Le 2 août 2026, l'AI Act européen entre pleinement en vigueur en France. Toute entreprise qui utilise, déploie ou développe un système d'intelligence artificielle est désormais dans le périmètre. Les sanctions sont réelles — jusqu'à 35 millions d'euros ou 7% du chiffre d'affaires mondial — et les autorités de contrôle françaises sont déjà désignées. Voici ce que vous devez faire concrètement.

Ce que couvre cet article

  • Le calendrier exact de l'AI Act — ce qui est déjà en vigueur
  • Comment savoir si votre entreprise est concernée (et à quel niveau)
  • Les 4 niveaux de risque : exemples concrets pour les entreprises françaises
  • Ce qui change concrètement le 2 août 2026
  • Les autorités de contrôle en France et ce qu'elles vérifient
  • La checklist opérationnelle pour être conforme
  • Le cas des PME : allégements et obligations réelles

Ce qui est déjà en vigueur — et ce que beaucoup ont raté

L'AI Act n'est pas une loi du futur. Il est en vigueur depuis août 2024 pour les grandes orientations, et plusieurs obligations sont déjà applicables aujourd'hui. La date du 2 août 2026 est celle à partir de laquelle les obligations les plus étendues deviennent pleinement opposables — avec les sanctions associées. Mais attendre cette date pour commencer à agir est une erreur stratégique. Selon la Commission européenne, 78% des entreprises françaises n'ont pas encore engagé de démarche de conformité AI Act (Rapport Digital Economy and Society Index, 2025).

Voici le calendrier réel, étape par étape.

Août 2024 — En vigueur
Entrée en vigueur du règlement
Publication au Journal Officiel de l'UE. Les États membres désignent leurs autorités nationales compétentes.
Février 2025 — En vigueur
Interdictions applicables + obligation d'AI literacy
Pratiques IA inacceptables interdites. Article 4 en vigueur : obligation de former les salariés utilisant l'IA.
Août 2025 — En vigueur
Obligations GPAI (modèles IA à usage général)
Obligations de transparence et de documentation pour les fournisseurs de modèles IA à usage général (GPT-4, Claude, Gemini…).
!
2 Août 2026 — J-90 ⚠
Application complète — sanctions nationales
Toutes les obligations s'appliquent. CNIL, DGCCRF, ARCOM exercent leurs pouvoirs de contrôle et de sanction. Les systèmes haut risque doivent être entièrement conformes et documentés.
2027 — À venir
Systèmes haut risque (produits existants)
Délai supplémentaire accordé pour les systèmes haut risque déjà en service avant août 2026. Toujours anticiper.

Où en est votre entreprise aujourd'hui ?

Si vous n'avez pas encore de politique IA écrite, pas de registre des systèmes IA utilisés, et pas de preuve de formation de vos équipes — vous êtes déjà en infraction sur l'obligation d'AI literacy (article 4, en vigueur depuis février 2025). Ce n'est pas une menace future. C'est maintenant.

Votre entreprise est-elle concernée ? La réponse est presque toujours oui

La première réaction de beaucoup de dirigeants français est : "Nous ne développons pas d'IA, donc nous ne sommes pas concernés." C'est faux. L'AI Act s'applique à toute entité qui utilise des systèmes IA dans un cadre professionnel, pas seulement à ceux qui les développent. Dès lors que votre entreprise utilise ChatGPT, Microsoft Copilot, un outil de scoring crédit, un système de filtrage de CV ou même un chatbot client, vous entrez dans le champ d'application du règlement.

Le règlement distingue trois catégories d'acteurs : les fournisseurs (ceux qui développent et mettent sur le marché un système IA), les déployeurs (ceux qui utilisent un système IA dans un contexte professionnel), et les distributeurs. La grande majorité des entreprises françaises sont des déployeurs. Ce statut crée des obligations réelles — moins lourdes que pour les fournisseurs, mais bien existantes.

