Cabinet · Format expert unique · France
CONFORMITÉ 9 min de lecture

AI Act 2027 : ce qui change vraiment pour votre PME

Le 7 mai 2026, le Conseil de l'Union européenne et le Parlement européen ont annoncé un accord politique provisoire qui repousse l'application des obligations principales de l'AI Act sur les systèmes à haut risque, initialement prévues pour le 2 août 2026. Le nouveau calendrier prévoit le 2 décembre 2027 pour les systèmes haut risque autonomes (annexe III) et le 2 août 2028 pour ceux intégrés à des produits réglementés (annexe I). Le tout dans le cadre de l'initiative Digital Omnibus de la Commission, et sous réserve de l'adoption formelle attendue en juillet 2026. Voici ce qui change officiellement, ce qui reste applicable dès aujourd'hui, et comment transformer ce délai en avantage concurrentiel.

Ce qui change officiellement (et ce qui ne change pas)

L'accord du 7 mai 2026 repousse plusieurs blocs du calendrier AI Act :

  • Les obligations sur les systèmes à haut risque autonomes (annexe III) : tri de CV, scoring crédit, biométrie, infrastructures critiques, application de la loi, accès aux services essentiels. Date initiale : 2 août 2026. Nouvelle date : 2 décembre 2027.
  • Les obligations sur les systèmes à haut risque intégrés à des produits réglementés (annexe I) : machines, jouets, ascenseurs, dispositifs médicaux, équipements radio. Nouvelle date : 2 août 2028.
  • Les sanctions associées à ces deux catégories : les amendes prévues pour non-conformité sur ces deux blocs sont également décalées aux mêmes dates.
  • Les bacs à sable réglementaires nationaux : leur mise en place par les autorités compétentes est repoussée au 2 août 2027 (les PME pourront y accéder).

Important sur le statut juridique : il s'agit pour l'instant d'un accord politique provisoire entre le Conseil de l'UE et le Parlement européen. L'adoption formelle (vote en séance plénière du Parlement et adoption au Conseil) est attendue en juillet 2026. D'ici là, le calendrier initial reste juridiquement le calendrier de référence, même si l'orientation politique est claire.

Voici en revanche ce qui n'a PAS bougé et qui s'applique déjà :

  • Les interdictions absolues de l'article 5 : notation sociale, manipulation comportementale, exploitation de vulnérabilités, identification biométrique à distance en temps réel dans l'espace public. Ces pratiques sont interdites depuis le 2 février 2025 et le restent sans changement.
  • Les obligations sur les modèles d'IA à usage général (GPAI) : les fournisseurs comme OpenAI, Anthropic, Mistral ou Google sont déjà soumis depuis août 2025 aux obligations de documentation technique, transparence sur les données d'entraînement, et respect du droit d'auteur. Cela impacte indirectement votre PME utilisatrice via les conditions contractuelles de ces fournisseurs.
  • L'obligation de formation à l'IA (article 4) : dès le 2 février 2025, tout employeur déployant des systèmes IA dans son organisation doit veiller à ce que son personnel concerné dispose d'un niveau suffisant de connaissances en IA. Cette obligation n'est PAS repoussée par l'accord du 7 mai 2026.
  • Le RGPD et les contrôles CNIL : une PME qui utilise ChatGPT pour traiter des données clients sans encadrement reste exposée à des sanctions CNIL, sans attendre l'AI Act. Les sanctions sur les usages IA dans le cadre du RGPD existent depuis 2018 (article 22 sur les décisions automatisées).

Le report est donc partiel : il concerne la couche "systèmes haut risque" mais ne libère personne de la couche "interdictions" ni de la couche "RGPD". Si vous lisez le report comme un sursis général, vous vous trompez de lecture. Pour creuser cette articulation, je vous renvoie à mon article détaillé sur l'articulation entre AI Act et RGPD dans votre stack IA.

Nouveau calendrier détaillé après l'accord du 7 mai 2026

Voici les dates qui structurent l'application de l'AI Act pour une PME française, sur la base de l'accord politique provisoire du 7 mai 2026 (sous réserve de l'adoption formelle attendue juillet 2026) :

