Les PME bénéficient-elles d'un régime allégé sous l'AI Act ?

Oui, partiellement. L'article 99 du règlement prévoit que pour les PME et startups, les amendes s'appliquent selon le montant le moins élevé entre le pourcentage du chiffre d'affaires mondial et le plafond fixe en euros, alors que pour les grandes entreprises c'est le plus élevé des deux. Des bacs à sable réglementaires sont également prévus, chaque État membre devant en créer au moins un avant le 2 août 2026. La CNIL accompagne les TPE/PME dans leur démarche de mise en conformité.

Mon fournisseur SaaS doit-il me fournir sa documentation AI Act ?

Oui. Les fournisseurs de systèmes à haut risque ont l'obligation contractuelle de fournir une documentation technique complète aux déployeurs. Si vous utilisez un outil RH ou un scoring automatisé, exigez cette documentation dans votre contrat. Sans elle, vous ne pouvez pas assurer votre conformité, même si c'est le fournisseur qui développe le système.

Un workflow n8n d'automatisation interne est-il concerné par l'AI Act ?

Dans la grande majorité des cas, non. Un workflow qui automatise des tâches répétitives internes (envoi d'emails, consolidation de données, génération de rapports) ne tombe pas dans la catégorie haut risque. Il peut être classé à risque minimal. La ligne directrice est la suivante : si l'IA prend ou influence des décisions affectant des personnes (candidats, salariés, clients), le niveau de risque monte. Si elle traite des données et déclenche des actions purement opérationnelles, elle reste à risque faible.

Que se passe-t-il si on ne fait rien avant le 2 août 2026 ?

Pour les systèmes à haut risque, ne pas être en conformité au 2 août 2026 expose à des sanctions de la CNIL pouvant aller jusqu'à 30 millions d'euros ou 6% du chiffre d'affaires mondial annuel pour les violations les plus graves. Pour les PME, les montants sont proportionnels, mais le risque réputationnel est réel. La CNIL a annoncé une intensification des contrôles RH à l'automne 2026. La mise en conformité pour une PME sans système à haut risque se fait en quelques jours. Autant ne pas attendre.

Retour aux actus

Réglementation Avril 2026 · 7 min de lecture

AI Act et TPE/PME : ce qui s'applique vraiment chez vous au 2 août 2026

Le 2 août 2026, les obligations les plus contraignantes du règlement européen sur l'IA entrent en vigueur. Si vous utilisez un outil RH automatisé, un scoring de leads ou un chatbot client, vous êtes probablement concerné. Et vous avez moins de 9 semaines pour le savoir.

Qu'est-ce que l'AI Act et depuis quand s'applique-t-il ?

L'AI Act (Règlement UE 2024/1689) est le premier cadre réglementaire mondial dédié à l'intelligence artificielle. Son application est progressive : les premières interdictions (manipulation cognitive, notation sociale) sont en vigueur depuis février 2025. Les obligations sur les modèles d'IA générale comme Claude ou GPT ont été activées en août 2025. Reste la grande échéance du 2 août 2026 : les systèmes d'IA classés à "haut risque" entrent dans le champ plein de la réglementation.

L'erreur la plus fréquente chez les dirigeants de PME est de penser que ce texte ne cible que les grands groupes technologiques. C'est faux. Le critère déterminant n'est pas la taille de votre entreprise : c'est la nature du système d'IA que vous utilisez. Une PME de 8 salariés qui trie des CV avec un outil automatisé peut être soumise aux obligations les plus strictes du règlement.

Quels systèmes sont considérés à haut risque pour une PME ?

L'AI Act classe les systèmes d'IA en quatre niveaux. Pour les TPE/PME, les deux niveaux à connaître sont :

Risque inacceptable : usage interdit. Exemples : scoring social des salariés, manipulation cognitive à leur insu. Si votre outil fait cela, il doit être retiré immédiatement.
Haut risque (Annexe III) : obligations lourdes de transparence, documentation technique, supervision humaine. C'est la zone d'alerte pour les PME au 2 août 2026.

