AI Act2 mai 20269 min de lecture

EU AI Act : checklist de conformité en 10 points pour les PME (deadline 2 août 2026)

Le 2 août 2026, l'EU AI Act devient pleinement applicable. 70 % des PME françaises ne savent pas encore par où commencer. Voici la checklist 10 points testée sur 30 audits PME, du diagnostic à la documentation Annexe IV.

Pourquoi cette checklist en 10 points ?

Le 2 août 2026 marque la date d'application complète de l'EU AI Act pour tous les systèmes d'IA classés à haut risque. À 92 jours de l'échéance, 70 % des dirigeants de PME françaises ignorent encore qu'ils sont concernés (étude IFOP-CNIL avril 2026). Ceux qui ont commencé à se renseigner se heurtent à un règlement de 144 articles, 13 annexes, et un vocabulaire juridique opaque.

Cet article condense l'expérience des 30 derniers audits AI Act réalisés par Digital Work auprès de PME PACA en 10 points concrets et actionnables. Si vous cochez les 10, vous êtes opérationnellement prêt pour le 2 août. Si vous en ratez plus de 3, vous prenez un risque réel de mise en demeure CNIL dès septembre 2026.

1. Avez-vous fait l'inventaire de tous vos systèmes d'IA ?

C'est le point de départ que 80 % des PME sautent parce qu'elles pensent ne pas utiliser d'IA. La réalité est différente : si votre entreprise utilise un chatbot Hubspot, un scoring prospect Salesforce, un tri automatique de CV, un détecteur anti-fraude bancaire, un traducteur DeepL automatisé, une plateforme de proctoring pour formations internes, ou même un assistant Microsoft Copilot, vous utilisez de l'IA au sens de l'EU AI Act.

Action concrète : listez sur un tableur tous les outils SaaS utilisés dans votre PME. Pour chacun, posez la question "intègre-t-il une fonctionnalité IA ?". Le résultat moyen d'un audit Digital Work : 7 systèmes IA identifiés là où le dirigeant pensait n'en avoir aucun.

2. Avez-vous classifié chaque système selon les 4 niveaux de risque ?

L'EU AI Act distingue 4 niveaux : risque inacceptable (interdit depuis février 2025), haut risque (Annexe III : RH, santé, finance, éducation, justice, infrastructure critique), risque limité (chatbots, deepfakes), risque minimal (la grande majorité des outils). Les obligations varient drastiquement selon le niveau.

Action concrète : pour chaque système identifié, vérifiez s'il tombe dans l'Annexe III. Un outil de tri de CV = haut risque. Un chatbot grand public = risque limité (transparence). Un outil de prédiction de stock = minimal. La majorité des PME ont 1 à 3 systèmes en haut risque, principalement dans le RH ou le service client.

3. Pour les systèmes haut risque, avez-vous la documentation Annexe IV ?

L'Annexe IV de l'EU AI Act exige 9 sections de documentation technique pour chaque système haut risque : description générale, méthode de développement, capacités et limitations, données d'entraînement, gestion des risques, tests effectués, mesures de gouvernance, journal des modifications, déclaration UE de conformité.

Action concrète : demandez à votre fournisseur SaaS la documentation Annexe IV. S'il refuse ou ne peut pas la fournir (cas fréquent avec les éditeurs américains), vous devez soit cesser l'usage, soit produire vous-même une documentation de votre intégration. C'est là que la majorité des PME bloquent. Un partenaire comme [MaConformite](https://maconformite.fr) génère cette documentation automatiquement par secteur.

4. Avez-vous nommé ou désigné un responsable conformité IA ?

L'EU AI Act n'impose pas formellement un "DPO IA" mais le législateur recommande fortement de désigner un référent. Pour les PME ayant déjà un DPO RGPD, la mission peut être étendue à l'IA (avec formation complémentaire). Pour les PME sans DPO, l'externalisation est la solution la plus économique : le coût d'un DPO IA externalisé tourne autour de 350 à 600 € par mois pour une PME de 15 à 30 salariés (lire notre article [DPO IA externalisé Marseille](/blog/dpo-ia-externalise-marseille-pme-ai-act-rgpd)).

