Vous n'avez pas developpe d'IA ? L'AI Act vous concerne quand meme.
La majorite des PME francaises pensent que l'AI Act ne vise que les geants de la tech qui developpent des modeles d'IA. C'est faux. Le reglement europeen distingue deux roles cles : le fournisseur (qui developpe le systeme d'IA) et le deployer (qui utilise le systeme dans un contexte professionnel).
Si votre entreprise utilise un outil RH avec scoring automatique des candidats, un CRM qui classe vos prospects par IA, un chatbot IA sur votre site web, un systeme de detection de fraude, ou meme ChatGPT integre dans vos processus metiers : vous etes un deployer au sens de l'AI Act.
L'article 26 du reglement detaille vos obligations specifiques. Le non-respect expose votre PME a des amendes pouvant atteindre 15 millions d'euros ou 3 % du CA mondial. Voici les 7 obligations concretes a anticiper avant le 2 aout 2026.
Obligation 1 : Utiliser le systeme d'IA conformement aux instructions du fournisseur
L'article 26(1) impose aux deployers de prendre les mesures techniques et organisationnelles appropriees pour utiliser le systeme d'IA conformement a ses instructions d'utilisation. Concretement, cela signifie lire et respecter la documentation fournie par l'editeur du logiciel, ne pas utiliser l'outil pour un usage non prevu (par exemple, un chatbot de support client detourne pour du scoring RH), et documenter votre usage reel versus l'usage prevu.
Pour les PME : demandez systematiquement a vos fournisseurs SaaS leur notice d'utilisation conforme AI Act. Si elle n'existe pas, c'est un signal d'alerte.
Obligation 2 : Assurer une supervision humaine competente
L'article 26(2) exige que les deployers attribuent la supervision humaine a des personnes physiques disposant des competences, de la formation et de l'autorite necessaires.
En pratique pour une PME, cela implique de designer un referent IA interne (ou externalise), de former les collaborateurs qui utilisent l'outil a comprendre ses limites et ses biais potentiels, et de documenter qui supervise quoi. Le referent IA peut etre la meme personne que le DPO pour les PME de petite taille.
Obligation 3 : Controler la qualite des donnees d'entree
Si vous avez le controle sur les donnees que vous injectez dans le systeme d'IA, l'article 26(4) vous impose de vous assurer que ces donnees sont pertinentes et suffisamment representatives.
Exemple concret : si vous alimentez un CRM avec scoring IA a partir de donnees clients biaisees (uniquement des entreprises d'une region, d'un secteur, d'une taille), les decisions du systeme seront biaisees. Vous etes responsable de la qualite de vos inputs, pas seulement de l'algorithme qui les traite.
Obligation 4 : Conserver les journaux d'activite (logs) pendant 6 mois minimum
L'article 26(6) impose la conservation des logs generes automatiquement par le systeme d'IA a haut risque pendant une duree appropriee, et au minimum 6 mois. Ces logs doivent permettre de retracer les decisions prises par le systeme.
Pour les PME, cela signifie verifier que votre fournisseur SaaS conserve bien les logs (la plupart le font deja), conserver vos propres traces d'utilisation (qui a lance quelle requete, quand, pour quelle decision), et avoir un processus pour extraire ces logs en cas de controle.
Obligation 5 : Informer les personnes concernees
L'article 26(7) oblige les deployers a informer les personnes physiques qui font l'objet de decisions prises par un systeme d'IA a haut risque. Si vous utilisez un outil IA pour trier des CV, evaluer des demandes de credit, noter des etudiants ou surveiller des employes, les personnes concernees doivent en etre informees clairement.
En pratique : ajoutez une mention dans vos contrats de travail, dans vos conditions generales, ou dans une notice dediee. Exemple : "Notre processus de pre-selection utilise un systeme d'intelligence artificielle. Toute decision est validee par un responsable humain."
Obligation 6 : Realiser une analyse d'impact sur les droits fondamentaux (FRIA)
L'article 27 (lie a l'article 26) impose aux deployers de systemes a haut risque de realiser une analyse d'impact sur les droits fondamentaux (Fundamental Rights Impact Assessment) avant la mise en service du systeme. Cette FRIA doit identifier les risques specifiques que le systeme d'IA fait peser sur les droits fondamentaux des personnes concernees, decrire les mesures de mitigation, et etre mise a jour regulierement.
C'est l'equivalent de l'analyse d'impact du RGPD (AIPD/PIA), mais centree sur l'IA. Pour les PME qui ont deja un DPO externalise, c'est une extension naturelle de son perimetre.
Obligation 7 : Signaler les incidents graves
L'article 26(5) impose aux deployers de signaler au fournisseur et aux autorites tout incident grave lie au systeme d'IA, ainsi que d'interrompre l'utilisation en cas de risque serieux. Un incident grave peut etre une decision discriminatoire identifiee, une faille de securite dans le systeme IA, un dysfonctionnement ayant impacte des personnes physiques, ou une utilisation detournee par un tiers.
Le delai de signalement n'est pas encore precise par decret en France (attendu debut 2027), mais l'obligation de principe est en vigueur des aout 2026.
Calendrier de mise en conformite pour les PME
L'AI Act entre en application de maniere progressive. Le 2 fevrier 2025, les pratiques interdites (manipulation, notation sociale) sont deja en vigueur. Le 2 aout 2026 est la date cle pour les deployers de systemes a haut risque (annexe III) : classification, supervision humaine, logs, FRIA, information des personnes.
Il reste donc environ 3 mois pour se preparer. Un plan d'action realiste pour une PME prend 4 a 6 semaines : semaine 1-2 pour l'inventaire des outils IA et la classification des risques, semaine 3 pour la designation du referent et la documentation, semaine 4-5 pour la FRIA et la mise a jour des contrats, semaine 6 pour la formation des equipes.
Deployer + RGPD : la double conformite
Les systemes d'IA traitent presque toujours des donnees personnelles. Un deployer doit donc etre conforme a la fois a l'AI Act ET au RGPD. Les deux reglementations se completent : la FRIA de l'AI Act peut s'appuyer sur l'AIPD du RGPD, le DPO peut aussi etre le referent IA, les registres de traitements RGPD doivent etre enrichis avec les systemes IA.
Un DPO externalise competent en AI Act vous permet de couvrir les deux volets pour un cout unique, au lieu de multiplier les prestataires.
Conclusion
L'article 26 de l'AI Act est clair : les PME qui utilisent des systemes d'IA ont des obligations concretes. Ignorer ce texte expose votre entreprise a des sanctions lourdes, mais aussi a une perte de confiance de vos clients et partenaires. La bonne nouvelle : la mise en conformite deployer est beaucoup plus simple que la conformite fournisseur, et un DPO externalise competent peut la mener en 4 a 6 semaines.