Conformite IA10 avril 20269 min de lecture

EU AI Act : ce que les PME de la region PACA doivent faire avant le 2 aout 2026

Deadline 2 aout 2026 : les PME de Marseille, Aix, Vitrolles et Nice doivent se conformer a l'EU AI Act. Obligations, sanctions, plan d'action concret pour une PME PACA qui utilise l'IA (ChatGPT, copilots, scoring, recrutement).

La deadline que personne ne connait dans les PME PACA

Si vous dirigez une PME a Marseille, Aix-en-Provence, Vitrolles ou Nice, vous avez probablement deja entendu parler de "l'IA Act europeen". Mais savez-vous que le 2 aout 2026, soit dans moins de 4 mois, votre entreprise pourrait etre en infraction si vous utilisez l'IA sans avoir fait les bons reflexes ?

Digital Work accompagne les PME de la region PACA sur leurs obligations reglementaires. Cet article explique concretement ce qu'une PME doit faire avant la deadline, combien ca coute et comment s'y prendre sans budget conformite illimite.

Qui est concerne en region PACA ?

Toute entreprise qui utilise un systeme d'IA, peu importe sa taille, est potentiellement concernee par l'EU AI Act. Concretement en PACA, ca inclut :

  • Les PME qui utilisent ChatGPT, Claude, Copilot ou Gemini pour traiter des donnees clients
  • Les cabinets de recrutement a Marseille ou Aix qui utilisent un scoring automatique de CV
  • Les concessions automobiles qui utilisent un scoring credit pour le financement
  • Les cabinets medicaux et cliniques qui utilisent des outils d'aide au diagnostic
  • Les e-commerces avec des chatbots clients ou recommandations produits automatiques
  • Les SSII et editeurs de logiciel qui integrent de l'IA dans leurs produits

Si vous reconnaissez votre entreprise dans cette liste, l'EU AI Act vous concerne.

Les 4 categories de risque de l'EU AI Act

L'EU AI Act classe les systemes d'IA en 4 categories :

1. Risque inacceptable (interdits depuis fevrier 2025)

Notation sociale, reconnaissance des emotions en entreprise, manipulation comportementale. Si votre PME utilise ca, il faut arreter immediatement.

2. Haut risque (obligations lourdes avant le 2 aout 2026)

  • Recrutement et evaluation des candidats
  • Scoring credit et solvabilite
  • Gestion des ressources humaines (evaluation, promotion, licenciement)
  • Acces aux services essentiels (banque, assurance, sante)
  • Formation et education

Pour ces systemes, il faut produire une documentation technique complete (Annexe IV), une analyse d'impact sur les droits fondamentaux (FRIA), mettre en place une supervision humaine et un systeme de logs.

3. Risque limite (obligations de transparence)

Chatbots, systemes d'IA generative, deepfakes. Vous devez informer vos utilisateurs qu'ils interagissent avec une IA.

4. Risque minimal (pas d'obligation)

Filtres anti-spam, jeux videos, recommandations basiques. Pas d'obligation specifique, juste une bonne pratique de transparence.

Le cas concret d'une PME de Vitrolles

Prenons l'exemple d'une PME de 45 salaries a Vitrolles, specialisee dans la logistique, qui utilise :

  1. ChatGPT pour rediger ses mails commerciaux (risque limite, obligation de transparence)
  2. Un outil de scoring automatique pour selectionner les candidats chauffeurs (haut risque, obligations lourdes)
  3. Un chatbot client sur son site (risque limite, obligation d'information)

Cette PME doit :

  • Informer les candidats que leur CV est analyse par un systeme automatique (article 13 EU AI Act + article 22 RGPD)
  • Produire l'Annexe IV du systeme de scoring candidats (documentation technique, 20 a 40 pages)
  • Realiser la FRIA sur ce systeme (analyse d'impact droits fondamentaux)
  • Mettre en place une supervision humaine : un RH doit pouvoir rejeter une recommandation du systeme
  • Logger toutes les decisions prises par le systeme (duree conservation : 6 mois minimum)
  • Ajouter une mention "Ce chatbot est un systeme d'IA" sur le site web
  • Documenter ses usages de ChatGPT en interne (finalites, donnees envoyees)

Temps estime pour tout faire : 25 a 40 heures de travail reparties sur 2 a 3 mois.