Date Ce qui s'applique Qui est concerné
2 février 2025 (en vigueur) Interdictions absolues (article 5) : notation sociale, manipulation, biométrie temps réel. Obligation de formation à l'IA (article 4). Toutes entreprises sans exception
2 août 2025 (en vigueur) Obligations fournisseurs GPAI (OpenAI, Anthropic, Mistral, Google) Fournisseurs de modèles, indirectement les PME utilisatrices
2 août 2026 (inchangé) Obligations de transparence sur les systèmes IA interagissant avec des personnes (chatbots, deepfakes, reconnaissance des émotions, catégorisation biométrique) Tous déployeurs de ces systèmes
2 décembre 2026 (nouvelle date après accord) Watermarking et étiquetage des contenus générés par IA (réduction du délai initial à 3 mois) Fournisseurs et déployeurs d'IA générative
2 août 2027 (nouvelle date après accord) Mise en place des bacs à sable réglementaires nationaux Autorités compétentes nationales (les PME pourront ensuite y accéder)
2 décembre 2027 (nouvelle date après accord) Obligations sur les systèmes à haut risque autonomes (annexe III) : tri CV, scoring, biométrie, etc. Toutes entreprises déployant ces systèmes
2 août 2028 (nouvelle date après accord) Obligations sur les systèmes à haut risque intégrés à des produits réglementés (annexe I) Fabricants et déployeurs de ces produits

À noter : le RGPD s'applique en parallèle, sans calendrier propre. Toute utilisation d'IA traitant des données personnelles relève déjà du RGPD aujourd'hui, et c'est sur ce front que la CNIL est la plus active en 2026. Pour la liste détaillée des étapes par catégorie d'usage, consultez aussi le calendrier d'application AI Act pour PME (article publié sur le calendrier initial, à lire avec la mise à jour 2027 en tête).

Ce que ça veut dire pour votre PME : 3 scénarios

Le report 2027 n'impacte pas tous les usages IA de la même façon. Voici trois cas concrets que je vois passer chaque semaine chez des dirigeants de PME françaises.

Scénario 1 : vous utilisez ChatGPT ou Claude pour rédiger ou résumer

Pas d'obligation AI Act spécifique en 2026 ni en 2027 sur cet usage. Vous restez en revanche soumis au RGPD : si vous collez des données clients dans le prompt, vous engagez votre responsabilité de responsable de traitement.

Action recommandée : encadrer les usages par une charte interne écrite, privilégier les versions API (avec contrat de traitement des données signé) plutôt que les interfaces grand public, et former vos équipes au minimum sur deux points : ce qu'on peut envoyer à un LLM, ce qu'on ne peut pas.

Scénario 2 : vous utilisez un outil de tri de CV automatisé avec scoring IA

Cet usage relève des systèmes à haut risque (annexe III de l'AI Act). Les obligations spécifiques (cartographie, documentation technique, supervision humaine, registre) sont repoussées à 2027. Mais le RGPD impose déjà la transparence sur les décisions automatisées via l'article 22, et la CNIL a déjà sanctionné des employeurs sur des cas similaires en 2025 et 2026.

Action recommandée : auditer maintenant l'outil de tri CV pour préparer 2027 ET pour limiter le risque RGPD immédiat. Le report AI Act ne vous protège pas de la CNIL. Pour le détail des obligations RH spécifiques, consultez mon guide conformité IA en recrutement (RGPD + AI Act).

Scénario 3 : vous déployez un agent IA autonome (n8n + Claude) qui prend des décisions opérationnelles

Selon la nature des décisions (juridiques, financières, RH), vous pouvez basculer dans la catégorie haut risque. Le report 2027 vous donne du temps pour cartographier précisément le périmètre. Mais documenter un agent autonome en mars 2027 est 3 à 5 fois plus coûteux que documenter au fur et à mesure de sa construction.

Action recommandée : documenter dès maintenant chaque décision automatisée, le niveau de supervision humaine, et les données utilisées. C'est ce qu'on appelle la conformité by design, par opposition à la conformité rétroactive.

Mon constat sur le terrain (40 + automatisations en production active chez des clients PME depuis février 2025) : la plupart des cas d'usage opérationnels n'entrent PAS dans la catégorie haut risque, mais demandent une documentation claire pour le prouver. C'est ce travail de documentation qui prend du temps, pas la conformité elle-même.

5 erreurs à éviter pendant ce délai jusqu'en 2027

Erreur 1 : confondre report et abrogation

L'AI Act n'est pas annulé. Il s'applique en 2027. Tout système que vous construisez en 2026 sans intégrer la logique de conformité devra être réécrit dans 18 mois. Les coûts de mise en conformité rétroactive sont 3 à 5 fois supérieurs à la conformité by design, et l'expérience montre qu'on découvre toujours des angles morts au moment de la mise en conformité forcée.

Erreur 2 : croire que le RGPD attend l'AI Act

Les sanctions CNIL sur les usages IA sont déjà tombées en 2025 et 2026 sur des dossiers concrets : scoring client non transparent, biométrie non consentie, transferts de données vers des LLM hors Union européenne sans contrat de traitement. Le report AI Act ne neutralise rien sur ce front. Le RGPD a son propre calendrier (immédiat) et ses propres sanctions (jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial).

