- L'AI Act en 3 phrases
- Le calendrier 2025-2027 (vérifié)
- Qui est concerné : fournisseur ou déployeur ?
- Les 4 niveaux de risque
- L'article 4 : la maîtrise de l'IA
- L'article 50 : la transparence
- Focus RH : recrutement et haut risque
- AI Act et RGPD : ce qui change vraiment
- Contrôles et responsabilités : les faits
- Votre mise en conformité en 7 étapes
- Questions fréquentes
- Le guide en PDF (gratuit)
L'AI Act en 3 phrases
Entré en vigueur le 1er août 2024, il s'applique par étapes — et c'est précisément ce calendrier échelonné qui crée la confusion dans beaucoup d'articles. Le voici, vérifié aux sources officielles.
Le calendrier 2025-2027 (vérifié aux sources)
| Date | Ce qui s'applique |
|---|---|
| 2 février 2025 | L'article 4 (obligation de maîtrise de l'IA pour le personnel — voir la section dédiée) et les pratiques interdites (notation sociale, manipulation exploitant des vulnérabilités, certaines identifications biométriques…). |
| 2 août 2026 | La surveillance du marché devient effective : les autorités nationales contrôlent le respect des obligations (à partir du 2 août 2026). L'article 50 (transparence) s'applique : chatbots déclarés, contenus générés identifiables. La gouvernance générale et le gros des obligations du règlement sont en place. |
| 2 décembre 2027 | Les obligations complètes des systèmes à haut risque (annexe III — recrutement, éducation, crédit…), reportées par le paquet « Digital Omnibus » adopté en juin 2026. Ce report ne concerne QUE le haut risque : l'article 4 et l'article 50 ne sont pas reportés. (Systèmes embarqués dans des produits réglementés : août 2028.) |
Qui est concerné : fournisseur ou déployeur ?
Le règlement distingue deux rôles principaux. Le fournisseur développe ou commercialise un système d'IA (OpenAI, Microsoft, un éditeur de logiciel métier intégrant de l'IA). Le déployeur — la quasi-totalité des PME françaises — utilise un système d'IA sous sa propre autorité dans un cadre professionnel.
Concrètement, vous êtes déployeur si : vos commerciaux utilisent ChatGPT pour préparer des devis · votre assistante utilise Copilot dans Outlook · votre logiciel de paie ou votre CRM intègre des fonctions d'IA · votre site web embarque un chatbot. Aucun seuil d'effectif n'existe : la TPE de trois personnes est déployeuse au même titre que le groupe de trois mille — seules les mesures attendues sont proportionnées à la taille et aux usages.
Les 4 niveaux de risque
Toute la logique du règlement tient dans cette pyramide : plus l'usage peut affecter les personnes, plus les obligations montent.
- Risque inacceptable — interdit : notation sociale des personnes, manipulation exploitant les vulnérabilités, reconnaissance des émotions au travail et à l'école, certaines identifications biométriques à distance. Interdits depuis février 2025.
- Haut risque — fortement encadré : IA utilisée pour le recrutement et l'évaluation des personnes, l'accès à l'éducation, le crédit, les infrastructures critiques… Obligations complètes au 2 décembre 2027 (report Omnibus), mais la prudence s'impose dès maintenant — voir le focus RH ci-dessous.
- Risque limité — transparence : chatbots, contenus générés (texte, image, audio) : l'utilisateur doit savoir qu'il interagit avec une IA ou que le contenu en provient (article 50).
- Risque minimal — libre : la grande majorité des usages bureautiques quotidiens (rédaction assistée, synthèses, formules Excel) — libres, mais couverts par l'obligation de maîtrise de l'article 4 dès qu'un salarié les pratique.

Réutiliser ce visuel (licence CC BY 4.0 — mention de la source requise)
L'article 4 : la maîtrise de l'IA (ce qui concerne TOUTES les entreprises)
C'est l'obligation la plus transversale du règlement — et celle qui concerne votre PME dès aujourd'hui. L'article 4 impose aux fournisseurs et aux déployeurs de prendre des mesures pour garantir un niveau suffisant de maîtrise de l'IA (« AI literacy ») à leur personnel et à toute personne utilisant les systèmes d'IA pour leur compte.
