Docentia
Retour aux actualités
Ia En Entreprise

AI Act : vérifier votre PME avant le 2 août 2026 sans paniquer

PME concernée par une IA à risque élevé ? Transformez l’échéance AI Act du 2 août 2026 en checklist simple : rôle, preuves, documents et prestataires à mobiliser.

Dirigeante de PME vérifiant une checklist AI Act pour un système d’IA à risque élevé en entreprise.

L’AI Act peut vite ressembler à un sujet réservé aux juristes. Pourtant, si votre PME vend, intègre ou utilise un système d’IA à haut risque, la question devient très concrète : quels outils sont concernés, qui porte la responsabilité, quelles preuves devez-vous garder, et que faut-il demander à vos prestataires avant l’été 2026 ?

Le 2 août 2026 reste une date à traiter sérieusement dans votre calendrier, même si le calendrier européen évolue. Chez Docentia, nous conseillons de ne pas attendre la dernière version d’un texte pour faire l’inventaire de vos usages IA. Une semaine suffit déjà pour clarifier votre niveau d’exposition.

AI Act : vérifiez d’abord si votre PME est vraiment concernée 🔍

La première décision utile consiste à distinguer une IA courante d’un système d’IA à haut risque. L’AI Act classe les systèmes selon leur niveau de risque, et les obligations les plus fortes ciblent les usages pouvant toucher la sécurité, la santé ou les droits fondamentaux. Le site Service Public Entreprendre rappelle que les systèmes à haut risque peuvent concerner, entre autres, la biométrie, l’éducation, l’emploi, les dispositifs médicaux ou certains produits réglementés par l’Union européenne : AI Act : quels changements pour les entreprises ?.

Prenons un mini-scénario. Une PME industrielle de 30 personnes à Pau utilise un logiciel d’aide au recrutement qui classe automatiquement les candidatures selon leur probabilité de réussite au poste. Même si l’entreprise ne développe pas l’algorithme, elle l’utilise dans une décision sensible pour des personnes. Ce n’est pas le même risque qu’un outil qui reformule des emails commerciaux.

Votre première checklist doit rester courte :

  • Listez tous vos outils IA utilisés en RH, production, qualité, relation client, sécurité, finance.
  • Identifiez ceux qui influencent une décision sur une personne : recrutement, accès à un service, notation, surveillance, santé.
  • Notez qui fournit l’outil : éditeur SaaS, intégrateur, équipe interne, consultant.
  • Repérez si l’IA est intégrée à un produit que vous vendez ou à un service que vous utilisez seulement en interne.
  • Séparez les usages d’assistance des usages de décision.

Cette cartographie peut tenir dans un simple tableau. Elle doit indiquer le nom de l’outil, le métier concerné, les données utilisées, la décision aidée, le fournisseur, et le responsable interne.

Si vous n’avez pas encore cette vision, un diagnostic IA ciblé permet de prioriser les vérifications sans lancer un chantier de conformité disproportionné.

Fournisseur ou utilisateur : votre rôle change vos obligations

Votre niveau d’obligation dépend fortement de votre rôle dans la chaîne IA. L’AI Act distingue notamment le fournisseur, qui développe ou met sur le marché un système, et le déployeur, qui utilise le système dans son activité. Pour une PME, la difficulté vient souvent des situations hybrides : vous achetez un outil, vous le paramétrez fortement, puis vous l’intégrez dans votre offre client.

Exemple plausible : une PME de services RH à Tarbes achète un moteur d’analyse de CV, ajoute ses propres critères de scoring, puis vend à ses clients une plateforme de présélection. Elle ne peut pas se considérer seulement comme utilisatrice. Selon le niveau de personnalisation, elle peut devoir documenter davantage son rôle, demander des garanties à l’éditeur, et expliquer à ses clients comment le système doit être utilisé.

