Guide de référence — mis à jour le 4 juillet 2026

AI Act : le guide complet pour les PME françaises (2026)

Le règlement européen sur l'IA expliqué sans jargon et sans catastrophisme : le calendrier vérifié aux sources, qui est concerné, ce qui est vraiment exigé — et la checklist pour vous mettre en conformité en 7 étapes.

Guide pédagogique rédigé par un organisme de formation : il ne constitue pas un conseil juridique. Pour vos cas sensibles, consultez votre avocat ou votre DPO.

L'AI Act en 3 phrases

L'AI Act (règlement UE 2024/1689), souvent appelé « IA Act » en France, est le règlement européen qui encadre la conception et l'utilisation de l'intelligence artificielle dans l'Union — la première loi de ce type au monde. Il classe les usages de l'IA en quatre niveaux de risque, du minimal à l'inacceptable, avec des obligations croissantes : transparence des chatbots, encadrement strict du recrutement automatisé, interdiction des usages les plus dangereux. Pour toutes les entreprises utilisatrices, il impose une obligation transversale : garantir que le personnel qui utilise l'IA en a une maîtrise suffisante (article 4), avec des mesures documentées.

Entré en vigueur le 1er août 2024, il s'applique par étapes — et c'est précisément ce calendrier échelonné qui crée la confusion dans beaucoup d'articles. Le voici, vérifié aux sources officielles.

Le calendrier 2025-2027 (vérifié aux sources)

DateCe qui s'applique
2 février 2025L'article 4 (obligation de maîtrise de l'IA pour le personnel — voir la section dédiée) et les pratiques interdites (notation sociale, manipulation exploitant des vulnérabilités, certaines identifications biométriques…).
2 août 2026La surveillance du marché devient effective : les autorités nationales contrôlent le respect des obligations (à partir du 2 août 2026). L'article 50 (transparence) s'applique : chatbots déclarés, contenus générés identifiables. La gouvernance générale et le gros des obligations du règlement sont en place.
2 décembre 2027Les obligations complètes des systèmes à haut risque (annexe III — recrutement, éducation, crédit…), reportées par le paquet « Digital Omnibus » adopté en juin 2026. Ce report ne concerne QUE le haut risque : l'article 4 et l'article 50 ne sont pas reportés. (Systèmes embarqués dans des produits réglementés : août 2028.)

Qui est concerné : fournisseur ou déployeur ?

Le règlement distingue deux rôles principaux. Le fournisseur développe ou commercialise un système d'IA (OpenAI, Microsoft, un éditeur de logiciel métier intégrant de l'IA). Le déployeur — la quasi-totalité des PME françaises — utilise un système d'IA sous sa propre autorité dans un cadre professionnel.

Concrètement, vous êtes déployeur si : vos commerciaux utilisent ChatGPT pour préparer des devis · votre assistante utilise Copilot dans Outlook · votre logiciel de paie ou votre CRM intègre des fonctions d'IA · votre site web embarque un chatbot. Aucun seuil d'effectif n'existe : la TPE de trois personnes est déployeuse au même titre que le groupe de trois mille — seules les mesures attendues sont proportionnées à la taille et aux usages.

Les 4 niveaux de risque

Toute la logique du règlement tient dans cette pyramide : plus l'usage peut affecter les personnes, plus les obligations montent.

Pyramide des quatre niveaux de risque de l'AI Act : inacceptable interdit, haut risque encadré, limité transparence, minimal libre
La pyramide des risques de l'AI Act — France Formation Groupe (CC BY 4.0)

Réutiliser ce visuel (licence CC BY 4.0 — mention de la source requise)

L'article 4 : la maîtrise de l'IA (ce qui concerne TOUTES les entreprises)

C'est l'obligation la plus transversale du règlement — et celle qui concerne votre PME dès aujourd'hui. L'article 4 impose aux fournisseurs et aux déployeurs de prendre des mesures pour garantir un niveau suffisant de maîtrise de l'IA (« AI literacy ») à leur personnel et à toute personne utilisant les systèmes d'IA pour leur compte.

Concrètement, trois exigences se dégagent :

Pour le volet opérationnel — former vos équipes et produire cette documentation en une journée — voyez notre page dédiée à l'obligation de formation IA.

L'article 50 : la transparence (applicable à partir du 2 août 2026)

Trois cas pratiques couvrent l'essentiel pour une PME :

Un aménagement technique existe pour les systèmes déjà sur le marché (marquage lisible par machine : délai au 2 décembre 2026), mais l'obligation d'information des personnes, elle, s'applique à partir du 2 août 2026.

