Retour au blog
AI ActAI Act5 mai 202610 min de lecture

AI Act pour TPE et PME : le guide complet (déployeur, obligations, sanctions)

par Tony Bonnay · fondateur Velvyno

Mis à jour le 13 mai 2026

L'AI Act est arrivé. Mais 9 articles sur 10 sur le sujet s'adressent à OpenAI, Mistral et Google — pas à vous. Pourtant la grande masse des entreprises concernées au 2 août 2026, ce sont les TPE et PME françaises qui utilisent ChatGPT, Claude, Copilot ou un chatbot. Et la majorité ignore qu'elles ont des obligations.

Vous n'êtes pas le fournisseur du modèle. Vous êtes le déployeur au sens de l'article 3.4 du Règlement UE 2024/1689. Cette distinction détermine quelles obligations s'appliquent à vous, lesquelles ne s'appliquent pas, et combien vous risquez en cas de contrôle. C'est aujourd'hui la première source d'erreur de mise en conformité dans les PME.

Et il y a une actualité majeure que peu d'articles francophones ont intégrée. Le Digital Omnibus on AI — accord trilogue du 7 mai 2026, adoption formelle attendue avant le 2 août 2026 — reporte au 2 décembre 2027 les obligations renforcées des systèmes haut risque listés à l'annexe III (proposition Commission européenne du 19 novembre 2025). Conséquence : vous avez maintenant deux horizons à gérer. Le premier (transparence, littératie IA, cadre général) tombe toujours le 2 août 2026. Le second (recrutement par IA, crédit, biométrie, scoring de personnes) bascule à fin 2027. Le report change votre priorisation, pas vos obligations.

Cet article s'adresse aux dirigeants de TPE et PME (5 à 50 salariés). Pas aux freelances solos — pour eux, le guide RGPD pour auto-entrepreneurs couvre déjà l'angle solo. Ici, on traite ce qui change quand vous avez des salariés qui utilisent l'IA, des candidats que vous évaluez, et des clients à qui vous envoyez des contenus générés par IA.

Sommaire

Qu'est-ce que l'AI Act et qui est vraiment concerné ?

« On utilise juste ChatGPT pour gagner du temps sur les fiches de poste. On n'est pas Google, on n'est pas concernés. » C'est la phrase de Karim Lemaire, 41 ans, dirigeant de "Talents Conseil", cabinet de recrutement tech à Lyon : 14 salariés, 1,8 M€ de CA, environ 800 CV traités par mois avec un outil de scoring basé sur GPT-4. Karim utilise aussi Mistral pour les fiches de poste, Claude pour personnaliser les emails aux candidats, et il étudie un chatbot pour son site. Il pense être hors scope. Il se trompe — et au pire endroit possible.

L'AI Act, c'est le Règlement UE 2024/1689, entré en vigueur le 1er août 2024, premier cadre juridique mondial dédié à l'intelligence artificielle. Le texte classe les systèmes d'IA par niveau de risque et impose des obligations proportionnelles à toute la chaîne : fournisseur ET utilisateur final.

Pour mesurer l'ampleur : la France compte 174 614 TPE et PME hors microentreprises (INSEE), et plus de 32 000 organisations françaises ont désigné un Délégué à la Protection des Données (CNIL au 31 décembre 2024). Ces structures sont massivement utilisatrices d'IA générative depuis 2023-2024 — la quasi-totalité tombe sous l'AI Act en 2026, dont une partie significative en haut risque sans le savoir.

Concrètement, si vous utilisez un outil intégrant de l'IA — ChatGPT, Claude, Copilot, Mistral, un chatbot, un logiciel RH avec scoring — vous êtes "déployeur" au sens de l'article 3.4. Pas besoin d'avoir développé l'outil. Le simple fait de l'utiliser à titre professionnel suffit.

Le calendrier mis à jour après le Digital Omnibus de mai 2026

L'application de l'AI Act est échelonnée. Pour une PME comme celle de Karim, cinq dates comptent — et la quatrième vient de bouger d'un an et demi. Voici l'état post-trilogue.