Posez ces questions dès maintenant :

  • Vendez-vous une solution qui contient une IA, même si le moteur vient d’un tiers ?
  • Modifiez-vous les critères, le modèle ou la logique de décision ?
  • Utilisez-vous l’IA uniquement pour vos propres processus internes ?
  • Votre client final sait-il qu’une IA intervient dans le service ?
  • Un humain peut-il réellement corriger, refuser ou contrôler le résultat ?

Cette distinction doit apparaître dans vos contrats. Si l’éditeur vous fournit seulement une documentation marketing, ce n’est pas suffisant. Vous devez pouvoir obtenir des éléments sur les données, les limites d’usage, les performances, les risques connus et les mesures de supervision humaine.

À ce stade, associez quatre interlocuteurs :

  • votre éditeur logiciel ou intégrateur ;
  • votre responsable informatique, même à temps partiel ;
  • votre DPO ou conseil RGPD si des données personnelles sont traitées ;
  • votre direction métier, car elle connaît la décision réellement prise.

Le bon réflexe consiste à demander par écrit la qualification AI Act proposée par le fournisseur. Même si vous n’êtes pas juriste, cette réponse devient une première preuve de diligence.

Les documents à préparer avant l’été 2026 ne sont pas que juridiques 📊

Les preuves attendues autour d’une IA à haut risque ressemblent davantage à un dossier de maîtrise des risques qu’à un classeur juridique. Service Public Entreprendre mentionne, pour les entreprises concernées, la documentation du système de gestion des risques, la transparence, la traçabilité, le contrôle humain, la cybersécurité, l’inscription dans la base de données européenne et, dans certains cas, le marquage CE : AI Act : quels changements pour les entreprises ?.

Pour une PME de 20 salariés qui commercialise un équipement intégrant une IA de détection de défauts pouvant avoir un impact sur la sécurité, le sujet n’est pas seulement “avoir un certificat”. Il faut pouvoir raconter comment le système a été conçu, testé, surveillé et corrigé.

Commencez par un dossier léger mais structuré :

  • Fiche d’usage : à quoi sert l’IA, qui l’utilise, dans quel processus.
  • Fiche données : sources, catégories de données, durée de conservation, accès.
  • Fiche risques : erreurs possibles, biais, impacts pour les personnes ou la sécurité.
  • Fiche contrôle humain : qui vérifie, à quel moment, avec quel pouvoir de décision.
  • Fiche incidents : comment remonter une anomalie, qui décide d’arrêter l’usage.

Ne cherchez pas la perfection documentaire dès le départ. Le danger, pour une PME, est de repousser le sujet parce qu’il paraît trop lourd. Une première version datée, relue par les métiers, vaut mieux qu’un dossier complet promis pour plus tard.

Si vos équipes utilisent déjà des IA génératives, formez-les aussi aux bons réflexes : limites des outils, données sensibles, validation humaine, conservation des preuves. Le catalogue des formations IA peut servir à construire un socle commun avant d’aborder les cas à haut risque.

Gardez surtout une trace des décisions. Pourquoi avez-vous choisi cet outil ? Qui a validé son usage ? Quelles limites avez-vous fixées ? Ces éléments aident à démontrer une démarche sérieuse, même si le cadre évolue encore.

Le calendrier a bougé : gardez le 2 août 2026 comme point de contrôle ⚙️

Le 2 août 2026 doit rester votre point de contrôle interne, même si l’Union européenne a engagé un report de certaines obligations relatives aux systèmes d’IA à haut risque. Au 17 juin 2026, le Parlement européen indique qu’un accord provisoire prévoit de nouvelles échéances : 2 décembre 2027 pour certains systèmes à haut risque autonomes, et 2 août 2028 pour des systèmes intégrés dans des produits couverts par des règles sectorielles de sécurité. L’accord doit encore être formellement adopté par le Parlement et le Conseil avant son entrée en vigueur : AI Act: deal on simplification measures.

Pourquoi agir maintenant si une partie du calendrier glisse ? Parce que vos clients, assureurs, donneurs d’ordre et partenaires ne vont pas attendre 2027 pour vous poser des questions. La CNIL annonce d’ailleurs pour 2026 des travaux sur le déploiement de l’IA au travail, la santé, les responsabilités dans la chaîne de valeur et les outils pour les DPO : programme de travail CNIL 2026.