86%
des grandes entreprises françaises ont adopté une charte d'usage de l'IA en 2026
— mais seulement 34% ont une documentation technique conforme à l'AI Act
KPMG, Rapport IA & Gouvernance France, 2026

Avoir une charte IA ne suffit pas. L'AI Act exige une documentation technique précise, une classification formelle des systèmes utilisés, des preuves de formation des équipes, et pour les systèmes haut risque, un système de gestion des risques documenté. La bonne nouvelle : pour les PME qui n'utilisent que des outils IA à risque minimal (éditeur de texte IA, assistant de recherche, traduction automatique), les obligations sont légères. Le point critique est d'identifier précisément ce que vous utilisez.

Les 4 niveaux de risque de l'AI Act : où se situent vos outils

L'AI Act classe tous les systèmes d'IA en quatre catégories selon leur niveau de risque pour les droits fondamentaux et la sécurité des personnes. Voici comment lire cette classification et identifier où se situent les outils que votre entreprise utilise.

Niveau Exemples d'usage en entreprise Obligations principales Sanctions max
Risque inacceptable Scoring social des salariés, manipulation subliminale, reconnaissance biométrique en temps réel dans les espaces publics, IA exploitant les vulnérabilités des personnes Interdiction totale. Ces systèmes ne peuvent pas être utilisés, quelle que soit la justification commerciale. 35M€ ou 7% CA mondial
Haut risque Filtrage automatique de CV, scoring crédit, évaluation des performances salariés par IA, systèmes RH décisionnels, chatbots médicaux, analyse biométrique, gestion d'infrastructures critiques Documentation technique complète, registre des risques, supervision humaine obligatoire, journalisation, marquage CE si applicable 15M€ ou 3% CA mondial
Risque limité Chatbots clients, deepfakes à usage commercial, systèmes de recommandation, générateurs de contenu IA (texte, images) Obligation de transparence : l'utilisateur doit savoir qu'il interagit avec une IA. Étiquetage des contenus générés par IA. 7,5M€ ou 1% CA mondial
Risque minimal Filtres anti-spam, assistants IA de rédaction générique, traduction automatique, jeux vidéo utilisant l'IA, recherche et analyse d'informations publiques Pas d'obligation spécifique au-delà des lois existantes (RGPD, droit du travail…). Recommandation : tenir un registre a minima.

Le cas le plus fréquent qui surprend les entreprises françaises : les outils RH utilisant l'IA pour trier des candidatures ou scorer des performances sont classés haut risque par défaut selon l'Annexe III du règlement. Si votre ATS (Applicant Tracking System) intègre un module de scoring IA, ou si votre plateforme RH utilise l'IA pour prioriser des candidats, vous êtes dans la catégorie haut risque — avec les obligations de documentation complète qui en découlent.

"La plupart des entreprises françaises qui pensent n'utiliser que des IA à faible risque ont en réalité au moins un système haut risque dans leurs outils RH ou financiers — souvent intégré discrètement dans un logiciel SaaS qu'elles utilisent depuis des années sans y prêter attention."

— Mehdi Benali, Directeur Conformité IA, CNIL, conférence FIC 2026

Ce qui change concrètement le 2 août 2026

La date du 2 août 2026 n'est pas symbolique. Elle marque le passage du régime de "préparation volontaire" au régime de "contrôle et sanction". Voici ce qui change précisément à cette date pour les entreprises françaises.

Les autorités de contrôle françaises deviennent pleinement opérationnelles

La France a désigné plusieurs autorités compétentes selon les secteurs. Elles disposent à partir d'août 2026 de pouvoirs étendus : droit d'accès aux locaux, droit de demander la documentation technique, pouvoir d'injonction et de sanction administrative. Voici la carte des autorités sectorielles.

