Cabinet · Format expert unique · France
ACTUALITÉ 10 min de lecture

Calendrier AI Act 2026
les dates qui comptent pour votre PME

L'IA Act européen impose la transparence (Article 50) depuis le 2 août 2026 ; le haut risque a été reporté à décembre 2027 par le Digital Omnibus on AI. Pour une PME française qui utilise l'IA, voici le calendrier des obligations précises et des dates butoirs, sans le jargon légal habituel.

Pourquoi ce calendrier compte pour votre PME

L'IA Act n'est pas une loi qui s'applique d'un coup. Il a été adopté en 2024 mais avec une mise en application progressive sur 3 ans. Résultat : en 2026, certaines obligations sont déjà là, d'autres arrivent en 2027. Si vous déploies de l'IA dans votre entreprise, vous devez savoir où vous en es par rapport à chacune de ces échéances.

Voici le calendrier complet et ce que ça veut dire concrètement pour une PME française.

Août 2024 : entrée en vigueur

L'IA Act est officiellement entré en vigueur. C'est-à-dire qu'il fait partie du droit européen. Mais peu d'obligations concrètes à cette date - c'est le top départ du compte à rebours.

Février 2025 : interdictions des pratiques inacceptables

Première échéance contraignante : les pratiques classées "risque inacceptable" sont interdites depuis février 2025. Pour une PME, ce qui est concrètement interdit :

  • Social scoring : noter les personnes en fonction de leur comportement (utile pour les États, généralement pas applicable aux PME).
  • Manipulation cognitive : utiliser l'IA pour exploiter les vulnérabilités des personnes (par âge, handicap, situation sociale).
  • Catégorisation biométrique sensible : identifier l'origine ethnique, l'orientation sexuelle, les opinions politiques ou religieuses via reconnaissance faciale.
  • Reconnaissance des émotions au travail ou à l'école sauf raison médicale ou de sécurité.
  • Police prédictive individuelle : prédire le risque de commettre un crime pour une personne donnée.

Impact PME. Très limité pour la majorité. Mais attention si vous utilisez des outils RH comme HireVue ou des outils marketing avancés qui pourraient frôler certaines limites. Audit obligatoire de ces outils.

Août 2025 : obligations sur les modèles fondationnels

Depuis août 2025, les fournisseurs de "modèles fondationnels" (les LLMs comme Claude, OpenAI, Mistral, Gemini, Llama) ont des obligations spécifiques :

  • Documentation technique du modèle (architecture, données d'entraînement, limites).
  • Politique de gestion des risques systémiques.
  • Tests de cybersécurité.
  • Résumé des données d'entraînement protégées par droit d'auteur.
  • Notification à la Commission européenne pour les modèles à très haut risque (>10^25 FLOPs).

Impact PME. Indirect mais réel. Comme cliente d'un de ces modèles, vous devez vous assurer que le fournisseur respecte ses obligations (sinon vous pouvez être tenue partiellement responsable). Demande à vos fournisseurs IA leur documentation IA Act conforme. Anthropic, OpenAI, Mistral et Google publient ces documents publiquement depuis 2025.

2 août 2026 (transparence) et 2 décembre 2027 (haut risque)

Le 2 août 2026, c'est la transparence (Article 50) qui devient applicable : l'échéance qui concerne le plus de PME. Les obligations "haut risque" décrites ci-dessous étaient initialement prévues à cette date, mais le Digital Omnibus on AI (accord politique provisoire du 7 mai 2026, adoption formelle attendue avant le 2 août 2026) les a reportées au 2 décembre 2027. Pour rappel, les systèmes IA classés "haut risque" incluent :

  • Éducation et formation : tri admission, évaluation, surveillance examens.
  • Emploi et RH : tri CV, évaluation collaborateurs, décisions disciplinaires.
  • Accès aux services essentiels : crédit, assurance, secours, évaluation crédiscore.
  • Application de la loi : évaluation risque, profilage, prédiction récidive.
  • Migration et asile : vérification documents, évaluation risque.
  • Justice : aide à la décision, recherche jurisprudence (selon usage).
  • Processus démocratiques : aide à la prise de décision politique.

