AI Act 2026 : la checklist pour les ETI françaises

Un cadre obligatoire, pas un débat éthique

Beaucoup de dirigeants pensent encore que l'AI Act est une recommandation européenne floue. Il ne l'est pas. C'est un règlement directement applicable, qui s'applique à toute entreprise qui :

• Développe un système IA pour le marché français/européen
• Déploie un système IA dans ses opérations (et ce système touche des humains, données personnelles, ou décisions à enjeux)
• Distribue un système IA, même tiers (vous êtes responsable du choix)

Les amendes : jusqu'à 35 M€ ou 7 % du CA mondial, selon la gravité.

La classification des systèmes IA

L'AI Act définit 4 niveaux de risque :

Niveau	Exemples	Vos obligations
Risque inacceptable	Notation sociale, manipulation comportementale	Interdit
Haut risque	Recrutement, scoring crédit, santé, justice, infrastructure critique	Lourdes : DPIA, registre, traçabilité, supervision humaine, audit annuel
Risque limité	Chatbots clients, génération de contenu, assistants commerciaux	Obligation d'information des utilisateurs
Risque minimal	Filtres anti-spam, recommandation produits	Bonnes pratiques recommandées

Cas typique d'une ETI : un copilote support client ou un agent IA commercial = risque limité. Un système de scoring de candidature = haut risque.

La checklist 8 points

✅ 1. Inventaire de vos systèmes IA

Listez tous les systèmes IA que vous utilisez, internes ou externes :

• ChatGPT Enterprise / Claude / Gemini → comptent
• Outils SaaS qui embarquent de l'IA (Notion AI, Salesforce Einstein, HubSpot AI) → comptent
• Vos agents/copilotes/RAG construits sur mesure → comptent
• Modèles ML métier (prévision de stock, scoring) → comptent

Pour chaque système : nom, fonction, fournisseur, données traitées, classification AI Act.

✅ 2. Classification du risque

Pour chaque système listé, classifiez le niveau de risque selon les annexes I-III de l'AI Act. Une grille simple :

• L'IA prend-elle des décisions affectant des humains (RH, financier, santé) ? → haut risque probable
• Les utilisateurs savent-ils qu'ils interagissent avec une IA ? → si non, obligation d'information minimale

✅ 3. Registre des traitements IA

Tenez un registre interne documentant : nature du système, données utilisées, finalités, base légale, durée de conservation, mesures de sécurité. C'est l'équivalent IA du registre RGPD article 30.

✅ 4. Analyse d'impact (DPIA / AIPD)

Pour les systèmes haut risque OU les systèmes traitant des données personnelles à grande échelle : analyse d'impact obligatoire. Modèle CNIL disponible. À documenter avant la mise en service, à actualiser tous les 12 mois.

✅ 5. Information des utilisateurs

Pour les systèmes à risque limité (chatbots, génération de contenu) : les utilisateurs doivent savoir qu'ils interagissent avec une IA. Une mention claire suffit ("Cette conversation est assistée par un agent IA — vous pouvez à tout moment demander un humain").

✅ 6. Supervision humaine

Pour les systèmes haut risque : un humain doit pouvoir intervenir pour annuler, corriger ou expliquer une décision IA. Pas un humain symbolique — un humain réellement formé, avec les outils pour le faire.

✅ 7. Traçabilité

Toutes les décisions ou productions IA significatives doivent être tracées et auditables : quel modèle, quel prompt, quel contexte, quelle réponse, quelle validation humaine. Indispensable en cas de contentieux.

✅ 8. Gouvernance interne

Désignez un référent IA (souvent le DPO ou le RSSI). Mettez à jour vos politiques internes (charte IA, formation des collaborateurs, processus de validation des nouveaux systèmes). Communiquez en interne : avant qu'un collaborateur déploie un nouvel outil IA, le passer par le référent.

Calendrier d'application

• Février 2026 : interdictions des systèmes à risque inacceptable
• Août 2026 : obligations sur les modèles à usage général (GPAI) — applicables aussi à ceux qui les utilisent
• Août 2027 : obligations complètes sur les systèmes haut risque

Vous avez 6 à 18 mois selon votre cas. Plus vous attendez, plus le rattrapage coûte cher.

La bonne nouvelle

L'AI Act est un atout commercial si vous l'anticipez. Vos clients grands comptes vont vous demander vos certifications. Vos clients sensibles (santé, banque, public) refuseront même de signer sans elles. Être en règle dès maintenant, c'est un avantage compétitif.

Nous accompagnons cette mise en conformité

Sur toute mission IA chez nous, la conformité AI Act + RGPD est incluse. Nous fournissons :

• Le registre des traitements à jour
• Les DPIA
• La traçabilité native dans tous nos systèmes
• La formation du référent interne

→ Audit IA gratuit incluant un volet conformité ou contact direct.

FAQ — AI Act pour ETI françaises

Mon usage interne d'IA (ChatGPT pour la doc, Notion AI) est-il concerné par l'AI Act ?

Oui, dès lors que des données personnelles ou des décisions impactantes y transitent. Le risque est souvent classé "minimal" mais la documentation des usages reste obligatoire — registre des traitements + DPIA si données sensibles.

Quelle est la sanction pour non-conformité ?

Jusqu'à 35 M€ ou 7 % du CA mondial (le plus élevé) pour les pratiques interdites. Pour les manquements documentaires sur usage haut risque : jusqu'à 15 M€ ou 3 %. Les sanctions seront contrôlées par la CNIL en France.

Faut-il nommer un référent IA / DPO IA ?

Pas formellement obligatoire pour les ETI, mais hautement recommandé. Dans les faits, c'est souvent le DPO existant qui prend la casquette IA, avec une formation 2-3 jours.

L'AI Act s'applique-t-il aux solutions IA achetées en SaaS (ChatGPT Enterprise, Microsoft Copilot) ?

Oui — vous êtes co-responsable en tant que "déployeur". Vous devez vérifier que le fournisseur est conforme et documenter votre usage. Exigez des contrats AI Act-ready à partir de 2026.

À lire aussi

• RAG juridique privé : architecture et conformité (RGPD, AI Act)
• IA cabinet d'avocat : 5 cas conformes à la déontologie
• Comment choisir son agence IA en 2026