Cabinet · Format expert unique · France
CHAPITRE 4 / 8 11 min de lecture Planning

Calendrier IA Act pour PME :
les échéances jusqu'en 2028.

Le règlement n'arrive pas d'un coup. Il s'applique par étapes entre août 2024 et août 2028.

Ce chapitre vous donne la timeline complète, avec ce qui s'applique à vous à chaque date, et un planning trimestre par trimestre pour 2026 pour ne rater aucune échéance.

1. Pourquoi un calendrier en vagues ?

Le législateur européen a choisi une application progressive du règlement pour deux raisons. D'abord, certaines obligations (interdictions) doivent s'appliquer vite, dès qu'on identifie un usage dangereux. Ensuite, d'autres (haut risque, sanctions) demandent du temps pour que les entreprises se mettent en conformité, que les autorités s'organisent (création de l'AI Office à Bruxelles, désignation des autorités nationales).

Le règlement est entré en vigueur juridiquement le 1er août 2024, vingt jours après sa publication au Journal officiel. Mais ses dispositions deviennent opérationnelles à des dates différentes selon leur nature, étalées jusqu'au 2 août 2028. Le Digital Omnibus on AI (accord politique provisoire du 7 mai 2026) a reporté plusieurs échéances haut risque, intégrées dans le calendrier ci-dessous.

Pour vous, dirigeant de TPE ou PME, l'échéance qui compte vraiment est le 2 août 2026 : c'est ce jour-là que l'Article 50 (transparence) devient applicable. Les autres dates concernent surtout les fournisseurs de modèles, les autorités, ou des secteurs très spécifiques.

2. La timeline complète en un coup d'œil

Date Vague Ce qui devient applicable
1er août 2024 Entrée en vigueur Le règlement existe juridiquement (publication JO UE le 12 juillet)
2 février 2025 Vague 1 Interdictions (article 5) + obligation de littératie IA (article 4)
2 août 2025 Vague 2 Modèles à usage général (GPAI) + autorités nationales désignées + sanctions opérationnelles
2 août 2026 Vague 3 ⭐ Article 50 (transparence) + obligations de transparence des déployeurs
2 décembre 2026 Vague 4 (Digital Omnibus) Marquage des contenus générés (article 50, paragraphe 2) pour les systèmes pré-existants + nouvelles interdictions (contenus intimes non consentis, abus sur mineurs)
2 août 2027 Vague 5 (Digital Omnibus) Bacs à sable réglementaires nationaux (accès facilité pour les PME)
2 décembre 2027 Vague 6 (Digital Omnibus) Haut risque autonomes Annexe III (recrutement, scoring crédit, biométrie, infrastructures critiques, justice). Reporté du 2 août 2026.
2 août 2028 Vague 7 (Digital Omnibus) Haut risque intégrés à des produits réglementés (Annexe I). Reporté du 2 août 2027.

Pour 95 % des TPE et PME, la seule échéance à retenir est le 2 août 2026. Les autres concernent des fournisseurs (Big Tech, éditeurs SaaS) ou des secteurs très spécifiques (santé, automobile, dispositifs médicaux).

3. Vague 1 : 2 février 2025 (déjà passée)

Cette première vague est déjà active depuis février 2025. Elle couvre deux choses :

Les interdictions (article 5)

Toutes les pratiques interdites listées au chapitre 2 sont déjà bannies depuis le 2 février 2025 :

  • Manipulation comportementale par techniques subliminales ou exploitation de vulnérabilités
  • Notation sociale par autorités publiques ou entreprises
  • Identification biométrique temps réel non encadrée
  • Catégorisation biométrique sensible (origine, religion, opinions)
  • Scraping massif d'images faciales
  • Reconnaissance émotions au travail ou en école (sauf médical/sécurité)
  • Police prédictive sur profilage individuel

Pour vous : aucune action si vous ne tombez pas dans ces cas (rappel : 99 % des TPE et PME ne sont pas concernées). Si vous avez un doute sur un outil tiers, demandez la documentation de conformité au fournisseur.

L'obligation de littératie IA (article 4)

C'est le point qui concerne vraiment toutes les TPE et PME qui utilisent l'IA, et qui est passé sous le radar de la majorité.

L'article 4 impose aux fournisseurs et déployeurs d'assurer un niveau suffisant de littératie en matière d'IA de leur personnel. En clair : vos collaborateurs qui utilisent ChatGPT ou un outil IA doivent comprendre ce qu'ils font, les limites de l'outil, et les risques associés.

