AI Act 2026 : Guide Pratique pour les Entreprises Françaises
Le 2 août 2026 entrent en vigueur les obligations de l'AI Act avec des amendes jusqu'à 35M€. Guide opérationnel PME : checklist, CNIL, sandbox et aides.
Pourquoi le 2 août 2026 est-il la date clé pour les entreprises françaises ?
Le 2 août 2026, le Règlement UE 2024/1689 — l'AI Act — devient pleinement applicable aux systèmes d'intelligence artificielle classés à haut risque. À partir de cette date, les autorités nationales de surveillance peuvent prononcer des amendes allant jusqu'à 35 millions d'euros ou 7% du chiffre d'affaires mondial pour les infractions les plus graves. Pour les PME françaises, ce n'est pas une échéance lointaine réservée aux directions juridiques : c'est le jour où toute entreprise utilisant un outil de tri de CV, un système de credit scoring ou un assistant conversationnel devra démontrer sa conformité.
D'après les enquêtes de la CNIL et les études du Hub France IA publiées début 2026, plus de 60% des entreprises françaises qui utilisent des outils d'IA n'ont pas encore entamé de démarche formelle de mise en conformité. L'écart n'est pas technologique mais informationnel : les grands groupes disposent d'équipes dédiées et de juristes internes, les PME prennent du retard faute de guides opérationnels qui traduisent les articles du Règlement en checklists concrètes.
Ce guide répond précisément à ce besoin : ce qui change concrètement le 2 août 2026, comment fonctionnent les quatre niveaux de risque de l'AI Act, comment se répartit la supervision entre CNIL, DGCCRF et Arcom, quelles démarches engager dès maintenant, quelles sanctions sont en jeu et comment tirer parti des sandbox et dispositifs de soutien réservés aux PME et start-up. Avec des exemples concrets, des échéances précises et une checklist pensée pour les entreprises de moins de 250 salariés.
Le 2 août 2026 n'introduit pas seulement des obligations techniques : il marque le passage de la préparation à l'application effective. La CNIL a annoncé une intensification des contrôles sur les systèmes RH dès l'automne 2026, et collabore avec AESIA (Espagne) et AgID (Italie) sur les actions transfrontalières.
Quels sont les 4 niveaux de risque de l'AI Act ?
L'AI Act adopte une approche fondée sur le risque et classe les systèmes d'IA en quatre catégories : risque inacceptable (interdit), risque élevé, risque limité et risque minimal. La catégorie détermine les obligations applicables, allant de l'interdiction totale à la libre circulation avec de simples exigences de transparence. Comprendre dans quel niveau se situe chaque système est la première étape de toute démarche de conformité.
1. Risque inacceptable : les interdictions déjà en vigueur
Depuis le 2 février 2025, sont interdits dans toute l'UE les systèmes de social scoring étatique, la reconnaissance des émotions sur le lieu de travail et dans les établissements d'enseignement, la catégorisation biométrique fondée sur des données sensibles (origine ethnique, orientation sexuelle, convictions politiques) et le scraping non ciblé d'images faciales pour constituer des bases de données de reconnaissance. Pour les entreprises, cette interdiction est déjà opérationnelle : utiliser un système de surveillance émotionnelle pour évaluer la performance des salariés expose à la sanction maximale de 35 millions d'euros ou 7% du chiffre d'affaires.
2. Risque élevé : le cœur des obligations de 2026
La catégorie la plus exigeante opérationnellement. L'Annexe III de l'AI Act énumère huit domaines à haut risque : identification biométrique, infrastructures critiques, éducation et formation professionnelle, emploi et gestion des travailleurs, accès aux services publics et privés essentiels, maintien de l'ordre, gestion de la migration et de l'asile, administration de la justice. Cas très concrets pour les PME : outils de tri automatique de CV, credit scoring, évaluation de la performance des salariés, plateformes de gestion des risques santé ou assurance.
À partir du 2 août 2026, ces systèmes doivent respecter des exigences strictes : système de gestion des risques documenté sur l'ensemble du cycle de vie, qualité et représentativité des datasets d'entraînement, dossier technique complet, enregistrement automatique des logs, supervision humaine effective, inscription dans la base de données européenne, marquage CE et déclaration de conformité.
3. Risque limité : obligations de transparence
Comprend les chatbots, les assistants virtuels et les systèmes qui génèrent ou manipulent des contenus (deepfakes, images et textes produits par IA générative). L'obligation principale est la transparence : les utilisateurs doivent savoir qu'ils interagissent avec une machine et qu'un contenu a été généré par IA. Une PME qui utilise un chatbot sur son site ou un assistant vocal pour des réservations entre ici, avec des obligations d'étiquetage et d'information proportionnelles.
