AI Act : ce qu’une PME doit vraiment faire (et ce qu’elle peut ignorer).
Le calendrier de l’AI Act bouge encore : la plupart des obligations « haut risque » viennent d’être repoussées à fin 2027. Résultat, deux camps se forment dans les PME : ceux qui paniquent, et ceux qui rangent le sujet au placard. Les deux ont tort. Voici ce qui s’applique déjà à vous, ce qui peut attendre, et le seul mouvement intelligent à enclencher cette année.
Stéphane Maufras · 28 juin 2026 · 8 min de lecture
Depuis des mois, deux phrases reviennent dans la bouche des dirigeants de PME. La première : « On va prendre une amende à 35 millions, il faut tout arrêter. » La seconde : « L’AI Act, c’est pour les grands groupes, ça ne nous concerne pas. »
Ces deux phrases sont fausses. Et elles coûtent cher, chacune à sa manière : la première gèle des projets utiles par peur ; la seconde laisse l’IA sauvage s’installer sans le moindre garde-fou.
Le problème, c’est que personne ne lit le texte. Alors on réagit à des titres. Reprenons calmement.
L’échéance d’août 2026 n’est plus celle que vous croyez.
Le Règlement européen sur l’intelligence artificielle s’applique par vagues depuis 2024. La grande date que tout le monde redoutait, août 2026, devait déclencher l’essentiel des obligations sur les systèmes dits « à haut risque ».
Sauf qu’un accord de simplification présenté en mai 2026 a changé la donne : la plupart de ces obligations « haut risque » sont repoussées à décembre 2027. Le calendrier reste mouvant, et c’est exactement le piège.
Construire votre stratégie IA autour d’une date de conformité, c’est jouer à la roulette des échéances. Quand la date bouge, votre plan s’effondre. La gouvernance ne se cale pas sur un calendrier : elle se construit en continu.
Trois obligations sont déjà actives.
Pendant qu’on regarde 2027, on oublie que plusieurs règles s’appliquent maintenant, y compris à une PME de 30 personnes. Ce ne sont pas les plus lourdes, mais ce sont celles qu’un auditeur ou un client peut vous opposer dès aujourd’hui.
La littératie IA de vos équipes
L’article 4 impose que les personnes qui utilisent l’IA dans votre organisation aient un niveau de compréhension suffisant. Concrètement : vos collaborateurs doivent savoir ce qu’ils font, ce qu’ils peuvent et ne peuvent pas mettre dans un outil. Ce n’est pas une formation gadget, c’est une obligation.
Les modèles généralistes (GPAI)
Si vous fournissez un service bâti sur un grand modèle, des règles de documentation et de transparence s’appliquent. Pour la plupart des PME qui ne font qu’utiliser ChatGPT, Claude ou Mistral, c’est surtout le fournisseur qui est concerné, mais vous héritez de sa chaîne de responsabilité.
La transparence
Un contenu généré par IA destiné au public, un agent conversationnel qui parle à vos clients : il faut le signaler. Si vous publiez des textes ou des visuels produits par IA sans le dire, vous êtes concerné.
Le « haut risque » repoussé à fin 2027.
Les obligations les plus lourdes (analyse de risque, gouvernance des données, journalisation, supervision humaine, évaluation de conformité) visent les usages « à haut risque ». Pour une PME, cela concerne surtout deux familles : la sélection de CV automatisée côté RH, et le scoring financier côté crédit ou assurance.
Si vous êtes dans ces cas, vous avez du temps : l’essentiel est reporté à décembre 2027. Si vous n’y êtes pas, ces obligations ne vous tomberont sans doute jamais dessus. C’est précisément ce que veut dire « ce que vous pouvez ignorer » : ne consacrez pas votre énergie 2026 à documenter un « haut risque » que vous n’avez pas.
À retenirLe risque immédiat d’une PME, ce n’est pas l’amende à 35 millions d’euros. C’est l’IA sauvage : des données sensibles collées dans des outils ouverts, aucune trace, aucune politique. C’est ça qui vous expose, bien avant l’AI Act.
Quatre choses à faire cette année.
Voici le programme réaliste pour une PME en 2026. Quatre mouvements, aucun recrutement, et qui vous mettent en avance quel que soit le calendrier final.
Cartographier vos usages réels
Avant toute conformité, sachez ce qui se passe vraiment. Qui utilise quoi, sur quelles données. Un audit honnête, sans surveillance, suffit à révéler l’ampleur du sujet.
Mettre vos équipes à niveau
C’est déjà obligatoire (article 4) et c’est le meilleur retour sur investissement : des collaborateurs qui savent ce qu’ils peuvent confier à l’IA, et ce qui ne doit jamais en sortir.
Désigner les responsables existants
Pas de Chief AI Officer. Votre DPO porte la conformité, votre DAF le risque, un membre du CODIR la vision. La gouvernance IA d’une PME se fait avec les fonctions que vous avez déjà.
Tracer les arbitrages
Dès qu’une décision implique l’IA, gardez-en une trace : quel objectif, quelles données, quel garde-fou. Une pratique traçable, c’est une conformité qui s’écrit toute seule, au lieu de se rattraper dans la panique.
La conformité ne se documente pas après. Elle se construit pendant.
C’est tout l’enjeu. La plupart des entreprises voient la conformité comme une couche de paperasse à ajouter une fois que tout le monde utilise déjà l’IA dans son coin. C’est le pire moment, et le plus coûteux : on documente à reculons un chaos qu’on ne maîtrise plus.
La méthode du Cockpit CadrIA prend le problème à l’envers. La phase « Sécuriser » inscrit vos règles, votre périmètre RGPD et vos garde-fous dans la consigne IA elle-même, au moment où l’équipe travaille. Le DPO dispose d’un droit de veto. La trace s’écrit en séance, alignée sur l’AI Act et l’ISO 42001. Vous n’avez plus rien à rattraper après : la conformité est là, par construction.
L’AI Act ne vous demande pas d’avoir peur de l’IA. Il vous demande de pouvoir prouver que vous savez ce que vos équipes en font. C’est une question de méthode, pas de calendrier.
Mettez l’IA sous cadre, avant qu’on vous le demande.
Une matinée Cockpit CadrIA pour cartographier vos usages, poser vos garde-fous et tracer vos arbitrages, alignés sur l’AI Act et l’ISO 42001. Vous repartez avec une pratique conforme, par construction.