Concrètement, trois exigences se dégagent :
- Des mesures proportionnées : au contexte, aux usages réels et au rôle de chacun — l'assistante qui rédige avec Copilot et le RH qui pré-trie des candidatures n'ont pas besoin de la même formation.
- Une formation adaptée : comprendre ce que fait l'outil, ses limites (hallucinations, biais), les règles de confidentialité et de vérification humaine.
- Une trace écrite : c'est ce qui matérialise la démarche — un registre de formation IA, des attestations individuelles et une charte d'usage. Sans documentation, les meilleures pratiques n'existent pas aux yeux d'un contrôleur.
Pour le volet opérationnel — former vos équipes et produire cette documentation en une journée — voyez notre page dédiée à l'obligation de formation IA.
L'article 50 : la transparence (applicable à partir du 2 août 2026)
Trois cas pratiques couvrent l'essentiel pour une PME :
- Votre site a un chatbot : le visiteur doit savoir clairement qu'il converse avec une IA — une mention explicite suffit, mais elle doit exister.
- Vous générez des contenus destinés au public (visuels, textes d'actualité, audio) : les contenus synthétiques doivent être identifiables comme tels dans les cas prévus par le règlement, notamment s'ils peuvent induire en erreur.
- Vous utilisez des réponses automatisées clients : même logique — la personne doit pouvoir savoir qu'une IA lui répond.
Un aménagement technique existe pour les systèmes déjà sur le marché (marquage lisible par machine : délai au 2 décembre 2026), mais l'obligation d'information des personnes, elle, s'applique à partir du 2 août 2026.
Focus RH : recrutement, tri de CV, évaluation
C'est LE sujet à haut risque qui touche les PME sans qu'elles le sachent : le règlement classe à haut risque les systèmes d'IA utilisés pour le recrutement, la sélection et l'évaluation des personnes — tri automatisé de CV, scoring de candidats, analyse d'entretiens vidéo.
- Permis : rédiger une offre d'emploi avec l'IA, préparer des questions d'entretien, synthétiser un dossier de candidature — avec validation humaine.
- Encadré : le pré-tri documentaire assisté, à condition d'une supervision humaine réelle et documentée sur chaque décision.
- À proscrire : laisser un algorithme écarter seul des candidats — la décision automatisée sur les personnes sans supervision est précisément ce que le règlement vise.
Notre formation IA pour les fonctions RH consacre une demi-journée entière à cette cartographie permis/encadré/interdit.
AI Act et RGPD : ce qui change vraiment
La question revient dans toutes nos sessions : « on est déjà conformes RGPD, l'AI Act ajoute quoi ? ». Réponse courte : le RGPD protège les données personnelles, quel que soit l'outil qui les traite ; l'AI Act encadre les systèmes d'IA, quelles que soient les données. Les deux se croisent dès qu'une IA touche des données personnelles — le cas le plus courant en entreprise.
| Obligation | RGPD (déjà en place) | Ce que l'AI Act ajoute |
|---|---|---|
| Former le personnel | Sensibilisation à la protection des données | Maîtrise de l'IA proportionnée aux usages, documentée (article 4) |
| Documenter | Registre des traitements | Trace écrite des mesures de maîtrise : registre de formation, attestations, charte |
| Informer les personnes | Mentions d'information sur les traitements | Transparence spécifique IA : chatbots déclarés, contenus générés identifiables (article 50) |
| Encadrer les décisions automatisées | Article 22 : droit de ne pas faire l'objet d'une décision entièrement automatisée | Classification haut risque du recrutement/évaluation, avec obligations renforcées dédiées |
| Sécuriser les outils | Sous-traitants, transferts, sécurité des traitements | Exigences sur les systèmes eux-mêmes selon leur niveau de risque |
Les deux réflexes communs qui couvrent 80 % du quotidien : minimiser (ne mettre dans un outil d'IA que les données nécessaires, anonymiser quand c'est possible) et travailler dans des environnements maîtrisés (offres professionnelles dont les données n'entraînent pas les modèles, comptes administrés par l'entreprise). Si votre conformité RGPD est réelle, vous avez déjà les bons réflexes — l'AI Act vous demande de les étendre et de les documenter côté IA.
