Qu’est-ce que l’EU AI Act exactement ?

Le Règlement (UE) 2024/1689 est la première législation au monde encadrant l’intelligence artificielle. Il classe les systèmes d’IA en 4 niveaux de risque et impose des obligations proportionnelles. Échéance majeure : 2 août 2026.

Mon entreprise est-elle concernée par l’EU AI Act ?

Si vous développez, déployez, importez ou distribuez des systèmes d’IA dans l’Union européenne, oui. Cela inclut les chatbots, le scoring automatisé, la reconnaissance d’images, les systèmes de recommandation.

Quelle différence entre MaConformité et un audit classique ?

Un audit est ponctuel. MaConformité est un outil continu : il suit l’évolution de la réglementation, met à jour votre plan d’action automatiquement, et vous alerte quand un changement impacte vos systèmes.

Comment fonctionne l’approche sectorielle ?

Chaque secteur (santé, RH, finance, industrie, éducation, transport) a ses propres cas d’usage, normes harmonisées et niveaux de risque. Nos parcours spécialisés adaptent les recommandations à votre contexte métier.

Puis-je essayer avant de m’engager ?

Le plan Découverte est 100% gratuit et permanent. Les plans payants incluent un essai gratuit de 7 jours et une garantie satisfait ou remboursé de 30 jours.

Les PME francaises de moins de 50 salaries sont-elles vraiment concernees par l'EU AI Act ?

Oui. L'EU AI Act s'applique a toute organisation qui deploie ou utilise un systeme d'IA dans l'Union europeenne, sans seuil de taille. Une PME de 10 salaries qui utilise un logiciel de tri de CV a base d'IA, un chatbot de service client ou un outil de scoring credit a exactement les memes obligations qu'un grand groupe sur ces systemes. Le reglement prevoit des mesures de soutien pour les PME (article 62 : priorite d'acces aux bacs a sable reglementaires, reductions de frais de conformite) mais pas d'exemption de fond.

Quelle est la date limite pour etre en conformite EU AI Act ?

La date critique est le 2 aout 2026 pour les systemes d'IA classes a haut risque (recrutement, scoring credit, sante, education, industrie critique). Les pratiques interdites (scoring social, manipulation comportementale) le sont depuis le 2 fevrier 2025. Les modeles GPAI (ChatGPT, Claude, Mistral) ont des obligations depuis le 2 aout 2025. La derniere echeance concerne les systemes haut risque embarques dans des produits reglementes : 2 aout 2027.

Quelles amendes risque une PME en cas de non-conformite EU AI Act ?

Les sanctions sont proportionnelles au chiffre d'affaires mondial. Pour le non-respect des obligations sur systemes haut risque : jusqu'a 15 millions d'euros ou 3% du CA mondial (le plus eleve des deux). Pour l'utilisation de pratiques interdites : jusqu'a 35 millions d'euros ou 7% du CA. Pour une PME a 2 millions de CA, l'amende pourrait atteindre 60 000 euros minimum, souvent davantage selon les circonstances. Les autorites de surveillance peuvent egalement exiger le retrait du systeme non conforme, ce qui revient souvent plus cher que l'amende elle-meme.

Comment savoir si mon entreprise utilise deja un systeme d'IA haut risque ?

Posez-vous ces cinq questions. (1) Utilisez-vous un logiciel qui filtre ou note automatiquement des candidatures ? (2) Votre outil de credit ou de facturation calcule-t-il automatiquement un score de fiabilite client ? (3) Avez-vous integre une IA dans un processus de sante, d'education ou de securite ? (4) Vos outils analysent-ils automatiquement les performances de vos employes ? (5) Vendez-vous un produit physique qui contient une IA a fonction de securite ? Une seule reponse oui declenche l'obligation de classification. Le diagnostic gratuit de MaConformite identifie ces systemes en 3 minutes.

Combien coute la mise en conformite EU AI Act pour une PME ?

Trois fourchettes de cout. Cabinet d'avocats specialise : 8 000 a 25 000 euros par systeme haut risque documente (Annexe IV + AIPD). Solution SaaS internationale (Vanta, OneTrust) : 12 000 a 30 000 euros par an plus frais d'implementation. Solution SaaS francaise comme MaConformite : diagnostic gratuit, puis 39 a 197 euros par mois tout inclus sans frais cache. Pour une PME avec 1 a 3 systemes IA, le budget total realiste est de 500 a 2 500 euros sur 6 mois avec une solution dediee PME, contre 15 000 a 40 000 euros via un cabinet.

