Cabinet de stratégie IA · 100 % remote · France & Europe
ACTUALITÉ 10 min de lecture

Calendrier AI Act 2026
les dates qui comptent pour ta PME

L'AI Act europeen est entierement applicable depuis aout 2026. Pour une PME francaise qui utilise l'IA, voici le calendrier des obligations precises et des dates butoirs - sans le jargon legal habituel.

Pourquoi ce calendrier compte pour ta PME

L'AI Act n'est pas une loi qui s'applique d'un coup. Il a ete adopte en 2024 mais avec une mise en application progressive sur 3 ans. Resultat : en 2026, certaines obligations sont deja la, d'autres arrivent en 2027. Si tu deploies de l'IA dans ton entreprise, tu dois savoir ou tu en es par rapport a chacune de ces echeances.

Voici le calendrier complet et ce que ca veut dire concretement pour une PME francaise.

Aout 2024 : entree en vigueur

L'AI Act est officiellement entre en vigueur. C'est-a-dire qu'il fait partie du droit europeen. Mais peu d'obligations concretes a cette date - c'est le top depart du compte a rebours.

Fevrier 2025 : interdictions des pratiques inacceptables

Premiere echeance contraignante : les pratiques classees "risque inacceptable" sont interdites depuis fevrier 2025. Pour une PME, ce qui est concretement interdit :

  • Social scoring : noter les personnes en fonction de leur comportement (utile pour les Etats, generalement pas applicable aux PME).
  • Manipulation cognitive : utiliser l'IA pour exploiter les vulnerabilites des personnes (par age, handicap, situation sociale).
  • Categorisation biometrique sensible : identifier l'origine ethnique, l'orientation sexuelle, les opinions politiques ou religieuses via reconnaissance faciale.
  • Reconnaissance des emotions au travail ou a l'ecole sauf raison medicale ou de securite.
  • Police predictive individuelle : predire le risque de commettre un crime pour une personne donnee.

Impact PME. Tres limite pour la majorite. Mais attention si tu utilises des outils RH comme HireVue ou des outils marketing avancee qui pourraient frole certaines limites. Audit obligatoire de ces outils.

Aout 2025 : obligations sur les modeles fondationnels

Depuis aout 2025, les fournisseurs de "modeles fondationnels" (les LLMs comme Claude, GPT-4, Mistral, Gemini, Llama) ont des obligations specifiques :

  • Documentation technique du modele (architecture, donnees d'entrainement, limites).
  • Politique de gestion des risques systemiques.
  • Tests de cybersecurite.
  • Resume des donnees d'entrainement protegees par droit d'auteur.
  • Notification a la Commission europeenne pour les modeles a tres haut risque (>10^25 FLOPs).

Impact PME. Indirect mais reel. Comme cliente d'un de ces modeles, tu dois t'assurer que le fournisseur respecte ses obligations (sinon tu peux etre tenue partiellement responsable). Demande a tes fournisseurs IA leur documentation AI Act conforme. Anthropic, OpenAI, Mistral et Google publient ces documents publiquement depuis 2025.

Aout 2026 : application complete (echeance majeure)

C'est l'echeance la plus importante pour une PME. Toutes les obligations "haut risque" sont desormais applicables. Pour rappel, les systemes IA classes "haut risque" incluent :

  • Education et formation : tri admission, evaluation, surveillance examens.
  • Emploi et RH : tri CV, evaluation collaborateurs, decisions disciplinaires.
  • Acces aux services essentiels : credit, assurance, secours, evaluation crediscore.
  • Application de la loi : evaluation risque, profilage, prediction recidive.
  • Migration et asile : verification documents, evaluation risque.
  • Justice : aide a la decision, recherche jurisprudence (selon usage).
  • Processus democratiques : aide a la prise de decision politique.

Pour ces systemes, depuis aout 2026, sont obligatoires :

  1. Systeme de management du risque documente.
  2. Donnees d'entrainement de qualite avec gouvernance.
  3. Documentation technique complete et tenue a jour.
  4. Tracabilite : logs des decisions, audit trail.
  5. Transparence envers utilisateurs et personnes concernees.
  6. Supervision humaine effective (article 14).
  7. Robustesse, exactitude, cybersecurite.
  8. Marquage CE pour les fournisseurs de systemes haut risque.
  9. Enregistrement dans la base de donnees europeenne pour certains usages.
  10. DPIA (analyse d'impact protection donnees) obligatoire.

Pour une PME qui utilise l'IA en RH, tri CV, evaluation

Toutes les obligations ci-dessus s'appliquent. Si tu n'es pas conforme depuis aout 2026, tu es expose a sanction. La CNIL et la future autorite IA peuvent realiser des controles a tout moment.