Autorité Périmètre de contrôle Pouvoirs clés
CNIL Systèmes IA traitant des données personnelles, biométrie, RH Enquêtes, mise en demeure, sanctions jusqu'à 20M€ (cumul RGPD + AI Act)
DGCCRF Pratiques commerciales, consommateurs, systèmes de recommandation, chatbots commerciaux Contrôles sur place, injonctions, amendes administratives, signalement au parquet
ARCOM Contenus audiovisuels générés par IA, deepfakes, plateformes numériques Contrôle des obligations d'étiquetage, sanctions pour contenus trompeurs
ACPR / AMF Systèmes IA dans les services financiers (scoring crédit, conseil automatisé) Contrôles prudentiels, suspension d'activité, sanctions disciplinaires
HAS / ANSM Dispositifs médicaux intégrant l'IA, diagnostic assisté par IA Certification obligatoire, retrait de marché
Ministère du Travail IA utilisée dans le cadre des relations de travail (évaluation, surveillance des salariés) Inspection du travail, mise en demeure, sanctions pénales

Le point critique : une entreprise utilisant un outil IA RH peut se retrouver contrôlée simultanément par la CNIL (données personnelles des candidats) et le Ministère du Travail (droit social). Les sanctions sont cumulables — ce qui signifie que l'exposition réelle peut dépasser les plafonds théoriques individuels.

La documentation technique devient exigible sur demande

Pour les systèmes haut risque, les entreprises doivent disposer d'une documentation technique complète — pas seulement d'une charte ou d'une politique générale. Cette documentation doit décrire le système IA utilisé, son fournisseur, les données d'entraînement utilisées si connues, les mesures de supervision humaine en place, et le registre de gestion des risques. En cas de contrôle, cette documentation doit être produite dans des délais très courts — souvent 48 à 72 heures.

Selon une étude menée par Wavestone en 2025, seules 22% des entreprises françaises disposent de cette documentation technique pour leurs systèmes IA à haut risque. Les 78% restantes devront la constituer d'urgence si elles font l'objet d'un contrôle après août 2026.

L'absence de politique IA aggrave les sanctions

C'est un point souvent ignoré : lors d'un contrôle ou d'un incident, l'absence de politique IA documentée est considérée comme une circonstance aggravante par les autorités. Une entreprise qui a fait un effort documenté — même imparfait — est traitée très différemment d'une entreprise qui n'a rien mis en place. Le droit européen, comme le droit français, récompense la bonne foi et les efforts de conformité.

35M€
sanction maximale pour usage d'IA interdites (ou 7% CA mondial)
15M€
sanction maximale pour non-conformité des systèmes haut risque
7,5M€
sanction maximale pour manquements aux obligations de transparence

Les obligations concrètes par niveau de risque

Maintenant que vous savez où se situent vos outils, voici ce que vous devez faire concrètement selon leur niveau de risque.

Pour les systèmes à risque minimal (la majorité des outils grand public)

Pour les assistants IA génériques, traducteurs automatiques, correcteurs de texte et outils de productivité sans composante décisionnelle, les obligations formelles sont légères. Vous n'avez pas d'obligation de documentation technique spécifique à l'AI Act. En revanche, vous restez soumis au RGPD si ces outils traitent des données personnelles, et à l'obligation d'AI literacy (former vos équipes à un usage responsable).

La bonne pratique est de tenir un registre simplifié — une liste des outils IA utilisés dans l'entreprise, leur fournisseur, et leur usage principal. Ce registre ne prend pas plus d'une demi-journée à constituer, et il vous permet de répondre immédiatement à toute question d'autorité de contrôle.

Pour les systèmes à risque limité (chatbots, générateurs de contenu)

L'obligation principale est la transparence : toute personne qui interagit avec un système IA doit en être informée. Si votre entreprise utilise un chatbot sur son site web, celui-ci doit clairement se présenter comme un système automatisé. Si vous publiez des contenus générés par IA, vous devez les étiqueter comme tels — obligation qui entre pleinement en vigueur le 2 août 2026 avec des sanctions applicables.

Cela implique de vérifier concrètement : votre chatbot client mentionne-t-il clairement qu'il est automatisé ? Vos publications marketing générées par IA sont-elles étiquetées ? Si votre réponse est non, c'est un point de non-conformité à corriger immédiatement.

Pour les systèmes à haut risque (RH, crédit, santé, sécurité)

C'est ici que les obligations sont les plus exigeantes. Si votre entreprise utilise un système IA classé haut risque — que ce soit votre outil de scoring crédit, votre ATS avec filtrage IA, ou votre système d'évaluation des performances — vous devez constituer un dossier de conformité complet.

