IA Act : 5 actions concrètes pour mettre votre PME en conformité en 2026
Selon le baromètre Qonto/France Numérique publié en 2024, deux PME françaises sur trois (67 %) utilisent désormais au moins un outil d'intelligence artificielle. ChatGPT pour rédiger des emails, un ATS pour trier des CV, un chatbot pour le service client, une IA de génération de devis….
Ce chiffre place la France sur le podium européen, derrière l'Allemagne (78 %) et l'Espagne (69 %). Et parmi les entreprises qui n'ont pas encore sauté le pas, 30 % prévoient de le faire à court terme.
Le problème ? La majorité de ces entreprises ne savent pas qu'elles sont désormais soumises à un cadre réglementaire précis. Et que les premières sanctions peuvent tomber.
L'IA Act européen est entré en vigueur le 1er août 2024. Certaines de ses dispositions s'appliquent déjà depuis février 2025. D'autres arrivent dans les mois qui viennent. Et si vous lisez ces lignes en vous demandant "est-ce que ça me concerne ?", la réponse est probablement oui.
Cet article s'adresse aux dirigeants de PME qui utilisent l'IA au quotidien, parfois sans même le réaliser, et qui veulent comprendre leurs obligations sans se noyer dans un texte de 400 pages.
Vous y trouverez une explication claire du règlement, un auto-diagnostic rapide, et surtout cinq actions concrètes à mettre en place pour être en conformité avant l'échéance d'août 2026.
L'IA Act en deux minutes
L'IA Act (Règlement UE 2024/1689) est le premier cadre législatif mondial qui encadre le développement et l'utilisation de l'intelligence artificielle. Son objectif : garantir que les systèmes d'IA respectent les droits fondamentaux, la sécurité des utilisateurs et les valeurs européennes.
Contrairement au RGPD qui régule les données personnelles, l'IA Act régule les usages. Il ne s'intéresse pas tant à ce que vous collectez qu'à ce que vos outils font avec.
Le règlement adopte une approche graduée selon le niveau de risque. Plus un système d'IA peut impacter la vie des personnes, plus les obligations sont strictes. Cette logique implique que la plupart des entreprises sont concernées, mais pas toutes au même degré.
Le calendrier à retenir
L'application du règlement s'échelonne sur trois ans.
Février 2025 : Les pratiques d'IA jugées "inacceptables" sont interdites. L'obligation de former les collaborateurs qui utilisent des systèmes d'IA entre en vigueur. C'est déjà le cas.
Août 2025 : Les règles concernant les modèles d'IA à usage général (comme ChatGPT ou les LLM) s'appliquent. Les autorités nationales compétentes doivent être désignées.
Août 2026 : L'ensemble des obligations pour les systèmes d'IA à haut risque entre en application. C'est l'échéance majeure pour la plupart des PME.
Août 2027 : Application intégrale à tous les systèmes, y compris ceux déjà déployés avant l'entrée en vigueur.
Si vous utilisez des outils d'IA dans le recrutement, l'évaluation de performance, la relation client ou la prise de décision commerciale, août 2026 est votre date butoir.
Les quatre niveaux de risque expliqués
L'IA Act classe tous les systèmes d'intelligence artificielle en quatre catégories. Comprendre où se situent vos outils est la première étape vers la conformité.
Risque inacceptable : interdit
Certains usages de l'IA sont purement et simplement prohibés depuis février 2025. On parle ici de manipulation cognitive, d'exploitation des vulnérabilités (âge, handicap), de notation sociale généralisée, ou encore de reconnaissance faciale en temps réel dans l'espace public.
Pour une PME classique, ces interdictions ne posent généralement pas de problème direct. Mais attention : un outil d'analyse émotionnelle utilisé en entretien de recrutement tombe dans cette catégorie. Si votre ATS ou votre solution d'entretien vidéo analyse les expressions faciales ou le ton de voix des candidats, vous êtes en infraction.
Risque élevé : obligations strictes
C'est la catégorie qui concerne le plus grand nombre de PME sans qu'elles le sachent.
