
Le 2 août 2026, la plus grande partie de l'EU AI Act devient pleinement applicable. Pour beaucoup de dirigeants de PME, ce règlement européen sur l'intelligence artificielle reste flou : concerne-t-il vraiment une entreprise qui se contente d'utiliser ChatGPT ou Copilot ? La réponse courte est oui, mais pas de la façon que l'on croit. Voici ce qui change concrètement à cette date, et la check-list à dérouler avant l'échéance.
En bref
- Le 2 août 2026, l'essentiel de l'EU AI Act devient applicable, y compris les règles sur les systèmes à haut risque et le pouvoir de sanction de la Commission sur l'IA générative.
- Les amendes vont jusqu'à 35 M€ ou 7 % du chiffre d'affaires mondial pour les usages interdits, et 15 M€ ou 3 % pour les manquements sur les systèmes à haut risque.
- Pour une PME, le plafond retenu est le montant le plus bas des deux, une clause de proportionnalité prévue par l'article 99.
- La plupart des PME sont utilisatrices (déployeurs), pas fournisseurs : leurs obligations sont plus légères, mais réelles (transparence, supervision humaine, formation).
- Chaque État membre doit ouvrir au moins un bac à sable réglementaire (sandbox) pour tester l'IA dans un cadre encadré.
L'AI Act, en une phrase
L'EU AI Act est le règlement européen qui encadre l'intelligence artificielle selon son niveau de risque. Il classe les usages en quatre paliers : risque inacceptable (interdit), haut risque (fortement encadré), risque limité (obligations de transparence) et risque minimal (aucune contrainte). Adopté en 2024, il s'applique par étapes. Le 2 août 2026 marque l'entrée en vigueur du gros du dispositif.
1 août 2024
Entrée en vigueur
2 février 2025
Usages interdits
2 août 2025
IA générative et sanctions
2 août 2026
Application principale
2 août 2027
Haut risque intégré
Ce qui change vraiment le 2 août 2026
Trois évolutions comptent pour une entreprise.
D'abord, les règles sur les systèmes à haut risque deviennent applicables. Un système à haut risque est une IA utilisée dans un domaine sensible : recrutement, évaluation de crédit, biométrie, sécurité des produits, éducation, ou infrastructures critiques. Si votre PME utilise un logiciel de tri de CV par IA ou un scoring automatisé de clients, vous êtes concerné, même sans avoir développé l'outil vous-même.
Ensuite, la Commission européenne obtient le pouvoir d'imposer des amendes aux fournisseurs de modèles d'IA à usage général (les grands modèles type GPT, Claude, Gemini ou Mistral). Cela ne cible pas les PME directement, mais responsabilise vos fournisseurs, ce qui renforce la traçabilité en aval.
Enfin, chaque État membre doit avoir rendu opérationnel au moins un bac à sable réglementaire. C'est un environnement de test supervisé par l'autorité, où une entreprise peut expérimenter une IA innovante sans risque de sanction immédiate. Un levier utile pour les PME qui veulent innover sans naviguer à l'aveugle.
Le point clé pour une PME
Vous êtes très probablement un déployeur (utilisateur) et non un fournisseur (développeur) d'IA. Vos obligations existent, mais restent proportionnées : transparence envers les personnes concernées, supervision humaine et formation de vos équipes.
Fournisseur ou déployeur : la distinction qui change tout
L'AI Act distingue le fournisseur (celui qui développe et met un système sur le marché) du déployeur (celui qui l'utilise dans un cadre professionnel). La très grande majorité des PME sont des déployeurs. Cette nuance change radicalement la charge de conformité.
Fournisseur
Déployeur (la plupart des PME)
Attention : une PME peut basculer dans le statut de fournisseur sans le savoir. Par exemple, si vous personnalisez fortement un modèle, le mettez sur le marché sous votre marque, ou modifiez de manière substantielle un système à haut risque, vous héritez alors des obligations du fournisseur.
Le barème des amendes
Le régime de sanctions, en vigueur depuis 2025, atteint son plein potentiel avec l'application principale. Trois niveaux existent, selon l'article 99 du règlement.
| Type de manquement | Plafond (le plus élevé) |
|---|---|
| Usage interdit (article 5) | 35 M€ ou 7 % du CA mondial |
| Manquement sur système à haut risque | 15 M€ ou 3 % du CA mondial |
| Information incorrecte aux autorités | 7,5 M€ ou 1 % du CA mondial |
Une nuance protège les petites structures. Pour une PME ou une start-up, l'amende retenue est le montant le plus bas entre le plafond fixe et le pourcentage de chiffre d'affaires, et non le plus élevé. Une clause de proportionnalité inscrite noir sur blanc dans le règlement.
À nuancer
Ces plafonds sont des maximums, pas des amendes automatiques. L'objectif du régulateur est la mise en conformité, pas la punition systématique. Mais l'ordre de grandeur justifie de traiter le sujet sérieusement.
La check-list PME avant le 2 août 2026
Inutile de tout révolutionner. Une démarche en cinq étapes suffit à la plupart des PME.
Inventorier
Classer
Documenter
Informer
Former
Cette cartographie recoupe souvent un autre chantier : l'encadrement du shadow AI, c'est-à-dire l'usage non déclaré d'outils d'IA par les salariés. Traiter les deux ensemble fait gagner du temps.
FAQ
Mon entreprise utilise seulement ChatGPT ou Copilot, suis-je concerné ?
Oui, mais légèrement. En tant que déployeur d'un outil à risque limité, vos obligations principales relèvent de la transparence et d'un usage conforme à la notice. Le poids réglementaire pèse d'abord sur le fournisseur du modèle, pas sur vous.
Quelles amendes risque une PME concrètement ?
Les plafonds vont de 7,5 M€ à 35 M€ selon la gravité, mais pour une PME l'amende retenue est toujours le montant le plus bas entre le plafond fixe et le pourcentage de chiffre d'affaires. L'objectif reste la conformité, pas la sanction.
Qu'est-ce qu'un système d'IA à haut risque ?
C'est une IA utilisée dans un domaine sensible : recrutement, scoring de crédit, biométrie, éducation, sécurité des produits ou infrastructures critiques. Ces systèmes sont soumis à des exigences renforcées de documentation, de supervision et de gestion des risques.
Que faire si je n'ai rien préparé avant le 2 août 2026 ?
Commencez par l'inventaire de vos outils d'IA et leur classification. La plupart des PME découvrent qu'elles n'utilisent que des systèmes à risque limité, ce qui rend la mise en conformité rapide. L'important est d'avoir une démarche documentée.
Conclusion
Le 2 août 2026 n'est pas un mur pour les PME, mais une étape à préparer sereinement. La bonne nouvelle : la plupart des entreprises sont utilisatrices d'IA, pas fournisseuses, et leurs obligations restent proportionnées. Une cartographie honnête de vos outils, un peu de transparence et un effort de formation suffisent à couvrir l'essentiel. Pour aller plus loin sur la gouvernance de l'IA en interne, consultez nos autres ressources du Mag LUWAI ou nos cas clients.