  • 2 février 2025 — Les pratiques interdites de l'article 5 sont déjà en vigueur (scoring social, manipulation subliminale, exploitation de vulnérabilités). En parallèle, l'article 4 impose à tous les déployeurs de garantir un niveau suffisant de littératie IA parmi leur personnel. Karim devait déjà former ses chargés de recrutement à l'usage de leurs outils IA. Il ne le sait pas. Cette obligation n'est pas reportée par le Digital Omnibus.

  • 2 août 2025 — Obligations des modèles GPAI (articles 51 à 55). Pèsent sur OpenAI, Anthropic, Mistral, Meta — pas sur vous. La confusion sur ce point est exactement pourquoi 9 articles sur 10 racontent l'AI Act comme une affaire de Big Tech.

  • 2 août 2026Première date qui vous concerne directement. Application générale du règlement : transparence de l'article 50 (chatbots, contenu généré par IA externe), cadre général de l'article 26 sur les déployeurs, sanctions de l'article 99, gouvernance et compétences de l'AI Office européen. Le Digital Omnibus n'a rien changé à cette date. Vous avez moins de trois mois au moment où vous lisez ces lignes.

  • 2 décembre 2027C'était initialement le 2 août 2026. Le Digital Omnibus on AI (Commission le 19 novembre 2025, vote Parlement européen 26 mars 2026, trilogue 7 mai 2026) reporte de 16 mois les obligations renforcées des systèmes haut risque listés à l'annexe III : recrutement, scoring de crédit, services publics essentiels, éducation, biométrie, migration, justice. Pour Karim et son scoring CV : le couperet d'août 2026 devient échéance fin 2027. Raison : normes harmonisées en retard et guidance technique opérationnelle insuffisante.

  • 2 août 2028 — Systèmes haut risque intégrés à des produits déjà réglementés (annexe I : dispositifs médicaux, machines, jouets connectés). Date également décalée d'un an par le Digital Omnibus.

Ne lisez pas ce report comme un sursis général. Pour les TPE/PME utilisatrices d'IA générative classique (ChatGPT, Claude, chatbots), l'horizon réel reste août 2026. Pour les PME qui utilisent un système haut risque — comme Karim — le couperet glisse, mais ne disparaît pas. Pour aller plus loin sur les 5 décisions stratégiques à prendre face à ce report dans les 30 prochains jours, lisez notre article dédié : 5 décisions stratégiques face au report de l'AI Act.

Déployeur ≠ fournisseur : la distinction qui change tout

C'est LE point que la presse spécialisée brouille systématiquement, et c'est précisément ce qui plombe la conformité des PME.

L'article 16 liste les obligations du fournisseur : la personne ou l'entreprise qui développe un système d'IA et le met sur le marché sous son nom (OpenAI pour GPT-4, Anthropic pour Claude, Mistral pour Mistral Large). Obligations lourdes : système de gestion des risques, documentation technique, marquage CE pour les systèmes haut risque, conformité ex ante. Cela ne vous concerne pas — sauf si vous développez votre propre modèle.

L'article 26 liste les obligations du déployeur : c'est vous, dès lors que vous utilisez professionnellement un système d'IA fourni par un tiers. Régime bien plus léger mais réel : utiliser l'outil conformément à la notice, assurer la supervision humaine, conserver les logs 6 mois minimum si le système est haut risque, informer les travailleurs avant déploiement, et — si le système traite des données personnelles — réaliser une analyse d'impact (article 27).

S'ajoute l'article 50 sur la transparence : si Karim met un chatbot sur son site, il doit indiquer que les visiteurs interagissent avec une IA. S'il envoie des emails générés par IA aux candidats, il doit le mentionner. La doctrine CNIL sur l'IA reprend exactement cette articulation.

Conséquence : la plupart des articles que vous lirez sur l'AI Act vous angoissent avec des obligations qui ne vous concernent pas. Marquage CE ? Pas vous. Conformité documentaire complète ? Pas vous. Le vrai sujet pour une PME, c'est l'article 26 + l'article 50 — et c'est tout.