Sont considérés à haut risque les systèmes d'IA utilisés dans :
- Le recrutement et la gestion des ressources humaines
- L'évaluation de la solvabilité ou du risque crédit
- L'accès aux services essentiels (assurance, banque)
- L'éducation et la formation professionnelle
- Certaines applications dans les infrastructures critiques
Concrètement, si vous utilisez un logiciel qui trie automatiquement des CV, qui note la performance de vos collaborateurs, ou qui attribue un score de risque à vos prospects, vous déployez probablement un système à haut risque. Pour un guide détaillé des outils RH concernés, consultez notre guide conformité pour DRH et cabinets de recrutement.
Les obligations associées sont substantielles : gestion documentée des risques, supervision humaine obligatoire, traçabilité des décisions, qualité des données d'entraînement, et conformité technique attestée.
Risque limité : transparence obligatoire
Cette catégorie regroupe les systèmes qui interagissent directement avec des personnes sans que celles-ci puissent nécessairement identifier qu'elles échangent avec une IA. Les chatbots, les générateurs de contenu, les deepfakes.
L'obligation principale est la transparence : informer clairement l'utilisateur qu'il interagit avec un système d'intelligence artificielle, ou que le contenu qu'il consulte a été généré par une IA.
Si vous utilisez un chatbot sur votre site web ou si vous publiez du contenu généré par IA, vous devez l'indiquer explicitement.
Risque minimal : pas d'obligation spécifique
Les filtres anti-spam, les correcteurs orthographiques, les systèmes de recommandation de produits basiques entrent dans cette catégorie. Aucune obligation particulière ne s'applique, mais le règlement encourage les bonnes pratiques.
Auto-diagnostic : votre PME est-elle concernée ?
Avant de vous lancer dans un plan de conformité, posez-vous ces cinq questions. Si vous répondez oui à au moins deux d'entre elles, l'IA Act vous concerne directement.
Utilisez-vous un logiciel de recrutement (ATS) qui trie, classe ou filtre automatiquement les candidatures ?
La plupart des ATS modernes intègrent des fonctions d'IA, même basiques. Vérifiez les fonctionnalités de "matching" ou de "scoring" des candidats.
Avez-vous mis en place un chatbot ou un assistant virtuel pour votre service client, vos prospects ou vos collaborateurs ?
Qu'il soit développé en interne ou fourni par un éditeur, un chatbot conversationnel est un système d'IA soumis au minimum aux obligations de transparence.
Utilisez-vous des outils d'IA générative (ChatGPT, Claude, Copilot, Midjourney) dans vos process métier ?
Même pour des usages internes (rédaction, synthèse, génération de visuels), ces outils sont couverts par le règlement.
Vos équipes commerciales ou financières s'appuient-elles sur des outils de scoring, de prédiction ou d'analyse automatisée ?
Score de risque client, prédiction de churn, notation des leads : ces systèmes peuvent entrer dans la catégorie "haut risque" selon leur usage.
Évaluez-vous la performance de vos collaborateurs avec des outils qui intègrent une composante automatisée ?
Les systèmes d'évaluation assistés par IA sont explicitement visés par l'IA Act dans la catégorie à haut risque.
Si vous avez répondu oui à plusieurs de ces questions, vous n'êtes pas seul. La majorité des PME qui ont digitalisé leurs process ces dernières années utilisent au moins un système d'IA sans l'avoir formalisé comme tel.
Le piège des outils tiers
Le piège le plus fréquent concerne les outils tiers. Vous n'avez pas développé l'IA, vous l'utilisez simplement via un logiciel SaaS.
Mais le règlement est clair : le "déployeur", celui qui utilise le système, est responsable au même titre que le fournisseur. Vous ne pouvez pas vous retrancher derrière votre éditeur. C'est à vous de vérifier que l'outil est conforme, d'exiger la documentation technique, et de mettre en place la supervision humaine requise.
Cinq actions concrètes pour vous mettre en conformité
La conformité à l'IA Act n'est pas qu'une contrainte juridique. C'est l'occasion de structurer vos usages de l'intelligence artificielle, de professionnaliser vos process, et de prendre un temps d'avance sur des concurrents qui attendent le dernier moment.
Voici les cinq chantiers à lancer dès maintenant.
Action 1 : Cartographier tous vos usages IA
Vous ne pouvez pas mettre en conformité ce que vous ne connaissez pas. La première étape consiste à recenser exhaustivement tous les outils et applications qui intègrent une composante d'intelligence artificielle dans votre organisation.
