Le 2 août 2026, le règlement européen sur l'intelligence artificielle — l'AI Act — entre dans sa phase la plus contraignante pour les entreprises. Concrètement : si votre PME utilise Claude, ChatGPT, Mistral, ou des automatisations IA via Make, n8n ou Zapier, vous devenez déployeur de système d'IA au sens du règlement. Et les sanctions vont jusqu'à 35 millions d'euros ou 7% du chiffre d'affaires mondial.
La plupart des dirigeants de TPE/PME pensent que ce texte concerne uniquement les géants de la tech. C'est faux. Selon l'analyse de Nerolia Formation, toute entreprise qui intègre un système d'IA dans ses processus — recrutement, scoring client, génération automatique de contenus, support client — entre dans le périmètre. Voici ce qui change vraiment et les 5 obligations à traiter avant l'été 2026.
Pourquoi c'est important pour les PME
L'AI Act n'est pas un RGPD bis. C'est un texte qui classe les usages d'IA par niveau de risque et impose des obligations proportionnelles à ce risque. Quatre catégories : risque inacceptable (interdit), haut risque (encadré strictement), risque limité (obligations de transparence), risque minimal (libre).
Le piège, c'est que beaucoup d'usages quotidiens d'IA en PME basculent sans le savoir en haut risque. Tri de CV automatisé via un LLM ? Haut risque. Scoring de leads avec décision d'attribution commerciale ? Haut risque. Modération de contenus utilisateurs ? Haut risque. Chatbot client basique ? Risque limité, mais obligations de transparence.
D'après une analyse de GPO Mag, plus de 60% des PME françaises ont déployé au moins un outil d'IA générative en 2025. Une grande partie le fait sans cartographie ni gouvernance. À 9 mois de la deadline, l'écart entre l'usage réel et la conformité attendue est massif.
La CNIL est désignée autorité compétente en France, aux côtés de la DGCCRF pour les aspects produits. Les contrôles ne commenceront pas le 3 août 2026, mais les obligations documentaires, elles, doivent être prêtes ce jour-là.
Ce que ça change concrètement : les 5 obligations clés
1. Cartographier vos systèmes d'IA
Première obligation : tenir un registre interne de tous les systèmes d'IA utilisés. Cela inclut les LLM accédés via API (Claude, GPT, Mistral, Gemini), les outils SaaS embarquant de l'IA (HubSpot AI, Notion AI, Salesforce Einstein), et les scénarios d'automatisation no-code qui appellent ces modèles.
Pour chaque système, vous devez documenter : le fournisseur, la finalité d'usage, les données traitées, la catégorie de risque, et les mesures de mitigation. Un simple tableau Notion ou Airtable suffit pour démarrer, à condition d'être à jour.
2. Classer le niveau de risque de chaque usage
C'est l'étape qui demande le plus de jugement. Un même outil peut être risque limité ou haut risque selon l'usage. Claude utilisé pour résumer des comptes-rendus de réunion : risque minimal. Le même Claude utilisé pour pré-trier des candidatures : haut risque, avec obligations renforcées.
Les usages haut risque listés à l'Annexe III du règlement concernent notamment : recrutement, évaluation des employés, accès à l'éducation, scoring de crédit, attribution de services publics. Si vous touchez à ces domaines, le niveau d'exigence monte d'un cran.
3. Garantir la transparence vis-à-vis des utilisateurs
Tout système d'IA en interaction avec une personne physique doit l'informer qu'elle interagit avec une IA. Concrètement : votre chatbot doit le dire. Vos emails générés par IA doivent être identifiables. Les contenus synthétiques (images, audio, vidéo) doivent être marqués.
Cette obligation s'applique même aux usages risque limité. C'est probablement le point le plus visible et le plus simple à corriger immédiatement : revoir vos mentions, vos disclaimers, vos signatures email automatisées.
4. Former vos équipes à l'IA (AI literacy)
L'article 4 de l'AI Act, déjà en vigueur depuis février 2025, impose un niveau suffisant de maîtrise de l'IA aux personnes qui utilisent ou opèrent ces systèmes. Pas de format imposé, mais une obligation de moyens : formation, documentation interne, sensibilisation aux risques.
