NormivaComplianceAI
Évaluation gratuite
AI Act 2026 · J-80

AI Act PME : la checklist complète 2026 (J-80 avant échéance)

Mis à jour le 15 mai 2026 · 9 min de lecture · Sources : règlement UE 2024/1689, CNIL, AI Office

Il reste 80 jours avant le 2 août 2026, et pour une PME ce délai est beaucoup plus court qu'il n'y paraît. Pourquoi ? Parce que la conformité AI Act ne se construit pas la veille d'un contrôle. Il faut identifier les usages IA, comprendre lesquels relèvent d'un simple devoir de transparence et lesquels entrent dans la zone haut risque, puis rassembler la preuve documentaire correspondante. Une direction qui attend juillet pour lancer ce travail se condamne souvent à piloter dans le brouillard.

Le règlement UE 2024/1689 est entré en vigueur le 1er août 2024. Son application est progressive, mais la fenêtre 2026 concentre les arbitrages les plus sensibles pour les PME qui utilisent l'IA dans les RH, la relation client, le scoring ou des services essentiels. Dans la pratique, une PME qui intègre un outil tiers n'est pas hors du radar : elle devient déployeur et assume les obligations de l'Article 26 sur l'évaluation de conformité, le registre, la transparence, la coopération avec les autorités compétentes et, lorsque des données personnelles sont traitées, l'articulation avec la DPIA.

Cette checklist 2026 a un objectif simple : transformer un sujet juridique perçu comme abstrait en plan d'action opérationnel. Vous n'avez pas besoin d'un cabinet pendant six semaines pour savoir si vous êtes exposé. Vous avez besoin d'une grille claire, d'une priorisation réaliste et d'une première documentation crédible avant août.

Pourquoi l'AI Act concerne déjà les PME

Le premier malentendu consiste à croire que seuls les fournisseurs de modèles ou les grands groupes sont concernés. En réalité, la PME qui utilise ChatGPT pour un chatbot RH, un moteur de scoring pour prioriser des leads ou un outil d'analyse pour filtrer des candidatures devient acteur de la conformité. Le texte distingue le fournisseur et le déployeur, mais il n'efface pas la responsabilité de celui qui met réellement le système en service.

L'Annexe III liste huit catégories de systèmes IA haut risque : biométrie, infrastructures critiques, éducation et formation, emploi et RH, services essentiels comme le crédit ou l'assurance, application de la loi, migration-asile et administration de la justice. Même lorsqu'une PME n'est concernée que par deux ou trois cas d'usage, cela suffit à justifier une revue structurée des obligations et des risques.

Il faut aussi intégrer la dynamique commerciale. En 2026, la question n'est plus seulement "serons-nous contrôlés ?". Elle devient "que répondrons-nous à un grand compte, à un DPO client ou à un comité d'investissement qui demande notre cadre AI Act ?". Une checklist sérieuse sert aussi à cela.

La checklist complète en 12 points

Point 1

Identifier tous les systèmes IA utilisés

Commencez par un inventaire large : copilotes bureautiques, chatbot support, tri de CV, génération de contenus, scoring commercial, outils embarqués dans vos SaaS. Une PME sous-estime presque toujours le nombre réel de systèmes IA déjà présents dans ses flux métier.

Point 2

Classifier selon l'Annexe III

Chaque usage doit être qualifié : risque minimal, transparence, ou haut risque. Les usages RH, crédit, assurance, biométrie, éducation ou infrastructures critiques méritent une revue immédiate, car l'Annexe III vise précisément ces contextes.

Point 3

Vérifier si un usage tombe sous l'Article 5

Avant d'optimiser un déploiement, vérifiez qu'il n'entre pas dans une catégorie interdite. Une entreprise qui s'appuie sur un outil vendeur ne peut pas se retrancher derrière son fournisseur si l'usage final devient illicite.

Point 4

Désigner un référent conformité IA

Le sujet ne peut pas rester diffus entre DSI, RH, DPO et direction. Un référent centralise l'inventaire, arbitre les priorités, demande les documents aux fournisseurs et coordonne les réponses en cas de contrôle ou de due diligence client.

Point 5

Évaluer votre rôle : déployeur ou fournisseur

Si vous utilisez un outil IA tiers dans vos processus, vous êtes en général déployeur. Si vous développez ou marquez un produit IA pour le marché, vous pouvez aussi être fournisseur. Le mauvais réflexe consiste à penser qu'un simple achat SaaS supprime toute responsabilité.

Point 6

Constituer le registre des usages

Le registre Article 26 doit permettre de dire quel outil est utilisé, par quel service, pour quelle finalité, avec quelles personnes concernées et quels documents disponibles. Sans registre, vos preuves restent dispersées entre achats, sécurité, RH et métier.

Point 7

Réaliser l'évaluation des risques

Il faut apprécier l'impact potentiel sur les personnes, la qualité des décisions, la sécurité, les biais, la robustesse et la dépendance au fournisseur. Cette analyse n'a pas besoin d'être académique, mais elle doit être traçable et reliée à des décisions concrètes.

Point 8

Mettre à jour la DPIA si des données personnelles sont en jeu

L'AI Act ne remplace pas le RGPD. Si l'usage IA traite des données personnelles dans un contexte sensible, la mise à jour de l'analyse d'impact devient un passage logique, parfois indispensable, pour démontrer que les deux cadres sont pilotés ensemble.

