AI ActRGPDconformitéIA générativeTPE-PME

AI Act et TPE-PME : ce qu'il faut vraiment faire en 2026

L'AI Act fait peur aux dirigeants, mais la plupart des usages IA d'une TPE ne sont pas concernés par le haut risque. Le point clair sur ce qui s'applique vraiment en 2026.

Classeurs et dossiers alignés sur une étagère claire en lumière douce, évoquant la mise en conformité réglementaire sereine

Vous utilisez peut-être déjà une IA générative pour rédiger vos devis, trier vos mails ou résumer un compte rendu. Et depuis quelques semaines, vous dormez peut-être un peu moins bien. Les titres se multiplient : l'AI Act, le règlement européen sur l'intelligence artificielle, va s'appliquer en août 2026, avec des amendes pouvant atteindre 35 millions d'euros.

La réalité est beaucoup moins effrayante. Pour une TPE ou une PME, l'AI Act ressemble davantage à quelques réflexes de bon sens qu'à une usine à gaz réglementaire. La grande majorité de vos usages ne sont concernés par aucune obligation lourde. Et la seule règle qui s'applique vraiment à vous est déjà en vigueur depuis février 2025, sans avoir empêché grand monde de travailler.

Faisons le tri. Voici, sans jargon, ce que l'AI Act change réellement pour une TPE-PME en 2026, et les rares actions à mener.

L'AI Act en une phrase (et pour qui)

L'AI Act est le règlement européen qui encadre l'usage de l'intelligence artificielle. Il est entré en vigueur le 1er août 2024 et s'applique progressivement jusqu'en 2027 et au-delà.

Son principe tient en une idée simple : plus un usage de l'IA peut avoir de conséquences sur la vie des personnes, plus les obligations sont fortes. Trier des candidatures pour un emploi n'a pas le même poids que résumer un compte rendu de réunion. Le règlement classe donc les usages par niveau de risque, et adapte les contraintes en conséquence.

Point important pour rassurer tout de suite : la plupart des obligations visent les fournisseurs d'IA, c'est-à-dire les entreprises qui conçoivent et vendent ces outils. En tant que TPE-PME qui utilise des outils existants, vous êtes le plus souvent un simple « déployeur », avec des obligations bien plus légères.

Bonne nouvelle : vos usages ne sont presque jamais « haut risque »

Le règlement définit quatre niveaux de risque¹. Comprendre où se situent vos usages vous évite 90 % de l'angoisse.

Niveau de risqueCe que ça recouvreVos obligations
InacceptableNotation sociale, manipulation des comportements, certaines surveillancesInterdit, point final
Haut risqueTri de CV, scoring de crédit, biométrie, décisions RH automatiséesLourdes (documentation, contrôle humain, déclaration)
Risque limitéAssistant conversationnel, contenu généré par IATransparence (signaler que c'est de l'IA)
Risque minimalRédiger un mail, résumer un document, brainstormer, traduireAucune obligation spécifique

La catégorie « risque minimal » représente la très grande majorité des usages d'IA en entreprise aujourd'hui². Quelques exemples concrets pour vous situer :

  • Rédiger ses devis, ses courriers ou trier ses mails avec une IA générative : risque minimal, aucune obligation particulière.
  • Installer un assistant conversationnel sur son site pour répondre aux visiteurs : risque limité, vous devez indiquer que l'interlocuteur parle à une IA.
  • Utiliser un outil pour trier automatiquement les CV et noter ses candidats à l'embauche : là, et seulement là, on entre dans le haut risque.

À retenir. Le « haut risque » concerne des décisions qui engagent l'avenir d'une personne : un emploi, un crédit, un accès à un service essentiel. Si votre usage de l'IA ne décide rien d'aussi lourd à la place d'un humain, vous n'êtes presque certainement pas concerné.

Le calendrier réel, après le report de mai 2026

C'est ici que beaucoup d'articles sèment la confusion, en agitant la date du 2 août 2026 comme un couperet. Remettons les choses à plat.