Contrôles et responsabilités : les faits, sans catastrophisme
Beaucoup de contenus commerciaux brandissent des amendes spectaculaires. Voici ce que disent les textes — c'est plus nuancé, et c'est important de le savoir :
- Les autorités de surveillance du marché contrôlent le respect du règlement à partir du 2 août 2026. Au 4 juillet 2026, la France finalisait la désignation de ses autorités (rôle central pressenti pour la CNIL, coordination DGCCRF) — nous mettrons cette section à jour à la promulgation.
- Le règlement prévoit des sanctions pour les manquements les plus graves (pratiques interdites, obligations des systèmes à haut risque). En revanche, l'article 4 ne figure pas dans la liste des amendes administratives du règlement — la Commission européenne l'écrit elle-même dans sa FAQ sur la maîtrise de l'IA. Quiconque vous promet le contraire vous vend de la peur.
- Les risques réels pour une PME sont ailleurs : le contrôle documentaire (les autorités peuvent exiger la preuve de vos mesures), la responsabilité civile en cas d'incident causé par un salarié non formé (données clients divulguées, contenu erroné transmis — la formation tracée devient votre meilleure défense), et la pression croissante des donneurs d'ordre et assureurs, qui exigent de plus en plus des preuves de conformité IA.
PME : votre mise en conformité en 7 étapes
Qui utilise quoi, y compris les comptes personnels non déclarés (le « Shadow AI ») : c'est la photographie de départ, sans elle rien n'est proportionné. Besoin d'un cadre ? Notre démarche d'acculturation IA commence là.
Outils autorisés, données interdites dans les prompts, validation humaine, signalement des incidents : notre modèle en 10 sections est gratuit.
Une formation adaptée aux rôles, avec attestations mentionnant l'article 4 : c'est le cœur de l'obligation. Nos formations en entreprise livrent la documentation complète.
Qui a été formé, quand, sur quels outils, avec quelle échéance de recyclage : le modèle de registre est offert.
Chatbot déclaré, contenus générés identifiables quand le règlement l'exige : un audit d'une heure de vos points de contact suffit généralement.
Recrutement et évaluation en tête : cartographiez permis/encadré/interdit avant décembre 2027 — et appliquez la supervision humaine dès maintenant.
L'IA évolue vite : une mise à niveau annuelle (tracée au registre) montre une démarche vivante — et maintient les compétences réelles. Le financement OPCO couvre aussi le recyclage : voyez le guide du financement.
Questions fréquentes
L'AI Act, c'est quoi en résumé ?
Une TPE de 5 salariés est-elle concernée ?
Qui contrôle l'application de l'AI Act en France ?
L'AI Act est-il reporté à 2027 ?
Quelle différence entre l'AI Act et le RGPD ?
Que risque concrètement une PME qui ne fait rien ?
Qu'est-ce qu'un « déployeur » au sens de l'AI Act ?
Par où commencer sa mise en conformité ?
Sources primaires
Règlement (UE) 2024/1689 (AI Act), texte intégral : EUR-Lex 32024R1689 · FAQ « AI literacy » de la Commission européenne (article 4) : digital-strategy.ec.europa.eu · Paquet « Digital Omnibus » IA, COM(2025) 836 (report du haut risque) : procédure EUR-Lex. Sources consultées le 4 juillet 2026. Cette page est révisée à chaque évolution du calendrier ou de la gouvernance française.
Recevez ce guide en PDF (12 pages)
La version PDF du guide — calendrier, pyramide des risques, tableau AI Act × RGPD et checklist en 7 étapes — à partager avec votre direction ou votre CSE. Gratuit, sans engagement.
C'est envoyé — vérifiez votre boîte de réception dans quelques minutes.
Vos coordonnées servent uniquement à l'envoi du guide et à un suivi éventuel — pas de démarchage massif. La version en ligne (francefg.fr/ai-act) reste toujours la plus à jour.