Janvier 2026, dans une PME industrielle de la région lyonnaise, le DSI vient de faire la liste des outils d’intelligence artificielle utilisés en interne. Bilan : sept outils différents, dont quatre adoptés par les salariés sans validation préalable. ChatGPT pour rédiger les comptes rendus, un assistant pour le tri des CV, un agent commercial qui pré-qualifie les leads, un outil de traduction automatique pour l’export. Personne n’a vu venir l’AI Act. Personne ne sait dans quelle catégorie tombent ces usages. Et personne, dans le comité de direction, n’a encore tranché sur la position à adopter.
Cette scène se répète en ce moment dans des centaines d’entreprises françaises. Pas par négligence, plutôt parce que le règlement européen sur l’intelligence artificielle est passé sous le radar pendant deux ans, le temps que les usages explosent. Aujourd’hui le calendrier se resserre, et les dirigeants découvrent qu’ils sont concernés bien plus largement qu’ils ne le pensaient.
Un règlement qui s’applique par paliers
L’AI Act a été adopté par les vingt-sept en mai 2024 et publié au Journal officiel de l’UE en juillet de la même année. Entrée en vigueur : 1er août 2024. Mais l’application a été étalée pour donner du temps aux entreprises et aux administrations de s’organiser. Premier jalon, février 2025 : interdiction des pratiques jugées « inacceptables ». Manipulation cognitive, notation sociale à la chinoise, identification biométrique de masse en temps réel dans les espaces publics. Deuxième jalon, août 2025 : obligations sur les modèles dits « à usage général », avec en ligne de mire les ChatGPT, Mistral, Claude et autres systèmes capables de couvrir une multitude de tâches.
La grosse échéance arrive maintenant. À partir d’août 2026, les obligations principales sur les systèmes d’IA à haut risque entrent en application. Recrutement, gestion du personnel, accès au crédit, accès à l’éducation, dispositifs médicaux, infrastructures critiques : tous ces usages basculent dans un régime exigeant. Évaluation de conformité, documentation technique, supervision humaine, transparence vis-à-vis de l’utilisateur, journalisation des décisions : la liste est longue et ne tolère pas l’à-peu-près. L’application pleine et entière du règlement est attendue en août 2027.
Pour une PME française, le calendrier qui compte n’est donc pas celui de juillet 2024 mais celui de l’été 2026. Trois mois de marge, pas davantage, pour cartographier ses outils, identifier ceux qui basculent en haut risque, et lancer les chantiers de conformité.
Quatre niveaux de risque, des obligations très différentes
Le règlement classe les systèmes d’IA en quatre catégories. Risque inacceptable : interdit, point. Risque haut : autorisé sous conditions strictes. Risque limité : obligations de transparence, comme signaler à l’utilisateur qu’il interagit avec une IA. Risque minimal : pas d’obligation particulière, en dehors des bonnes pratiques.
Pour la majorité des PME, l’enjeu se situe à la frontière entre risque haut et risque limité. Un chatbot client tombe en risque limité : il faut juste informer l’utilisateur. Un outil qui trie automatiquement les candidatures à l’embauche, lui, bascule en haut risque. Pareil pour un système qui évalue la solvabilité d’un client avant d’accorder un délai de paiement, ou pour un dispositif d’aide au diagnostic médical. La liste des cas d’usage classés haut risque est inscrite dans une annexe du règlement, et cette annexe peut évoluer en fonction des révisions ultérieures.
Les obligations associées au haut risque ne se résument pas à de la paperasse. Documentation technique, suivi des performances, gestion des biais, journalisation, supervision humaine effective, déclaration auprès du registre européen : un dispositif complet qui suppose des compétences que beaucoup de PME n’ont pas en interne. D’après une étude du cabinet Intellera publiée fin 2024, le coût de mise en conformité pour une PME qui utilise un système à haut risque est estimé entre 9 000 et 23 000 euros la première année, hors investissement matériel et hors temps interne mobilisé.
Des sanctions calées sur le RGPD, en plus sévère
Bruxelles a calibré son barème en s’inspirant du RGPD, en haussant un peu les plafonds. Pour une infraction aux interdictions absolues : jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial annuel, le montant le plus élevé étant retenu. Pour les autres manquements aux obligations principales : jusqu’à 15 millions ou 3 % du CA. Pour les informations inexactes fournies aux autorités : 7,5 millions ou 1 %.
Ces plafonds visent surtout les géants américains et chinois. En pratique, les autorités nationales adapteront les sanctions à la taille des entreprises, comme la CNIL le fait depuis huit ans pour le RGPD. Mais l’effet psychologique joue à plein. Un dirigeant de PME ne risque pas une amende à neuf chiffres, certes. Une procédure même modeste peut malgré tout peser plusieurs dizaines de milliers d’euros, mobiliser le management pendant des semaines, et écorner sérieusement la réputation auprès des clients et partenaires.