4. Risque minimal : usage libre
Filtres anti-spam, IA dans les jeux vidéo, systèmes basiques de recommandation, correcteurs grammaticaux. Pas d'obligations spécifiques au-delà des règles habituelles du droit de la consommation et de la protection des données. La majorité des systèmes d'IA actuellement utilisés dans les PME relève de cette catégorie : une fois les systèmes cartographiés, la mise en conformité est souvent plus accessible que prévu.
| Niveau de Risque | Exemples de Systèmes | Obligations Principales | Date d'Application |
|---|---|---|---|
| Inacceptable | Social scoring, reconnaissance émotions | Interdiction totale | 2 février 2025 |
| Élevé | Tri de CV, credit scoring, décisions RH | Gestion risques, dossier technique, CE | 2 août 2026 |
| Limité | Chatbots, deepfakes, contenus IA | Transparence et étiquetage | 2 août 2026 |
| Minimal | Anti-spam, recommandations, jeux | Aucune obligation spécifique | Immédiat |
Comment l'AI Act s'applique-t-il en France et quel est le rôle de la CNIL ?
En France, la mise en œuvre de l'AI Act s'appuie sur un dispositif pluriel : la CNIL joue un rôle central pour les aspects liés à la protection des données et à la transparence algorithmique, la DGCCRF intervient pour la loyauté des pratiques commerciales, l'Arcom pour les contenus audiovisuels et la lutte contre les deepfakes. L'ANSSI a un rôle technique en cybersécurité, tandis que l'ACPR supervise les cas d'usage dans le secteur financier.
La CNIL et l'intensification des contrôles
La CNIL a annoncé publiquement une intensification des contrôles sur les systèmes RH à partir de l'automne 2026, avec un focus sur les outils de recrutement, de notation des salariés et de surveillance. Les PME qui utilisent des logiciels RH contenant des composantes d'IA doivent anticiper ces contrôles en documentant l'usage, en informant les représentants du personnel et en préparant les éventuelles analyses d'impact.
Obligations supplémentaires issues du Code du travail
Le droit français impose des obligations supplémentaires pour l'utilisation de l'IA dans les fonctions RH : information et consultation du CSE pour les systèmes impactant l'organisation, droit du salarié à être informé des logiques décisionnelles, absence de discrimination algorithmique. Ces exigences se cumulent avec celles de l'AI Act, créant une double conformité française.
Coordination avec le RGPD
L'AI Act complète le RGPD sans le remplacer. Pour les traitements de données personnelles par l'IA, le RGPD reste le cadre principal, l'AI Act ajoutant des exigences techniques supplémentaires. La CNIL publie régulièrement des recommandations pratiques pour aligner les deux régimes : l'Espace Innovation et la sandbox IA de la CNIL sont des points d'entrée pertinents pour les PME. Evolus intègre des outils d'audit log et de traçabilité qui facilitent la préparation des preuves demandées par chaque autorité.
Checklist de conformité pour PME : par où commencer ?
La conformité à l'AI Act ne requiert pas de transformations technologiques radicales : elle requiert de la méthode, de la documentation et de la formation. Les PME peuvent atteindre un niveau acceptable de conformité en 8 à 12 semaines de travail structuré, sans coûts excessifs. Voici les cinq étapes opérationnelles à mener avant le 2 août 2026, par ordre de priorité.
1. Cartographie des systèmes d'IA utilisés
La première étape est l'élaboration d'un registre interne des systèmes d'IA : tous les outils qui contiennent des composantes d'intelligence artificielle (chatbots, logiciels RH, CRM avec lead scoring, plateformes de marketing automation, outils de génération de contenus, systèmes de vidéosurveillance intelligente, assistants vocaux). Pour chacun, on note fournisseur, finalité, catégorie de risque estimée, données traitées, responsable interne, date d'adoption.
2. Classification du risque
Pour chaque système cartographié, on vérifie la classification selon les critères de l'AI Act : est-ce un système à haut risque de l'Annexe III ? Est-ce un système à risque limité avec obligations de transparence ? La vérification n'est pas triviale : un outil de recrutement utilisant l'IA pour filtrer les CV entre dans les systèmes à haut risque, même si le fournisseur le décrit comme un simple outil d'aide à la décision. Le guide officiel de la Commission Européenne et les recommandations de la CNIL sont les références.
