TL;DR — L'essentiel en 30 secondes
- L'AI Act (Règlement (UE) 2024/1689) est entré en vigueur le 1ᵉʳ août 2024, mais ses obligations s'échelonnent jusqu'en août 2027.
- Le régime applicable aux systèmes d'IA à haut risque listés à l'Annexe III s'applique à compter du 2 août 2026 (Art. 113 du Règlement).
- Le paquet « Digital Omnibus » présenté par la Commission européenne en 2025 vise à alléger la charge documentaire des PME sans modifier les seuils de sanctions.
- Les sanctions peuvent atteindre 35 M€ ou 7 % du chiffre d'affaires mondial pour les pratiques interdites (Art. 99). [à vérifier pour le plafond spécifique PME]
- Les PME ont une fenêtre opérationnelle de 18 mois pour cartographier leurs usages, qualifier le risque et produire la documentation technique exigée.
- Anticiper dès 2025 réduit le coût de mise en conformité de 30 à 50 % selon les retours d'expérience sectoriels [à vérifier].
1. Contexte du report de l'AI Act à 2026
Le Règlement (UE) 2024/1689, dit « AI Act », a été adopté par le Parlement européen le 13 mars 2024 et publié au Journal officiel de l'Union européenne le 12 juillet 2024. Son entrée en vigueur formelle date du 1ᵉʳ août 2024.
Le législateur européen a fait le choix d'une application progressive. L'objectif : laisser aux acteurs économiques — et particulièrement aux PME — le temps de comprendre, qualifier et structurer leur démarche de conformité.
L'Article 113 du Règlement organise ce calendrier en plusieurs vagues. Les interdictions visant les pratiques d'IA inacceptables (Art. 5) s'appliquent depuis le 2 février 2025. Les obligations sur les modèles d'IA à usage général (GPAI) sont entrées en vigueur le 2 août 2025. Le régime central de l'IA à haut risque, défini à l'Annexe III, ne devient pleinement opposable que le 2 août 2026.
Le terme « Digital Omnibus » désigne le paquet de simplification présenté par la Commission européenne fin 2025. Il ne constitue pas un report du calendrier de l'AI Act lui-même, mais une initiative parallèle visant à harmoniser et alléger les obligations administratives transversales pesant sur les PME [à vérifier].
Pourquoi cette montée en charge progressive ?
Trois raisons principales motivent ce séquencement :
- Maturité du tissu économique — la majorité des PME françaises n'ont pas encore identifié leurs cas d'usage d'IA.
- Adoption des normes harmonisées — le CEN-CENELEC JTC 21 finalise les standards techniques (ISO/IEC 42001, ISO/IEC 23894) qui serviront de présomption de conformité.
- Mise en place des autorités — chaque État membre doit désigner ses autorités notifiantes et de surveillance avant août 2025. En France, la CNIL et la DGCCRF se partagent une partie de ces missions [à vérifier répartition finale].
Pour comprendre la portée générale du règlement, consultez notre guide pillar AI Act pour les PME françaises.
2. Pourquoi le report est une opportunité pour les PME
Le décalage entre l'entrée en vigueur (août 2024) et l'application du régime haut-risque (août 2026) constitue une fenêtre stratégique. Trop d'entreprises perçoivent ce délai comme une autorisation à attendre. C'est l'erreur inverse qu'il faut commettre.
Cette période permet trois bénéfices opérationnels mesurables.
2.1 Comprendre avant d'agir
L'Article 3 du Règlement définit 68 termes techniques. La qualification d'un système comme « IA » au sens de l'AI Act n'est pas évidente. Un simple moteur de règles métiers n'entre pas dans le champ. Un modèle de scoring entraîné sur données historiques, oui.
Le temps disponible permet de former en interne un référent AI Act, sans le pression d'une mise en demeure imminente.
2.2 Tester sans risque
Les obligations haut-risque ne s'appliquent pas encore. Une PME peut donc déployer un cas d'usage pilote, mesurer son impact, ajuster sa documentation, sans craindre de sanction immédiate. Cette latence est précieuse pour itérer.
2.3 Anticiper le marché
Les donneurs d'ordre — grands comptes, secteur public, ETI sous obligation NIS2 ou DORA — commencent à exiger contractuellement des engagements de conformité AI Act dès 2025. Une PME prête plus tôt gagne des appels d'offres.
3. Les implications du report sur les PME
Le report n'est pas une exonération. Il déplace seulement le moment où le contrôle devient opposable. Trois implications concrètes structurent l'agenda PME.