L’expérience des contraintes liées au RGPD doit servir de boussole. Ceux qui avaient pris le sujet au sérieux dès 2017 ont absorbé la mise en conformité sans drame. Ceux qui ont attendu mai 2018 et l’avalanche de sollicitations ont payé deux à trois fois le prix.
Ce que la France a choisi de faire
Chaque État membre devait désigner ses autorités compétentes avant août 2025. Paris a tranché pour un trio : la CNIL pour les questions de protection des données, l’Autorité de régulation de la communication audiovisuelle et numérique (Arcom) pour la transparence des contenus générés par IA, et l’Agence nationale de la sécurité des systèmes d’information (Anssi) pour les enjeux de cybersécurité. La coordination interministérielle a été confiée à la Direction générale des entreprises.
Le règlement impose aussi à chaque pays de mettre en place au moins un « bac à sable » réglementaire, soit un environnement contrôlé où les entreprises peuvent tester leurs systèmes IA en interagissant avec le régulateur. La France a ouvert le sien à l’automne 2025, piloté par la CNIL et le Pôle interministériel d’expertise et de régulation numérique. Les premières PME admises ont commencé à l’utiliser cette année. C’est une opportunité concrète, et elle est encore peu connue des dirigeants.
Au-delà de l’AI Act, la régulation de l’IA s’inscrit dans une logique de souveraineté numérique européenne que la Commission revendique ouvertement. Le pari, c’est qu’en imposant un cadre exigeant, l’UE force les acteurs mondiaux à s’aligner sur ses standards. C’est ce qui a marché avec le RGPD. Reste à voir si l’effet Bruxelles se reproduit avec l’intelligence artificielle, alors que la Chine et les États-Unis ont des approches radicalement différentes.
Trois priorités pour un dirigeant qui démarre
La première priorité, c’est la cartographie. Avant même d’envisager des chantiers de mise en conformité, il faut savoir quels outils d’IA sont utilisés dans l’entreprise, par qui, pour quoi faire. Cette photographie ne se fait pas depuis un bureau de direction : elle suppose un échange avec les équipes opérationnelles, qui ont souvent adopté des outils sans en parler au DSI ou au juridique. On parle parfois de « shadow AI » pour décrire ces usages clandestins. Le terme est nouveau, le phénomène ne l’est pas.
La deuxième priorité, c’est la classification des usages. Pas besoin d’un cabinet d’avocats à 800 euros de l’heure pour les cas évidents. Un chatbot client, un outil de génération de visuels marketing, un assistant de rédaction tombent dans le risque limité. Un outil d’aide au recrutement, un système de scoring crédit, un dispositif de surveillance des salariés méritent un examen approfondi. La distinction entre « fournisseur » d’un système IA, celui qui le développe ou le commercialise, et « déployeur », celui qui l’utilise, est centrale. La plupart des PME sont déployeurs, ce qui allège les obligations sans les supprimer.
La troisième priorité, c’est la gouvernance interne. Désigner un responsable IA, formaliser une charte d’usage, prévoir un point régulier en comité de direction : ce sont des gestes simples qui permettent de ne pas se faire surprendre par une demande client ou un audit. Les grands donneurs d’ordres commencent à interroger leurs sous-traitants sur leurs pratiques IA, exactement comme ils l’ont fait pour le RGPD il y a sept ans. Les PME qui anticipent ce mouvement sécurisent leur position commerciale en même temps que leur conformité.
Une contrainte, mais aussi une opportunité
Il serait dommage de réduire l’AI Act à une corvée bruxelloise. Le règlement crée un cadre commun à 450 millions de consommateurs, ce qui est, en soi, un atout pour les PME qui veulent industrialiser des usages de l’IA et les déployer à l’échelle européenne sans devoir composer avec vingt-sept régulations différentes. Le marché unique européen joue ici son rôle, comme il l’a fait pour la libre circulation des biens depuis 1993.
Pour les dirigeants qui choisissent d’investir, la clé tient en deux mots : sobriété et traçabilité. Pas besoin de courir après le dernier modèle d’IA générative à la mode. Mieux vaut bien documenter trois usages bien choisis que mal couvrir dix outils dispersés dans l’organisation. La conformité, dans ce domaine comme dans d’autres, commence par la clarté sur ce que l’on fait.
Le calendrier est court mais tenable. Les bouleversements politiques européens ne vont pas attendre que les PME françaises se mettent en ordre de marche. Ceux qui prennent le sujet à bras-le-corps maintenant transformeront une obligation réglementaire en levier de différenciation. Ceux qui attendent l’été 2026 paieront probablement le prix de l’urgence. Et ce prix, sur le terrain, ne sera pas seulement financier.