Action concrète : nommez un référent IA en interne (par décision écrite signée par le dirigeant) ou externalisez. La désignation doit être documentée pour démontrer votre conformité en cas de contrôle CNIL.

5. Avez-vous réalisé l'AIPD pour vos systèmes haut risque ?

L'Analyse d'Impact sur les Droits Fondamentaux (AIPD, article 27 de l'EU AI Act) est obligatoire pour les organismes publics et les opérateurs privés délivrant un service public. Elle est fortement recommandée pour toutes les PME utilisant un système haut risque, parce qu'elle constitue la principale preuve de bonne foi en cas de contrôle.

Action concrète : pour chaque système haut risque, documentez sur 2 à 5 pages : finalité du système, droits fondamentaux concernés (non-discrimination, vie privée, dignité), risques identifiés, mesures de mitigation, périodicité de revue. Le format n'est pas imposé par la CNIL tant que les éléments de fond sont couverts.

6. Vos utilisateurs sont-ils informés de l'usage d'IA ?

L'article 50 de l'EU AI Act impose une transparence explicite envers les personnes interagissant avec une IA. Concrètement : votre chatbot doit annoncer qu'il est une IA, vos contenus générés par IA doivent être étiquetés, vos candidats doivent être informés si leur CV est trié par algorithme, vos collaborateurs doivent savoir si leurs performances sont évaluées partiellement par IA.

Action concrète : auditez tous vos points de contact utilisateur (site web, formulaires, chatbots, processus de recrutement). Ajoutez les mentions de transparence requises. Pour un site PME standard, cela représente entre 2 et 5 mises à jour de copy. Si votre site a plus de 3 ans, c'est aussi le moment de questionner sa refonte globale (lire [10 signes qu'il faut refaire votre site internet en 2026](/blog/10-signes-refaire-site-internet-2026)).

7. Avez-vous mis en place une supervision humaine effective ?

L'article 14 exige qu'aucune décision automatisée à fort impact ne soit prise sans intervention humaine possible. Pour un outil de scoring CV : un recruteur doit pouvoir consulter et modifier la décision. Pour un détecteur de fraude bancaire : un agent doit pouvoir débloquer un compte signalé. Pour un système de proctoring : un examinateur doit pouvoir contester un signalement de triche.

Action concrète : documentez par écrit le processus de supervision humaine pour chaque système haut risque. Qui peut contester ? Sous quel délai ? Avec quelles preuves à l'appui ? Cette documentation est l'un des premiers éléments demandés par la CNIL en cas d'instruction.

8. Avez-vous testé la robustesse, la précision et la cybersécurité ?

L'article 15 exige un niveau approprié de précision, robustesse et cybersécurité pour les systèmes haut risque. En pratique : tests de biais (votre outil de tri de CV discrimine-t-il selon le genre, l'origine, l'âge ?), tests d'attaques adversariales (votre antifraude tient-il face à des tentatives de contournement ?), tests de continuité (que se passe-t-il si le service IA tombe en panne ?).

Action concrète : pour les systèmes développés en interne, planifiez une campagne de tests documentés. Pour les systèmes SaaS, demandez les rapports de tests à votre éditeur. Si l'éditeur refuse, c'est un signal d'alerte sur sa conformité globale.

9. Avez-vous formé vos équipes au usage responsable de l'IA ?

L'article 4 de l'EU AI Act, applicable depuis février 2025, oblige les fournisseurs et les déployeurs à garantir un niveau suffisant de littératie IA chez leurs collaborateurs. Cela inclut la compréhension des limites de l'IA, des biais possibles, des risques éthiques, et des bonnes pratiques d'utilisation.

Action concrète : organisez une session de formation IA pour toutes les équipes utilisant des outils IA (RH, commerce, support, marketing, IT). Une demi-journée suffit pour un niveau de base. Documentez la session par feuille de présence et support remis. Cette documentation prouve la conformité à l'article 4 en cas de contrôle.