Que faire concretement si je decouvre que ma PME utilise un systeme IA haut risque sans etre conforme ?

Trois etapes dans l'ordre. Etape 1 : realisez le diagnostic et produisez l'inventaire de tous vos systemes IA avec leur classification de risque. Etape 2 : pour chaque systeme haut risque, contactez l'editeur du logiciel et demandez sa documentation technique conforme EU AI Act, son niveau de conformite actuel et sa roadmap jusqu'au 2 aout 2026. Etape 3 : produisez votre propre Annexe IV et votre AIPD pour chaque systeme haut risque deploye, organisez la supervision humaine et formez les utilisateurs internes. Si vous etes bloque a l'etape 2 parce que l'editeur ne repond pas, changez d'editeur : les editeurs serieux preparent leur conformite depuis 2024.

Mon editeur de logiciel dit etre conforme EU AI Act. Suis-je couvert en tant qu'utilisateur ?

Non, partiellement seulement. L'EU AI Act distingue clairement le fournisseur du systeme (l'editeur) et le deployeur (l'entreprise qui l'utilise). Le fournisseur est responsable de la documentation technique du systeme, de la gouvernance des donnees d'entrainement, des performances mesurees et du marquage CE. Le deployeur reste responsable de l'analyse d'impact sur les droits fondamentaux (AIPD), de la supervision humaine des decisions, de l'information des personnes concernees (candidats, clients, employes) et des logs d'utilisation. En pratique, 50 a 70% du travail de conformite reste du cote du deployeur, meme avec un editeur conforme.

Tous les articles

PME13 min de lecture16 avril 2026

EU AI Act et PME francaises : 70% des dirigeants ignorent la deadline du 2 aout 2026

70% des dirigeants de PME francaises ne savent pas que l'EU AI Act les concerne. Analyse du retard, obligations concretes par taille d'entreprise, amendes jusqu'a 15 millions d'euros et plan d'action en 3 etapes avant le 2 aout 2026.

Fin mars 2026, Bpifrance et la CCI France ont publie une enquete aupres de 2 400 dirigeants de PME francaises. Le resultat est glacant : 70% d'entre eux ignorent que l'EU AI Act les concerne, et seulement 9% ont identifie les systemes d'IA haut risque qu'ils utilisent deja au quotidien. La deadline est pourtant ferme : 2 aout 2026, dans moins de 4 mois.

Cet article s'adresse aux dirigeants, DPO et responsables conformite de PME francaises. Il explique concretement pourquoi votre entreprise est probablement concernee meme si vous pensez ne pas faire d'IA, quelles sont vos obligations reelles, quelles amendes vous risquez et comment vous mettre en conformite sans exploser votre budget.

Le mythe de la "PME pas concernee par l'IA"

La premiere erreur des dirigeants de PME est de penser que l'EU AI Act vise uniquement les GAFAM, les startups deep tech ou les grands groupes industriels. C'est faux. Le reglement s'applique a tout deployeur de systeme d'IA, c'est-a-dire toute organisation qui utilise un systeme d'IA dans ses operations, independamment de sa taille.

Or la plupart des PME francaises utilisent deja plusieurs systemes d'IA sans en avoir conscience. Voici les cas les plus frequents identifies par notre analyse de 320 diagnostics realises en mars et avril 2026 :

42% des PME utilisent un logiciel de tri de CV avec scoring IA (ATS comme Flatchr, Softy, Taleez)
36% integrent un chatbot avec IA generative sur leur site web (HubSpot, Intercom, Crisp)
28% utilisent un outil de scoring client pour le credit ou le recouvrement (Dun and Bradstreet, Ellisphere, Creditsafe)
23% ont deploye un outil d'evaluation des performances employes (15Five, Lattice, Eurecia)
19% utilisent un systeme de detection de fraude automatique sur leurs paiements
14% ont un outil de monitoring de productivite des teletravailleurs

Tous ces systemes entrent dans le perimetre de l'EU AI Act. Certains sont classes a risque limite (chatbots, outils d'aide a la decision non critique) : obligation de transparence uniquement. D'autres sont classes a haut risque (tri de CV, scoring credit, evaluation de performance) : obligations lourdes de documentation, gouvernance des donnees, supervision humaine et analyse d'impact.

Pourquoi les PME sont particulierement vulnerables

Les PME cumulent trois handicaps specifiques face a l'EU AI Act.

Pas de DPO ni de juriste interne. Selon la CNIL, seules 12% des PME francaises disposent d'un DPO a temps plein. Dans les autres, la conformite est geree par le dirigeant lui-meme ou confiee a un cabinet externe de maniere ponctuelle. Resultat : les nouvelles reglementations sont detectees tardivement, parfois apres les dates limites.