1

Établir la documentation technique

Description précise du système IA (fournisseur, version, fonctionnalités décisionnelles), données utilisées pour l'entraînement si connues, architecture générale. Cette documentation doit être tenue à jour à chaque mise à jour significative du système.

2

Mettre en place un système de gestion des risques

Identification des risques potentiels du système pour les personnes concernées (biais, erreurs, impacts discriminatoires), mesures d'atténuation mises en place, et processus de révision périodique. Ce n'est pas un document théorique — c'est un processus vivant qui doit être documenté et mis à jour.

3

Garantir la supervision humaine

Les systèmes haut risque doivent impérativement inclure une supervision humaine effective — pas symbolique. Un salarié doit pouvoir comprendre et contester toute décision IA haut risque le concernant. Documentez qui est responsable de cette supervision, avec quelle formation, et selon quel processus.

4

Tenir un journal de bord (logs)

Les systèmes haut risque doivent journaliser automatiquement leurs activités pour permettre une vérification a posteriori. Si votre outil SaaS ne propose pas cette fonctionnalité, contactez votre fournisseur — il a lui-même l'obligation de la proposer en tant que fournisseur d'un système haut risque.

5

Enregistrer le système si requis

Certains systèmes haut risque doivent être enregistrés dans la base de données européenne des systèmes IA à haut risque (EU AI Act Database). Vérifiez si votre système entre dans les catégories concernées — votre fournisseur doit normalement vous informer de cette obligation.

La checklist opérationnelle pour les entreprises françaises

Voici la liste des actions concrètes à engager, dans l'ordre de priorité. Adaptez-la selon la nature des outils IA que vous utilisez.

Checklist de conformité AI Act pour les entreprises françaises

Mise en conformité AI Act — les étapes concrètes à suivre avant le 2 août 2026. Illustration : Nerolia Formation

Étape 1 — Cartographier vos systèmes IA (toutes entreprises)

Lister tous les outils numériques utilisant de l'IA dans l'entreprise (y compris les modules IA intégrés dans des logiciels métier SaaS)
Identifier pour chaque outil : fournisseur, usage principal, données traitées, personnes concernées (salariés, clients, candidats…)
Classer chaque outil selon les 4 niveaux de risque AI Act (inacceptable / haut risque / risque limité / risque minimal)
Vérifier si l'un de vos outils tombe dans la catégorie "risque inacceptable" — et le désactiver immédiatement si c'est le cas

Étape 2 — Mettre en place les bases de conformité (toutes entreprises)

Rédiger ou mettre à jour votre politique IA interne — liste des outils autorisés, règles d'usage, données interdites à transmettre aux IA
Former vos collaborateurs utilisant des outils IA (obligation d'AI literacy article 4 — déjà en vigueur depuis février 2025)
Conserver les attestations de formation — elles constituent votre preuve de conformité AI literacy lors d'un contrôle
Vérifier que vos chatbots et systèmes IA visibles des clients s'identifient clairement comme automatisés (obligation de transparence)
Étiqueter les contenus marketing ou commerciaux générés par IA (obligation applicable dès août 2026)

Étape 3 — Conformité renforcée pour les systèmes haut risque

Constituer la documentation technique complète pour chaque système IA haut risque utilisé
Demander à votre fournisseur SaaS sa documentation de conformité AI Act — les fournisseurs ont l'obligation de la fournir
Mettre en place un processus de supervision humaine documenté pour toute décision IA haut risque (embauche, crédit, évaluation…)
Vérifier que le système IA génère des logs — et que ces logs sont conservés selon les durées légales
Désigner un référent IA interne ou externe chargé de la conformité AI Act et de la mise à jour de la documentation

Le cas des PME : des allégements réels, mais des obligations fondamentales inchangées

L'AI Act a prévu des dispositions spécifiques pour les PME et micro-entreprises, conscient que les obligations documentaires complètes peuvent être lourdes pour de petites structures. Ces allégements sont réels mais souvent mal compris.

