AI Act août 2026 : plan conformité PME en 7 semaines

Le 2 août 2026, les premières obligations concrètes de l’AI Act s’appliquent à toutes les entreprises européennes - y compris les PME qui n’ont rien développé en interne mais qui utilisent un chatbot, un CRM avec scoring, ou un outil de recrutement IA. Il reste 7 semaines. La plupart des dirigeants que je rencontre n’ont pas encore commencé.

TL;DR : Le 2 août, toute PME utilisant un outil IA doit informer ses utilisateurs qu’ils interagissent avec une IA (Article 50 du règlement UE 2024/1689), tenir un registre de ses usages, et vérifier que ses fournisseurs SaaS sont conformes. Ce n’est pas une formalité : 90 % des PME françaises sont concernées en tant que « déployeurs » au sens légal - des entreprises qui utilisent un outil IA sans l’avoir développé. Le plan concret tient en 3 semaines de travail, sans juriste. Les obligations lourdes des systèmes à haut risque (recrutement IA, scoring crédit) ont été reportées à décembre 2027 - mais la transparence sur les chatbots reste au 2 août.

Ce que le 2 août change - et ce qui a été reporté

Il faut d’abord clarifier ce qui s’applique le 2 août, parce que la confusion règne depuis l’accord Digital Omnibus de mai 2026.

Ce qui s’applique dès le 2 août : les obligations de transparence de l’Article 50. Si votre PME utilise un chatbot sur son site, un assistant IA pour répondre aux emails clients, ou un outil de génération de contenu, vous devez informer explicitement vos interlocuteurs qu’ils interagissent avec une IA. Pas un astérisque en pied de page. Une information claire, visible, en amont.

Ce qui a été reporté à décembre 2027 : les obligations des systèmes à haut risque (Annexe III) - outil de tri de CV, scoring crédit, analyse comportementale des salariés. Ce report est conditionnel : il n’est pas encore publié au Journal officiel de l’UE. Les juristes spécialisés conseillent de ne pas s’y fier pour planifier (source : aiacto.eu, mars 2026).

La distinction pratique pour une PME de 10 à 100 salariés : si vous utilisez un chatbot de service client, c’est le 2 août qui vous concerne. Si vous utilisez un logiciel RH avec scoring automatique de candidats, vous avez jusqu’à fin 2027 - mais vous feriez bien de commencer l’inventaire maintenant.

Selon une étude CPME de fin 2024, moins de 12 % des PME françaises avaient entamé un audit de leurs usages IA à la date de publication. Ce chiffre n’a pas beaucoup bougé depuis. J’ai rencontré des dirigeants de PME industrielles de 80 salariés qui utilisaient quotidiennement des outils IA sur leurs processus RH sans avoir identifié qu’ils relevaient du règlement. La méconnaissance du texte n’est pas un argument de défense.

Les outils que vous utilisez probablement déjà - et qui sont tous concernés

J’accompagne une trentaine de PME dans leur adoption de l’IA. Voici les outils les plus fréquents que je retrouve chez mes clients, et leur statut au regard du 2 août :

Chatbot de service client (Intercom avec IA, Zendesk AI, HubSpot chatbot) : risque limité, obligation de transparence dès le 2 août. Le texte « Vous êtes en conversation avec un assistant IA » suffit - mais il doit apparaître avant la première réponse, pas après.

Outil de rédaction IA pour le marketing (ChatGPT, Notion AI, Jasper) : si vous publiez du contenu généré par IA visible par des tiers, l’Article 50 exige une mention. L’absence de mention expose à un risque réputationnel fort, même si le contrôle effectif restera faible dans un premier temps.

CRM avec scoring prédictif (Salesforce, HubSpot avec lead scoring IA, Pipedrive AI) : à classifier. Si le scoring influence des décisions sur des personnes (prospects, leads), vérifier avec votre fournisseur si le système est classé à risque limité ou haut risque.

La question la plus simple à poser à chaque fournisseur SaaS d’ici le 15 juillet : « Votre système IA est-il conforme à l’AI Act ? Avez-vous une page ou un document de référence ? » Un fournisseur sérieux a une réponse. L’absence de réponse est un signal.