Sanctions en cas de non-conformite

Les sanctions EU AI Act sont calquees sur le RGPD, mais plus severes pour les cas graves :

  • 35 millions euros ou 7 pourcent du CA mondial pour usage d'IA interdite
  • 15 millions euros ou 3 pourcent du CA mondial pour violation des obligations haut risque
  • 7,5 millions euros ou 1 pourcent du CA mondial pour violations administratives

Pour une PME PACA avec 5 millions de CA, le risque maximal est de 350 000 euros. Meme si l'autorite de surveillance adopte une approche pedagogique en 2026 et 2027, aucune entreprise serieuse ne peut se permettre ce risque.

Plan d'action pour une PME PACA (3 mois)

Mois 1 : Inventaire et diagnostic (avril a mai 2026)

  1. Lister tous les systemes d'IA utilises dans l'entreprise (y compris les outils SaaS)
  2. Classer chaque systeme dans une categorie de risque
  3. Identifier les systemes a haut risque qui necessitent une action lourde
  4. Realiser un diagnostic gratuit sur une plateforme specialisee

Mois 2 : Documentation et mise en conformite (juin a juillet 2026)

  1. Produire l'Annexe IV pour chaque systeme haut risque
  2. Realiser la FRIA pour chaque systeme haut risque
  3. Mettre en place le systeme de logs
  4. Documenter les mesures de supervision humaine
  5. Ajouter les mentions de transparence sur les systemes a risque limite
  6. Former les equipes aux obligations EU AI Act

Mois 3 : Audit et validation (juillet 2026)

  1. Revue juridique des documents produits
  2. Test des procedures de supervision humaine
  3. Validation par la direction
  4. Archivage des documents pour presentation en cas de controle

Deadline finale : 2 aout 2026.

Combien ca coute ?

Deux approches possibles pour une PME PACA :

Option 1 : Faire appel a un cabinet d'avocats

Un cabinet d'avocats specialise en droit du numerique facture entre 8 000 et 25 000 euros pour accompagner une PME sur la mise en conformite EU AI Act (selon nombre de systemes IA). C'est l'approche la plus complete mais aussi la plus couteuse.

Option 2 : Utiliser une plateforme SaaS et un DPO externalise

Une plateforme comme MaConformite (partenaire Digital Work) propose un diagnostic gratuit et des plans a partir de 39 euros par mois. En complement, un DPO externalise (150 a 400 euros par mois selon la taille) peut valider la documentation produite. Budget total pour une PME : 500 a 2 000 euros sur 3 mois.

C'est 10 a 20 fois moins cher que l'option cabinet d'avocats, pour un resultat equivalent pour la plupart des PME.

Pourquoi agir maintenant (et pas en juillet)

Trois raisons d'agir des maintenant :

  1. La courbe d'apprentissage est reelle. Comprendre l'EU AI Act et produire une Annexe IV propre prend du temps. A 3 semaines de la deadline, les cabinets et plateformes seront satures.
  2. Les premiers controles sont prevus pour l'automne 2026. Les autorites de surveillance vont cibler les secteurs a risque (recrutement, credit, sante) en priorite.
  3. Votre ecosysteme va vous demander des preuves. Vos clients grands comptes, vos banques et vos assureurs vont vous demander des attestations de conformite. Sans documentation, vous perdez des contrats.

