Article 26 déployeur AI Act : vos 5 obligations PME en 2026
Mis à jour le 15 mai 2026 · 8 min de lecture · Sources : règlement UE 2024/1689, CNIL, AI Office
L'Article 26 est devenu le point d'entrée le plus utile pour les PME qui utilisent des outils d'IA sans en être les concepteurs. C'est lui qui précise les attentes à l'égard du déployeur : l'entreprise qui met un système IA en service dans ses processus réels. Autrement dit, si vous utilisez un outil tiers pour recruter, qualifier des dossiers, prioriser des leads ou assister des décisions sensibles, vous êtes déjà dans le champ de cette obligation.
Le sujet est souvent mal compris. Beaucoup de dirigeants pensent que la responsabilité reste du côté du fournisseur SaaS. C'est inexact. Le fournisseur doit documenter et concevoir, mais le déployeur doit vérifier l'usage, encadrer les équipes, documenter la mise en service, informer les personnes concernées, assurer la surveillance humaine et coopérer avec les autorités compétentes.
À J-80, la meilleure manière de traiter l'Article 26 n'est pas d'empiler des politiques. Il faut le traduire en cinq obligations opérationnelles, chacune reliée à des documents, des responsables et des échéances.
Qui est déployeur et pourquoi cette qualification change tout
La distinction fournisseur-déployeur est fondamentale. Le fournisseur crée ou met sur le marché le système. Le déployeur l'utilise dans son activité. Une PME qui intègre ChatGPT dans un parcours RH, un moteur d'aide à la décision dans un workflow crédit ou un chatbot dans la relation client ne peut pas dire "nous n'avons fait qu'acheter l'outil". C'est précisément cette entreprise qui choisit la finalité, les personnes concernées, le degré d'autonomie accordé à l'outil et le niveau de contrôle humain.
Cette qualification a un effet immédiat sur la gouvernance interne. Le DPO, la DSI, les achats et la direction doivent parler du même objet. Si le rôle de déployeur n'est pas reconnu, aucun service ne prend vraiment la main sur le registre, les contrats ou la supervision humaine. Le sujet reste alors dilué, ce qui est exactement l'inverse de l'esprit de l'Article 26.
Les 5 obligations Article 26 à mettre en œuvre
Obligation 1
Évaluation de conformité
Avant déploiement, la PME doit vérifier que le système IA utilisé est conforme à sa destination, que sa documentation existe, que les limites d'usage sont comprises et que l'organisation sait dans quel contexte l'outil peut être utilisé sans dérive.
Obligation 2
Registre des usages
Le registre doit décrire les systèmes à haut risque déployés, leur finalité, le service propriétaire, les personnes concernées, la date de mise en service, le fournisseur et les pièces justificatives disponibles. C'est la base de la preuve Article 26.
Obligation 3
Transparence
Les personnes concernées doivent être informées lorsque la réglementation l'exige, en particulier si elles interagissent avec un système IA ou sont soumises à un traitement influençant une décision importante. La transparence n'est pas un message marketing ; c'est une information intelligible et utile.
Obligation 4
Surveillance humaine
La PME doit prévoir un contrôle humain effectif : personnes désignées, capacité de remise en cause, seuils d'alerte, procédure de suspension, traçabilité des revues. Une surveillance déclarative sans pouvoir réel est insuffisante.
Obligation 5
Coopération avec les autorités
En cas de demande d'information, d'incident ou de contrôle, l'entreprise doit pouvoir répondre de manière complète et sincère à l'autorité compétente. Cela suppose une documentation accessible, mise à jour et reliée à des responsables identifiés.
Cas pratiques PME : comment ces obligations se traduisent sur le terrain
Prenons un premier cas simple : une PME de 80 salariés utilise un outil de tri de CV et un chatbot RH. L'évaluation de conformité consiste ici à vérifier si les recruteurs comprennent le fonctionnement de l'outil, si des biais ont été signalés, si la documentation fournisseur existe et si le chatbot influence réellement les décisions de présélection. Le registre doit consigner ces usages et le niveau de risque associé.