  • 2 février 2025 : les pratiques interdites sont applicables, et surtout l'obligation de formation à l'IA (l'article 4, sur lequel je reviens plus bas) entre en vigueur.
  • 2 août 2025 : les règles pour les modèles d'IA à usage général (les grands modèles génératifs) s'appliquent à leurs fournisseurs.
  • 2 août 2026 : les États membres doivent avoir mis en place leurs autorités de surveillance et leur régime de sanctions. Les obligations de transparence commencent à s'appliquer.
  • 2 décembre 2027 : c'est la nouvelle date d'application des obligations « haut risque » de l'annexe III (RH, crédit, etc.).

Pourquoi cette dernière date a-t-elle bougé ? Parce que le Conseil de l'Union européenne et le Parlement ont conclu un accord, le 7 mai 2026, surnommé « Digital Omnibus »³. Les obligations haut risque, initialement prévues pour le 2 août 2026, sont repoussées à décembre 2027, le temps que les normes techniques nécessaires soient finalisées.

Attention. Le calendrier de l'AI Act est encore mouvant. L'accord de mai 2026 doit être formellement adopté avant l'été. Inutile de courir : pour une TPE-PME, l'enjeu n'est pas de tout boucler pour une date couperet, mais de prendre les bons réflexes dès maintenant.

La seule obligation qui vous concerne déjà : former vos équipes

Si vous ne deviez retenir qu'un point de cet article, c'est celui-ci. L'article 4 du règlement impose, depuis le 2 février 2025, que toute personne utilisant l'IA pour le compte de l'entreprise dispose d'un niveau de « littératie » suffisant. En clair : vos collaborateurs doivent comprendre ce qu'ils manipulent.

Cette obligation s'applique à toutes les entreprises, y compris une TPE de quelques personnes. Mais ne tombez pas dans l'excès inverse : « littératie suffisante » ne veut pas dire formation diplômante coûteuse. Pour une petite structure, cela peut tenir en quelques gestes simples :

  • Sensibiliser les utilisateurs aux limites des outils (une IA peut inventer une information avec aplomb, ce qu'on appelle une « hallucination »).
  • Poser des règles internes claires : par exemple, ne jamais coller de données clients sensibles dans un outil grand public.
  • Expliquer quand et comment relire ce que produit l'IA avant de l'envoyer à un client.
  • Garder une trace de cette sensibilisation : une note interne, un court support, une réunion d'équipe documentée.

En pratique. En cas de contrôle, la preuve compte. Une simple note de service, un support de sensibilisation daté et une liste des personnes formées suffisent à montrer votre bonne foi. Pas besoin d'un dossier de 50 pages.

C'est paradoxalement la partie la plus utile de l'AI Act pour vous : une équipe qui comprend ses outils fait moins d'erreurs, protège mieux ses données et tire un meilleur parti de l'IA. La conformité rejoint ici votre intérêt direct.

Si vous utilisez un assistant conversationnel ou générez du contenu

Deuxième cas concret fréquent : l'assistant conversationnel sur votre site, ou le contenu (texte, image) produit par IA. Ces usages relèvent du « risque limité », avec une obligation de transparence qui s'applique à partir du 2 août 2026.

Concrètement, deux réflexes :

  1. Indiquer que l'interlocuteur parle à une IA, et non à un humain, quand vous déployez un assistant conversationnel.
  2. Signaler les contenus générés par IA lorsque c'est pertinent. L'obligation de marquage technique des contenus (un repère lisible par machine) bénéficie d'un délai supplémentaire, fixé au 2 décembre 2026 pour les outils déjà sur le marché³.

Rien d'insurmontable : une mention honnête suffit dans la plupart des cas. Et soyons clairs, c'est aussi une bonne pratique de confiance vis-à-vis de vos clients.

Les sanctions : faut-il vraiment s'inquiéter ?

Les montants qui circulent sont impressionnants : jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour les pratiques interdites, et 15 millions ou 3 % pour les manquements liés au haut risque. De quoi nourrir les titres anxiogènes.