3. AI literacy : la formation obligatoire
L'Article 4 de l'AI Act impose une obligation d'alphabétisation sur l'IA pour l'ensemble du personnel qui utilise, développe ou gère des systèmes d'IA. À partir du 3 août 2026, les autorités peuvent vérifier le respect de cette obligation. Pas besoin de Master : il faut des parcours de formation documentés qui permettent aux collaborateurs de reconnaître les erreurs du système, de comprendre les biais algorithmiques et de vérifier la fiabilité des outputs. La documentation est essentielle : registre des heures, contenus traités, compétences acquises.
4. Gouvernance et documentation technique
Les systèmes à haut risque nécessitent un dossier technique complet : politique de gestion des risques, description du dataset d'entraînement, résultats des tests de performance et de biais, procédure de supervision humaine, plan de surveillance post-market, instructions d'utilisation. Les systèmes à risque limité nécessitent beaucoup moins : notice utilisateur, étiquetage des contenus générés par IA, procédure de gestion des réclamations. Evolus propose des outils de traçabilité, d'audit log et de reporting intégré qui simplifient la collecte systématique de ces preuves dans le temps.
5. Responsables et procédures
Nommer un référent IA interne (pas besoin d'un nouveau poste dédié : ce peut être le DPO existant, le responsable IT ou un membre de la direction), définir des procédures d'incident response pour les dysfonctionnements graves ou les résultats discriminatoires, planifier une revue annuelle du registre IA. La gouvernance n'est pas un document statique : c'est un cycle vivant.
- Semaines 1-2: cartographie de tous les systèmes d'IA
- Semaines 3-4: classification des risques et priorisation
- Semaines 5-8: formation AI literacy et documentation
- Semaines 9-10: nomination du référent IA et procédures
- Semaines 11-12: revue finale et audit interne
Une PME de 50 salariés avec 6 systèmes d'IA peut finaliser sa conformité avec un investissement estimé entre 8 000 et 15 000 euros, incluant formation, conseil juridique et mise à jour documentaire. Le coût moyen d'une sanction, même dans le régime atténué PME, est au moins 50 fois supérieur.
Quelles sont les sanctions de l'AI Act et qui les applique ?
Les sanctions de l'AI Act sont les plus sévères jamais introduites par une réglementation UE en matière numérique, supérieures même aux plafonds du RGPD. L'Article 99 du Règlement prévoit trois paliers d'amendes, calibrés selon la gravité de l'infraction. Pour les PME et start-up, un régime atténué s'applique : la sanction effective est le moindre entre le montant maximal fixe et le pourcentage sur le chiffre d'affaires.
Les trois paliers de sanctions de l'Article 99
| Type d'Infraction | Sanction Maximale | Date d'Application |
|---|---|---|
| Pratiques interdites (Art. 5) | 35 M€ ou 7% du CA mondial | En vigueur depuis le 2/2/2025 |
| Non-conformité systèmes haut risque | 15 M€ ou 3% du CA mondial | À partir du 2/8/2026 |
| Informations inexactes aux autorités | 7,5 M€ ou 1% du CA mondial | À partir du 2/8/2026 |
Le régime atténué pour les PME
Pour les PME (moins de 250 salariés et chiffre d'affaires inférieur à 50 millions d'euros) et les start-up, la sanction appliquée est le moindre entre le montant fixe et le pourcentage sur le chiffre d'affaires. Exemple concret : une PME avec 2 millions de CA qui enfreindrait les règles sur les systèmes à haut risque s'exposerait au maximum à 3% de 2 millions, soit 60 000 euros, et non 15 millions. Une protection concrète qui ne dispense pas des obligations substantielles.
Qui applique les sanctions
Les sanctions sont infligées par les autorités nationales de surveillance du marché. En France : CNIL pour la protection des données et la transparence algorithmique, DGCCRF pour la loyauté des pratiques commerciales, Arcom pour les contenus, ACPR pour le secteur financier. En Europe : AgID et ACN en Italie, AESIA en Espagne, BNetzA et régulateurs fédéraux en Allemagne. La Commission Européenne conserve des pouvoirs directs sur les modèles d'IA à portée systémique (GPAI).
Sandbox réglementaire et aides : que peut obtenir une PME ?
