PilotCrew logoPilotCrew
★Vue d’ensembleCAgent vocalRRédac · contenuBBuzz · socialCCompta · financeAAssist · supportÉÉtoile · réputationPProspecto · salesDDevisco · devis▶Visite guidée (2 min)
🟢 En direct
📞 Tester Capi au téléphone
Appel gratuit, Capi vous répond en français en 2 sonneries.
+33 1 89 31 63 23 →
Guides PME7 secteurs · ROI · setupBlogInsights & actualitésBonnes pratiquesPlaybooks IA pour PMECas d’usageBibliothèque de scénariosAvis clientsTrustpilot · témoignagesÀ propos · FondateurCurtys ACCIPE · parcoursAgencesMarque blanche · reventeIntégrationsCal.com · Stripe · Slack…Visite guidée2 min · capi en démo
📘 Guide
EU AI Act : ce que les PME doivent préparer
Gratuit · 12 pages · échéance août 2026.
Lire le guide →
Centre d’assistanceHub support · FAQ · contactDocumentationAPI · setup · intégrationsChangelogNouveautés produitStatut systèmeDisponibilité en directCentre de confianceEU AI Act · RGPD · sécuCommunautéÉchanges & entraide
🟢 24/7
Une question ? Capi répond
Téléphone, chat, e-mail — la voix officielle PilotCrew.
Contacter le support →
🍽️ RestaurantRésa + avis + menus🔧 ArtisanDevis + SEO local + tournées🩺 MédecinRDV 24/7 + rappels SMS🛒 E-commerceFiches + posts + support💇 BeautéInsta + fidélisation💼 FreelanceLinkedIn + devis + factu🏠 ImmobilierAnnonces multi-portail + voice qualif
TarifsComparatifs
Appeler CapiConnexionEssai gratuit
Menu
FonctionnalitésComment ça marcheIntégrationsTarifsComparatifs

Agents IA

Agent vocal · CapiAgent contenu · RédacAgent social · BuzzAgent finance · ComptaAgent support · AssistAgent réputation · ÉtoileAgent prospection · ProspectoAgent devis · Devisco

Ressources

Visite guidée (2 min)BlogBonnes pratiquesCas d’usageAvis clientsAgences (marque blanche)

Assistance

Centre d’assistanceDocumentationChangelogStatut systèmeCentre de confianceEU AI ActCommunauté
ConnexionEssai gratuit
  1. Accueil
  2. /Conformité
  3. /EU AI Act PME — Guide complet

EU AI Act PME — Le guide complet 2026

Le règlement européen sur l'intelligence artificielle (Règlement (UE) 2024/1689, dit « EU AI Act ») entre dans sa phase d'application réelle pour les PME entre août 2025 et août 2028. Voici, en clair et sans jargon, ce que ça change concrètement pour une PME française qui utilise ou veut déployer de l'IA.

ParCurtys ACCIPE·23 mai 2026·Dernière revue : 23 mai 2026

Pourquoi cet article maintenant

J'accompagne depuis 2024 des PME françaises qui déploient des agents IA : agents vocaux, chatbots support, outils de génération de contenu, scoring commercial. Sur la centaine de premières conversations que j'ai eues avec des dirigeants, une constante : personne ne savait précisément ce que l'EU AI Act allait imposer. Le sujet est mélangé avec le RGPD, avec la CNIL, avec la peur des amendes. Résultat : soit ils paralysent leurs projets IA « en attendant d'être sûrs », soit ils foncent en aveugle sur des outils US qui ne seront pas conformes en 2026.

Ce guide est l'antidote. Il s'adresse à un dirigeant ou un responsable opérationnel de PME (moins de 250 salariés), pas à un juriste. Toutes les références sont des liens directs vers les sources officielles : Commission européenne, CNIL, EUR-Lex.