Vos 5 obligations concrètes en tant que déployeur

Pour une PME de 5 à 50 salariés comme celle de Karim, voici les 5 obligations à intégrer — chacune avec son calendrier d'application réel après le Digital Omnibus.

1. Tenir un inventaire des systèmes d'IA utilisés — immédiat, transversal

C'est la pierre angulaire. L'inventaire doit lister : nom de l'outil, fournisseur, finalité, données traitées, utilisateurs internes, niveau de risque AI Act (minimal / limité / haut risque / interdit), date de mise en service. Pour Karim : 4 systèmes — scoring CV (haut risque, annexe III point 4(a)), Mistral pour les fiches de poste, Claude pour les emails candidats, futur chatbot. À tenir à jour dès maintenant — c'est ce qui permet de savoir quelle obligation tombe à quelle date.

2. Garantir un niveau suffisant de littératie IA — déjà applicable depuis février 2025

L'article 4 impose que toute personne qui utilise un système d'IA ait reçu une formation adaptée. Pas un master IA : comprendre ce que l'outil fait, ses limites, comment l'utiliser de façon supervisée, détecter une erreur ou un biais. Pour Karim : une demi-journée par chargé de recrutement, traçabilité écrite, renouvellement annuel. Le Digital Omnibus ne change rien ici : l'obligation est déjà en vigueur et opposable en cas de contrôle.

3. Informer (article 50 : la transparence) — applicable au 2 août 2026, pas reporté

C'est l'obligation qui vous tombe dessus dans moins de trois mois. Trois situations imposent une information explicite :

  • Chatbots et systèmes interactifs : avertir que l'utilisateur dialogue avec une IA, mention obligatoire dès l'ouverture.
  • Contenu généré par IA envoyé à des personnes physiques : indiquer que le contenu a été créé ou modifié par IA. Pour les emails candidats de Karim : mention discrète en pied de mail.
  • Décisions qui affectent les personnes : information préalable obligatoire. Pour l'outil de scoring CV, Karim doit indiquer dans l'annonce d'emploi que les candidatures sont pré-évaluées par un système algorithmique — exigence renforcée par l'article L.1221-9 du Code du travail sur la loyauté des procédés de recrutement et la page CNIL sur les obligations en recrutement.

Cette obligation n'est pas reportée. Elle s'applique le 2 août 2026 même pour les systèmes haut risque dont la conformité technique complète, elle, bascule à décembre 2027.

4. Supervision humaine et conservation des logs — pleinement applicable au 2 décembre 2027

L'article 26 impose qu'un système haut risque soit utilisé sous supervision humaine effective — une revue réelle avec capacité de désaccord, pas un humain qui valide en aveugle. Pour Karim : un chargé de recrutement examine chaque CV pré-scoré avant tout rejet. Pas d'automatisation en bout de chaîne. Et il faut conserver les logs au moins 6 mois (article 26.6 + article 12). Échéance reportée par le Digital Omnibus : pleinement contraignante au 2 décembre 2027 pour l'annexe III. Karim a 19 mois pour s'organiser, pas 3.

5. Information des travailleurs et droit à l'explication — pleinement applicable au 2 décembre 2027

L'article 26.7 impose d'informer vos propres salariés avant la mise en service d'un système haut risque qui les concerne — outil d'évaluation, surveillance de productivité. Cela se cumule avec le Code du travail sur les outils de contrôle des salariés. Côté candidats, l'article 86 ouvre un droit à l'explication individuelle : toute personne soumise à une décision algorithmique haut risque peut demander une explication claire des principaux facteurs. Karim doit donc pouvoir expliquer pourquoi un CV a été écarté — ce qui croise directement l'article 22 du RGPD sur les décisions automatisées. Attention : le droit RGPD art. 22 est déjà applicable aujourd'hui — le Digital Omnibus ne reporte que la version renforcée AI Act art. 86.

Le scénario "je verrai au prochain contrôle"

Reprenons Karim, et déroulons ce qui se passe s'il ignore le sujet — calendrier post-Digital Omnibus inclus.