Pour une PME, cela signifie au minimum un module interne expliquant : ce qu'est un LLM, ses limites (hallucinations, biais), les règles d'usage en interne, les données qui ne doivent pas y être collées.
5. Surveillance humaine et journalisation
Pour les usages haut risque, une supervision humaine effective est obligatoire. Pas de décision 100% automatisée sur des sujets impactants. Concrètement : un humain valide avant action, ou peut intervenir en temps réel, ou audite a posteriori avec capacité de correction.
Couplé à cela, une obligation de journalisation : conserver les logs des décisions prises par le système IA pendant la durée nécessaire à l'audit. Pour un scénario Make qui pré-qualifie des leads, cela veut dire stocker les inputs, les outputs et la décision finale humaine.
[Schéma : Workflow de mise en conformité AI Act pour une PME]
Citations d'experts
« L'AI Act ne s'adresse pas qu'aux grands groupes. Toute entreprise qui déploie un système d'IA, même via un simple abonnement SaaS, devient responsable de son usage conforme. La cartographie est le point de départ non négociable. »
— Nerolia Formation, analyse AI Act 2026
« 2026 sera l'année des mutations réglementaires pour les PME françaises. Entre AI Act, CSRD allégée et nouvelles obligations cyber, les dirigeants doivent intégrer la conformité comme un réflexe stratégique, pas comme une contrainte ponctuelle. »
— Dynamique Mag, L'odyssée entrepreneuriale 2026
« Les PME françaises accélèrent massivement sur l'IA générative, mais l'écart se creuse entre celles qui structurent leur usage et celles qui empilent les outils sans gouvernance. La régulation va trancher. »
— GPO Mag, Les PME françaises accélèrent sur l'IA
Ce qui ne change PAS
Malgré le bruit, plusieurs choses restent identiques. Vos outils d'automatisation no-code ne deviennent pas illégaux. Make, n8n, Zapier continuent de fonctionner. Ce qui change, c'est ce que vous y faites passer comme données et décisions, et la manière dont vous le documentez.
Le RGPD reste le cadre principal pour les données personnelles. L'AI Act se superpose, il ne remplace pas. Si vous êtes déjà conforme RGPD avec un registre des traitements à jour, vous avez 50% du travail fait.
Enfin, l'IA générative pour des usages internes non sensibles (rédiger un brouillon d'email, résumer une note, générer une image marketing) reste à risque minimal. Pas d'obligation lourde. Le sujet, ce sont les usages qui touchent à des décisions impactant des personnes.
Comment se positionner dès maintenant
Trois actions concrètes à lancer cette semaine, sans attendre août 2026.
Faites l'inventaire en 2 heures. Listez dans un tableau tous les outils SaaS et scénarios d'automatisation qui touchent à de l'IA. Pour chacun : finalité, données traitées, qui l'utilise. Vous serez surpris du volume.
Classez chaque ligne par niveau de risque. Utilisez l'Annexe III de l'AI Act comme grille. Les usages RH, scoring, modération basculent en haut risque. Le reste se répartit entre limité et minimal.
Lancez un module de formation interne court. Une heure suffit pour la base : ce qu'est un LLM, ce qu'on peut y mettre, ce qu'on ne doit jamais y coller, comment signaler un problème. Documentez-le, c'est la preuve de conformité à l'article 4.
Si vous voulez qu'on regarde votre cas et qu'on cartographie vos automatisations IA en conditions réelles, on propose des audits gratuits sur boommaker.io/audit-gratuit. 45 minutes pour identifier les usages à risque et les corrections prioritaires.
La deadline du 2 août 2026 paraît loin. En réalité, entre l'inventaire, le classement, la mise à jour des outils, la formation et la documentation, neuf mois passent vite. Les entreprises qui s'y mettent maintenant transformeront la contrainte en avantage compétitif. Les autres découvriront le coût d'un contrôle CNIL en 2027.