1. Qu'est-ce que l'EU AI Act ?

L'EU AI Act est le premier règlement complet au monde sur l'intelligence artificielle. Adopté en mars 2024, publié au Journal officiel de l'Union européenne le 12 juillet 2024 sous la référence Règlement (UE) 2024/1689, il est entré en vigueur le 1eraoût 2024. Mais son application n'est pas immédiate : elle se fait par paliers étalés sur trois ans, pour laisser aux entreprises le temps de se mettre en conformité.

Le texte est consultable in extenso sur EUR-Lex (Règlement (UE) 2024/1689). La Commission européenne en publie une synthèse opérationnelle sur la page digital-strategy.ec.europa.eu/fr/policies/regulatory-framework-ai. En France, la CNIL est l'autorité de référence sur l'articulation entre AI Act et RGPD ; elle publie ses analyses sur cnil.fr/fr/intelligence-artificielle.

Le règlement repose sur une logique de risque : plus un système IA présente de risques pour les droits fondamentaux, plus les obligations sont lourdes. Quatre niveaux de risque sont définis, du plus grave (interdit) au plus anodin (risque minimal).

2. Les quatre niveaux de risque

Risque inacceptable — interdit depuis le 2 février 2025

Certaines pratiques IA sont purement et simplement interdites sur le territoire de l'Union européenne depuis le 2 février 2025. Pour une PME, les principales à connaître :

  • Notation sociale généralisée(social scoring) à partir du comportement social ou de traits de personnalité — pratique de type « système de crédit social chinois »
  • Manipulation comportementale subliminaleexploitant les vulnérabilités d'une personne (âge, handicap, situation économique)
  • Reconnaissance des émotions sur le lieu de travail ou dans l'éducation, sauf raisons médicales ou de sécurité
  • Catégorisation biométriquevisant à inférer la race, les opinions politiques, l'orientation sexuelle ou l'appartenance syndicale
  • Reconnaissance faciale en temps réeldans l'espace public par les forces de l'ordre (avec exceptions très encadrées)

La majorité des PME ne sont pas concernées, mais une vigilance s'impose sur les outils RH (analyse vidéo d'entretiens, scoring émotionnel des collaborateurs) et marketing (segmentation biométrique de visiteurs en magasin).

Risque élevé — Annexe III

L'annexe III du règlement liste les systèmes IA considérés à haut risque parce qu'ils touchent à des fonctions sensibles. Pour les PME, les domaines les plus susceptibles d'être concernés :

  • Recrutement : outils de tri automatisé de CV, de scoring de candidats, de présélection vidéo
  • Gestion des collaborateurs : systèmes qui prennent ou influencent des décisions de promotion, de rémunération, de licenciement
  • Accès aux services essentiels: scoring de crédit (banque, assurance), accès aux soins, à l'éducation, aux services publics
  • Biométrie : identification ou catégorisation à distance
  • Composants de sécurité dans des produits régulés (médical, transport, jouets, etc.)

Si vous êtes une PME qui utilise un ATS (applicant tracking system) avec recommandation IA, ou un outil de people analytics, vous êtes en haut risque. Les obligations sont lourdes : système de gestion des risques, qualité des données, documentation technique, supervision humaine, robustesse et cybersécurité, marquage CE. La plupart de ces obligations pèsent sur le fournisseur du système, mais le déployeur (vous, en tant qu'utilisateur) a aussi des devoirs : analyse d'impact, information des personnes concernées, supervision humaine effective.

Risque limité — obligations de transparence (Article 50)

C'est le bloc qui concerne l'immense majorité des PME: chatbots, agents vocaux, outils de génération de contenu (texte, image, audio, vidéo). L'Article 50 du règlement impose une obligation de transparence simple : l'utilisateur final doit savoir qu'il interagit avec une IA, et le contenu généré par IA doit être clairement étiqueté comme tel.

Cette obligation entre en application le 2 août 2026. Nous y consacrons un article dédié : Article 50 AI Act — Deadline 2 août 2026 expliquée aux PME.

