L'IA Act, vous en avez peut-être entendu parler comme d'un texte pour les Google, OpenAI et autres géants qui construisent des modèles d'IA. C'est faux, ou plutôt incomplet. Si votre entreprise utilise de l'IA — un abonnement ChatGPT, un assistant intégré à votre CRM, un outil de génération de contenu — vous êtes concerné aussi. Sans seuil de taille. Une structure de 5 personnes a les mêmes obligations de principe qu'un grand groupe ; seuls les plafonds de sanction changent.
Voici ce qui est réellement en vigueur aujourd'hui, ce qui est annoncé mais pas encore valide en droit, et la marche à suivre pour ne pas se faire surprendre.
La logique du texte, en une minute
L'AI Act classe les usages de l'IA en quatre niveaux de risque. Plus le risque est élevé, plus les obligations sont lourdes.
- Risque inacceptable — notation sociale, manipulation comportementale : interdit depuis février 2025.
- Haut risque — recrutement, scoring crédit, biométrie, santé, justice : obligations lourdes (documentation, supervision humaine, journalisation).
- Risque limité — chatbots, génération de contenu : obligation de transparence (dire que c'est une IA).
- Risque minimal — usages bureautiques courants : aucune obligation spécifique.
La bonne nouvelle pour la majorité des TPE/PME : si vous utilisez l'IA pour rédiger, synthétiser, automatiser des tâches administratives ou faire du marketing, vous êtes en risque limité ou minimal. Le haut risque démarre dès qu'on touche au tri de CV, au scoring de clients ou à la biométrie.
Ce qui est déjà en vigueur, aujourd'hui
Trois échéances sont passées et s'appliquent sans condition :
| Date | Ce qui s'applique | Statut |
|---|---|---|
| 2 février 2025 | Interdiction des pratiques à risque inacceptable + obligation de littératie IA (article 4) | En vigueur |
| 2 août 2025 | Obligations pour les fournisseurs de modèles d'IA généralistes (ChatGPT, Claude, Gemini, Mistral…) | En vigueur |
| 2 août 2026 | Démarrage des contrôles nationaux (CNIL) et obligations de transparence (article 50) | En vigueur |
← Faites glisser le tableau pour voir toutes les colonnes →
L'article 4 : l'obligation que personne ne vous a signalée
C'est la plus immédiate, et la plus ignorée. Depuis février 2025, toute entreprise doit assurer un niveau suffisant de maîtrise de l'IA à son personnel et à toute personne qui opère des systèmes d'IA pour son compte, y compris des prestataires externes. Pas de programme imposé dans le détail : le principe est la proportionnalité, le plan s'adapte à votre activité et à vos outils. Mais l'obligation existe, et les contrôles CNIL démarrent en août 2026.
Si vos salariés utilisent l'IA au quotidien sans qu'aucun cadre, aucune formation minimale n'ait été posée, vous êtes en zone de non-conformité depuis plus d'un an. Ce n'est pas dramatique aujourd'hui — mais ça le devient à partir du moment où un contrôle CNIL démarre.
Ce qui est annoncé comme reporté, mais pas encore valide
C'est le point le plus mal compris, et celui qui peut coûter cher si vous parlez à un dirigeant pressé de relâcher la pression. Un texte appelé Digital Omnibus propose de repousser certaines échéances, notamment celle du haut risque (initialement le 2 août 2026, repoussée à décembre 2027 sous cette proposition). Un accord politique provisoire a été trouvé en mai 2026 entre le Parlement européen et le Conseil.
Mais provisoire veut dire provisoire. Il manque encore le vote final en plénière du Parlement et la publication au Journal officiel de l'Union européenne, attendue pour l'été 2026. Tant que cette publication n'a pas eu lieu, l'échéance d'origine reste celle qui s'applique légalement.
Un dirigeant qui déciderait de tout arrêter en misant sur ce report prendrait un risque réel : il s'appuierait sur un texte qui, à ce jour, n'existe pas encore juridiquement. Le bon réflexe : traiter le report comme un bénéfice probable, pas comme un acquis sur lequel bâtir un calendrier.
Ce qu'un dirigeant de TPE/PME doit faire en 2026
Pas besoin d'un service juridique interne ni d'un budget de grand groupe. Trois actions suffisent pour démarrer correctement :
- Faire l'inventaire réel des outils IA utilisés, y compris ceux que vos équipes utilisent sans validation officielle (le fameux "shadow AI"). On ne peut pas se mettre en conformité sur ce qu'on ne sait pas avoir.
- Qualifier le niveau de risque de chaque usage. La quasi-totalité des usages bureautiques, marketing ou de rédaction sont en risque limité ou minimal : pas de panique à avoir, mais une traçabilité à poser.
- Documenter un minimum de plan de littératie IA — qui utilise quoi, avec quel niveau de cadrage, quelles règles de bon usage. Ça peut être une page, pas un dossier de 40 pages.
Le vrai sujet n'est pas la peur de l'amende. Pour une PME en risque limité, le risque financier réel est faible. La vraie valeur de cette mise en conformité, c'est qu'elle force à mettre de l'ordre dans des usages IA souvent dispersés — et c'est l'occasion de transformer une contrainte réglementaire en point de départ pour structurer de vraies automatisations utiles.