10. Avez-vous un registre interne et un plan de réponse aux contrôles ?

Le registre interne IA est l'équivalent du registre RGPD article 30 mais pour l'IA : liste des systèmes, niveaux de risque, mesures appliquées, dates de revue. Il n'est pas formellement obligatoire pour les PME mais constitue le premier document demandé en cas de contrôle CNIL. À jour, il démontre une démarche structurée.

Action concrète : créez un fichier (tableur ou outil dédié) avec une ligne par système IA, et 8 colonnes minimum : nom du système, fournisseur, finalité, niveau de risque, date de classification, responsable interne, date de dernière revue, statut documentation. Mettez-le à jour trimestriellement.

Bilan : combien de points cochez-vous aujourd'hui ?

Sur les 30 derniers audits Digital Work, voici les scores observés sur cette checklist :

| Score | % des PME auditées | Risque CNIL | |-------|--------------------|-----------| | 0-3 points | 47 % | Élevé — mise en demeure probable | | 4-6 points | 36 % | Modéré — recommandations CNIL | | 7-9 points | 14 % | Faible — conforme avec ajustements | | 10/10 | 3 % | Aucun — conformité exemplaire |

La moyenne s'établit à 3,8 sur 10 chez les PME PACA en mai 2026. À 92 jours de l'échéance, c'est largement insuffisant pour passer un contrôle.

Comment Digital Work vous accompagne sur l'EU AI Act

Digital Work, basé à Vitrolles (PACA), accompagne les PME locales dans leur mise en conformité EU AI Act et RGPD via 3 services complémentaires :

  1. Audit conformité IA gratuit (1h en visio) — diagnostic des 10 points de cette checklist sur votre situation, livraison d'un rapport synthétique sous 48 h.
  2. DPO IA externalisé — abonnement mensuel à partir de 350 €/mois pour les PME de 15 à 30 salariés : nomination, registre IA, AIPD, suivi continu, formation équipes (lire [DPO externalisé : avantages PME](/blog/dpo-externalise-avantages-pme)).
  3. Mise en conformité projet — accompagnement complet sur 6 à 8 semaines pour atteindre 10/10 sur la checklist : documentation, formation, intégration outils, audit final.

Pour les PME ayant un volume important de systèmes IA (5+) ou souhaitant gérer la conformité en autonomie, nous recommandons également la plateforme [MaConformite](https://maconformite.fr), qui automatise la documentation Annexe IV et l'AIPD à partir de 39 €/mois. Digital Work peut intégrer la solution dans votre stack et former vos équipes.

Conclusion

L'EU AI Act n'est pas une menace, c'est une opportunité de structurer votre usage de l'IA et de démontrer votre sérieux face à vos clients B2B. Les PME conformes en août 2026 gagneront des appels d'offres publics, rassureront leurs grands comptes, et limiteront leur exposition juridique. Celles qui ignorent l'échéance risquent une mise en demeure CNIL dès septembre 2026, avec impact réputationnel non négligeable.

Si vous voulez un diagnostic rapide de votre situation, Digital Work propose un audit conformité IA gratuit en 1 h pour les PME PACA : nous parcourons les 10 points de cette checklist sur votre cas concret, et vous repartez avec un rapport priorisé des actions à engager d'ici le 2 août. Sans engagement, sans pression commerciale.