Erreur 3 : repousser l'audit interne

Le délai supplémentaire devrait servir à cartographier précisément ce que vous faites avec l'IA aujourd'hui. Beaucoup de dirigeants découvrent en 2026 que leur direction administrative et financière a abonné l'entreprise à 3 outils IA différents (Copilot, Notion AI, un connecteur Salesforce) sans cadrage commun. C'est ce manque de visibilité qui crée le risque, pas l'IA elle-même. La question "à qui faire faire cet audit ?" est traitée dans mon article audit AI Act : interne ou externe ?.

Erreur 4 : sous-traiter la conformité à l'éditeur de l'outil

Microsoft, OpenAI, Anthropic, Mistral sont responsables de leurs modèles en tant que fournisseurs GPAI. Mais l'usage que vous en faites dans votre PME engage votre responsabilité de déployeur (le terme utilisé dans le règlement européen). Le contrat de service Copilot ne vous met pas en conformité automatiquement. Vous restez responsable du choix de l'outil, du périmètre d'usage, et de la documentation associée.

Erreur 5 : croire que la PME est exemptée par sa taille

L'AI Act prévoit des allégements pour les PME (article 62 : accès aux bacs à sable réglementaires, allégement de la documentation pour les très petites entreprises), mais pas d'exemption générale. Si votre usage est qualifié à haut risque, vous êtes concerné quelle que soit votre taille. Les obligations sont proportionnées, pas annulées. Sur les sanctions précises et les seuils, voir mon article dédié comprendre les sanctions AI Act et les risques réels pour une PME.

Action concrète à mener cette semaine

Voici la check-list que je donne à mes clients PME, à appliquer dans les 7 jours qui suivent la lecture de cet article. Elle ne demande pas d'outil particulier, juste 2 à 3 heures de travail concentré.

  1. Lister tous les outils IA utilisés dans votre entreprise : ChatGPT, Claude, Copilot, Gemini, Mistral, et tous les SaaS qui embarquent de l'IA (Notion AI, HubSpot AI, modules IA de votre CRM, etc.). Cela inclut les usages individuels par les salariés, souvent invisibles depuis le poste de dirigeant.
  2. Classer chaque usage en trois catégories : (a) productivité personnelle (rédaction, brainstorming, traduction), (b) processus métier (relances factures, tri leads, génération de contenus), (c) prise de décision sur des personnes (recrutement, scoring client, modération de contenus).
  3. Pour les usages de catégorie (c) : documenter immédiatement le périmètre, les données utilisées, le niveau de supervision humaine, et les options de recours pour la personne concernée. C'est le minimum RGPD article 22, qui s'applique déjà aujourd'hui.
  4. Identifier 1 cas d'usage prioritaire à mettre en conformité : celui qui combine le plus fort impact métier et le plus fort risque réglementaire. Souvent : un outil de tri de CV, un scoring client, ou un chatbot qui interagit avec des prospects.
  5. Bloquer 90 minutes dans 6 semaines pour refaire ce point. La conformité est un processus itératif, pas un projet ponctuel. Mettez le créneau dans votre agenda dès maintenant.

Si vous voulez gagner du temps sur cette cartographie, je propose un audit gratuit de 45 minutes sur la conformité IA et l'automatisation pour cadrer le périmètre de votre PME et prioriser les actions à mener jusqu'en 2027. Sans engagement, et vous repartez avec une feuille de route à 6 mois.

Pour aller plus loin sur les fondamentaux AI Act, consultez aussi mon guide complet de la conformité AI Act pour PME (article de fond rédigé sur le calendrier initial, dont la majorité du contenu reste pertinente avec la mise à jour 2027 en tête). Et si vous cherchez un partenaire opérationnel pour structurer vos workflows IA en conformité by design, voir mes prestations n8n et accompagnement conformité.

QUESTIONS FRÉQUENTES

Questions fréquentes.

L'AI Act est-il complètement repoussé à 2027 ?

Non. Seules les obligations sur les systèmes à haut risque sont repoussées (au 2 décembre 2027 pour l'annexe III, au 2 août 2028 pour l'annexe I). Les interdictions absolues de l'article 5, l'obligation de formation à l'IA (article 4), les obligations sur les fournisseurs de modèles d'IA à usage général (GPAI) et les obligations de transparence sur les chatbots restent toutes applicables aux échéances initiales. L'accord du 7 mai 2026 est par ailleurs un accord politique provisoire, en attente d'adoption formelle (vote attendu juillet 2026).

Mon outil de tri de CV est-il concerné par le report 2027 ?

Oui pour les obligations AI Act spécifiques (cartographie, documentation, supervision humaine, registre), repoussées à 2027. Non pour le RGPD article 22 (transparence des décisions automatisées) qui s'applique déjà depuis 2018. Le report AI Act ne vous protège pas du risque RGPD immédiat sur ce type d'outil. La CNIL a déjà sanctionné des employeurs sur des cas similaires en 2025 et 2026.