L'AI Act n'impose pas seulement des obligations : il introduit aussi un système d'aides spécifiques pour les PME et start-up qui souhaitent développer ou tester des solutions d'IA. L'Article 62 du Règlement prévoit un accès prioritaire et gratuit aux sandbox réglementaires nationales, des réductions sur les frais d'évaluation de conformité et une documentation technique simplifiée. En France, la CNIL opère une sandbox IA dédiée, particulièrement active depuis 2024.
Qu'est-ce qu'un sandbox réglementaire ?
Le sandbox réglementaire est un espace contrôlé d'expérimentation où une PME peut tester un système d'IA innovant en conditions réelles, sous la supervision d'une autorité nationale, sans risquer de sanctions pour la durée du test, à condition de respecter le plan convenu et de suivre de bonne foi les recommandations de l'autorité. C'est l'outil idéal pour innover sans se paralyser dans la bureaucratie.
Aides pour start-up innovantes et PME françaises
En 2026, les start-up et PME françaises peuvent accéder à un dispositif de soutien riche : Bpifrance avec ses prêts innovation et concours i-Nov, France 2030 avec ses volets IA (appels à projets IA de confiance), crédit d'impôt recherche (CIR) et crédit d'impôt innovation (CII), subventions régionales. Ces dispositifs sont cumulables avec les mesures de soutien à la conformité AI Act, rendant l'investissement en intelligence artificielle économiquement soutenable même pour les très petites entreprises.
Comment candidater au sandbox français
Pour accéder à la sandbox française, il faut déposer une candidature auprès de la CNIL avec un projet détaillé : description du système d'IA, objectifs d'expérimentation, données utilisées, mesures de mitigation des risques, plan de sortie. Le processus de sélection privilégie les solutions à impact sociétal ou industriel pertinent et les PME à profil innovant. Les guides opérationnels publiés par la CNIL et la Commission Européenne sont mis à jour mensuellement.
Foire aux questions sur l'AI Act 2026
Les PME de moins de 50 salariés sont-elles exemptées de l'AI Act ?
Non. L'AI Act s'applique à toutes les entreprises qui utilisent ou fournissent des systèmes d'IA, indépendamment de la taille. Des mesures atténuées sont néanmoins prévues pour les PME et start-up : documentation technique simplifiée, accès gratuit aux sandbox réglementaires, sanctions réduites au moindre entre montant fixe et pourcentage de chiffre d'affaires. Aucune exemption totale, mais un parcours allégé.
Notre chatbot de service client est-il un système à haut risque ?
Généralement non. Les chatbots de service client relèvent de la catégorie risque limité de l'AI Act, avec des obligations principalement de transparence : informer l'utilisateur qu'il interagit avec une machine et étiqueter les contenus générés par IA. Il devient à haut risque uniquement si le chatbot prend des décisions automatisées avec impact significatif, par exemple l'octroi d'un crédit ou l'exclusion d'un service essentiel.
Que se passe-t-il si nous utilisons des logiciels d'IA fournis par des entreprises hors UE ?
Si le système d'IA est utilisé dans l'UE ou produit des effets sur des citoyens européens, l'AI Act s'applique indépendamment du siège du fournisseur. La PME utilisatrice, dans son rôle de déployeur, doit vérifier que le fournisseur a rempli ses obligations (marquage CE, documentation technique, déclaration de conformité). La responsabilité pour un usage conforme reste toujours à l'entreprise française qui adopte la solution.
L'échéance du 2 août 2026 pourrait-elle être reportée ?
Une proposition de Digital Omnibus est en discussion au niveau européen, qui reporterait certaines échéances des systèmes à haut risque jusqu'au 2 décembre 2027. En avril 2026, la proposition n'a pas encore été adoptée : l'échéance du 2 août 2026 reste juridiquement contraignante. Les entreprises doivent poursuivre leur mise en conformité sans compter sur des reports non confirmés.
Quelle est la différence entre l'AI Act et le cadre national français ?
L'AI Act est le Règlement européen UE 2024/1689, directement applicable dans tous les États membres sans transposition. Le cadre national français s'y articule via la désignation des autorités (CNIL, DGCCRF, Arcom, ACPR), les obligations complémentaires du Code du travail pour les usages RH, et les dispositifs d'accompagnement (sandbox CNIL, Bpifrance). Les entreprises françaises doivent respecter les deux couches simultanément.
Comparez Evolus avec les concurrents
Découvrez comment Evolus se positionne face aux autres plateformes IA du marché.
Vous voulez voir l'IA en action ?
Demandez une démo personnalisée et découvrez comment l'intelligence artificielle peut transformer vos processus métier.