Point 9

Former les équipes concernées

Le règlement UE 2024/1689 impose une logique d'AI literacy. Les équipes doivent savoir repérer un usage haut risque, comprendre les limites d'un modèle, informer les personnes concernées et remonter un incident. Sans formation, la meilleure procédure reste théorique.

Point 10

Vérifier la conformité des contrats fournisseurs

Demandez la notice, les limites d'usage, la documentation technique disponible, les engagements de coopération, la gestion des incidents, les changements de version et les garanties contractuelles. Beaucoup d'écarts AI Act se découvrent dans des contrats muets sur ces points.

Point 11

Mettre en place une surveillance humaine

Une décision influencée par l'IA ne doit pas devenir automatique par habitude. Il faut définir qui contrôle, qui peut suspendre, qui tranche en cas de doute, et à quel moment l'humain doit reprendre la main sur un recrutement, un score ou une recommandation critique.

Point 12

Documenter et archiver

Cartographie, échanges fournisseurs, analyses de risques, journaux d'usage, formations et décisions de gouvernance doivent être archivés. Le jour où un prospect, un salarié ou l'autorité compétente pose une question, ce sont ces preuves qui font la différence.

Digital Omnibus : pourquoi le seuil 750 salariés ne change pas votre urgence

Depuis l'accord politique européen du 7 mai 2026, un sujet revient souvent dans les échanges PME : l'extension des mesures de simplification aux structures allant jusqu'à 750 salariés, avec un allègement documentaire pour les micro-entreprises. Cette évolution va dans le bon sens, car elle confirme la volonté d'appliquer l'AI Act avec davantage de proportionnalité.

Mais attention au faux sentiment de sécurité. Au 15 mai 2026, le bon réflexe est de travailler sur la base de l'échéance juridique encore en vigueur, soit le 2 août 2026, tant que les textes de simplification ne sont pas formellement stabilisés. En d'autres termes : oui, la charge documentaire pourrait être mieux calibrée pour les PME élargies ; non, cela ne justifie pas de repousser l'inventaire des usages, la classification Annexe III et les preuves Article 26.

Pour une direction générale, la bonne lecture est donc la suivante : le Digital Omnibus peut réduire la friction administrative, mais il ne remplace ni la gouvernance, ni la transparence, ni la surveillance humaine. La checklist reste pertinente, que vous soyez 25, 120 ou 600 salariés.

J-80 avant l'échéance AI Act

Évaluez votre conformité en 10 minutes avec notre Quick Check gratuit.

Commencer l'évaluation gratuite →

Comment prioriser les 30 prochains jours

Une checklist n'est utile que si elle débouche sur des décisions datées. La première semaine doit servir à centraliser la liste des outils utilisés par la DSI, les RH, le marketing, la relation client et les équipes métier. La deuxième semaine permet de qualifier les cas sensibles : recrutement, scoring, évaluation, assistance à des décisions individuelles, traitement d'identité ou services essentiels. La troisième semaine consiste à demander les documents aux fournisseurs et à ouvrir les contrats. La quatrième aboutit à une lecture managériale : risques élevés, preuves manquantes, décisions à prendre.

Cette logique est particulièrement importante pour les DPO et DSI de PME. L'erreur classique consiste à commencer par des politiques internes trop générales. Il faut d'abord voir les usages réels, puis construire les règles autour de la réalité opérationnelle. Sinon, vous obtenez un cadre élégant sur le papier, mais inutile face à un chatbot RH déjà branché sur vos candidatures ou un outil commercial qui influence des décisions sensibles.

En résumé, la conformité AI Act pour une PME n'est ni une montagne réservée aux grands groupes, ni une formalité. C'est un chantier court, concret et priorisable. La checklist ci-dessus vous donne le bon ordre d'exécution : cartographier, qualifier, documenter, surveiller, former, archiver.

Questions fréquentes

Une PME de moins de 50 salariés est-elle concernée par l'AI Act ?

Oui. Le règlement ne raisonne pas d'abord par taille, mais par rôle et par niveau de risque. Une petite structure qui déploie un outil IA pour recruter, scorer ou filtrer des décisions sensibles reste concernée.

Pourquoi parle-t-on de J-80 au 15 mai 2026 ?

Parce que le compte à rebours marketing et opérationnel est calculé jusqu'au 2 août 2026, date juridique encore en vigueur pour l'entrée en application générale du cadre. Des ajustements européens sont discutés, mais ils ne sont pas encore définitivement adoptés.

Que change l'Article 26 pour une PME qui utilise un outil tiers ?

Même si vous n'avez pas développé l'outil, vous restez déployeur. Vous devez donc vérifier la conformité avant usage, tenir un registre, informer les personnes concernées lorsque c'est requis, prévoir une surveillance humaine et coopérer avec l'autorité compétente.

Faut-il lancer un audit complet tout de suite ?

Pas forcément un audit long et coûteux, mais au minimum une auto-évaluation structurée. L'objectif des 30 prochains jours est de savoir quels usages existent, lesquels sont exposés et quelles preuves manquent avant l'échéance.

Sources

  • Règlement UE 2024/1689 (JOUE L 2024/1689)
  • CNIL - Intelligence artificielle et conformité
  • European AI Office - calendrier d'application et gouvernance
  • Référence de simplification 2026 : accord politique Digital Omnibus du 7 mai 2026, à suivre jusqu'à adoption définitive

Prêt à évaluer votre conformité AI Act ?

10 minutes · Gratuit · Rapport personnalisé immédiat

Démarrer l'évaluation gratuite →

Audit complet PDF 16 pages disponible à 199€