3.1 Obligation de qualification dès maintenant
Avant de produire la moindre documentation, il faut savoir si l'on est concerné. L'Annexe III liste 8 domaines à haut risque : biométrie, infrastructures critiques, éducation, emploi, accès aux services essentiels, application de la loi, migration, administration de la justice.
Une PME qui développe un outil RH de tri de CV tombe dans le périmètre. Une PME qui utilise un chatbot commercial générique n'y tombe pas — mais relève des obligations de transparence de l'Art. 50.
3.2 Documentation technique exigée
L'Article 11 et l'Annexe IV imposent une documentation technique détaillée pour chaque système haut-risque mis sur le marché ou mis en service. Elle doit couvrir : description générale, conception détaillée, données d'entraînement, monitoring post-déploiement, conformité aux exigences essentielles.
3.3 Sanctions financières graduées
L'Article 99 prévoit trois niveaux de sanctions administratives :
| Type de manquement | Plafond standard | Plafond PME (le plus bas applicable) |
|---|---|---|
| Pratiques interdites (Art. 5) | 35 M€ ou 7 % du CA mondial | Le montant le plus bas des deux |
| Manquement aux obligations haut-risque | 15 M€ ou 3 % du CA mondial | Le montant le plus bas des deux |
| Information inexacte aux autorités | 7,5 M€ ou 1 % du CA mondial | Le montant le plus bas des deux |
Le Considérant 148 du Règlement précise que pour les PME et start-ups, c'est le montant le plus bas entre la somme forfaitaire et le pourcentage qui s'applique. Cette disposition limite l'effet disproportionné des sanctions sur les petites structures.
Pour un calcul détaillé selon votre chiffre d'affaires, consultez notre page dédiée aux sanctions AI Act pour PME.
Évaluez votre exposition au régime haut-risque
Notre équipe juridique réalise un pré-diagnostic gratuit en 48 h pour identifier vos systèmes d'IA potentiellement concernés par l'Annexe III. Vous recevez une cartographie écrite avec recommandations priorisées.
Demander mon pré-diagnostic4. Les étapes de préparation pour 2026
Une démarche structurée tient en cinq étapes. Chacune produit un livrable concret, réutilisable lors d'un contrôle.
Étape 1 — Inventaire des systèmes d'IA (mois 1-2)
Recenser tous les outils utilisés ou développés en interne qui répondent à la définition de l'Art. 3(1). Inclure les outils SaaS tiers (Microsoft Copilot, ChatGPT Enterprise, outils RH, scoring crédit, modération de contenu).
Livrable : registre des systèmes d'IA, structuré par fournisseur, finalité, données traitées, public concerné.
Étape 2 — Qualification du niveau de risque (mois 2-3)
Pour chaque système, appliquer la grille de l'Annexe III. Le résultat range chaque cas dans l'une des quatre catégories :
| Niveau | Exemple typique | Obligations principales |
|---|---|---|
| Risque inacceptable (Art. 5) | Notation sociale, manipulation cognitive | Interdiction totale |
| Haut risque (Annexe III) | Tri de CV, scoring d'accès au crédit | Documentation technique complète, gestion du risque, supervision humaine |
| Risque limité (Art. 50) | Chatbot, deepfake, contenu généré | Obligation de transparence vis-à-vis de l'utilisateur |
| Risque minimal | Filtre anti-spam, recommandation produit | Bonnes pratiques volontaires |
Étape 3 — Formation du personnel (mois 3-6)
L'Article 4 impose à tout fournisseur et déployeur de garantir un niveau suffisant de littératie IA pour son personnel. Cette obligation s'applique depuis le 2 février 2025. Elle concerne toutes les PME, indépendamment du niveau de risque de leurs systèmes.
Étape 4 — Documentation technique (mois 6-12)
Pour chaque système haut-risque, produire les pièces exigées à l'Annexe IV : description, conception, données, métriques de performance, gestion du risque résiduel.
Étape 5 — Gouvernance et audit interne (mois 12-18)
Mettre en place le système de gestion du risque exigé à l'Art. 9 et le système de gestion de la qualité de l'Art. 17. La norme ISO/IEC 42001:2023 sert ici de référence opérationnelle. Sa certification est volontaire mais offre une présomption de sérieux face aux autorités.
Pour les définitions techniques, référez-vous à notre glossaire AI Act.
5. Les outils et ressources disponibles
Plusieurs ressources gratuites accompagnent les PME dans cette préparation. Trois familles méritent une attention particulière.