Faut-il commencer la mise en conformité maintenant ou attendre 2027 ?

Commencer maintenant, sans hésitation. Les coûts de mise en conformité rétroactive sont 3 à 5 fois supérieurs à la conformité by design. Et les contrôles CNIL et ACPR sur les usages IA continuent en 2026, indépendamment du calendrier AI Act. Le délai supplémentaire doit servir à structurer proprement, pas à repousser le sujet.

Les sanctions AI Act sont-elles aussi repoussées ?

Oui pour les sanctions associées aux obligations repoussées (jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires mondial), décalées aux mêmes échéances (2 décembre 2027 pour l'annexe III, 2 août 2028 pour l'annexe I). Non pour les sanctions liées aux interdictions de l'article 5 (jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial), qui s'appliquent depuis février 2025. Les pratiques interdites restent sanctionnables immédiatement.

Une PME française est-elle exemptée de l'AI Act par sa taille ?

Non, pas d'exemption générale. Mais l'accord du 7 mai 2026 a élargi le périmètre des mesures de simplification (documentation allégée, sanctions modulées) aux entreprises jusqu'à 750 salariés et 150 millions d'euros de chiffre d'affaires annuel (au lieu du seuil européen historique de 250 salariés). Si votre usage est qualifié à haut risque, vous êtes concerné quelle que soit votre taille, mais avec un cadre administratif allégé pour la majorité des PME et ETI françaises.

Que dois-je faire si j'utilise déjà ChatGPT ou Claude dans mon entreprise ?

Encadrer l'usage par une charte interne écrite, privilégier les versions API avec contrat de traitement des données signé, interdire le collage de données clients identifiantes dans les interfaces grand public, et former vos équipes au minimum sur deux points : ce qu'on peut envoyer à un LLM, ce qu'on ne peut pas. L'AI Act n'oblige pas à arrêter, il oblige à structurer l'usage.

Le report AI Act change-t-il quelque chose pour mon chatbot site web ?

Les obligations de transparence formalisées sur les chatbots (informer l'utilisateur qu'il échange avec une IA) sont repoussées à 2027. Mais le RGPD impose déjà cette transparence dès lors que le chatbot traite des données personnelles. Pratiquement, rien ne change : la mention "Vous interagissez avec une IA" reste fortement recommandée dès aujourd'hui et constitue une simple bonne pratique.

Comment AzenFlow peut m'aider à profiter de ce délai jusqu'en 2027 ?

Je propose un audit de 45 minutes pour cartographier les usages IA de votre PME, identifier le périmètre haut risque, et construire une feuille de route à 6 mois pour mettre en conformité progressivement. Cela permet d'utiliser le délai supplémentaire pour une conformité by design plutôt qu'une conformité subie en 2027. L'audit est gratuit et sans engagement.

SOURCES & RÉFÉRENCES

Sources primaires et juridiques

Cet article s'appuie sur les sources officielles et les analyses publiées par des cabinets juridiques internationaux à la suite de l'accord politique du 7 mai 2026. Les dates précises (2 décembre 2027 pour l'annexe III, 2 août 2028 pour l'annexe I) et le seuil PME élargi à 750 salariés sont issus de ces sources, à la date de rédaction.

  • Conseil de l'Union européenne : communiqué du 7 mai 2026, "Artificial Intelligence: Council and Parliament agree to simplify and streamline rules". consilium.europa.eu
  • Latham & Watkins : "AI Act Update: EU Resolves to Change Rules and Extend Deadlines", mai 2026. Analyse juridique détaillée des nouvelles dates et du seuil PME élargi. lw.com
  • Travers Smith : "EU agrees to delay key AI Act compliance deadlines", mai 2026. traverssmith.com
  • Commission européenne : page officielle sur le cadre réglementaire IA, calendrier d'implémentation et FAQ AI Act. digital-strategy.ec.europa.eu
  • AI Act Service Desk : timeline officielle d'implémentation maintenue par la Commission. ai-act-service-desk.ec.europa.eu

Dernière vérification des sources : 18 mai 2026. L'accord du 7 mai 2026 est un accord politique provisoire ; l'adoption formelle (Parlement européen en séance plénière et Conseil) est attendue en juillet 2026. Cet article sera mis à jour après le vote formel.

À LIRE AUSSI

Articles du cluster AI Act

AUDIT GRATUIT · 45 MIN

Profitez du délai 2027 pour vous mettre en conformité proprement.

45 minutes pour cartographier vos usages IA, identifier le périmètre haut risque, et construire une feuille de route à 6 mois. Vous repartez avec un plan d'action concret, sans engagement.

Réserver l'audit

45 min · Gratuit · Sans engagement · Plan d'action personnalisé