Focus RH : recrutement, tri de CV, évaluation

C'est LE sujet à haut risque qui touche les PME sans qu'elles le sachent : le règlement classe à haut risque les systèmes d'IA utilisés pour le recrutement, la sélection et l'évaluation des personnes — tri automatisé de CV, scoring de candidats, analyse d'entretiens vidéo.

Notre formation IA pour les fonctions RH consacre une demi-journée entière à cette cartographie permis/encadré/interdit.

AI Act et RGPD : ce qui change vraiment

La question revient dans toutes nos sessions : « on est déjà conformes RGPD, l'AI Act ajoute quoi ? ». Réponse courte : le RGPD protège les données personnelles, quel que soit l'outil qui les traite ; l'AI Act encadre les systèmes d'IA, quelles que soient les données. Les deux se croisent dès qu'une IA touche des données personnelles — le cas le plus courant en entreprise.

ObligationRGPD (déjà en place)Ce que l'AI Act ajoute
Former le personnelSensibilisation à la protection des donnéesMaîtrise de l'IA proportionnée aux usages, documentée (article 4)
DocumenterRegistre des traitementsTrace écrite des mesures de maîtrise : registre de formation, attestations, charte
Informer les personnesMentions d'information sur les traitementsTransparence spécifique IA : chatbots déclarés, contenus générés identifiables (article 50)
Encadrer les décisions automatiséesArticle 22 : droit de ne pas faire l'objet d'une décision entièrement automatiséeClassification haut risque du recrutement/évaluation, avec obligations renforcées dédiées
Sécuriser les outilsSous-traitants, transferts, sécurité des traitementsExigences sur les systèmes eux-mêmes selon leur niveau de risque

Les deux réflexes communs qui couvrent 80 % du quotidien : minimiser (ne mettre dans un outil d'IA que les données nécessaires, anonymiser quand c'est possible) et travailler dans des environnements maîtrisés (offres professionnelles dont les données n'entraînent pas les modèles, comptes administrés par l'entreprise). Si votre conformité RGPD est réelle, vous avez déjà les bons réflexes — l'AI Act vous demande de les étendre et de les documenter côté IA.

Contrôles et responsabilités : les faits, sans catastrophisme

Beaucoup de contenus commerciaux brandissent des amendes spectaculaires. Voici ce que disent les textes — c'est plus nuancé, et c'est important de le savoir :

PME : votre mise en conformité en 7 étapes

Inventoriez vos usages réels

Qui utilise quoi, y compris les comptes personnels non déclarés (le « Shadow AI ») : c'est la photographie de départ, sans elle rien n'est proportionné. Besoin d'un cadre ? Notre démarche d'acculturation IA commence là.

Posez la charte d'usage

Outils autorisés, données interdites dans les prompts, validation humaine, signalement des incidents : notre modèle en 10 sections est gratuit.

Formez — et tracez la formation

Une formation adaptée aux rôles, avec attestations mentionnant l'article 4 : c'est le cœur de l'obligation. Nos formations en entreprise livrent la documentation complète.

Tenez le registre

Qui a été formé, quand, sur quels outils, avec quelle échéance de recyclage : le modèle de registre est offert.

Mettez vos interfaces en transparence

Chatbot déclaré, contenus générés identifiables quand le règlement l'exige : un audit d'une heure de vos points de contact suffit généralement.

Surveillez vos usages à haut risque

Recrutement et évaluation en tête : cartographiez permis/encadré/interdit avant décembre 2027 — et appliquez la supervision humaine dès maintenant.

Recyclez chaque année

L'IA évolue vite : une mise à niveau annuelle (tracée au registre) montre une démarche vivante — et maintient les compétences réelles. Le financement OPCO couvre aussi le recyclage : voyez le guide du financement.