5.1 Ressources officielles européennes
- AI Act Service Desk (ai-act-service-desk.ec.europa.eu) — point de contact officiel de la Commission européenne, ouvert depuis 2025. Réponses publiques aux questions d'interprétation.
- AI Office EU — service de la DG CNECT chargé de la supervision des modèles GPAI et de la coordination entre États membres.
- EUR-Lex — texte consolidé du Règlement (UE) 2024/1689 et de ses actes d'exécution.
5.2 Ressources de la CNIL
La CNIL a publié depuis 2024 plusieurs fiches pratiques IA. Elles couvrent notamment la base légale du traitement, la minimisation des données, la transparence et l'exercice des droits dans les systèmes d'IA. Ces fiches s'articulent avec le RGPD mais préparent aussi à l'AI Act.
5.3 Guides professionnels français
- Cigref — guide de mise en conformité AI Act publié en janvier 2025, orienté grandes entreprises mais utile pour structurer une démarche.
- Numeum — guide AI Act publié en mars 2025, orienté éditeurs et intégrateurs de solutions IA.
Une liste structurée des sources officielles à jour est maintenue dans notre page sources.
6. Les risques de ne pas se préparer
L'attentisme coûte plus cher que la préparation. Trois familles de risques se cumulent.
6.1 Sanctions financières
Comme détaillé en section 3.3, les sanctions atteignent 7 % du chiffre d'affaires mondial pour les pratiques interdites. Pour une PME réalisant 5 M€ de CA, cela représente un plafond de 350 000 € — soit la marge nette d'un exercice complet pour beaucoup de structures.
6.2 Interdiction d'exploitation
L'autorité de surveillance peut ordonner le retrait du marché d'un système non conforme (Art. 79). Pour un éditeur SaaS dont la solution intègre un module d'IA, cela équivaut à un arrêt commercial immédiat.
6.3 Risque réputationnel et contractuel
Les grands donneurs d'ordre intègrent désormais des clauses de conformité AI Act dans leurs cahiers des charges. Une PME non préparée est mécaniquement écartée des appels d'offres. Le risque ne se matérialise pas via une sanction administrative, mais via une perte de revenus directe.
| Type de risque | Horizon | Coût estimé pour une PME 5 M€ CA |
|---|---|---|
| Sanction administrative | 2026-2027 | jusqu'à 350 k€ |
| Retrait marché | dès août 2026 | perte CA + coûts de remédiation |
| Perte d'appels d'offres | dès 2025 | 5 à 20 % du pipeline commercial [à vérifier] |
| Atteinte réputationnelle | continu | variable, durable |
7. Les changements clés de l'AI Act pour 2026
Le 2 août 2026 marque l'entrée en application de plusieurs régimes nouveaux. Quatre méritent une vigilance particulière.
7.1 Définition consolidée des systèmes haut-risque
L'Article 6 et l'Annexe III définissent précisément les systèmes haut-risque. Deux voies de qualification coexistent :
- Voie produit (Art. 6.1) — systèmes d'IA intégrés à des produits déjà soumis à une législation harmonisée d'évaluation de conformité (jouets, dispositifs médicaux, machines, etc.).
- Voie usage (Art. 6.2 + Annexe III) — systèmes utilisés dans l'un des 8 domaines listés à l'Annexe III.
7.2 Documentation et transparence renforcées
L'Article 13 impose une documentation à destination du déployeur permettant une utilisation correcte du système. L'Article 50 impose une transparence vis-à-vis des personnes interagissant avec un système d'IA (chatbots, contenu généré).
7.3 Supervision humaine effective
L'Article 14 exige des mesures techniques et organisationnelles permettant à une personne physique de superviser le système, d'intervenir et de l'arrêter. Cette supervision n'est pas symbolique : elle doit être documentée et testée.
7.4 Notification aux autorités
L'Art. 49 impose l'enregistrement des systèmes haut-risque dans la base de données européenne avant leur mise sur le marché ou en service. Cette base est gérée par la Commission européenne.
Sécurisez votre conformité avec nos packs documentaires
Nos packs regulia couvrent la documentation technique Annexe IV, la politique de gouvernance ISO/IEC 42001, les modèles de DPIA-IA et les clauses contractuelles fournisseurs. Livrés en français, prêts à l'emploi, mis à jour à chaque évolution réglementaire.
Découvrir les packs regulia8. Conclusion et conseils
Le calendrier de l'AI Act n'est pas un sursis, c'est une rampe d'accès. Les PME qui considèrent août 2026 comme une échéance lointaine prennent un pari risqué : la documentation technique exigée à l'Annexe IV demande entre 6 et 18 mois de travail selon le nombre de systèmes concernés.