Août 2026. Application générale de l'AI Act. Karim n'a pas mis en place la mention IA en pied des emails candidats. Ses annonces d'emploi ne signalent pas le scoring algorithmique. Aucun inventaire IA, pas de formation littératie IA pour ses 12 chargés de recrutement (alors que l'art. 4 est applicable depuis février 2025). Premiers mois calmes. Karim se rassure : « On verra quand on aura un courrier. »

Novembre 2026. Une candidate écartée dépose plainte. Pas encore sur le scoring lui-même (la procédure article 86 bascule en décembre 2027), mais sur la mention IA manquante dans les emails (article 50) et l'absence d'information sur le traitement algorithmique (RGPD art. 22 + Code du travail). Plainte instruite par la CNIL et l'autorité française de surveillance de l'IA.

Septembre 2027. Pendant l'instruction, deux grands comptes B2B exigent une attestation de conformité AI Act pour renouveler — l'échéance fin 2027 a remis la conformité au centre des procédures achats. Karim n'a rien à fournir. L'un des deux passe chez un concurrent mieux préparé. Perte sèche : un contrat annuel à 180 000 € sur 3 ans, soit 10 % du CA de Karim sur la durée.

Décembre 2027. Application pleine des obligations annexe III. Le scoring CV de Karim aurait dû passer en conformité : supervision humaine documentée, logs 6 mois, procédure d'explication individuelle. Rien n'est en place.

Mai 2028. Sanction administrative cumulée : 45 000 € (20 000 € procédure simplifiée RGPD + 25 000 € AI Act PME sur la base de l'art. 99.5). Plus le coût caché : avocat 6 800 € HT, refonte des procédures, des annonces, formation rétroactive. Total : 51 800 €, sans compter les 180 000 € de contrat perdu.

Le vrai coût n'est pas l'amende. C'est la perte de confiance des grands comptes, qui basculent vers des prestataires capables de prouver leur conformité à la demande. Et cette bascule est irréversible sur 2 à 3 ans. Le Digital Omnibus n'a pas effacé ce risque — il l'a juste décalé.

Sanctions calibrées pour PME : ce que dit l'article 99

Oubliez les 35 millions d'euros qu'on voit partout dans la presse. Pour une PME, le scénario réaliste est encadré par l'article 99 du règlement, avec trois paliers :

  • Jusqu'à 35 M€ ou 7 % du CA mondial pour la violation des pratiques interdites de l'article 5 (scoring social, manipulation, biométrie en temps réel). Inapplicable en pratique aux PME — aucune ne déploie ce type de système.
  • Jusqu'à 15 M€ ou 3 % du CA mondial pour les manquements aux obligations principales — y compris celles du déployeur (article 26 + article 50). C'est votre palier.
  • Jusqu'à 7,5 M€ ou 1 % du CA mondial pour la fourniture d'informations incorrectes aux autorités.

Et surtout — c'est là que tout change pour une PME — l'article 99.5 impose que, pour les PME et start-ups, le plafond applicable soit le plus bas des deux montants (absolu OU pourcentage, le plus bas des deux). Pour Karim avec son CA de 1,8 M€ : 3 % = 54 000 € < 15 M€. Plafond effectif 54 000 € pour le palier intermédiaire, pas 15 millions.

L'article 99.7 impose en plus aux autorités de tenir compte de la taille, de la viabilité économique, de la gravité du manquement, du caractère intentionnel et des mesures correctrices. En pratique, pour des manquements modérés et bien documentés, les sanctions effectives sur PME se logeront entre 5 000 € et 30 000 € sur les premiers cas.

L'AI Act prévoit aussi des bacs à sable réglementaires (article 57) où les PME peuvent expérimenter avec un encadrement allégé, et la Commission européenne via son AI Office accompagne spécifiquement les PME.

Au-delà de l'AI Act : RGPD et facture-é convergent en 2026-2027

L'AI Act n'est pas une obligation isolée. Pour une PME comme celle de Karim, trois réglementations convergent sur la période 2025-2027 — il est infiniment plus efficace de les traiter ensemble.