Deuxième cas : une fintech ou un courtier utilise un moteur de scoring pour orienter l'analyse d'un dossier client. L'Article 26 suppose alors de documenter la finalité exacte, les données utilisées, la place du conseiller humain, la manière dont le score est revu et la manière dont les personnes concernées sont informées. Si des données personnelles sont en jeu, la revue RGPD et la DPIA doivent être intégrées au dispositif.
Troisième cas : une PME de services déploie un assistant conversationnel pour le support. Si l'outil ne fait qu'orienter les demandes et reste transparent, la charge sera souvent plus légère. Mais si le chatbot déclenche des décisions contractuelles, des refus ou des priorisations ayant un effet significatif, le niveau d'attention remonte rapidement. Dans tous les cas, la logique reste la même : usage réel, preuve, contrôle humain.
J-80 avant l'échéance AI Act
Évaluez votre conformité en 10 minutes avec notre Quick Check gratuit.
Commencer l'évaluation gratuite →Digital Omnibus, allégements PME et sanctions en cas d'inaction
L'accord politique du 7 mai 2026 sur le Digital Omnibus va dans le sens d'une simplification pour les PME et d'une extension du seuil jusqu'à 750 salariés. Cette orientation confirme que l'Europe cherche à alléger la charge administrative inutile, notamment pour les micro-entreprises. Mais l'Article 26 n'est pas vidé de sa substance. Les cinq obligations restent le socle d'une gouvernance minimale crédible.
Si la PME ne fait rien, le risque ne se limite pas à une remarque procédurale. L'Article 99 prévoit des sanctions allant jusqu'à 7% du chiffre d'affaires mondial pour certaines infractions graves, 3% pour d'autres violations du cadre et 1% pour de fausses informations. Au-delà des montants, le vrai coût tient souvent à la perte d'un client, à une revue fournisseur bloquante ou à l'impossibilité de justifier une décision prise avec l'aide de l'IA.
Pour une PME, la conclusion est simple : mieux vaut une mise en conformité légère mais réelle qu'une attente coûteuse. L'Article 26 ne demande pas une bureaucratie massive ; il exige que quelqu'un sache expliquer et justifier l'usage du système déployé.
Plan d'exécution 30-60-90 jours pour une PME
Sur 30 jours, l'objectif est de nommer un pilote, dresser l'inventaire des outils et qualifier les premiers cas sensibles. À 60 jours, la PME doit avoir obtenu la documentation fournisseur clé, identifié les usages Annexe III, ouvert son registre et défini les points de supervision humaine. À 90 jours, elle doit pouvoir produire une première preuve consolidée : registre, matrice des rôles, analyses de risques, informations aux personnes concernées et plan de remédiation priorisé.
Ce séquencement est important, car il transforme l'Article 26 en chantier réaliste. Les PME n'ont pas besoin d'un programme de transformation sur douze mois pour commencer. Elles ont besoin d'un ordre d'exécution clair, de décisions rapides et d'une documentation suffisamment solide pour ne plus subir le sujet.
Questions fréquentes
Qui est déployeur au sens de l'AI Act ?
Le déployeur est l'organisation qui met un système IA en usage dans son activité. Une PME qui branche un outil tiers sur ses RH, son support ou son scoring est donc généralement déployeur, même si elle n'a rien développé elle-même.
L'Article 26 concerne-t-il seulement les systèmes haut risque ?
Il vise surtout les usages à haut risque, mais la logique de gouvernance qu'il introduit devrait inspirer l'ensemble de vos usages sensibles. En pratique, il sert de socle pour votre revue des systèmes les plus exposés.
Faut-il forcément une DPIA ?
Pas pour tous les usages, mais oui dès qu'un système IA traite des données personnelles dans un contexte susceptible de créer un risque élevé pour les personnes. Les usages RH et scoring sont les cas les plus fréquents en PME.
Sources
- Règlement UE 2024/1689 (JOUE L 2024/1689)
- CNIL - IA, transparence et analyses d'impact
- European AI Office - obligations des déployeurs
- Accord politique Digital Omnibus du 7 mai 2026
Prêt à évaluer votre conformité AI Act ?
10 minutes · Gratuit · Rapport personnalisé immédiat
Démarrer l'évaluation gratuite →Audit complet PDF 16 pages disponible à 199€