Trois conseils opérationnels pour démarrer maintenant :
- Cartographier en priorité — un registre des systèmes d'IA, même imparfait, vaut mieux qu'une démarche tardive parfaite. Commencez par lister les outils, vous qualifierez ensuite.
- Former le référent interne — désignez un correspondant AI Act (DPO ou IA Lead). L'obligation de littératie IA de l'Art. 4 s'applique déjà depuis février 2025.
- Sourcer les modèles documentaires — réinventer les templates en interne coûte 3 à 5 fois plus cher que d'utiliser des modèles éprouvés [à vérifier]. Les packs regulia, le guide Cigref et le guide Numeum offrent des bases solides.
La fenêtre d'opportunité est réelle, mais elle se referme. À 18 mois de l'échéance haut-risque, agir devient une décision stratégique. Attendre devient un pari sur la clémence de l'autorité.
FAQ
Qu'est-ce que le Digital Omnibus AI 2026 ?
Le « Digital Omnibus » désigne le paquet de simplification présenté par la Commission européenne fin 2025, visant à harmoniser et alléger les obligations administratives transversales du droit numérique européen pour les PME. Il ne constitue pas une révision du Règlement (UE) 2024/1689 (AI Act), dont le calendrier d'application reste fixé par l'Article 113 — avec une entrée en application du régime haut-risque au 2 août 2026 [à vérifier portée finale du Digital Omnibus].
Quelles sont les obligations pour les PME en 2026 ?
À partir du 2 août 2026, les PME déployant ou fournissant un système d'IA listé à l'Annexe III doivent : tenir une documentation technique conforme à l'Annexe IV, mettre en place un système de gestion du risque (Art. 9), assurer une supervision humaine effective (Art. 14), enregistrer le système dans la base de données européenne (Art. 49), garantir la transparence vis-à-vis des utilisateurs (Art. 13 et 50). Les sanctions pour manquement aux obligations haut-risque peuvent atteindre 15 M€ ou 3 % du CA mondial — le montant le plus bas s'appliquant aux PME (Considérant 148).
Comment identifier un système d'IA de haut risque ?
Un système est qualifié de haut risque par deux voies. Voie produit (Art. 6.1) : le système est un composant de sécurité d'un produit déjà soumis à une législation harmonisée d'évaluation de conformité. Voie usage (Art. 6.2 et Annexe III) : le système est utilisé dans l'un des 8 domaines listés — biométrie, infrastructures critiques, éducation, emploi, accès aux services essentiels, application de la loi, migration, justice. Un audit interne mené avec un référent juridique est la méthode recommandée.
Quelles sont les sanctions pour non-conformité ?
L'Article 99 prévoit trois plafonds. Pratiques interdites (Art. 5) : 35 M€ ou 7 % du CA mondial. Manquement aux obligations haut-risque : 15 M€ ou 3 % du CA mondial. Information inexacte aux autorités : 7,5 M€ ou 1 % du CA mondial. Pour les PME et start-ups, le Considérant 148 précise que c'est le montant le plus bas qui s'applique. Les autorités nationales — en France, la CNIL et la DGCCRF selon les missions — peuvent également ordonner le retrait du marché (Art. 79).
Où trouver des ressources pour se préparer ?
Les ressources officielles principales sont : l'AI Act Service Desk de la Commission européenne (ai-act-service-desk.ec.europa.eu), les fiches pratiques IA de la CNIL (cnil.fr/fr/les-fiches-pratiques-ia), le texte consolidé sur EUR-Lex (eur-lex.europa.eu/eli/reg/2024/1689). Côté français, le guide AI Act du Cigref (janvier 2025) et celui de Numeum (mars 2025) offrent une lecture opérationnelle. Pour les modèles documentaires prêts à l'emploi, regulia propose des packs sectoriels couvrant la documentation technique Annexe IV et la gouvernance ISO/IEC 42001.
Sources officielles
- Règlement (UE) 2024/1689 — texte consolidé sur EUR-Lex
- AI Act Service Desk — Commission européenne
- CNIL — Loi sur l'intelligence artificielle
- Artificial Intelligence Act — version consolidée
- ISO/IEC 42001:2023 — Information technology — Artificial intelligence — Management system
- ISO/IEC 23894:2023 — Information technology — Artificial intelligence — Guidance on risk management
Disclaimer — Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.