Commencez par les évidences : les outils que vous savez utiliser (ChatGPT, votre ATS, votre chatbot). Puis élargissez aux zones grises : les fonctionnalités "intelligentes" de vos logiciels métier, les plugins et extensions utilisés par vos équipes, les outils adoptés de manière informelle sans validation IT.
Pour chaque outil identifié, documentez son usage (qui l'utilise, pour quoi faire), son fournisseur, et les données qu'il traite. Cette cartographie sera la base de tout le reste.
Un point d'attention : l'IA "shadow", ces outils adoptés par les collaborateurs sans passer par les canaux officiels. ChatGPT utilisé pour rédiger des comptes-rendus, Midjourney pour générer des visuels, des extensions Chrome qui résument des documents. Ces usages existent dans la plupart des entreprises. Les ignorer ne vous protège pas.
Action 2 : Classifier chaque système selon son niveau de risque
Une fois votre inventaire établi, passez chaque outil au crible de la grille de risque du règlement.
Posez-vous trois questions pour chaque système :
- L'outil prend-il ou influence-t-il des décisions qui affectent des personnes ?
- Si oui, dans quel domaine (emploi, finance, santé, éducation) ?
- Le système fonctionne-t-il de manière autonome ou avec supervision humaine ?
Cette classification détermine vos obligations. Un chatbot FAQ relève du risque limité (transparence). Un outil de scoring RH relève du haut risque (documentation, supervision, conformité technique).
N'hésitez pas à solliciter vos fournisseurs. L'IA Act les oblige à vous fournir la documentation technique et les informations nécessaires pour évaluer le niveau de risque. S'ils ne peuvent pas répondre clairement, c'est un signal d'alerte.
Action 3 : Former vos équipes concernées
C'est l'obligation la plus immédiate, et elle est déjà en vigueur depuis février 2025. Toute personne qui utilise un système d'IA dans le cadre de son travail doit disposer d'un niveau suffisant de "littératie IA", c'est-à-dire la compréhension de base du fonctionnement, des limites et des implications de ces outils.
Cette obligation n'est pas qu'une formalité. Elle vise à garantir que vos collaborateurs peuvent exercer une supervision éclairée des décisions assistées par IA. Un recruteur qui utilise un ATS doit comprendre comment l'algorithme classe les candidats, quels biais peuvent exister, et comment interpréter (ou contester) les recommandations.
Identifiez les populations concernées dans votre organisation : équipes RH, commerciaux, managers, support client. Mettez en place des sessions de formation pratiques, documentez-les, et prévoyez des mises à jour régulières.
Action 4 : Documenter vos process et décisions
Pour les systèmes à haut risque, l'IA Act exige une documentation technique complète : registre des usages, analyse d'impact sur les droits fondamentaux, logs de fonctionnement, procédures de supervision humaine.
Cette exigence peut sembler lourde. Elle est en réalité une opportunité de professionnaliser vos process. Documenter, c'est comprendre. C'est identifier les points de friction, les redondances, les décisions prises sans visibilité.
La documentation n'est pas un exercice ponctuel pour cocher une case réglementaire. C'est un actif qui vous servira à optimiser vos process, à former vos nouvelles recrues, et à faire évoluer vos outils en connaissance de cause.
Commencez par les systèmes les plus critiques. Décrivez le flux de décision, le rôle de l'IA à chaque étape, les points de contrôle humain, et les critères de qualité. Si vous réalisez en documentant qu'un process est flou ou incohérent, c'est le moment de le corriger, avant de chercher à le rendre "conforme".
Action 5 : Désigner un responsable et structurer votre gouvernance
La conformité IA ne peut pas rester un sujet diffus, porté par personne en particulier. Désignez un interlocuteur référent dans votre organisation. Ce peut être votre DPO (si vous en avez un), votre responsable IT, ou un membre de la direction selon votre taille.
Cette personne sera chargée de maintenir l'inventaire des systèmes IA, de suivre les évolutions réglementaires, de coordonner les formations, et d'être le point de contact en cas de contrôle.
Pour les PME qui n'ont pas les ressources internes, l'externalisation de cette fonction est une option pertinente. L'essentiel est qu'un interlocuteur identifié porte le sujet et puisse démontrer, en cas de besoin, que l'entreprise a engagé une démarche structurée de conformité.
