le DPO. Jours 51-70 : activation des marquages transparence sur le site, les réseaux et les contenus diffusés. Jours 71-90 : formation littératie IA de toutes les équipes (2 heures suffisent), validation en CODIR, communication interne. Budget moyen : 6 à 12 k€ en externalisation pour une PME de 50 personnes.

Articles associés

Devis gratuit
AI Act 2 août 2026 : ce qui change pour les PME (GPAI, sanctions) | Go To Agency