AI Act : J-51 avant le 2 aout 2026 — le plan d'action des 7 dernieres semaines pour les PME

Le 2 aout 2026, plusieurs obligations majeures de l'AI Act deviennent applicables : le regime des systemes a haut risque de l'annexe III, les obligations de transparence de l'article 50, le cadre de gouvernance national et le pouvoir de sanction des autorites. A la date de publication de cet article, il reste environ sept semaines. Pour une PME qui n'a pas encore commence, la question n'est plus "faut-il s'y mettre" mais "que faire en priorite avec le temps qui reste". Voici un plan realiste, semaine par semaine, concu pour une equipe qui n'a ni juriste dedie ni budget de cabinet.

L'objectif des 7 semaines n'est pas une conformite parfaite et figee. C'est d'etre en mesure de demontrer une demarche serieuse, documentee et de bonne foi au 2 aout : inventaire fait, risques classes, mesures en cours. Une autorite distingue toujours l'entreprise qui agit de celle qui ignore.

D'abord, evacuez deux idees fausses qui font perdre du temps

"L'AI Act ne concerne que les developpeurs d'IA." Faux. Si vous utilisez un outil d'IA dans un processus a enjeu — tri de CV, scoring de credit ou de locataire, aide a la decision RH, chatbot client, generation de contenu — vous etes deployeur et vous avez des obligations, meme si vous n'avez ecrit aucune ligne de code.

"Tous mes outils IA sont a haut risque." Faux aussi, et c'est une bonne nouvelle. La majorite des usages PME relevent du risque limite (transparence) ou minimal (aucune obligation contraignante). Le travail des premieres semaines consiste justement a faire le tri pour concentrer l'effort la ou il compte.

Semaines 1-2 : l'inventaire des systemes IA (la fondation)

On ne peut pas mettre en conformite ce qu'on n'a pas recense. Listez tous les systemes ou fonctionnalites d'IA en usage dans l'entreprise, y compris ceux que personne ne considere comme "de l'IA" : assistant de redaction, fonctions IA d'un CRM ou d'un ERP, outil de scoring, module de recommandation, chatbot, transcription automatique, detection de fraude, IA embarquee dans un logiciel metier.

Pour chaque systeme, notez : le fournisseur, la finalite (a quoi il sert concretement), les personnes concernees (clients, candidats, salaries), les donnees traitees, et votre role (fournisseur, deployeur, ou les deux). Cet inventaire est exactement ce qu'une autorite demandera en premier, et c'est aussi la base de tout le reste.

Astuce de cadrage : interrogez chaque service (marketing, RH, finance, support, production). Les usages d'IA "shadow", adoptes par une equipe sans validation centrale, sont la principale source d'angles morts.

Semaines 2-3 : classer chaque systeme par niveau de risque

L'AI Act repose sur une pyramide a quatre niveaux. Pour chaque entree de votre inventaire, posez la question dans l'ordre :

1. Pratique interdite ? (notation sociale, manipulation, exploitation de vulnerabilites, certaines reconnaissances biometriques). Si oui : arret immediat, c'est deja interdit depuis fevrier 2025.

2. Haut risque ? Releve de l'annexe III : IA utilisee en recrutement et gestion RH, scoring de credit, acces a des services essentiels, education et examens, certains usages biometriques, infrastructures critiques. Si oui : c'est ici que se concentre la charge documentaire (voir semaines 4-5).

3. Risque limite ? Chatbots, generation de contenu, systemes en interaction directe avec des personnes. Obligation principale : la transparence (article 50).

4. Risque minimal ? Le reste. Aucune obligation contraignante, mais documentez votre raisonnement pour pouvoir le justifier.

Le livrable de cette etape est une cartographie : chaque systeme rattache a un niveau, avec une justification d'une ligne. C'est ce qui transforme un inventaire brut en analyse defendable.

Semaines 4-5 : documentation et transparence (le coeur de l'effort)

Concentrez le temps restant sur les deux blocs qui generent de vraies obligations au 2 aout.