Digital Work peut vous accompagner

Digital Work est une agence basee a Vitrolles qui accompagne les PME de la region PACA sur leurs projets numeriques et leurs obligations reglementaires. Nous proposons :

  • Audit EU AI Act gratuit pour identifier les systemes a risque dans votre entreprise
  • Mise en place de MaConformite comme outil de gestion de la conformite
  • DPO externalise pour les PME qui n'ont pas de ressource en interne
  • Formation des equipes aux obligations EU AI Act et RGPD

Contactez-nous pour un premier echange gratuit. Nous regardons ensemble votre situation et nous vous disons honnetement si vous avez besoin d'un accompagnement ou si vous pouvez gerer en autonomie.

Questions fréquentes

Ma PME de 20 salaries est-elle vraiment concernee par l'EU AI Act ?+
Oui, potentiellement. L'EU AI Act ne fait pas d'exception pour les PME. Si vous utilisez un systeme d'IA (meme un SaaS comme ChatGPT ou un scoring candidats) pour prendre des decisions qui impactent des personnes, vous etes concerne. La difference avec une grande entreprise est que vos obligations sont proportionnelles : une PME qui utilise l'IA pour des taches a risque limite (chatbot, IA generative) a juste une obligation de transparence. Si vous utilisez l'IA pour du recrutement ou du scoring credit, les obligations sont plus lourdes.
Si j'utilise juste ChatGPT pour mes mails, suis-je concerne ?+
Vous etes dans la categorie risque limite. L'obligation principale est la transparence : vos interlocuteurs doivent pouvoir savoir qu'ils interagissent avec un contenu genere par IA si le contexte le justifie. Dans la pratique, si vous utilisez ChatGPT en brouillon et que vous reecrivez le mail, vous n'avez rien a declarer. Si vous envoyez tel quel un mail genere par IA a un client, il est recommande de le signaler. Vous devez aussi documenter en interne quelles donnees vous envoyez a ChatGPT (attention au RGPD).
Que se passe-t-il si je ne fais rien avant le 2 aout 2026 ?+
Le 3 aout 2026, votre entreprise est techniquement en infraction si elle utilise des systemes d'IA haut risque non conformes. Les autorites de surveillance (en France, la structure exacte n'est pas encore finalisee, probablement la CNIL ou une nouvelle autorite dediee) vont cibler les secteurs les plus risques en priorite. Les sanctions peuvent aller jusqu'a 3 pourcent du CA mondial. En pratique, les premieres annees, les autorites adoptent souvent une approche pedagogique : premiere visite = mise en demeure, deuxieme visite = sanction. Mais ne pas commencer maintenant expose a un risque important.
Pourquoi choisir Digital Work plutot qu'un cabinet d'avocats parisien ?+
Pour trois raisons. D'abord, le cout : nos accompagnements demarrent a 500 euros la on un cabinet d'avocats facture 8 000 a 25 000 euros pour le meme resultat dans une PME. Ensuite, la proximite : nous sommes bases a Vitrolles, nous connaissons les PME de la region, nous venons sur place. Enfin, l'approche : nous combinons outil SaaS (MaConformite) et expertise humaine. L'outil fait 80 pourcent du travail automatiquement, nous validons et adaptons les 20 pourcent restants. Pour une PME, c'est le meilleur rapport qualite-prix.
MaConformite suffit-il ou dois-je aussi prendre un DPO externalise ?+
Ca depend de la taille et des obligations de votre entreprise. Pour une PME qui utilise l'IA a risque limite (chatbot, IA generative), MaConformite suffit largement. Vous faites le diagnostic, vous produisez les documents, vous mettez en place la transparence. Pour une PME qui utilise l'IA a haut risque (recrutement, scoring, credit), il est recommande d'avoir en plus un DPO qui valide la documentation produite et repond aux demandes des personnes concernees. Digital Work propose les deux services separement ou en pack.

Besoin d'un accompagnement personnalisé ?

Digital Work vous accompagne dans la mise en conformité RGPD et AI Act, de l'audit initial au suivi annuel, depuis Vitrolles.

Audit EU AI Act gratuit pour votre PME PACA