Les ressources et aides disponibles
Vous n'êtes pas seul face à ces obligations. Plusieurs dispositifs publics accompagnent les PME dans leur transformation IA, conformité incluse.
IA Booster France 2030 est un programme piloté par Bpifrance qui propose des diagnostics personnalisés et des formations aux PME et ETI. Si vous n'avez jamais formalisé votre stratégie IA, c'est un bon point d'entrée.
France Num offre un accompagnement sur mesure par des experts en intelligence artificielle, avec un focus sur les enjeux pratiques des petites structures.
Les bacs à sable réglementaires, prévus par l'IA Act et opérationnels à partir de 2026, permettront aux entreprises de tester leurs systèmes d'IA dans un environnement contrôlé, avec un accompagnement des autorités compétentes. Si vous développez des solutions IA innovantes, ce dispositif peut vous faire gagner un temps précieux.
Enfin, la CNIL et la Direction Générale des Entreprises (DGE) publient régulièrement des guides et lignes directrices pour aider les entreprises à interpréter leurs obligations. Ces ressources sont gratuites et accessibles.
La conformité comme avantage compétitif
Il serait facile de voir l'IA Act comme une contrainte de plus, un énième règlement européen qui complique la vie des entreprises pendant que les concurrents américains et chinois innovent sans entrave.
Cette lecture passe à côté de l'essentiel.
Les PME qui structurent leurs usages IA dès maintenant ne font pas que se mettre en conformité. Elles professionnalisent leurs process, documentent leur savoir-faire, et renforcent la confiance de leurs clients et partenaires.
Dans un contexte B2B, pouvoir démontrer une utilisation maîtrisée et éthique de l'intelligence artificielle devient un argument commercial. Vos grands comptes, soumis eux-mêmes à des exigences de conformité supply chain, privilégieront les fournisseurs capables de justifier leurs pratiques.
L'IA Act part d'un principe que nous partageons chez Altomia : on n'automatise pas le chaos. Un process inefficace automatisé reste un process inefficace, il tourne juste plus vite. La démarche de conformité vous oblige à cartographier, questionner, optimiser vos flux avant d'y ajouter de l'intelligence artificielle. C'est exactement ce qu'il faudrait faire de toute façon pour tirer le meilleur de ces technologies.
Les entreprises qui attendent le dernier moment devront se conformer dans l'urgence, avec les coûts et les approximations que cela implique. Celles qui s'y prennent maintenant transforment une obligation en levier de performance.
Ce qu'il faut retenir
L'IA Act est en vigueur. Certaines obligations s'appliquent déjà, d'autres arrivent en août 2026. Si vous utilisez des outils d'IA dans le recrutement, l'évaluation, le scoring ou la relation client, vous êtes concerné.
La mise en conformité repose sur cinq piliers : cartographier vos usages, classifier vos systèmes par niveau de risque, former vos équipes, documenter vos process, et structurer votre gouvernance IA.
Les sanctions peuvent atteindre 35 millions d'euros ou 7% du chiffre d'affaires mondial. Mais au-delà du risque juridique, la vraie question est celle de la maturité : êtes-vous prêt à utiliser l'IA de manière professionnelle, maîtrisée, et créatrice de valeur ?
Vous ne savez pas par où commencer ?
Chez Altomia, nous accompagnons les PME dans leur transformation IA depuis l'audit initial jusqu'à l'autonomie complète. Notre approche : cartographier vos process, identifier vos usages IA existants et potentiels, optimiser avant d'automatiser, et former vos équipes pour qu'elles pilotent les solutions en toute autonomie.
Si vous souhaitez faire le point sur votre situation et définir une feuille de route claire vers la conformité, réservez un créneau d'échange de 30 minutes. Nous identifierons ensemble vos priorités et les prochaines étapes adaptées à votre contexte.
Cet article a été rédigé en janvier 2026. La réglementation évolue : consultez les sources officielles EUR-Lex pour les mises à jour.
Continuer votre lecture
Prêt à découvrir ce que l'IA peut changer dans votre entreprise ?
Prenons 15 minutes pour identifier vos tâches les plus chronophages et estimer vos gains de productivité.