Aout 2027 : systemes IA integres dans produits regules

Derniere echeance : pour les systemes IA integres dans des produits deja regules (dispositifs medicaux, automobile, machines, jouets), l'AI Act s'applique completement en 2027 - en plus des regulations sectorielles existantes.

Impact PME. Si tu fabriques ou integres de l'IA dans des produits regules, c'est un sujet majeur. Tu dois mettre en place ta conformite AI Act + maintien de tes conformites sectorielles. Pour les autres PME, pas d'impact direct.

Ce qu'il faut faire MAINTENANT (avril 2026)

Si tu lis cet article et que tu te demandes "ou j'en suis", voici la checklist d'urgence :

  1. Inventaire IA : liste tous les systemes/outils IA en usage dans ton entreprise (officiels et "shadow IT").
  2. Classification : pour chacun, determine son niveau de risque (haut, limite, minimal).
  3. Audit conformite sur les systemes haut risque : sont-ils conformes aux obligations qui s'appliquent depuis aout 2026 ?
  4. Plan d'action : pour les non-conformites, plan de mise en conformite avec dates et responsables.
  5. Designation responsable : qui dans ton entreprise est responsable du suivi AI Act ?
  6. Information CSE : si tu as plus de 11 salaries, information CSE prealable a tout deploiement IA impactant les conditions de travail.

Pour aller plus loin sur la conformite AI Act : guide complet AI Act 2026 PME.

Et pour les sanctions specifiques : comprendre les sanctions AI Act.

Audit conformite AI Act personnalise pour ta PME ? Contact - 45 minutes gratuites pour identifier tes points d'attention prioritaires.

QUESTIONS FRÉQUENTES

Questions fréquentes.

Mon entreprise utilise ChatGPT/Claude pour des taches simples - suis-je concerne par l'AI Act ?

Si tu utilises l'IA pour des taches a faible risque (redaction emails, brainstorming, resume), l'AI Act t'impose principalement la transparence : informer tes interlocuteurs si une IA est impliquee dans des interactions. Pas d'obligations lourdes. Si tu utilises l'IA pour des decisions impactant des personnes (RH, credit, evaluation), tu es dans le 'haut risque' avec toutes les obligations qui en decoulent. La regle : c'est l'usage qui determine le niveau, pas l'outil.

Quelles sont les obligations pour un usage 'risque limite' (interactions chatbot, deepfakes) ?

Article 50 de l'AI Act : transparence obligatoire. 1) Pour un chatbot : signaler clairement que l'utilisateur parle a une IA. 2) Pour des contenus generes par IA (texte, image, video) : marquage de l'origine artificielle (techniquement et visuellement). 3) Pour des deepfakes : signalement explicite. Les sanctions en cas de non respect : jusqu'a 15M€ ou 3% du CA mondial. Donc meme un simple chatbot doit afficher 'IA assistee'.

Que doit contenir le 'systeme de management du risque' obligatoire pour le haut risque ?

Documentation a maintenir a jour : 1) Identification des risques (que peut faire l'IA en cas de mauvais fonctionnement). 2) Estimation et evaluation de chaque risque (probabilite x impact). 3) Mesures de mitigation (ce qui est fait pour reduire le risque). 4) Evaluation des risques residuels (ce qui reste apres mitigation). 5) Tests de validation (preuves que le systeme fonctionne comme prevu). 6) Plan de gestion des incidents. Pour une PME, compter 5-10 jours de travail pour la premiere mise en place, puis revue annuelle.

Le marquage CE est-il obligatoire pour mon utilisation interne d'IA ?

Le marquage CE concerne les FOURNISSEURS de systemes IA haut risque, pas les utilisateurs. Si tu utilises un outil IA fourni par un tiers (Claude, ChatGPT, Mistral, ou un SaaS specialise), c'est le fournisseur qui doit avoir le marquage CE quand applicable. Toi, en tant qu'utilisateur, tu as les obligations utilisateur (DPIA, supervision humaine, transparence). Verifie cependant que tes fournisseurs ont effectivement le marquage CE pour les systemes haut risque qu'ils te fournissent.

Quelle autorite francaise sanctionne les manquements a l'AI Act ?

En France, plusieurs autorites peuvent sanctioner selon le sujet : 1) CNIL pour les manquements donnees personnelles. 2) DGCCRF pour les manquements consommateurs. 3) Future 'Autorite francaise IA' qui sera designee specifiquement (en cours d'organisation, deux candidates : ANSSI ou structure ad-hoc). 4) Au niveau europeen, l'AI Office (deja operationnel) coordonne pour les modeles fondationnels. La premiere mise en demeure significative a une PME francaise est attendue debut 2027.

PROJET CONCRET ?

Cadrons votre projet en 45 minutes.

Audit gratuit pour identifier les bons cas d'usage IA et automatisation pour votre PME.

Réserver l'audit