Ce qui se joue le 2 août 2026
Le règlement européen sur l'IA (*EU AI Act*) entre en application par paliers depuis 2024. Le prochain est important : les obligations sur les systèmes d'IA dits « à haut risque » deviennent contraignantes le **2 août 2026**. C'est dans 90 jours. Vous allez recevoir une douzaine d'emails alarmistes d'ici là, dont la plupart vous concernent vaguement, voire pas du tout.
Le calendrier réel
- **Août 2024** : pratiques interdites (manipulation cognitive, social scoring, biométrie de masse). Déjà applicable.
- **Février 2025** : transparence des modèles à usage général (ChatGPT, Claude, Mistral). Obligation côté **fournisseur**, pas côté utilisateur.
- **Août 2026** : règles sur les systèmes à haut risque (recrutement automatisé, scoring crédit, biométrie d'identification, dispositifs médicaux IA, infrastructures critiques, justice). C'est le palier dont tout le monde parle.
- **Août 2027** : intégration aux produits déjà marqués CE.
Ce qui concerne 80 % des PME : rien de nouveau
Si vous utilisez Copilot pour coder, Claude ou ChatGPT pour rédiger des comptes rendus, un assistant FAQ enrichi sur votre site, ou un outil d'extraction de PDF en interne : **vous n'avez aucune obligation matérielle au sens de l'AI Act**. Vous êtes *deployer* d'un système à risque limité ou minimal. La seule contrainte sérieuse :
- **Étiquetage** : prévenir vos utilisateurs quand ils interagissent avec une IA (chatbot, voix synthétique, image générée).
- **Bonne pratique recommandée** : tenir une page interne qui liste où vous utilisez l'IA, à quelles fins, avec quelle supervision humaine.
Une demi-heure de rédaction. Pas un projet à 50 000 €.
Ce qui concerne les 20 % restants : un vrai chantier
Vous êtes dans le périmètre « haut risque » si vous utilisez de l'IA pour :
- **Trier des CV** automatiquement avant un humain (recrutement, mobilité interne).
- **Décider d'un crédit, d'une assurance, d'une prime** sans validation humaine.
- **Effectuer un diagnostic médical** ou aider une décision clinique.
- **Identifier biométriquement** des personnes dans l'espace public ou contrôler des accès.
- **Évaluer des élèves**, des candidats à un examen, des bénéficiaires sociaux.
Dans ces cas, le règlement impose : documentation technique, supervision humaine effective, audit annuel, journalisation, transparence sur les datasets d'entraînement, gestion des risques. Ce n'est pas un email à envoyer, c'est un programme de mise en conformité sur 6 à 12 mois.
Trois croyances à corriger tout de suite
1. **« Mon ChatGPT interne doit être déclaré quelque part »** — Non. C'est un usage à risque minimal, sans déclaration. 2. **« Il me faut un Délégué AI »** — Aucune obligation pour la plupart des PME. Le RGPD parle de DPO, l'AI Act ne crée pas son équivalent obligatoire. 3. **« Je dois auditer mes données d'entraînement »** — Uniquement si vous *fournissez* un modèle (vous l'entraînez et le distribuez). Pas si vous l'utilisez.
La bonne posture en mai 2026
1. **Posez la question simple** : utilisons-nous de l'IA pour prendre des décisions automatiques dans l'un des 5 domaines à haut risque ci-dessus ? Si non, vous êtes tranquilles, écrivez votre page interne d'usage et passez à autre chose. 2. **Si oui** : démarrez maintenant un audit de conformité. En décembre 2026, les prestataires sérieux seront pleins. Les autres factureront cher. 3. **Méfiez-vous** des cabinets qui vendent un « package AI Act » à 30 000 € pour une PME de 40 personnes qui n'utilise que Copilot. C'est exactement le genre de panique qu'on essaie de désamorcer ici.
Si vous n'êtes pas sûrs de votre situation, un atelier de 90 minutes suffit la plupart du temps à trancher. Premier échange offert, comme d'habitude.