Retour au blog
10 juillet 2026 6 min de lecture AI Act

Comment se mettre en conformité avec l'AI Act en 5 étapes (guide 2026)

Par la Rédaction Expert Themio
Résumé exécutif
  • Toute entreprise qui utilise un outil d'IA dans un cadre professionnel (pas uniquement celles qui développent de l'IA) est un « déployeur » au sens du règlement (UE) 2024/1689 et a déjà des obligations légales actives.
  • La conformité est atteignable en cinq étapes concrètes : inventaire, classification, formation, documentation, veille.
  • Deux obligations sont déjà en vigueur : l'article 4 (culture en matière d'IA) et l'article 5 (pratiques interdites), depuis le 2 février 2025.
  • La plupart des PME peuvent réaliser les étapes 1 à 4 en moins d'une semaine avec un outil structuré, sans recourir à un cabinet juridique externe.
  • Ce guide détaille chaque étape avec les preuves concrètes attendues par un régulateur ou un investisseur.

Si votre entreprise utilise un outil d'IA (chatbot, outil de présélection de recrutement, tableau de bord analytique, assistant de rédaction), elle est déjà soumise au règlement européen sur l'IA. La question n'est plus de savoir s'il faut s'y conformer, mais comment le faire efficacement. Ce guide découpe le processus en cinq étapes qu'une petite équipe peut réaliser sans service juridique dédié.

Selon le Baromètre France Num 2025 , 26 % des TPE/PME européennes utilisent déjà au moins un outil d'IA dans leurs opérations. La plupart n'ont pas encore documenté leurs obligations au titre de l'article 4, contraignant depuis le 2 février 2025.

Étape 1 : Recenser tous les outils d'IA utilisés par l'entreprise

La conformité commence par la visibilité. Impossible de classifier ou documenter un risque non identifié.

Ce qu'il faut recenser :

  • Fonctionnalités d'IA intégrées aux logiciels déjà utilisés (scoring CRM, présélection ATS, détection de fraude, chatbots, génération de contenu, analyse prédictive)
  • Outils d'IA adoptés de manière informelle par les équipes (ChatGPT, Copilot, Midjourney, etc.)
  • Composants d'IA au sein de votre propre produit, si vous développez un logiciel

Qui interroger : ne vous fiez pas uniquement à la DSI ; sondez les responsables de chaque service (RH, ventes, marketing, opérations). L'adoption informelle d'outils d'IA (« shadow AI ») est fréquente.

Résultat de cette étape : un tableau simple listant le nom de l'outil, le service utilisateur, l'usage, et s'il traite des données personnelles. Cette base servira à toutes les étapes suivantes.

Étape 2 : Classifier le niveau de risque de chaque outil

Le règlement IA répartit les systèmes d'IA en niveaux de risque, et vos obligations augmentent avec le niveau.

Niveau de risque Exemples Niveau d'obligation
Inacceptable (interdit) Notation sociale, manipulation subliminale, surveillance biométrique de masse en temps réel dans l'espace public Interdit depuis le 2 février 2025
Haut risque Scoring RH/recrutement, évaluation de crédit, identification biométrique, gestion d'infrastructures critiques Obligations complètes (gestion des risques, documentation technique, surveillance humaine). Calendrier mis à jour par le Digital Omnibus finalisé (juin 2026) : systèmes de l'Annexe III d'ici le 2 décembre 2027 ; systèmes de l'Annexe I d'ici le 2 août 2028
Risque limité Chatbots, générateurs de deepfakes Obligations de transparence : informer l'utilisateur qu'il interagit avec une IA
Risque minimal Filtres anti-spam, prévision des stocks Aucune obligation spécifique au-delà des dispositions générales

Pour la plupart des PME, l'inventaire est dominé par des outils à risque limité ou minimal, avec une exposition à haut risque concentrée sur les fonctions RH/recrutement et crédit (précisément là où les erreurs de classification coûtent le plus cher).

Étape 3 : Documenter la formation Article 4 (culture en matière d'IA)

L'article 4 impose à tout déployeur de veiller à ce que le personnel utilisant des systèmes d'IA dispose d'une « culture suffisante en matière d'IA ». Cette obligation ne comporte aucune exemption de taille et s'applique à toute entreprise depuis le 2 février 2025.

À quoi ressemble une documentation adéquate :

  • Une courte session de formation interne (30 à 60 minutes suffisent) portant sur les outils d'IA réellement utilisés
  • Une feuille de présence avec la date de formation
  • Une fiche d'une page par outil : ce qu'il fait, ses limites, et le contact en cas de doute

Les régulateurs n'attendent pas un programme de certification formel d'une entreprise de 15 personnes ; ils attendent la preuve que l'obligation a été prise au sérieux et appliquée proportionnellement à la taille de l'entreprise.