Pas de format imposé : ça peut être une session de formation interne d'1 heure, un memo écrit, un guide PDF de bonnes pratiques. Mais il faut quelque chose de documenté. C'est exactement le sujet de notre cours pilote "L'IA au travail pour TPE et PME", que vous pouvez utiliser comme support de formation interne.

4. Vague 2 : 2 août 2025 (déjà passée pour les fournisseurs)

Cette vague concerne principalement les fournisseurs de modèles à usage général (GPAI) : OpenAI (GPT), Anthropic (Claude), Google (Gemini), Mistral, Meta (Llama), etc.

Ce qui s'applique aux fournisseurs de GPAI

  • Documentation technique du modèle
  • Politique de respect du droit d'auteur sur les données d'entraînement
  • Résumé public des données utilisées pour l'entraînement
  • Marquage technique des contenus générés (filigrane numérique)
  • Pour les modèles "à risque systémique" (très grands) : obligations renforcées d'audit, de cybersécurité, de signalement d'incidents

Ce qui s'applique aux autorités

Chaque État membre a dû désigner une autorité nationale compétente (en France : la CNIL, avec une coordination par la DGE Bercy). L'AI Office européen est opérationnel à Bruxelles depuis cette date.

Pour les TPE-PME

Indirectement positif. Les fournisseurs de ChatGPT et compagnie sont désormais soumis à des obligations qui améliorent la qualité des informations qu'ils vous fournissent (documentation, marquage des images générées). Vous pouvez maintenant demander à vos fournisseurs SaaS avec IA leur "fiche système d'information" : ils sont obligés de l'avoir.

5. Vague 3 : 2 août 2026 (la vôtre) ⭐

C'est LA date qui vous concerne. Ce jour-là, l'Article 50 (transparence) devient applicable, avec les obligations de transparence des déployeurs. Les obligations haut risque Annexe III, initialement prévues à cette date, ont été reportées au 2 décembre 2027 (voir plus bas) :

Article 50 : la transparence

Tout ce qu'on a vu au chapitre 3 (mentions IA sur emails, chatbots, contenus, deepfakes) devient opposable. Si un client se plaint de ne pas avoir su qu'un email venait d'une IA, c'est un motif de mise en demeure recevable.

Haut risque Annexe III

Important : ces obligations ne s'appliquent plus au 2 août 2026. Le Digital Omnibus on AI (accord politique provisoire du 7 mai 2026, adoption formelle attendue avant le 2 août 2026) a reporté le haut risque Annexe III au 2 décembre 2027.

À cette date, les systèmes IA de haut risque (recrutement, scoring crédit, évaluation candidats, etc.) devront être conformes : registre, gestion des risques, supervision humaine effective, audit de biais, information des personnes concernées. Les obligations de transparence (Article 50), elles, restent applicables au 2 août 2026 : elles n'ont pas été reportées.

Obligations des déployeurs

Au-delà de l'Article 50, les déployeurs de systèmes haut risque ont des obligations spécifiques :

  • Utiliser le système conformément à la notice d'utilisation
  • Désigner une supervision humaine "compétente"
  • Surveiller le fonctionnement et signaler les incidents au fournisseur
  • Conserver les logs (pour les déployeurs en haut risque)
  • Effectuer une analyse d'impact sur les droits fondamentaux pour certains usages publics

Sanctions opérationnelles

Les autorités nationales peuvent sanctionner. Trois niveaux :

  • Jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour usage d'une pratique interdite
  • Jusqu'à 15 millions d'euros ou 3 % du CA pour manquement aux obligations sur les systèmes haut risque ou Article 50
  • Jusqu'à 7,5 millions d'euros ou 1 % du CA pour fourniture d'informations incorrectes aux autorités

En pratique pour les TPE-PME, les sanctions seront proportionnées (article 99). Pour une PME en mauvaise foi, on parle plus probablement de mises en demeure et amendes de quelques milliers à quelques dizaines de milliers d'euros que de millions. Le détail au chapitre 8.

6. Dernière vague : 2 août 2028 (haut risque produits)

Cette dernière vague, fixée au 2 août 2028 (reportée du 2 août 2027 par le Digital Omnibus on AI), concerne les systèmes IA intégrés dans des produits déjà réglementés (Annexe I du règlement) : dispositifs médicaux, jouets, machines, automobiles, ascenseurs, équipements de protection individuelle, etc.

Pour les TPE et PME qui développent ou intègrent de l'IA dans ce type de produits (cas rare hors industrie), l'IA intégrée doit respecter à la fois le règlement sectoriel existant ET les exigences IA Act.

Pour 99 % des PME, cette date n'a pas d'impact direct.