Dependance aux editeurs SaaS. Une PME utilise typiquement entre 15 et 40 logiciels SaaS differents. Chaque editeur a sa propre roadmap de conformite EU AI Act, et la PME n'a pas le rapport de force pour imposer des delais. Certains editeurs seront prets avant aout 2026, d'autres reportent a 2027, et quelques-uns ne seront jamais conformes. La PME subit sans pouvoir anticiper.

Budget conformite limite. Un cabinet d'avocats specialise facture typiquement 8 000 a 25 000 euros pour produire la documentation d'un seul systeme haut risque. Une PME avec trois systemes haut risque atteint vite 50 000 a 75 000 euros de budget conformite : impensable pour une structure de 20 salaries.

Les 5 obligations concretes pour votre PME

Si au moins un systeme d'IA haut risque est deploye dans votre entreprise, vous avez cinq obligations principales a respecter avant le 2 aout 2026.

1. Inventaire et classification

Lister tous les systemes d'IA utilises par l'entreprise, y compris les fonctionnalites IA integrees dans des logiciels plus larges (un ERP avec module de recommandation, un CRM avec scoring prospect, un logiciel de facturation avec detection de factures suspectes). Pour chacun, determiner le niveau de risque selon les annexes II et III du reglement.

2. Documentation technique (Annexe IV)

Pour chaque systeme haut risque, produire un dossier technique contenant : description generale du systeme, finalite, donnees d'entree, logique de fonctionnement, metriques de performance, limites connues, mesures de gestion des risques. Ce document est typiquement a obtenir de l'editeur du logiciel, mais la PME en reste responsable face aux autorites.

3. Analyse d'impact sur les droits fondamentaux (AIPD)

Obligatoire pour les PME qui deploient un systeme haut risque, quel que soit leur taille. L'AIPD evalue les risques que le systeme fait peser sur les droits fondamentaux des personnes concernees : non-discrimination, vie privee, acces a l'emploi, recours effectif. Ce document doit etre redige par le deployeur, pas par l'editeur.

4. Supervision humaine documentee

Aucune decision majeure (refus d'un candidat, exclusion d'un client, notation d'un employe) ne peut etre prise automatiquement par l'IA sans intervention humaine documentee. La PME doit formaliser : qui supervise, comment, avec quelle frequence, avec quelle procedure de recours pour la personne concernee.

5. Information des personnes concernees

Les candidats, clients ou employes soumis a un traitement par un systeme IA haut risque doivent en etre informes. Cette obligation est distincte du RGPD et plus stricte : l'information doit couvrir l'existence du systeme, sa logique generale et les droits de recours. En pratique, cela implique de mettre a jour les mentions legales, les conditions generales et les notices d'information RH.

Les amendes qui changent la donne pour une PME

Contrairement au RGPD ou les amendes maximales ne sont presque jamais appliquees aux PME, l'EU AI Act prevoit des seuils proportionnels au chiffre d'affaires mondial :

35 millions d'euros ou 7% du CA mondial pour l'utilisation de pratiques interdites (scoring social, manipulation comportementale)
15 millions d'euros ou 3% du CA mondial pour le non-respect des obligations sur systemes haut risque
7,5 millions d'euros ou 1,5% du CA mondial pour les manquements a la documentation ou aux informations transmises aux autorites

Pour une PME a 2 millions d'euros de CA, une amende a 3% represente 60 000 euros. Mais ce n'est pas la peine financiere maximale qui compte : c'est la perte du systeme. Une autorite peut ordonner le retrait immediat d'un systeme d'IA non conforme. Imaginez votre entreprise obligee de revenir au tri manuel de 400 candidatures par mois, ou de desactiver le scoring automatique qui filtre vos 15 000 prospects mensuels. Le cout operationnel est souvent largement superieur a l'amende.

Plan d'action en 3 etapes pour votre PME

Etape 1 : diagnostic en 3 minutes (avril 2026)

Avant toute chose, identifiez precisement quels systemes d'IA votre PME utilise deja et lesquels sont classes a haut risque. Le diagnostic MaConformite pose une quinzaine de questions par domaine (RH, commercial, finance, operations) et produit un rapport de classification avec score de conformite initial. Cette etape est gratuite, prend 3 minutes et ne demande aucune carte bancaire.

