EU AI Act : la checklist de conformité pour PME (deadline 2 août 2026)

Le règlement européen sur l'intelligence artificielle — l'EU AI Act — n'est plus une perspective lointaine. Plusieurs obligations s'appliquent dès le 2 août 2026, et la majorité des PME européennes qui utilisent un système d'IA ne sont pas prêtes. Voici, sans jargon, qui est concerné, comment classer vos systèmes, et la checklist concrète pour vous mettre en conformité.

L'EU AI Act en 2 minutes

L'AI Act est le premier cadre juridique complet au monde sur l'IA. Il est entré en vigueur en août 2024 et s'applique par étapes :

• Février 2025 : interdiction des pratiques à risque inacceptable (notation sociale, manipulation, etc.).
• Août 2025 : obligations pour les modèles d'IA à usage général (GPAI).
• Août 2026 : gros volet d'obligations pour les systèmes à haut risque et les obligations de transparence.

Le règlement raisonne par usage, pas par technologie : ce n'est pas « avez-vous de l'IA ? » mais « à quoi sert ce système précis, et pour qui ? ».

Votre PME est-elle concernée ?

Oui, si vous développez, déployez, importez ou distribuez un système d'IA dans l'UE — y compris un outil tiers (un SaaS d'IA, un assistant de recrutement, un scoring crédit, un chatbot client). Le statut de simple « déployeur » (vous utilisez un outil acheté) crée déjà des obligations.

Cas fréquents qui rendent une PME concernée :

• IA dans le recrutement ou la gestion RH (tri de CV, évaluation).
• Scoring client, crédit, assurance.
• IA dans des produits liés à la sécurité ou à des secteurs réglementés (santé, éducation, infrastructures).
• Chatbots et IA générative en contact client (obligation de transparence : informer l'utilisateur qu'il parle à une IA).

Les 4 niveaux de risque

Toute la conformité commence par classer chaque système dans l'un des quatre niveaux :

1. Risque inacceptable — interdit (notation sociale, manipulation subliminale, reconnaissance des émotions au travail…). 2. Haut risque — autorisé mais lourdement encadré (Annexe III : RH, crédit, éducation, biométrie, infrastructures critiques…). C'est ici que se concentrent les obligations. 3. Risque limité — obligations de transparence (prévenir que c'est une IA : chatbots, deepfakes, contenu généré). 4. Risque minimal — aucune obligation spécifique (la majorité des usages : filtres anti-spam, recommandations basiques).

90 % de l'effort porte sur l'identification correcte des systèmes « haut risque ». Mal classer un système = soit du sur-coût inutile, soit une non-conformité sanctionnable.

Si vous avez un système « haut risque » : les obligations clés

Les articles 8 à 29 imposent notamment :

• Système de gestion des risques documenté et continu.
• Gouvernance des données : qualité, représentativité, traçabilité des jeux d'entraînement.
• Documentation technique complète et tenue à jour.
• Journalisation automatique des événements.
• Transparence et instructions d'usage pour les déployeurs.
• Supervision humaine effective (human oversight).
• Robustesse, exactitude et cybersécurité.
• Surveillance après commercialisation (post-market monitoring).

À cela s'ajoute, pour beaucoup d'usages, une analyse d'impact : DPIA (article 35 RGPD) couplée à la FRIA (analyse d'impact sur les droits fondamentaux, article 27 de l'AI Act).

La checklist de mise en conformité pour une PME (7 étapes)

1. Inventoriez tous vos systèmes d'IA — développés ET achetés. Une colonne par système : finalité, données utilisées, fournisseur, utilisateurs. 2. Classez chaque système (inacceptable / haut risque / limité / minimal) à l'aide d'un questionnaire structuré couvrant les 8 catégories de l'Annexe III. 3. Priorisez les systèmes haut risque : ce sont eux qui portent le risque juridique et financier. 4. Réalisez les analyses d'impact (DPIA + FRIA) pour les systèmes concernés. 5. Comblez les écarts sur les obligations haut risque (gouvernance données, documentation, supervision humaine, logging…). 6. Faites la due diligence de vos fournisseurs IA (OpenAI, Anthropic, Mistral…) : un questionnaire vendor permet de récupérer leur documentation de conformité — vous en êtes co-responsable. 7. Mettez en place une surveillance continue : le règlement évolue (actes délégués, jurisprudence), votre conformité doit vivre.

Calendrier et pénalités : pourquoi agir maintenant

Les sanctions sont proportionnées à la gravité :

• Jusqu'à 35 M€ ou 7 % du chiffre d'affaires mondial pour les pratiques interdites.
• Jusqu'à 15 M€ ou 3 % pour le non-respect des obligations (haut risque, transparence).
• Jusqu'à 7,5 M€ ou 1 % pour des informations inexactes aux autorités.

Pour une PME, le montant est plafonné au plus bas des deux, mais l'enjeu réel est ailleurs : la conformité AI Act entre désormais dans les due diligences d'investisseurs et d'acheteurs B2B. Ne pas être prêt, c'est perdre des contrats et des tours de table — bien avant la moindre amende.

La bonne nouvelle : l'audit interne d'une PME prend 4 à 8 heures, et une mise en conformité se pilote sur 90 jours — sans payer 30 à 100 k€ à un cabinet.

---

Passez à l'action sans cabinet conseil

Nous avons packagé exactement la démarche ci-dessus dans un Kit Conformité EU AI Act : questionnaire de classification du risque (32 questions, 8 catégories Annexe III), checklist 47 items (articles 8-29), DPIA prêt à signer, template d'inventaire des systèmes IA, questionnaire de due diligence fournisseurs, et une roadmap 90 jours avec RACI et budget indicatif.

Sept livrables éditables, mises à jour gratuites quand le règlement évolue.

👉 [Découvrir le Kit Conformité EU AI Act (€199)](https://agentgap.gumroad.com/l/eu-ai-act-pack)

Cet article est fourni à titre informatif et ne constitue pas un conseil juridique.