7. Votre planning trimestre par trimestre pour 2026

Pour vous mettre en conformité tranquillement avant le 2 août 2026, voici un planning de 4 trimestres :

8. Si vous démarrez en avril 2026 (compressé)

Si vous lisez ce cours en avril 2026, vous avez moins de 4 mois avant l'échéance. Voici une version compressée :

9. À retenir avant le chapitre suivant

  • Application par étapes entre août 2024 et août 2028
  • La date qui compte pour vous : 2 août 2026 (Article 50)
  • Vague 1 (déjà active) : interdictions + littératie IA (article 4)
  • Vague 2 (déjà active) : fournisseurs GPAI + autorités opérationnelles
  • Vague 3 (2 août 2026) : Article 50 + obligations de transparence des déployeurs + sanctions
  • Haut risque Annexe III reporté au 2 décembre 2027 ; haut risque produits réglementés (Annexe I) au 2 août 2028 (Digital Omnibus on AI)
  • Plan compressé en 4 mois si vous démarrez maintenant : 2 jours et demi

Au chapitre 5, on passe à l'auto-évaluation pratique : un questionnaire en 12 questions qui détermine votre classe de risque réelle pour chaque usage IA. Vous repartez avec votre cartographie personnalisée.

QUESTIONS FRÉQUENTES

Sur le calendrier.

Si je n'ai rien fait au 2 août 2026, je suis sanctionné automatiquement ?

Non. La CNIL n'envoie pas une équipe d'inspection à toutes les TPE françaises le 3 août. Le système fonctionne sur plainte ou contrôle ciblé. Le risque le plus immédiat est qu'un client mécontent (qui a découvert qu'un email venait d'une IA sans mention) signale à la CNIL, qui ouvre alors une enquête. Mais avoir préparé la conformité, même imparfaitement, est ce qui fait la différence entre une mise en demeure et une amende.

L'obligation de littératie IA (article 4), c'est sérieux pour une TPE de 5 personnes ?

Oui, mais l'effort est proportionné à la taille. Pour une TPE de 5 personnes, une réunion d'équipe d'1 heure pour expliquer ce qu'est ChatGPT, ses limites (hallucinations, données hors UE par défaut, pas de mémoire), et les bonnes pratiques (jamais de donnée client sensible dans un prompt) suffit. Documentez cette session par un compte-rendu d'1 page et c'est conforme.

Mes outils SaaS intègrent l'IA, suis-je en retard si je n'ai rien fait ?

Non, vous n'êtes pas en retard tant qu'on est avant le 2 août 2026. Démarrez le travail au T1 ou T2 2026 si possible. Et profitez-en pour demander à vos fournisseurs SaaS leur documentation de conformité IA Act : c'est leur obligation depuis août 2025, ils doivent vous la fournir.

Le règlement va-t-il être assoupli avant 2027 sous pression des entreprises ?

Possible, mais ne misez pas dessus. La Commission a déjà publié des FAQ et des lignes directrices qui clarifient (et parfois assouplissent) certains points, mais le cœur du règlement est solide. Les obligations Article 50, qui sont les plus pertinentes pour les PME, sont consensuelles et ne devraient pas bouger. Préparez-vous pour le texte tel qu'il est aujourd'hui.

Quelle date pour avoir un audit professionnel ?

Idéalement au T1 2026 (premier trimestre). Cela vous laisse 3 trimestres pour appliquer les recommandations sans pression. Notre audit gratuit de 45 minutes peut servir de premier cadrage : on identifie ensemble vos usages IA, votre classe de risque, et un plan d'action. Si vous voulez aller plus loin, on propose un audit complet payant.

← CHAPITRE 3

Article 50 : la transparence obligatoire

CHAPITRE 5 →

Auto-évaluation : votre niveau de risque

Bientôt en ligne.

POUR ALLER PLUS LOIN

Conformité IA Act + RGPD : nos ressources dédiées

HUB COMPLET

Hub conformité IA Act + RGPD

Articles, méthodologie, ressources gratuites (registre, calculateur, checklist), forfaits.

AUDIT PROFESSIONNEL

Audit conformité IA Act

3 forfaits publics : 1 500 € (1j), 6 000 € (4j), 10 500 € (7j). Inventaire + classification + plan d'action.

FORMATION 1 JOUR

Formation IA Act 2026

1 jour pour comprendre le cadre, classifier vos systèmes, monter votre conformité en interne.
PLAN PERSONNALISÉ ?

Votre roadmap conformité en 45 minutes.

Audit gratuit pour identifier votre situation et construire votre planning trimestre par trimestre, adapté à votre PME.

Réserver l'audit