D'abord, AI Act et RGPD se recouvrent partiellement sur les décisions automatisées. Le scoring CV de Karim relève à la fois de l'article 22 du RGPD et des articles 26 + 86 de l'AI Act. Une PME qui sépare les deux conformités fait deux fois le travail — alors que les obligations sont les mêmes à 80 %. Notre guide RGPD pour TPE et PME couvre toute la partie RGPD applicable.

Ensuite, la facture électronique tombe en parallèle : réception obligatoire pour toutes les entreprises au 1ᵉʳ septembre 2026. Vous changez vos outils et vos process à ce moment-là — fenêtre idéale pour intégrer l'AI Act dans le même chantier. On a couvert le sujet dans notre guide facture électronique TPE et PME.

Pour voir où vous en êtes sur les trois en 2 minutes et 6 questions, le diagnostic gratuit Velvyno couvre RGPD, AI Act et facture électronique en un seul parcours, sans inscription.

Checklist : 6 actions à anticiper d'ici décembre 2027

Pour une PME de 5 à 50 salariés, voici la séquence concrète après le Digital Omnibus. Bloc 1 : avant le 2 août 2026 (transparence + cadre général, non reportés). Bloc 2 : avant le 2 décembre 2027 (obligations renforcées haut risque, reportées de 16 mois).

Avant le 2 août 2026 — Le socle non reportable

1. Avant fin mai 2026 — Recenser tous vos outils IA. Listez tout : ChatGPT, Claude, Copilot, outils RH, chatbots, générateurs d'images, automatisations marketing avec IA. Pour Karim : 4 outils en 30 minutes.

2. Juin 2026 — Classer chaque outil par niveau de risque. Risque minimal (la majorité), risque limité (chatbots, contenu IA externe), haut risque (recrutement, crédit, scoring de personnes, biométrie, voir annexe III), interdit (rare). Pour Karim : 1 outil en haut risque (scoring CV), 3 en risque limité.

3. Juin–juillet 2026 — Mettre à jour vos annonces d'emploi, vos formulaires et vos pieds d'email. Mention "candidature pré-évaluée par un système algorithmique" dans les annonces (article L.1221-9 Code du travail + AI Act art. 50). Chatbot : mention d'entrée. Emails générés par IA à des personnes physiques externes : mention discrète en pied de message.

4. Juillet 2026 — Former vos utilisateurs (art. 4 littératie IA, déjà applicable). Une demi-journée par utilisateur régulier suffit. Programme minimum : limites des outils utilisés, supervision humaine attendue, détection des biais, signalement des erreurs. Émargement signé conservé pour audit.

Avant le 2 décembre 2027 — Le bloc reporté par le Digital Omnibus

5. Avant fin 2026 — Rédiger ou mettre à jour 2 documents structurants. Une charte d'utilisation de l'IA en interne (qui peut utiliser quoi, pour quelles finalités, avec quelles précautions). Un inventaire IA daté avec les colonnes obligatoires. Ces deux documents sont la base de votre future conformité haut risque — autant les écrire dès 2026.

6. Courant 2027 — Mettre en place la supervision humaine et la conservation des logs. Pour chaque système haut risque : nommer un superviseur humain, définir sa procédure de revue, activer la conservation des logs (6 mois minimum), tester une procédure d'explication individuelle au cas où un candidat la demande au titre de l'article 86. Karim a 19 mois pour s'organiser — pas 3.

Karim qui suit cette checklist : 2,5 jours répartis sur 18 mois, coût marginal hors temps interne. À comparer aux 51 800 € + 180 000 € de contrat perdu du scénario non-conformité.

Questions fréquentes

Le Digital Omnibus de mai 2026 a-t-il reporté toutes mes obligations ?

Non. Le Digital Omnibus on AI (accord trilogue 7 mai 2026) ne reporte que l'application pleine des obligations renforcées pour les systèmes haut risque de l'annexe III (recrutement, scoring de crédit, biométrie, éducation, services publics, justice, migration) — du 2 août 2026 au 2 décembre 2027. Tout le reste tombe toujours le 2 août 2026 : transparence de l'article 50 (chatbots, contenu IA externe), sanctions, cadre général déployeur, gouvernance. Et l'obligation de littératie IA de l'article 4 est applicable depuis février 2025 — sans report. Pour une PME utilisatrice de ChatGPT et d'un chatbot, l'horizon réel reste donc dans 3 mois.