Questions fréquentes

Mon entreprise n'utilise pas d'IA, suis-je vraiment concerné par l'EU AI Act ?+
Probablement oui. La définition de l'IA dans l'EU AI Act est large et couvre la plupart des fonctionnalités intégrées dans les SaaS modernes. Si vous utilisez Hubspot, Salesforce, Microsoft 365, Google Workspace, un chatbot, un outil de tri CV, un antifraude bancaire ou un traducteur automatique, vous utilisez de l'IA au sens du règlement. Sur 30 audits PME réalisés par Digital Work, 100 % avaient au moins un système IA actif, avec une moyenne de 7 systèmes par PME. Le diagnostic gratuit de 30 minutes permet de cartographier votre situation.
Quelles sont les sanctions réelles si ma PME n'est pas conforme au 2 août 2026 ?+
Les amendes maximales prévues par l'article 99 vont jusqu'à 15 millions d'euros ou 3 % du CA mondial pour les obligations haut risque. Mais l'article 99 paragraphe 6 prévoit explicitement que pour les PME, c'est le montant le plus FAIBLE des deux qui s'applique. Pour une PME de 4 M EUR de CA, la sanction maximale tombe à 120 000 EUR. En pratique, la CNIL annonce 6 mois de pédagogie après l'échéance (mises en demeure plutôt que sanctions financières) pour les PME démontrant une démarche de bonne foi engagée. Le risque réel des PME ignorant l'échéance n'est pas l'amende immédiate, mais la mise en demeure publique avec impact réputationnel.
Combien coûte la mise en conformité EU AI Act pour une PME PACA ?+
En mode interne avec cabinet juridique, le coût annuel typique est de 30 000 à 80 000 EUR selon le nombre de systèmes IA. En mode externalisé via un partenaire local comme Digital Work, le budget descend entre 4 000 et 12 000 EUR par an pour une PME de 15 à 30 salariés (DPO IA externalisé + accompagnement projet initial). En mode autonome avec une plateforme automatisée comme MaConformite, le coût annuel tombe entre 470 EUR (forfait Essentiel) et 2 364 EUR (forfait Pro) selon les besoins. Pour la grande majorité des PME PACA, le mode hybride (plateforme automatisée + accompagnement local Digital Work) offre le meilleur rapport qualité-prix.
Quel est le délai réaliste pour atteindre 10/10 sur la checklist ?+
Pour une PME standard de 15 à 30 salariés avec 3 à 5 systèmes IA, le délai moyen observé sur les 30 derniers audits Digital Work est de 6 à 8 semaines, réparti ainsi : 1 semaine de diagnostic et inventaire, 2 semaines de classification et documentation Annexe IV, 1 semaine d'AIPD pour les systèmes haut risque, 1 semaine de mise à jour des pages utilisateurs (transparence article 50), 1 semaine de formation des équipes, 1 semaine de revue interne et signature DPO. Pour les PME plus complexes (multi-sites, secteurs réglementés), le délai s'étend à 10 à 12 semaines. Démarrer en mai 2026 permet largement de tenir l'échéance du 2 août.
Faut-il nommer un DPO IA distinct du DPO RGPD ?+
Non, dans la majorité des cas. L'EU AI Act n'impose pas formellement un DPO IA distinct. Pour les PME ayant déjà un DPO RGPD, la mission peut être étendue à la conformité IA, à condition de prévoir une formation complémentaire de 14 à 21 heures sur l'EU AI Act. Pour les PME sans DPO actuel, l'externalisation d'un DPO IA-RGPD combiné est la solution la plus économique : coût mensuel de 350 à 600 EUR selon la taille et la complexité. Digital Work propose un service DPO externalisé spécialisé PACA avec rendez-vous mensuel, registre RGPD et IA tenus à jour, et veille réglementaire CNIL incluse.
Les outils SaaS américains que j'utilise vont-ils me poser problème ?+
Potentiellement oui. Plusieurs grands éditeurs américains (Hubspot, Salesforce, Zendesk, Notion) ont activé en 2025-2026 des fonctionnalités IA basées sur OpenAI ou Anthropic, sans toujours fournir la documentation Annexe IV requise par l'EU AI Act. La règle est simple : vous demandez par écrit à votre fournisseur SaaS la cartographie des sous-traitants IA et la documentation correspondante. S'il ne peut pas fournir, vous avez deux options : désactiver les fonctionnalités IA jusqu'à remédiation, ou changer de fournisseur. Pour les usages stratégiques (scoring crédit, recrutement, santé), il est recommandé de basculer vers des alternatives européennes comme Mistral, LightOn ou les solutions souveraines hébergées en UE. Digital Work peut auditer vos contrats SaaS et identifier les zones à risque.

Besoin d'un accompagnement personnalisé ?

Digital Work vous accompagne dans la mise en conformité RGPD et AI Act, de l'audit initial au suivi annuel, depuis Vitrolles.

Réserver un audit conformité IA gratuit (1 h)