Remettons de la proportion. D'abord, le règlement prévoit des plafonds réduits pour les PME et les jeunes entreprises : c'est le montant le plus bas qui s'applique, pas le plafond absolu. Ensuite, ces sanctions maximales visent en priorité les grands fournisseurs d'IA et les usages les plus graves, pas une petite entreprise qui rédige ses devis avec un assistant.

Pour une TPE-PME, le vrai risque n'est pas l'amende record. Ce sont des risques plus concrets et plus immédiats : une fuite de données clients par négligence, une décision injuste prise sur la foi d'une IA mal comprise, ou une perte de confiance si vos clients découvrent un usage opaque. C'est précisément ce que les bons réflexes décrits plus haut permettent d'éviter.

Votre checklist AI Act 2026 en 5 points

Pour transformer tout cela en plan d'action, voici l'essentiel :

  1. Listez vos usages IA actuels. Quels outils, pour quelles tâches, avec quelles données ?
  2. Vérifiez le niveau de risque. Dans 9 cas sur 10, vous êtes en risque minimal. Si un usage touche au recrutement, au crédit ou à la biométrie, faites-vous accompagner.
  3. Sensibilisez vos équipes. C'est l'obligation déjà en vigueur (article 4), et la plus simple à traiter.
  4. Affichez la transparence. Assistant conversationnel ou contenu généré : dites-le clairement.
  5. Posez des règles sur les données. Une page de bonnes pratiques internes vaut mieux qu'un long silence.

L'AI Act n'est pas un mur qui se dresse devant les TPE-PME. C'est un cadre qui récompense l'usage réfléchi de l'IA, celui qui de toute façon vous sert le mieux. La vraie erreur serait soit de paniquer et de tout bloquer, soit d'ignorer le sujet en attendant un contrôle. Entre les deux, il y a un chemin simple : comprendre vos usages, en parler à votre équipe, et avancer sereinement.

Pour aller plus loin, les accompagnements de Yono Consulting vous aident à cadrer vos usages, et mon article ChatGPT, Claude ou Mistral : quelle IA pour votre TPE vous guide sur le choix d'un outil respectueux du RGPD.

Sources

  1. Commission européenne, Règlement (UE) 2024/1689 établissant des règles harmonisées sur l'intelligence artificielle
  2. CNIL, Entrée en vigueur du règlement européen sur l'IA : les premières questions-réponses
  3. Conseil de l'Union européenne, Artificial Intelligence: Council and Parliament agree to simplify and streamline rules
  4. EU Artificial Intelligence Act, Article 4 : Littératie en matière d'IA
  5. Direction générale des Entreprises, Le règlement européen sur l'intelligence artificielle : publics concernés, dates clés, conséquences pour les entreprises
Écrit par Yoann Noblanc

À lire aussi

ChatGPT, Claude ou Mistral : quelle IA pour votre TPE en 2026 ?

En 2026, ChatGPT, Claude et Mistral dominent les usages IA en France. Comparatif honnête pour TPE : prix réels, RGPD, cas d'usage par métier, et mon verdict.

Pourquoi un projet IA réussi commence par vos processus, pas par l'outil

95 % des projets IA n'ont aucun impact mesurable. La cause n'est presque jamais technique : c'est l'ignorance du processus métier qu'on prétend automatiser.

Libérer 10h par semaine : 5 automatisations à mettre en place avant l'été

Un dirigeant de TPE passe 15h par semaine sur des tâches administratives. Voici 5 automatisations concrètes, déployables en quelques semaines, pour en récupérer jusqu'à 10.

Guide gratuit

10 automatisations qui font gagner 10h par semaine

Cas concrets en TPE/PME, avec exemples chiffrés.

Yono Consulting
PDF · 26 pages
Pas encore prêt ?

Pas encore prêt à m'appeler ?

Téléchargez gratuitement mon guide de 10 automatisations testées en TPE/PME qui font gagner concrètement 10h par semaine. Avec exemples chiffrés, outils utilisés, et niveau de difficulté.

  • 10 cas concrets, applicables dès demain
  • Estimation du temps gagné pour chacun
  • Rangés par niveau de difficulté (facile, moyen, avancé)

Pas de spam. Pas de revente. Désinscription en 1 clic.