Questions fréquentes

L'AI Act, c'est quoi en résumé ?
L'AI Act (règlement UE 2024/1689) est la première loi au monde encadrant l'intelligence artificielle de façon globale. Il classe les usages de l'IA en quatre niveaux de risque, interdit les plus dangereux, encadre fortement les usages à haut risque (comme le recrutement automatisé), impose la transparence des chatbots et des contenus générés, et oblige toute entreprise utilisatrice à garantir la maîtrise de l'IA par son personnel (article 4). Il s'applique par étapes de février 2025 à décembre 2027.
Une TPE de 5 salariés est-elle concernée ?
Oui, dès lors qu'un collaborateur utilise un système d'IA dans son travail : l'obligation de maîtrise de l'IA (article 4) ne prévoit aucun seuil d'effectif. Les mesures attendues sont en revanche proportionnées : pour une TPE, une formation adaptée aux usages réels, une charte simple et un registre suffisent généralement à documenter la démarche.
Qui contrôle l'application de l'AI Act en France ?
Les autorités de surveillance du marché de chaque État membre, à partir du 2 août 2026. Au 4 juillet 2026, la France finalisait la désignation de ses autorités (architecture votée au Sénat en février 2026 : rôle central pressenti pour la CNIL, coordination DGCCRF) — cette section sera mise à jour à la promulgation.
L'AI Act est-il reporté à 2027 ?
Non — c'est une confusion fréquente. Le paquet « Digital Omnibus » adopté en juin 2026 reporte uniquement les obligations des systèmes à HAUT RISQUE (au 2 décembre 2027). L'article 4 (maîtrise de l'IA, applicable depuis février 2025), les pratiques interdites et l'article 50 (transparence) suivent leur calendrier initial.
Quelle différence entre l'AI Act et le RGPD ?
Le RGPD protège les données personnelles, quel que soit l'outil ; l'AI Act encadre les systèmes d'IA, quelles que soient les données. Ils se recouvrent quand une IA traite des données personnelles — le cas le plus courant en entreprise. Les deux réflexes communs : minimiser les données exposées et travailler dans des environnements maîtrisés.
Que risque concrètement une PME qui ne fait rien ?
Pour l'article 4, le règlement ne prévoit pas d'amende spécifique — mais trois risques réels existent : le contrôle par les autorités de surveillance (documentation exigée), la responsabilité civile en cas d'incident causé par un salarié non formé (données divulguées, contenu erroné transmis), et l'exigence croissante des donneurs d'ordre et assureurs qui demandent des preuves de conformité. La trace écrite (formation, registre, charte) répond aux trois.
Qu'est-ce qu'un « déployeur » au sens de l'AI Act ?
Toute organisation qui utilise un système d'IA sous sa propre autorité dans un cadre professionnel. Utiliser ChatGPT pour rédiger des devis, Copilot dans Outlook ou un logiciel métier intégrant de l'IA fait de votre entreprise un déployeur — avec les obligations correspondantes, dont l'article 4.
Par où commencer sa mise en conformité ?
Par l'inventaire honnête des usages réels (y compris les comptes personnels non déclarés), puis la charte d'usage, la formation tracée des équipes et le registre. Notre checklist en 7 étapes détaille le parcours complet — et chaque étape correspond à une ressource gratuite ou une formation de ce site.

Sources primaires

Règlement (UE) 2024/1689 (AI Act), texte intégral : EUR-Lex 32024R1689 · FAQ « AI literacy » de la Commission européenne (article 4) : digital-strategy.ec.europa.eu · Paquet « Digital Omnibus » IA, COM(2025) 836 (report du haut risque) : procédure EUR-Lex. Sources consultées le 4 juillet 2026. Cette page est révisée à chaque évolution du calendrier ou de la gouvernance française.

Rappel : ce guide est pédagogique et ne constitue pas un conseil juridique. Pour la validation de votre charte, vos usages à haut risque ou tout cas sensible, consultez votre avocat ou votre DPO.

Recevez ce guide en PDF (12 pages)

La version PDF du guide — calendrier, pyramide des risques, tableau AI Act × RGPD et checklist en 7 étapes — à partager avec votre direction ou votre CSE. Gratuit, sans engagement.

C'est envoyé — vérifiez votre boîte de réception dans quelques minutes.

Vos coordonnées servent uniquement à l'envoi du guide et à un suivi éventuel — pas de démarchage massif. La version en ligne (francefg.fr/ai-act) reste toujours la plus à jour.

Pour aller plus loin

De la lecture à la conformité : une journée suffit

Vos équipes formées, votre registre, vos attestations et votre charte — en une journée dans vos locaux, finançable par votre OPCO.

06 44 60 79 11

Une question sur nos formations ?

Notre équipe vous répond et vous oriente vers la bonne solution.

Nous contacter

Vous formez une équipe ?

Devis sous 24h · financement OPCO géré de A à Z · tarifs dégressifs dès 3 collaborateurs.

Demander un devis