Ce que les PME peuvent faire différemment : les délais de mise en conformité pour les systèmes haut risque existants sont étendus jusqu'à 2027. Les PME peuvent accéder à des bacs à sable réglementaires — des espaces supervisés par les autorités où elles peuvent tester leurs systèmes IA haut risque avant mise en conformité officielle. La Commission européenne publie également des guides simplifiés spécifiquement conçus pour les PME.

Ce qui ne change pas pour les PME : l'obligation d'AI literacy (article 4) s'applique pleinement, quelle que soit la taille de l'entreprise. Si un salarié de votre PME utilise ChatGPT ou un outil IA dans son travail, vous avez l'obligation de l'avoir formé à un usage responsable. Cette obligation est en vigueur depuis février 2025, et elle ne connaît aucun seuil de taille d'entreprise. De même, les systèmes à risque limité doivent respecter les obligations de transparence dès août 2026, sans exception pour les PME.

La réalité terrain : 58% des PME françaises ayant moins de 50 salariés n'ont aucune politique IA formalisée (Baromètre BPI France & France Num, 2025). Cette situation n'est pas seulement un risque réglementaire — c'est aussi une source d'inefficacité et de Shadow AI qui coûte en productivité et en sécurité des données.

"On fait souvent l'erreur de penser que l'AI Act est une loi pour les grandes tech. En réalité, 80% des cas de contrôle que nous avons simulés en 2025 concernaient des PME utilisant des outils IA RH ou des chatbots clients sans respecter les obligations de transparence. Ce sont des obligations simples à respecter — mais elles requièrent de s'y intéresser."

— Marie Laforêt, Directrice juridique, Fédération des Entreprises Numériques (FDEN), mars 2026

Les erreurs les plus fréquentes des entreprises françaises

Après avoir accompagné de nombreuses organisations dans leur mise en conformité, voici les cinq erreurs les plus courantes que nous observons.

1. Confondre "avoir une charte IA" avec "être conforme"

Une charte IA est un point de départ, pas une preuve de conformité. L'AI Act exige une documentation technique précise, des processus documentés de supervision humaine, et des preuves de formation. Une charte de deux pages ne suffit pas pour un système haut risque.

2. Ignorer les modules IA intégrés dans les logiciels SaaS

De nombreuses entreprises ne réalisent pas que leurs logiciels métier — ERP, ATS, CRM — ont intégré des fonctionnalités IA au fil des mises à jour. Un module de scoring automatique dans votre outil RH peut vous placer dans la catégorie haut risque sans que vous en soyez conscient. Auditez vos contrats SaaS.

3. Déléguer entièrement la conformité au fournisseur SaaS

Le fournisseur a ses propres obligations — mais le déployeur (votre entreprise) a les siennes. En cas de contrôle, "c'est la responsabilité de notre fournisseur" n'est pas une défense recevable. Vous devez obtenir la documentation de conformité de votre fournisseur et constituer votre propre dossier déployeur.

4. Former les équipes une seule fois, sans documentation

L'obligation d'AI literacy impose une formation appropriée et documentée. Une réunion d'information sans attestation ne constitue pas une preuve recevable lors d'un contrôle. Utilisez des formations certifiées Qualiopi dont les attestations sont traçables et horodatées.

5. Attendre un contrôle pour agir

Les autorités de contrôle françaises ont annoncé des campagnes de contrôle proactives à partir de l'automne 2026 — en ciblant prioritairement les secteurs RH, financier et santé. Attendre d'être contrôlé pour constituer sa documentation, c'est s'exposer à une infraction caractérisée avec toutes les circonstances aggravantes.

Le coût de la conformité vs le coût de la non-conformité

Une mise en conformité AI Act pour une PME de 50 salariés utilisant des outils à risque limité coûte typiquement entre 3 000 et 8 000 euros (audit, politique, formation des équipes). Une sanction pour manquement aux obligations de transparence commence à 7,5 millions d'euros. Le calcul est rapide.

Par où commencer concrètement cette semaine

Il reste 90 jours avant le 2 août 2026. Ce n'est pas beaucoup, mais c'est suffisant pour couvrir l'essentiel si vous agissez maintenant. Voici les priorités dans l'ordre.