Ce que cela change concrètement : si un fournisseur ne peut pas répondre à cette question, c’est un risque légal qui vous incombe en tant que déployeur. L’AI Act ne vous exonère pas de la responsabilité de l’usage sous prétexte que vous avez acheté un SaaS. Vous êtes responsable de savoir ce que fait l’IA que vous déployez auprès de vos clients ou de vos salariés.

Ce que « obligation de transparence » veut dire en pratique

L’Article 50 du règlement UE 2024/1689 impose trois règles concrètes, applicables le 2 août 2026.

Première règle : toute personne interagissant avec un chatbot ou un agent IA doit être informée qu’elle parle à une machine. Cette information doit précéder la première interaction, pas la suivre. Sur un site e-commerce avec chatbot : une mention dans la bulle d’ouverture suffit.

Deuxième règle : tout contenu généré par IA - texte, image, audio, vidéo - destiné à être vu par le public doit être identifié comme tel. Les contenus internes (notes de réunion, résumés, drafts internes) sont hors périmètre.

Troisième règle : si votre outil imite une voix humaine réelle ou génère des vidéos synthétiques, l’identification est obligatoire et les obligations sont plus strictes.

Ce qui ne vous est pas demandé au 2 août : audit complet, certification, marquage CE, enregistrement dans une base de données européenne. Ces exigences concernent les fournisseurs et les systèmes à haut risque (post-2027 pour les PME déployeurs).

Traduction en charge de travail : pour une PME standard, 2 à 4 heures suffisent pour mettre à jour les mentions sur les outils en contact client et créer un registre minimal. Aucun juriste externe nécessaire.

Plan d’action en 3 semaines - pas 10 étapes

Plutôt que de proposer un plan en 10 étapes (j’en ai vu beaucoup ces derniers mois, ils découragent plus qu’ils n’aident), voici ce qui compte vraiment :

Semaine 1 (d’ici le 22 juin) : l’inventaire en 2 heures. Créer un tableur avec 5 colonnes : nom de l’outil / fournisseur / usage IA / données traitées / contact client (oui/non). Commencez par les 5 outils que vous utilisez le plus souvent. Interrogez vos équipes sur leurs propres usages - le « shadow AI » (outils IA utilisés sans validation interne) est présent dans 70 % des PME que j’accompagne. Les outils les plus souvent oubliés : les assistants IA intégrés à Outlook ou Gmail, les outils de présentation avec génération de slides, les plateformes de visioconférence avec transcription automatique.

Semaine 2 (d’ici le 29 juin) : classifier et contacter les fournisseurs. Pour chaque outil en contact direct avec clients ou candidats : poser la question AI Act à votre CSM ou au support. Consigner la réponse dans le registre. Pour les outils internes uniquement : risque minimal, pas d’action urgente. Salesforce, HubSpot, Notion et Microsoft 365 ont tous publié des pages de conformité AI Act en 2026. Zendesk, Intercom et Freshdesk aussi. Un tour de leurs sites suffit dans la majorité des cas.

Semaine 3 (d’ici le 6 juillet) : mettre à jour les mentions visibles. Pour chaque chatbot ou outil IA en contact client : ajouter la mention de transparence. Sur votre site, dans vos emails automatiques, dans vos interfaces client. Pas de formulation juridique complexe : « Cet assistant utilise l’intelligence artificielle » suffit.

Avec 3 semaines de marge avant le 2 août, vous avez le temps de vous préparer correctement. J’ai fait ce travail avec plusieurs PME en moins d’une journée de consultation - la complexité perçue est bien supérieure à la réalité.

Ce que je retiens des PME qui s’y sont bien prises : elles ont traité la conformité AI Act comme elles ont traité la conformité RGPD en 2018. Pas comme un projet juridique à externaliser, mais comme un exercice de connaissance interne - « qu’est-ce qu’on utilise vraiment ? » - qui leur a permis de mieux piloter leurs coûts et leurs risques. Les PME qui avaient un registre RGPD propre en 2018 ont mis deux fois moins de temps à s’adapter que celles qui partaient de zéro. Le schéma se répète.

Ce que les sorties de cette semaine changent à votre conformité

Trois actus de la semaine du 9 au 14 juin 2026 ont un impact direct sur cette question.