Entrent dans la catégorie haut risque les systèmes d'IA utilisés dans les domaines suivants :

Recrutement et gestion RH : tri automatique de CV, scoring d'entretien, évaluation de performance.
Accès au crédit : scoring de solvabilité, notation financière automatisée.
Formation professionnelle : orientation automatisée, évaluation des compétences.
Gestion de l'accès aux services essentiels : santé, éducation, services publics.

Cas concret : vous utilisez un ATS (Applicant Tracking System) avec un scoring automatique des candidats. Si ce scoring influence la sélection, vous entrez dans la catégorie haut risque. Peu importe si le logiciel vient d'un éditeur SaaS : en tant que déployeur, vous avez des obligations.

Quelles sont les obligations concrètes au 2 août 2026 ?

Si l'un de vos systèmes est classé haut risque, voici ce que la réglementation vous impose :

Cartographie : identifier tous les systèmes d'IA en usage dans votre organisation et les classer par niveau de risque.
Documentation technique : obtenir de votre fournisseur la documentation complète du système (fonctionnement, données d'entraînement, limites).
Supervision humaine : mettre en place un processus de contrôle humain sur les décisions automatisées. Pas d'automatisation totale sur des décisions affectant des personnes.
Journaux d'activité (logs) : conserver les traces des décisions prises par le système IA, pour une durée fixée par le règlement.
Transparence envers les personnes : informer les individus qu'une IA est impliquée dans une décision qui les concerne.

Et si vous n'utilisez que des outils d'automatisation de processus ?

Bonne nouvelle pour la majorité des TPE/PME : les automatisations purement internes, sans décision affectant des tiers, sont classées à risque minimal ou limité. Un workflow n8n qui envoie des relances, consolide des rapports ou synchronise votre CRM ne tombe pas dans la catégorie haut risque.

Le risque limité concerne principalement les chatbots en contact avec des clients. Depuis novembre 2025, tout chatbot doit informer l'utilisateur qu'il parle à une IA. L'obligation de transparence généralisée pour les contenus synthétiques entre en vigueur en novembre 2026.

En résumé : si vos automatisations traitent des processus internes (facturation, reporting, relances, synchronisation de données), vous n'avez probablement aucune obligation lourde au 2 août. Si vous automatisez des processus RH ou des décisions client, c'est différent.

AI Act + RGPD : comment les deux réglementations s'articulent-elles ?

L'AI Act ne remplace pas le RGPD : il s'y ajoute. Les deux s'appliquent en parallèle. Concrètement, si vous traitez des données personnelles via un système d'IA, vous devez respecter à la fois les obligations RGPD (base légale, minimisation des données, droits des personnes) et les obligations AI Act (documentation, supervision, transparence).

La CNIL est l'autorité désignée en France pour l'application de l'AI Act. Elle a annoncé une intensification des contrôles sur les systèmes RH à partir de l'automne 2026. Les PME qui n'auront pas anticipé s'exposent à des sanctions financières et, surtout, à un risque d'image significatif.

Checklist pratique : êtes-vous concerné par l'échéance du 2 août ?

Posez-vous ces 6 questions. Si vous répondez "oui" à l'une d'elles, lisez la suite et contactez-nous.

Utilisez-vous un logiciel qui trie ou note automatiquement des candidatures ?
Avez-vous un outil de scoring commercial ou financier automatisé ?
Un système prend-il des décisions automatiques concernant des salariés (planification, évaluation) ?
Votre chatbot client ne mentionne-t-il pas qu'il s'agit d'une IA ?
Avez-vous un système d'IA qui oriente des décisions d'accès à des services (prêts, assurances, soins) ?
Utilisez-vous l'API d'un modèle d'IA générale que vous avez adapté à un usage métier spécifique ?

Si aucune de ces situations ne vous correspond, votre exposition est limitée. En revanche, le diagnostic préventif reste utile : le règlement évolue, et certains usages qui semblent anodins peuvent changer de catégorie avec les mises à jour.