Pour vos systemes a haut risque (deployeur)

Vous n'avez pas a rediger la documentation technique du fournisseur, mais vous devez : utiliser le systeme conformement a sa notice, assurer une supervision humaine effective (une personne identifiee peut comprendre, contester et corriger une decision), conserver les journaux pertinents, surveiller le fonctionnement et signaler les incidents, et informer les personnes concernees quand une decision les visant repose sur un systeme a haut risque. Pour les organismes publics et certains acteurs, une analyse d'impact sur les droits fondamentaux (FRIA) peut etre requise.

Pour vos systemes a risque limite (transparence article 50)

Trois reflexes : un chatbot doit indiquer a l'utilisateur qu'il dialogue avec une machine ; un contenu genere par IA (image, audio, video, deepfake) doit etre signale comme artificiel ; un texte d'information publie doit etre signale s'il n'a pas fait l'objet d'une revue editoriale humaine. Ces mentions sont peu couteuses a mettre en place et tres visibles en cas de controle : ne les laissez pas pour la fin.

Semaine 6 : gouvernance et competences

Deux exigences transversales souvent oubliees. D'abord, l'article 4 (litteratie IA), applicable depuis fevrier 2025 : vous devez vous assurer que les personnes qui operent ou supervisent ces systemes ont un niveau de comprehension suffisant. Une sensibilisation interne documentee (qui a ete forme, quand, sur quoi) suffit pour une PME. Ensuite, designez un responsable de la conformite IA — meme a temps partiel, meme cumule avec le DPO. L'absence de pilote identifie est le signal le plus visible d'une demarche non tenue.

Semaine 7 : registre, plan d'amelioration et preuve de bonne foi

La derniere semaine consolide. Rassemblez dans un registre unique : l'inventaire, la cartographie des risques, les mesures prises par systeme, les mentions de transparence deployees, le nom du responsable et la trace des actions de sensibilisation. Pour ce qui n'est pas termine, formalisez un plan d'amelioration date : c'est la difference entre une entreprise en retard mais engagee et une entreprise en defaut. Au 2 aout, vous devez pouvoir ouvrir un dossier et montrer une demarche, pas une perfection.

Et les amenagements en discussion ? Ne pariez pas dessus

Des discussions au niveau europeen (paquet "Digital Omnibus") evoquent des ajustements de calendrier pour certaines obligations a haut risque. Tant qu'aucun texte modificatif n'est definitivement adopte et publie, la date du 2 aout 2026 reste le droit applicable. Construire son plan sur l'hypothese d'un report est un pari risque : les obligations de transparence et de gouvernance, elles, ne sont pas remises en cause.

Combien de temps si vous demarrez vraiment a zero ?

Pour une PME avec un nombre limite de systemes IA, le travail des semaines 1 a 3 (inventaire + classification) represente l'essentiel de la valeur et peut etre boucle en quelques jours-homme. La documentation et la transparence (semaines 4-5) dependent du nombre de systemes a haut risque — souvent un ou deux pour une PME. L'erreur a eviter est de tout vouloir parfait : mieux vaut un registre complet et honnete couvrant tous les systemes qu'une documentation impeccable sur un seul.

Gagner du temps avec un diagnostic structure

La partie la plus chronophage est le demarrage : savoir par quoi commencer, quelle question poser pour chaque systeme, comment classer sans se tromper. Un diagnostic de conformite adaptatif remplace la page blanche par un parcours guide : vous repondez a des questions sur vos usages, et vous obtenez en quelques minutes votre cartographie des risques, la liste des obligations applicables et un plan d'action priorise. C'est exactement le livrable des semaines 1 a 3, produit en une seule session.

A 51 jours de l'echeance, chaque jour gagne sur le cadrage est un jour rendu a l'action. Commencez par l'inventaire, classez, documentez le haut risque et la transparence, nommez un responsable. Le reste se construit ensuite, mais sur des fondations qui tiennent.