Pour ces systèmes, à partir du 2 décembre 2027, sont obligatoires :

  1. Système de management du risque documenté.
  2. Données d'entraînement de qualité avec gouvernance.
  3. Documentation technique complète et tenue à jour.
  4. Traçabilité : logs des décisions, audit trail.
  5. Transparence envers utilisateurs et personnes concernées.
  6. Supervision humaine effective (article 14).
  7. Robustesse, exactitude, cybersécurité.
  8. Marquage CE pour les fournisseurs de systèmes haut risque.
  9. Enregistrement dans la base de données européenne pour certains usages.
  10. DPIA (analyse d'impact protection données) obligatoire.

Pour une PME qui utilise l'IA en RH, tri CV, évaluation

Toutes les obligations ci-dessus s'appliquent à partir du 2 décembre 2027 (haut risque Annexe III, reporté par le Digital Omnibus on AI). La transparence (Article 50), elle, est applicable depuis le 2 août 2026. Si vous n'êtes pas conforme à l'échéance qui vous concerne, vous êtes exposé à sanction. La CNIL et la future autorité IA peuvent réaliser des contrôles à tout moment.

2 août 2028 : systèmes IA intégrés dans produits réglementés

Dernière échéance, fixée au 2 août 2028 (reportée du 2 août 2027 par le Digital Omnibus on AI) : pour les systèmes IA intégrés dans des produits déjà réglementés (dispositifs médicaux, automobile, machines, jouets), l'IA Act s'applique complètement, en plus des régulations sectorielles existantes.

Impact PME. Si vous fabriques ou intègres de l'IA dans des produits régulés, c'est un sujet majeur. Vous devez mettre en place votre conformité IA Act + maintien de vos conformités sectorielles. Pour les autres PME, pas d'impact direct.

Ce qu'il faut faire MAINTENANT (avril 2026)

Si vous lisez cet article et que vous vous demandes "où j'en suis", voici la checklist d'urgence :

  1. Inventaire IA : liste tous les systèmes/outils IA en usage dans votre entreprise (officiels et "shadow IT").
  2. Classification : pour chacun, détermine son niveau de risque (haut, limité, minimal).
  3. Audit conformité sur les systèmes haut risque : seront-ils conformes aux obligations qui s'appliqueront à partir du 2 décembre 2027 ?
  4. Plan d'action : pour les non-conformités, plan de mise en conformité avec dates et responsables.
  5. Désignation responsable : qui dans votre entreprise est responsable du suivi IA Act ?
  6. Information CSE : si vous avez plus de 11 salariés, information CSE préalable à tout déploiement IA impactant les conditions de travail.

Pour aller plus loin sur la conformité IA Act : guide complet IA Act 2026 PME.

Et pour les sanctions spécifiques : comprendre les sanctions IA Act.

Audit conformité IA Act personnalisé pour votre PME ? Contact - 45 minutes gratuites pour identifier vos points d'attention prioritaires.

QUESTIONS FRÉQUENTES

Questions fréquentes.

Mon entreprise utilise ChatGPT/Claude pour des tâches simples - suis-je concerné par l'IA Act ?

Si vous utilisez l'IA pour des tâches à faible risque (rédaction emails, brainstorming, résumé), l'IA Act vous impose principalement la transparence : informer vos interlocuteurs si une IA est impliquée dans des interactions. Pas d'obligations lourdes. Si vous utilisez l'IA pour des décisions impactant des personnes (RH, crédit, évaluation), vous êtes dans le 'haut risque' avec toutes les obligations qui en découlent. La règle : c'est l'usage qui détermine le niveau, pas l'outil.

Quelles sont les obligations pour un usage 'risque limité' (interactions chatbot, deepfakes) ?

Article 50 de l'IA Act : transparence obligatoire. 1) Pour un chatbot : signaler clairement que l'utilisateur parle à une IA. 2) Pour des contenus générés par IA (texte, image, vidéo) : marquage de l'origine artificielle (techniquement et visuellement). 3) Pour des deepfakes : signalement explicite. Les sanctions en cas de non respect : jusqu'à 15M€ ou 3% du CA mondial. Donc même un simple chatbot doit afficher 'IA assistée'.