Fable 5 suspendu par le gouvernement américain. Anthropic a lancé Fable 5 le 9 juin, puis a reçu le 12 juin une directive fédérale de contrôle des exportations ordonnant la suspension d’accès pour tout ressortissant étranger - y compris les employés Anthropic - au motif d’une faille de sécurité identifiée. Conséquence : accès désactivé pour tous les clients sans distinction. Anthropic conteste publiquement la décision, juge la faille « relativement simple » et comparable à ce que d’autres modèles comme GPT-5.5 permettent déjà, mais s’y conforme. Pour les PME françaises qui avaient prévu d’utiliser Fable 5 dans leurs workflows, l’accès n’est pas disponible. Seuls les autres modèles Anthropic (Claude 3.5, Claude 3 Opus) restent accessibles. Si vous aviez documenté Fable 5 dans votre registre AI Act, mettez la colonne « statut » à jour.

Apple + Google : Siri propulsé par Gemini (WWDC 2026, 8 juin). iOS 27 intègre les modèles Gemini de Google dans un Siri repensé comme agent autonome capable de planifier, d’envoyer des emails, de gérer le calendrier. Pour les PME dont les collaborateurs utilisent des iPhones professionnels - ce qui représente entre 40 et 60 % des équipes dans les PME de services que j’accompagne - cela signifie que des traitements IA vont se faire dans des applications du quotidien sans action délibérée. Ces usages passifs sont hors des obligations de l’Article 50 pour vous (vous n’êtes pas déployeur de Siri, Apple l’est). Mais les échanges professionnels qui transitent par ces outils méritent d’apparaître dans votre registre si des données clients ou RH sont concernées.

Anthropic bascule vers la facturation à l’usage pour les agents. Depuis avril 2026, les abonnements Claude (Pro, Max, Team) ne couvrent plus les frameworks d’agents autonomes - les outils qui font tourner Claude en pilote automatique sur des tâches répétitives. Si votre PME a mis en place un agent automatisé - répondeur email, agent de qualification de leads, assistant de traitement de commandes - deux choses changent. Premièrement, la facture : le modèle passe à la consommation effective, pas au forfait. Deuxièmement, la conformité : ces agents, qui prennent des décisions automatisées sur des données de personnes réelles, sont précisément le type d’usage que l’Article 50 vise. Si votre agent envoie des réponses à des clients sans que ceux-ci sachent qu’il s’agit d’une IA, vous n’êtes pas en règle.

---

Questions fréquentes

Ma PME n’utilise pas de chatbot visible par les clients. Suis-je concerné par l’AI Act ? Si vos outils IA traitent uniquement des données internes et ne prennent pas de décisions sur des personnes extérieures à votre équipe, vous relevez du risque minimal - pas d’obligation de transparence au 2 août. Créer un registre de vos usages reste une bonne pratique pour préparer l’avenir.

Un simple tableur suffit comme registre AI Act pour une PME ? Oui. L’AI Act ne précise pas le format du registre pour les PME déployeuses de systèmes à risque limité. Un tableur structuré (nom de l’outil / usage / données / fournisseur / niveau de risque estimé) constitue une preuve de bonne foi en cas de contrôle. La CNIL et la DGCCRF sont les autorités compétentes en France.

Les sanctions de l’AI Act sont-elles réelles pour une PME dès le 2 août 2026 ? Les sanctions maximales (35 M€ ou 7 % du CA mondial) concernent les systèmes interdits et les infractions graves. Pour une PME utilisant un chatbot sans mention de transparence, la première réaction des autorités sera une mise en demeure, pas une amende. Mais le risque réputationnel d’être signalé est bien réel - et le règlement prévoit des plaintes de particuliers.

Mes fournisseurs SaaS (Salesforce, HubSpot, Notion) s’occupent-ils de la conformité AI Act à ma place ? Non. L’AI Act distingue le fournisseur (qui doit rendre son système conforme) et le déployeur (vous, qui devez utiliser le système de façon conforme). Salesforce peut vous fournir la documentation, mais c’est vous qui devez superviser l’usage, informer vos clients, et tenir le registre.

Le report Digital Omnibus change-t-il quelque chose pour les PME au 2 août ? Il reporte les obligations des systèmes à haut risque (Annexe III) à décembre 2027. Les obligations de transparence de l’Article 50 restent applicables au 2 août. Ce report n’est pas encore publié au Journal officiel de l’UE - les juristes conseillent de traiter la date de décembre 2027 comme provisoire.