Risque minimal — pas d'obligation spécifique

Filtres anti-spam, IA dans les jeux vidéo, recommandations Netflix-like : la grande majorité des usages courants. Le règlement encourage l'adoption volontaire de codes de conduite, sans imposer d'obligation contraignante.

3. Les dates clés à mettre dans l'agenda

La chronologie d'entrée en application est précisée à l'Article 113 du règlement.

  • 1er août 2024 — Entrée en vigueur générale du règlement.
  • 2 février 2025— Interdictions (Article 5) et obligations relatives à la culture en matière d'IA (Article 4) s'appliquent. Les dirigeants doivent former leurs équipes à un « niveau suffisant de maîtrise de l'IA ».
  • 2 août 2025— Règles sur les modèles d'IA à usage général (GPAI : ChatGPT, Claude, Mistral, Gemini, etc.) et gouvernance de l'AI Office. Pour les PME, ça veut dire que vos fournisseurs LLM doivent commencer à publier des résumés de leurs données d'entraînement.
  • 2 août 2026— Application de l'Article 50 (transparence), du régime de sanctions et des règles GPAI. C'est la date pivot pour les PME.
  • 2 décembre 2026 — Article 50(2) : étiquetage machine-lisible des contenus synthétiques (watermark / C2PA).
  • 2 décembre 2027 — Obligations des systèmes à haut risque autonomes (Annexe III : tri de CV, scoring crédit, biométrie) — date reportée par le Digital Omnibus du 7 mai 2026.
  • 2 août 2028 — Application aux systèmes IA intégrés dans des produits réglementés (annexe I) : dispositifs médicaux, jouets, machines, etc.

4. Ce qu'une PME doit faire concrètement

Étape 1 — Cartographier votre IA

Faites la liste de tous les outils IA que vous utilisez ou envisagez : ChatGPT, Copilot, chatbots, outils de génération de contenu, scoring commercial, ATS, etc. Pour chacun, notez : éditeur, finalité, données traitées, niveau de risque AI Act estimé, contrat en place (DPA RGPD, addendum AI Act).

Cette cartographie est la base de tout. Elle peut tenir dans un tableur. Sans elle, vous ne pourrez pas répondre à un contrôle CNIL ou à une demande d'un client grand-compte sur votre conformité.

Étape 2 — Former vos équipes (Article 4)

Depuis le 2 février 2025, l'Article 4 impose aux fournisseurs et déployeurs d'IA de garantir « un niveau suffisant de maîtrise de l'IA » de leurs collaborateurs. Pour une PME, c'est faisable avec une formation interne d'une à deux heures couvrant : qu'est-ce qu'un LLM, quels sont les risques (hallucinations, fuite de données, biais), quels usages sont interdits par votre charte interne.

La CNIL propose des contenus gratuits sur cnil.fr/fr/intelligence-artificielle/lia-en-questions. Documentez les sessions : feuille d'émargement, support utilisé, date.

Étape 3 — Mettre en place une charte IA interne

Une charte interne de quelques pages qui définit : quels outils IA sont autorisés, quelles données peuvent ou ne peuvent pas y être envoyées (notamment données personnelles, données clients, données financières), comment signaler un incident. Cette charte est l'équivalent IA de votre charte informatique. Faites-la valider par le CSE si vous en avez un (voir IA en entreprise — Ce que dit le Code du travail).

Étape 4 — Adapter votre registre des traitements (RGPD)

L'Article 30 du RGPD impose un registre des traitements. Pour chaque traitement utilisant de l'IA, vous devez ajouter des informations spécifiques : finalité IA, prise de décision automatisée oui/non, origine des données d'entraînement, sous-traitants de la chaîne IA, durée de conservation des conversations.

Voir notre guide dédié : Registre des traitements IA — Comment l'adapter.

Étape 5 — DPIA pour les agents conversationnels

Tout agent conversationnel qui collecte des données personnelles à grande échelle, ou qui prend des décisions ayant un impact significatif sur la personne (devis personnalisé, qualification commerciale, support technique), doit faire l'objet d'une analyse d'impact (DPIA, Article 35 RGPD). La méthodologie est dans notre guide : DPIA agent conversationnel IA.