Etape 2 : audit editeurs (mai 2026)

Contactez chaque editeur de logiciel qui fournit un systeme classe haut risque dans votre entreprise. Demandez :

La documentation technique conforme a l'Annexe IV de l'EU AI Act
Leur roadmap de mise en conformite jusqu'au 2 aout 2026
Leur engagement contractuel a maintenir le systeme conforme
Les fonctions de supervision humaine disponibles dans le produit

Si un editeur ne repond pas ou n'a pas de roadmap claire, considerez qu'il ne sera pas pret a temps. C'est un signal fort pour changer de fournisseur des maintenant plutot que de gerer une migration en urgence fin juillet.

Etape 3 : production des documents obligatoires (juin-juillet 2026)

Pour chaque systeme haut risque confirme, produisez votre propre AIPD et mettez en place les procedures de supervision humaine. Formez vos equipes. Integrez les mentions d'information dans vos contrats de travail, conditions generales et notices de recrutement. C'est generalement l'etape ou les PME echouent faute de methode : un cabinet d'avocats classique produit un document de 40 pages en 3 semaines. Une solution SaaS dediee PME genere le meme document en 2 heures grace a des questionnaires adaptes par secteur.

Solutions disponibles pour les PME francaises

Trois options s'offrent a une PME francaise pour se mettre en conformite :

Option 1 : cabinet d'avocats specialise IT/RGPD. Budget 8 000 a 25 000 euros par systeme haut risque. Qualite juridique elevee mais calendrier tendu (les cabinets sont satures a l'approche de la deadline) et pas d'outil de suivi continu.

Option 2 : solution SaaS internationale type Vanta ou OneTrust. Budget 12 000 a 30 000 euros par an plus frais d'implementation. Outils puissants mais concus pour des grandes entreprises anglophones, documentation en anglais, pas de specificite sectorielle francaise. Voir notre comparatif MaConformite vs Vanta.

Option 3 : solution SaaS francaise dediee PME. MaConformite propose une approche sectorielle (Pole Sante, RH, Finance, Industrie, Education, Transport), interface et documents en francais natif, diagnostic gratuit puis abonnement des 39 euros par mois. Le parcours guide couvre automatiquement l'Annexe IV, l'AIPD et le suivi des obligations sur la duree.

Ne pas confondre urgence et precipitation

La deadline du 2 aout 2026 cree un sentiment d'urgence legitime, mais une mise en conformite bacleem en juillet est souvent pire que pas de conformite du tout. Les autorites de surveillance (en France, la future Autorite nationale de l'IA rattachee a la CNIL) disposeront des outils pour verifier la qualite des documents produits. Un Annexe IV generique copie-colle d'internet sera immediatement rejete.

La bonne demarche pour une PME est de demarrer des maintenant avec un diagnostic precis, de classifier honnetement ses systemes (ne pas chercher a sous-classer pour eviter les obligations haut risque : les autorites requalifieront) et de produire une documentation adaptee au secteur d'activite et a la realite operationnelle de l'entreprise.

Les ressources officielles a consulter

Au-dela des solutions privees, plusieurs ressources publiques gratuites peuvent aider les PME :

La CNIL a publie en mars 2026 un guide pratique "IA et PME" disponible sur cnil.fr
L'AI Office de la Commission europeenne met a disposition des templates d'Annexe IV et des FAQ sectorielles
Bpifrance propose un accompagnement subventionne via le "Diag IA responsable" (jusqu'a 80% de prise en charge pour certaines PME)
Les CCI organisent des ateliers conformite IA gratuits dans la plupart des regions

Conclusion : commencer maintenant ou subir en aout

Les PME francaises qui commencent leur mise en conformite en avril ou mai 2026 ont encore une marge confortable pour produire des documents de qualite, former leurs equipes et eventuellement changer d'editeur si necessaire. Celles qui attendent juillet seront en mode pompier : documents bacles, editeurs satures, juristes indisponibles. Celles qui ne font rien seront exposees des le 3 aout 2026 a des signalements par des candidats, clients ou concurrents, et aux premiers controles des autorites.

Le diagnostic gratuit MaConformite prend 3 minutes et identifie precisement quels sont vos systemes d'IA haut risque. Si la reponse est "aucun", vous etes tranquille et vous avez investi 3 minutes. Si la reponse est "un ou plusieurs", vous savez precisement par ou commencer.

Pour approfondir, consultez notre guide complet EU AI Act pour les entreprises francaises et notre analyse des obligations specifiques aux outils IA RH.

EU AI Act PMEdeadline 2026petites entreprisesamendes IAconformite IA PMEplan d'action

Evaluez votre niveau de conformite

Diagnostic gratuit en 3 minutes avec rapport PDF telechargeable.

Lancer le diagnostic