Étape 4 : Constituer le dossier de conformité

C'est le document que vous présenteriez à un régulateur, à un investisseur en due diligence, ou au service achats d'un grand compte. Il doit inclure :

  1. L'inventaire des outils d'IA (étape 1)
  2. La classification de risque de chaque outil (étape 2)
  3. Les preuves de formation Article 4 (étape 3)
  4. Une analyse d'écarts : quelles obligations ne sont pas encore remplies, et un calendrier de remédiation
  5. Pour tout outil à haut risque : documentation technique et plan de supervision humaine

Constituer ce dossier manuellement avec un cabinet juridique coûte généralement entre 5 000 et 30 000 € pour un premier engagement. Une plateforme de conformité structurée peut produire la même documentation (avec des citations précises de l'article de règlement à l'origine de chaque recommandation) en moins de deux minutes par outil, pour une fraction du coût.

Étape 5 : Assurer une veille réglementaire continue

Le règlement IA n'est pas figé. Les règlements d'exécution, les normes techniques (CENELEC, ETSI) et les orientations du Bureau européen de l'IA sont publiés en continu, et la proposition « Digital Omnibus » a finalisé les échéances des obligations à haut risque depuis mi-2026.

Une conformité exacte en janvier peut être incomplète au moment de votre prochain conseil d'administration. Le minimum recommandé est une revue trimestrielle de votre inventaire et de votre classification au regard des dernières orientations, idéalement automatisée par un outil qui signale les changements réglementaires pertinents pour les outils de votre inventaire, plutôt que de suivre chaque publication vous-même.

À qui cela s'applique-t-il : vérification rapide du périmètre

Profil d'entreprise Applicable ?
PME européenne utilisant un outil d'IA Oui : obligations complètes du déployeur
Micro-entreprise (moins de 10 salariés) Oui : aucune exemption générale de taille
Entreprise non européenne dont les résultats d'IA atteignent des utilisateurs de l'UE Oui : portée extraterritorial au titre de l'article 2(1)(c)-(d)
Entreprise d'un pays candidat à l'UE (Balkans occidentaux, Ukraine, Moldavie) Pas encore en droit interne, mais les investisseurs et acheteurs européens exigent de plus en plus des preuves d'alignement

Point clé : Le règlement IA ne contient aucune exemption générale pour les PME ou micro-entreprises. Le Bureau européen de l'IA a publié des lignes directrices sur la proportionnalité, mais l'obligation elle-même n'est pas levée pour les petites structures.

Questions fréquentes

Combien de temps prend réellement la mise en conformité AI Act pour une PME type ?
Avec un processus structuré et un outil de conformité, les étapes 1 à 4 (inventaire, classification, documentation de formation, dossier de conformité) prennent généralement 3 à 5 jours ouvrés pour une petite équipe. Sans outil, comptez plusieurs semaines de travail manuel de coordination entre services, et plusieurs semaines supplémentaires si un cabinet juridique externe est impliqué.
Faut-il un avocat pour se conformer à l'AI Act ?
Pas pour la majorité des PME au stade actuel de l'application du règlement. Le conseil juridique devient important spécifiquement lorsqu'un outil est classifié à haut risque et que cette classification est contestée, ou en cas de contrôle réglementaire formel. Pour l'inventaire, la documentation de formation Article 4 et l'analyse d'écarts standard, une plateforme de conformité structurée suffit et va nettement plus vite.
Que se passe-t-il si nous ne faisons rien ?
Les obligations des articles 4 et 5 sont déjà applicables. Les autorités nationales de surveillance du marché peuvent infliger des amendes allant jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires mondial pour les violations des obligations du déployeur, et jusqu'à 35 millions d'euros ou 7 % pour les pratiques interdites. Les premières actions de contrôle sont attendues à partir de 2026.
Nous avons déjà mené un projet de conformité RGPD. Cela couvre-t-il l'AI Act ?
Partiellement, mais pas complètement. Le RGPD et l'AI Act se recoupent fortement puisque la plupart des systèmes d'IA traitent des données personnelles, mais l'AI Act ajoute des exigences spécifiques (classification des risques, culture Article 4, documentation technique pour les systèmes à haut risque) qu'un programme uniquement RGPD ne couvre pas.
Notre entreprise est en Serbie, en Bosnie ou en Macédoine du Nord. Devons-nous nous conformer dès maintenant ?
Pas directement en droit interne aujourd'hui. Mais si votre produit ou service basé sur l'IA atteint des utilisateurs de l'UE, les dispositions extraterritoriales de l'AI Act peuvent déjà s'appliquer, et les investisseurs ou acheteurs européens exigent de plus en plus des preuves d'alignement dans leurs due diligences, indépendamment du pays d'incorporation.

Themio.ai automatise les cinq étapes (inventaire des outils d'IA, classification des risques, documentation de la formation Article 4, analyse d'écarts et veille réglementaire continue) pour les PME européennes et les entreprises des pays candidats à l'UE. Analyse complétée en moins de deux minutes par outil, hébergement 100 % Europe, et citation de l'article de règlement précis derrière chaque recommandation.