J'utilise ChatGPT et c'est tout. Suis-je vraiment concerné en 2026 ?

Oui, mais le régime est léger. ChatGPT pour vous = système de "risque limité". Obligations principales : inventaire à jour (art. 26), littératie IA pour les utilisateurs internes (art. 4, déjà en vigueur depuis février 2025), transparence quand vous envoyez des contenus générés par IA à des personnes physiques externes (art. 50, applicable au 2 août 2026). Pour l'usage purement interne (notes, brainstorming, prototypes), pas d'obligation de transparence — mais inventaire et formation restent dus.

Mon outil RH avec scoring de candidats est-il "haut risque" et quand l'échéance tombe-t-elle ?

Haut risque sans ambiguïté. L'annexe III du règlement, point 4(a), vise expressément les systèmes destinés au recrutement ou à la sélection de personnes physiques, pour analyser et filtrer les candidatures. La pré-évaluation algorithmique de CV en fait clairement partie, même si la décision finale reste humaine. Échéance pleine post-Digital Omnibus : 2 décembre 2027, pas le 2 août 2026 (transparence, supervision humaine documentée, logs 6 mois, droit à l'explication). Attention toutefois : la transparence de l'article 50 sur les emails ou contenus liés au candidat reste due dès le 2 août 2026.

Si je n'ai pas signé de contrat avec OpenAI ou Anthropic, suis-je quand même déployeur ?

Oui. La notion de déployeur de l'article 3.4 ne dépend pas du type de contrat. Abonnement individuel ChatGPT Plus, intégration via wrapper, API directe, utilisation gratuite : tout usage professionnel suffit. Logique confirmée par les orientations de la Commission européenne et reprise par la doctrine CNIL.

Que se passe-t-il si je détecte qu'un de mes outils est en haut risque après le 2 décembre 2027 ?

Documentez la découverte et régularisez sans tarder. L'article 99.7 impose aux autorités de tenir compte du caractère intentionnel ou non du manquement et des mesures correctrices. Concrètement : datez votre constat, listez les mesures (transparence, supervision, logs, formation), tenez un journal des actions correctrices. En cas de contrôle ultérieur, cette documentation divise typiquement par 2 à 4 le montant de la sanction effective.

Conclusion

Pour une PME de 5 à 50 salariés, l'AI Act n'est pas le monstre administratif que la presse décrit. Vous n'êtes pas le fournisseur, vous êtes le déployeur — et le régime du déployeur tient sur 5 obligations qui se déploient désormais sur deux horizons distincts depuis le Digital Omnibus de mai 2026.

L'horizon court — 2 août 2026, dans moins de 3 mois — concerne tout le monde : inventaire, littératie IA (déjà due), transparence de l'article 50 (chatbots, contenu IA externe, mention dans les annonces et emails candidats). Personne ne s'en sort. L'horizon long — 2 décembre 2027 — concerne les obligations renforcées sur les systèmes haut risque annexe III : Karim et son scoring CV, les outils de scoring de crédit, la biométrie. C'est 19 mois pour s'organiser, pas 3.

La bonne nouvelle : le report donne enfin une fenêtre réaliste aux PME pour traiter le haut risque sereinement. La mauvaise : si vous lisez "report" comme "annulation" et que vous attendez le premier courrier de l'autorité française de surveillance pour vous mettre en conformité sur la transparence dès août 2026, le coût est multiplié par 5 à 10, sans compter la perte de contrats B2B qui exigeront une attestation à mesure que décembre 2027 approche.

Pour aller plus loin sur les obligations qui convergent en 2026-2027, on a déjà couvert le RGPD pour TPE et PME, le RGPD pour auto-entrepreneurs, la facture électronique TPE/PME et les 5 décisions stratégiques face au report de l'AI Act en détail dans le blog. Lisez ce qui vous concerne, dans l'ordre que vous voulez.

À lire aussi

Tous les articles