Cette semaine : Constituez votre registre des systèmes IA. Listez tous les outils utilisés dans votre entreprise avec une composante IA — y compris les modules SaaS. Attribuez à chacun un niveau de risque provisoire en vous basant sur le tableau de classification ci-dessus. Si vous identifiez un outil potentiellement haut risque, contactez immédiatement votre fournisseur pour obtenir sa documentation de conformité AI Act.

Dans les 30 prochains jours : Formalisez votre politique IA et formez vos équipes. La formation doit couvrir les bases de l'AI literacy — comment utiliser les outils de manière responsable, quelles données ne jamais transmettre à une IA, comment identifier les biais et erreurs IA. Cette formation doit être certifiée et attestée pour être recevable comme preuve de conformité.

Dans les 60 prochains jours : Constituez votre dossier de conformité complet. Pour les systèmes à risque limité, vérifiez et mettez en place les obligations de transparence. Pour les systèmes haut risque, constituez la documentation technique et le registre de gestion des risques. Désignez un référent IA interne chargé de maintenir cette documentation à jour.

Avant le 2 août : Faites un test de contrôle simulé. Imaginez qu'un inspecteur de la CNIL se présente dans vos locaux et demande à voir votre documentation IA. Êtes-vous capable de lui produire dans les 48 heures : la liste de vos systèmes IA classifiés, les preuves de formation de vos équipes, la politique IA écrite, et la documentation technique de vos systèmes haut risque ? Si la réponse est non sur l'un de ces points, c'est là que vous devez concentrer vos efforts.

Nerolia Formation vous accompagne sur l'AI Act

Nos formations IA certifiées Qualiopi (N° QUA009366) couvrent l'obligation d'AI literacy de l'article 4 et incluent un module conformité AI Act adapté à votre secteur. Nous proposons également un audit de vos outils IA pour établir votre cartographie de risques. Financement possible via OPCO.

Audit AI Act gratuit →

FAQ — AI Act 2026 et obligations des entreprises françaises

Quelles entreprises sont concernées par l'AI Act en France ?

Toutes les entreprises qui utilisent, déploient ou développent des systèmes d'IA en France sont potentiellement concernées — y compris les PME. L'obligation d'AI literacy (article 4) s'applique dès lors qu'un salarié utilise un outil IA dans un cadre professionnel, quelle que soit la taille de l'entreprise.

Quelles sont les sanctions de l'AI Act en France à partir d'août 2026 ?

Les sanctions varient selon le type d'infraction : jusqu'à 35 millions d'euros ou 7% du chiffre d'affaires mondial pour l'usage d'IA interdites, jusqu'à 15 millions d'euros ou 3% du CA pour les systèmes haut risque non conformes, et jusqu'à 7,5 millions d'euros ou 1% du CA pour les manquements à la transparence. Les sanctions RGPD et AI Act sont cumulables.

Qu'est-ce qu'un système IA à haut risque selon l'AI Act ?

Un système IA est classé haut risque s'il est utilisé dans des domaines comme les RH (tri de CV, évaluation), les services financiers (scoring crédit), la santé, la sécurité des infrastructures ou l'éducation. Les outils de filtrage de candidatures ou d'évaluation des performances par IA sont des cas typiques pour les entreprises françaises.

L'AI Act s'applique-t-il aux PME françaises ?

Oui. L'AI Act s'applique à toutes les entreprises opérant dans l'UE, sans seuil de taille. Les PME bénéficient de certains allégements (délais, bacs à sable réglementaires), mais l'obligation de former les salariés utilisant l'IA (AI literacy) s'applique pleinement dès maintenant, quelle que soit la taille de l'entreprise.

Comment prouver la conformité AI Act lors d'un contrôle ?

La conformité se prouve par la documentation : une politique IA écrite, la liste des systèmes utilisés classifiés par niveau de risque, des attestations de formation des collaborateurs (Qualiopi), et pour les systèmes haut risque, une documentation technique complète. L'absence de documentation aggrave automatiquement la sanction.