Le règlement européen 2024/1689 sur l'intelligence artificielle entre dans sa phase la plus contraignante le 2 août 2026. À cette date, la majorité des obligations applicables aux entreprises qui déploient des systèmes d'IA deviennent opposables. Voici, sans jargon, ce qu'une PME française doit avoir mis en place.
Pendant deux ans, beaucoup de dirigeants de PME ont entendu parler de l'AI Act sans se sentir concernés. Le texte semblait viser les géants américains, les fournisseurs de modèles, les hôpitaux ou les opérateurs de reconnaissance faciale. Ce n'est plus le cas. Toute entreprise qui utilise un outil comme ChatGPT, Copilot, Gemini ou Claude dans son activité — c'est-à-dire 80 % des PME françaises en 2026 — entre dans le champ du règlement en tant que déployeur.
L'erreur la plus fréquente que nous voyons en mission consiste à confondre l'AI Act avec une affaire d'IT ou de DPO. C'est avant tout une obligation de gouvernance, qui engage la direction générale. Et son calendrier d'application est plus court qu'il n'y paraît.
Le règlement a été publié au Journal officiel de l'Union européenne le 12 juillet 2024 et est entré en vigueur le 1er août 2024. Son application est échelonnée sur 36 mois.
La date à inscrire sur l'agenda d'un dirigeant est donc le 2 août 2026. C'est à partir de ce jour que les autorités peuvent ouvrir des procédures sur le périmètre complet et que les amendes deviennent activables sur l'ensemble des obligations.
Pour savoir si votre PME est dans le champ, posez-vous trois questions très simples. Si vous répondez « oui » à au moins une, vous êtes concernés.
Dans 95 % des PME que nous rencontrons à Montpellier et en Occitanie, la réponse est trois fois oui. Le règlement ne fixe ni seuil de chiffre d'affaires ni seuil d'effectif. Une entreprise de 8 personnes est aussi concernée qu'un groupe de 8 000 — avec, évidemment, une exigence proportionnée au contexte.
Le règlement distingue plusieurs rôles : fournisseur, déployeur, importateur, distributeur. Une PME qui se contente d'utiliser ChatGPT en interne est un déployeur, et c'est ce statut qui déclenche la majorité des obligations pratiques pour vous.
Vous devez garantir que les personnes qui utilisent un système d'IA dans le cadre de votre activité disposent d'un niveau suffisant de compréhension, en tenant compte de leur formation, de leur expérience, du contexte d'utilisation et des personnes affectées. Une attestation Udemy ou un webinaire générique ne suffit pas : les preuves attendues sont individuelles, datées et adaptées au rôle.
Avant le 2 août 2026, vous devez avoir cartographié tous les systèmes d'IA utilisés dans votre entreprise et déterminé, pour chacun, s'il relève d'un risque inacceptable (interdit), élevé (obligations lourdes), limité (transparence) ou minimal (vigilance). Un outil RH qui aide à présélectionner des CV, par exemple, est haut risque. Beaucoup de dirigeants l'ignorent.
Tout contenu généré par IA, toute interaction avec un agent conversationnel, toute décision automatisée affectant un client, un candidat ou un salarié doit être identifiée comme telle. C'est une obligation contractuelle qui s'ajoute aux dispositions du RGPD.
En cas de contrôle, vous devez pouvoir produire en quelques jours : un registre des systèmes IA, une politique IA d'entreprise, les preuves de formation, la procédure de validation des nouveaux outils, et le rôle désigné en interne (référent IA, ou rattachement à un responsable existant).
Le régime de sanctions de l'AI Act est calqué sur celui du RGPD, mais avec des plafonds plus élevés.
Pour les PME et les jeunes entreprises, le règlement prévoit explicitement que les autorités tiennent compte de leurs intérêts économiques et de leur viabilité — c'est le considérant 148. Concrètement, on n'imagine pas une amende de 15 M€ infligée à une PME montpelliéraine. Mais une mise en demeure publique, une obligation de mise en conformité dans des délais courts, et une atteinte de réputation suffisent largement à déstabiliser une activité.
Si vous abordez le sujet en avril 2026, vous avez quatre mois. C'est court mais largement faisable, à condition d'éviter les fausses pistes.
La bonne séquence tient en cinq mouvements : un diagnostic des usages réels, un classement par niveau de risque, la rédaction d'une politique IA adaptée, une formation par rôle de chaque collaborateur concerné, et la désignation d'un référent — interne ou externalisé. C'est ce que nous appelons l'approche fondée sur le rôle, le risque et le contexte. Notre guide complet en sept étapes détaille la méthode.
Wavoo propose un diagnostic IA & conformité gratuit pour les PME de Montpellier, de l'Hérault et de toute l'Occitanie. Vous repartez avec une cartographie de vos usages, une évaluation de votre exposition et une feuille de route. Voir le détail du diagnostic.
L'AI Act n'est pas une formalité ponctuelle. Comme le RGPD, c'est un régime de conformité continue. Les usages évoluent, vos collaborateurs changent, vos outils sont mis à jour, vos prestataires aussi. Le registre des systèmes IA et le plan de formation doivent être revus au moins une fois par an, et chaque nouvel outil doit passer par une procédure de validation. C'est à cette condition que la conformité devient un atout commercial — vos clients grands comptes, eux, vous demanderont vos preuves dès 2026.
Un appel de cadrage avec Wavoo pour faire le point sur vos usages IA, votre exposition à l'AI Act et les actions prioritaires à mener avant l'été 2026.
Réserver un appel