Que doit contenir le 'système de management du risque' obligatoire pour le haut risque ?

Documentation à maintenir à jour : 1) Identification des risques (que peut faire l'IA en cas de mauvais fonctionnement). 2) Estimation et évaluation de chaque risque (probabilité x impact). 3) Mesures de mitigation (ce qui est fait pour réduire le risque). 4) Évaluation des risques résiduels (ce qui reste après mitigation). 5) Tests de validation (preuves que le système fonctionne comme prévu). 6) Plan de gestion des incidents. Pour une PME, compter 5-10 jours de travail pour la première mise en place, puis revue annuelle.

Le marquage CE est-il obligatoire pour mon utilisation interne d'IA ?

Le marquage CE concerne les FOURNISSEURS de systèmes IA haut risque, pas les utilisateurs. Si vous utilisez un outil IA fourni par un tiers (Claude, ChatGPT, Mistral, ou un SaaS spécialisé), c'est le fournisseur qui doit avoir le marquage CE quand applicable. Vous, en tant qu'utilisateur, vous avez les obligations utilisateur (DPIA, supervision humaine, transparence). Vérifie cependant que vos fournisseurs ont effectivement le marquage CE pour les systèmes haut risque qu'ils te fournissent.

Quelle autorité française sanctionne les manquements à l'IA Act ?

En France, plusieurs autorités peuvent sanctionner selon le sujet : 1) CNIL pour les manquements données personnelles. 2) DGCCRF pour les manquements consommateurs. 3) Future 'Autorité française IA' qui sera désignée spécifiquement (en cours d'organisation, deux candidates : ANSSI ou structure ad-hoc). 4) Au niveau européen, l'AI Office (déjà opérationnel) coordonne pour les modèles fondationnels. La première mise en demeure significative à une PME française est attendue début 2027.

🛠️ Outils gratuits pour passer à l'action

Avant d'attaquer un audit payant, évaluez-vous gratuitement avec ces outils interactifs sans email-gate.

AI ACT · 5 MIN

Calculateur risque AI Act

10 questions, score sur 100 + classification (minimal / limité / haut risque). Sans email.

 CHECKLIST · 15 MIN

Checklist IA Act 35 points

Cases à cocher persistantes : auto-évaluation, registre, transparence, sous-traitants. Imprimable.

 TEMPLATE

Template registre AI Act

Mini-éditeur interactif, 13 champs par système. Export JSON, Markdown, PDF.

📚 POUR APPROFONDIR · COURS GRATUIT · 8 chapitres

IA Act 2026 pour TPE-PME

4 classes de risque, calendrier, registre, sanctions, bonnes pratiques. Conformité opérationnelle.

Suivre le cours →
POUR ALLER PLUS LOIN

Conformité IA Act + RGPD : nos ressources dédiées

HUB COMPLET

Hub conformité IA Act + RGPD

Articles, méthodologie, ressources gratuites (registre, calculateur, checklist), forfaits.

AUDIT PROFESSIONNEL

Audit conformité IA Act

3 forfaits publics : 1 500 € (1j), 6 000 € (4j), 10 500 € (7j). Inventaire + classification + plan d'action.

FORMATION 1 JOUR

Formation IA Act 2026

1 jour pour comprendre le cadre, classifier vos systèmes, monter votre conformité en interne.
Matthias Marin, fondateur AzenFlow

RÉDIGÉ PAR

Matthias Marin

Fondateur AzenFlow, cabinet de stratégie IA. 40+ automatisations en production active chez des TPE et PME françaises (depuis février 2025). 25 entreprises accompagnées. Formateur Claude Code à Albert School (MSc Finance & Data × Mines Paris PSL).

PROJET CONCRET ?

Cadrons votre projet en 45 minutes.

Audit gratuit pour identifier les bons cas d'usage IA et automatisation pour votre PME.

Réserver l'audit