Étape 6 — Préparer la transparence Article 50

Vérifiez chacun de vos points de contact IA : votre chatbot dit-il qu'il est une IA ? Votre agent vocal le dit-il dans la première phrase ? Vos contenus générés par IA (images, vidéos) sont-ils étiquetés ? C'est le sujet de notre article dédié à la deadline du 2 août 2026.

5. Sanctions et risque réel pour une PME

Les sanctions sont graduées selon la nature de l'infraction et la taille de l'entreprise. Pour les PME et startups, le règlement prévoit une atténuation spécifique : les amendes « tiennent compte de leurs intérêts économiques et de leur viabilité économique » (Article 99.6).

  • Pratiques interdites(Article 5) : jusqu'à 35 M€ ou 7 % du chiffre d'affaires mondial.
  • Non-respect des obligations(haut risque, transparence, gouvernance) : jusqu'à 15 M€ ou 3 % du CA mondial.
  • Information inexacte aux autorités: jusqu'à 7,5 M€ ou 1 % du CA mondial.

En pratique, les autorités vont d'abord cibler les gros acteurs et les comportements manifestement non conformes. Mais un client grand-compte (banque, assurance, secteur public) vous demandera dès 2026 de prouver votre conformité. C'est le levier business : se préparer maintenant, c'est sécuriser ses prochains contrats B2B.

6. AI Act et RGPD : deux régimes complémentaires

L'EU AI Act ne remplace pas le RGPD : il s'y ajoute. Si votre IA traite des données personnelles (ce qui est presque toujours le cas), les deux régimes s'appliquent en parallèle. La CNIL a publié plusieurs recommandations sur l'articulation, notamment sur la base légale du développement des modèles IA (consultable sur cnil.fr — Recommandations RGPD & développement IA).

Pour les PME, la règle pragmatique : si vous êtes déjà à jour sur le RGPD (registre, DPO si requis, DPA avec sous-traitants, mentions d'information), l'effort marginal pour l'AI Act est limité. Si vous avez du retard RGPD, commencez par là.

7. Le rôle de la France et de la CNIL

La France a désigné la CNIL comme autorité compétente principale pour la surveillance de l'AI Act, en concertation avec l'ANSSI et la DGCCRF selon les sujets. La CNIL a mis en place un service dédié IA et publie régulièrement des fiches pratiques. Suivez cnil.fr/fr/intelligence-artificielle pour les mises à jour. Bpifrance accompagne aussi les PME sur la transition IA et propose des diagnostics gratuits via bpifrance.fr — actualités IA.

8. Mon point de vue de fondateur

J'ai construit PilotCrew avec l'EU AI Act en tête dès le premier jour de code. Pour deux raisons. La première : les PME françaises n'ont ni le temps ni les ressources pour absorber 200 pages de règlement et 13 annexes. Si elles doivent le faire seules, elles laisseront tomber et achèteront US. La seconde : nos clients grands-comptes vont nous demander des comptes dès 2026, et un éditeur SaaS qui n'a pas pensé conformité by-design va se faire éjecter des appels d'offres.

Concrètement, sur la plateforme PilotCrew : chaque agent vocal et chatbot affiche sa nature IA dans sa première phrase, chaque tenant a son registre des traitements préchargé, le DPA est téléchargeable en deux clics, et l'hébergement est en France (OVH/Scaleway) avec option Mistral pour l'inférence. Ça paraît beaucoup, mais c'est le minimum vital pour 2026.

Questions fréquentes

L'EU AI Act s'applique-t-il à ma PME si j'utilise simplement ChatGPT ?

Oui, mais avec des obligations très allégées. Vous êtes « déployeur » d'un système IA à usage général. Vous devez : former vos collaborateurs (Article 4), respecter la transparence si vous redistribuez ses sorties (Article 50), et ne pas l'utiliser pour des pratiques interdites de l'Article 5. Pour le reste, l'essentiel des obligations pèse sur OpenAI.