Votre plan court peut tenir sur quatre semaines :

  • Semaine 1 : inventaire des outils IA et repérage des usages sensibles.
  • Semaine 2 : qualification des rôles, fournisseur, déployeur, intégrateur, distributeur.
  • Semaine 3 : collecte des documents auprès des éditeurs et prestataires.
  • Semaine 4 : décision de direction, continuer, limiter, suspendre ou encadrer l’usage.

Ajoutez une colonne “incertitude réglementaire” dans votre tableau. Si un usage dépend du report européen, notez-le clairement. Cela évite les décisions floues du type “on verra après l’été”.

Pour les PME de Nouvelle-Aquitaine ou d’Occitanie qui travaillent avec des clients publics, industriels ou santé autour de Pau, Tarbes ou Toulouse, cette anticipation peut devenir un avantage commercial sobre : vous montrez que vos usages IA sont identifiés, suivis et gouvernés.

Les prestataires à mobiliser maintenant ne sont pas tous des avocats

Votre conformité AI Act dépend autant de vos prestataires techniques que de vos conseils juridiques. Une PME peut perdre plusieurs semaines simplement parce qu’elle ne sait pas quoi demander à son éditeur SaaS, à son intégrateur ou à son hébergeur.

Imaginez une PME de 45 salariés qui utilise une IA pour détecter des anomalies de production. L’éditeur affirme que l’outil “n’est pas concerné” par l’AI Act. Cette affirmation peut être vraie, mais elle doit être documentée. Si l’IA influence la sécurité d’un produit, la qualification mérite d’être revue avec précision.

Préparez un email type à vos prestataires avec des demandes simples :

  • Quelle est votre qualification du système au regard de l’AI Act ?
  • Êtes-vous fournisseur, sous-traitant, intégrateur ou simple revendeur ?
  • Disposez-vous d’une documentation technique et d’une notice d’utilisation ?
  • Quelles mesures de cybersécurité et de traçabilité sont prévues ?
  • Quelles limites d’usage recommandez-vous à une PME comme la nôtre ?

Demandez aussi les preuves opérationnelles : journalisation, historique des versions, procédure de correction, support en cas d’incident, engagement sur les données d’entraînement si le sujet est pertinent.

Côté interne, nommez un référent IA. Ce n’est pas forcément un expert technique. Son rôle consiste à centraliser les informations, relancer les fournisseurs, tenir le tableau d’inventaire et préparer les arbitrages de direction.

Si vous développez une brique IA spécifique pour vos clients, posez le sujet dès la conception. Un projet sur mesure peut intégrer les exigences de traçabilité, d’explicabilité et de supervision dès le départ. C’est plus simple que de corriger après coup un système déjà vendu. Pour ce type de cas, un cadrage avec une équipe de développement IA sur-mesure aide à relier conformité, faisabilité technique et valeur métier.

Le bon objectif pour juillet 2026 n’est pas d’avoir tout réglé. C’est de savoir où vous en êtes, ce qui manque, qui doit répondre, et quelles décisions attendre de la direction.

L’AI Act ne doit pas devenir un frein automatique à vos projets IA. Il vous oblige surtout à clarifier vos usages, vos responsabilités et vos preuves. Avant le 2 août 2026, votre priorité est simple : cartographier, qualifier, documenter, puis décider. Même si certaines échéances sont reportées, ce travail vous évite l’improvisation et facilite les échanges avec vos clients ou fournisseurs. Chez Docentia, nous pouvons vous aider à transformer cette obligation en plan d’action court, adapté à votre PME. Pour faire le point sur vos usages IA à risque, demandez un diagnostic de 30 minutes.

Cet article a été rédigé avec l'assistance d'une IA puis relu et validé par l'équipe Docentia.

Partager cet article

Restez informé

Découvrez toutes nos actualités sur l'intelligence artificielle et la formation professionnelle.