Mon chatbot doit-il vraiment dire qu'il est une IA ?

Oui, à partir du 2 août 2026. L'Article 50.1 impose que les fournisseurs et déployeurs informent « clairement et de manière distincte » les personnes qu'elles interagissent avec un système IA, sauf si c'est « manifestement évident pour une personne raisonnablement informée ». En pratique : ajoutez une mention « Vous discutez avec un assistant IA » au début de l'échange.

Suis-je obligé de faire un DPIA pour un simple FAQ-bot ?

Pas systématiquement. Le DPIA est requis quand le traitement présente un « risque élevé pour les droits et libertés » (Article 35 RGPD). Un FAQ-bot qui ne stocke pas les conversations et ne fait pas de profilage est généralement dispensé. Dès que vous stockez des conversations identifiables ou que vous faites du scoring/qualification, le DPIA devient quasi-obligatoire.

Quel est le risque si je ne fais rien d'ici août 2026 ?

À court terme, le risque d'amende est faible pour une PME peu visible : la CNIL va cibler les acteurs majeurs et les pratiques manifestement abusives. Le vrai risque est commercial : vos clients B2B vont vous demander un attestation de conformité, et vos appels d'offres publics intégreront des clauses AI Act dès 2026. Sans dossier, vous perdez ces opportunités.

Mes données partent-elles aux États-Unis si j'utilise un LLM US ?

Oui, sauf si l'éditeur propose un déploiement en zone européenne contractualisé. OpenAI propose désormais une résidence européenne sur ses plans Enterprise. Pour les PME, deux options pragmatiques : choisir Mistral (FR/UE) ou exiger un DPA + clause de résidence européenne dans votre contrat fournisseur.

Brouillon assisté par IA, revu et signé par Curtys ACCIPE, fondateur PilotCrew. Dernière revue : 23 mai 2026.

Besoin d’aide pour être conforme avant le 2 août 2026 ?

On déploie votre lab IA — agents gouvernés (Art. 14), traçables (Art. 12) et transparents (Art. 50) — dans votre environnement Azure / Azure DevOps.

Découvrir l’accompagnement Lab IA →

Pour aller plus loin

  • Registre Article 30 file de PilotCrew
  • Article 50 deadline 2 aout 2026
  • DPIA agent conversationnel
  • EU AI Act conformite PilotCrew
  • Securite & confiance

Recevez les nouveautés PilotCrew

Une lettre par mois, sans spam. Roadmap produit, retours clients, playbooks éprouvés. Désinscription en un clic.

Produit

  • Vue d’ensemble
  • Fonctionnalités
  • Tarifs
  • Intégrations
  • Comparatifs
  • Changelog

Agents IA

  • Agent vocal
  • Agent contenu
  • Agent social
  • Agent support
  • Agent réputation
  • Agent finance
  • Agent prospection
  • Agent devis
  • Cas d’usage par métier

Ressources

  • Visite guidée (2 min)
  • Centre d’aide
  • Blog
  • Cas d’usage
  • Bonnes pratiques
  • Avis clients
  • Presse
  • À propos · Fondateur

Légal & confiance

  • Centre de confiance
  • EU AI Act Ready
  • Guides conformité
  • Accompagnement Lab IA
  • CGV
  • Confidentialité
  • DPA (RGPD art. 28)
  • Sous-traitants
  • Divulgation responsable
  • CAIQ-Lite (questionnaire sécurité)
  • Accessibilité (RGAA)
  • Mentions légales
  • Agences (marque blanche)

Demander des informations ou planifier une démo

Démarrer 14 jours gratuitsNous contacter+33 1 89 31 63 23
PilotCrew logoPilotCrew·Votre équipe IA pour PME. 8 agents. Zéro friction.
🇪🇺 EU AI Act compliant

© 2026 KEY FOR AI SAS · PilotCrew · SIRET 994 487 775 00011