RÉGLEMENTATION · 28 avril 2026 · 5 min de lecture · Par Alexandre Cadot

AI Act du 2 août 2026 : ce qui change pour les TPE.

Décodage concret du règlement européen 2024/1689. Ce qui s'applique déjà, ce qui arrive cet été, et ce qu'un dirigeant de TPE/PME doit avoir fait avant la rentrée.

Le 2 août 2026 est devenu une date un peu mythique dans les conversations IA. On me la cite à peu près une fois par semaine en réunion, parfois avec un mélange d'angoisse et de fatalisme. Soyons précis : ce que cette date déclenche ne concerne pas la majorité des TPE/PME que j'accompagne. Mais d'autres dates, plus anciennes, vous concernent déjà.

Voici l'état des lieux, sans jargon.

Le calendrier officiel, en clair

Le règlement (UE) 2024/1689 — dit « AI Act » — a été publié au Journal Officiel de l'UE le 12 juillet 2024 et est entré en vigueur le 1er août 2024. Son application se fait par paliers. Les dates clés, telles que fixées par les articles 113 et suivants du règlement :

  • 2 février 2025 — Application des pratiques interdites (article 5) et de l'obligation d'AI literacy (article 4).
  • 2 août 2025 — Entrée en vigueur des obligations pour les modèles d'IA à usage général (GPAI) et de la gouvernance (CE AI Office).
  • 2 août 2026 — Application générale du règlement, y compris les obligations pour les systèmes d'IA à haut risque listés en annexe III.
  • 2 août 2027 — Application aux systèmes d'IA à haut risque intégrés dans des produits déjà régulés (annexe I).

Source : EUR-Lex, règlement (UE) 2024/1689, articles 113 à 115.

Ce qui s'applique déjà à votre TPE (depuis février 2025)

Deux choses, et la deuxième est souvent oubliée.

1. Les pratiques interdites (article 5)

Huit pratiques sont interdites quel que soit votre statut, même solopreneur. Les deux qui concernent potentiellement une PME B2B :

  • Le scoring social de personnes ou groupes basé sur leur comportement ou des traits de personnalité, quand ce score est ensuite utilisé hors contexte ou de façon disproportionnée.
  • La manipulation comportementale subliminale qui altère matériellement le comportement et cause un préjudice.

En pratique, si vous utilisez Claude pour répondre à vos mails, ça ne vous concerne pas. Si vous utilisez un outil d'IA qui scanne automatiquement les profils LinkedIn de vos prospects pour leur attribuer un « score d'intention » exploité dans une séquence agressive, la zone grise commence.

2. L'obligation d'AI literacy (article 4)

Celle-là est passée sous le radar de presque toute la presse économique française. L'article 4 stipule que tout fournisseur ou utilisateur de système d'IA doit veiller à ce que son personnel ait un « niveau suffisant d'IA literacy », en tenant compte de la formation, du contexte d'usage et des personnes concernées par les sorties du système.

« Providers and deployers of AI systems shall take measures to ensure, to their best extent, a sufficient level of AI literacy of their staff and other persons dealing with the operation and use of AI systems on their behalf. » Règlement (UE) 2024/1689, article 4

Concrètement, si vos commerciaux utilisent Claude (ou tout autre LLM type GPT, Mistral) pour pré-rédiger des propositions et que personne n'a jamais expliqué dans l'entreprise ce qu'est une hallucination, ce que sont les biais, et comment relire — vous n'êtes pas conforme depuis le 2 février 2025. Le texte ne précise pas le format de la formation, mais une trace écrite (charte, support, attestation) est attendue par les autorités de contrôle.

Pour information, Bpifrance a publié en mars 2025 un guide pratique qui résume cette obligation pour les PME françaises.

Ce qui arrive le 2 août 2026 (et ce qui ne vous concerne probablement pas)

La grande majorité des obligations qui arrivent en août 2026 concernent les systèmes d'IA à haut risque listés en annexe III. Pour une TPE, les cas pertinents sont :

  • Un système d'IA utilisé dans le recrutement (tri de CV automatisé, scoring de candidats).
  • Un système d'IA utilisé pour évaluer la solvabilité d'un client (scoring crédit, fixation de prix de crédit).
  • Un système d'IA utilisé pour des décisions d'accès à des services essentiels (assurance, énergie, etc.).

Si vous tombez dans une de ces cases — et c'est rare pour une PME B2B technique — vous devrez avoir mis en place : un système de gestion des risques, une documentation technique, des journaux d'utilisation, une supervision humaine, et une évaluation de conformité. Ce n'est pas léger.

Si vous n'y tombez pas — ce qui est le cas de 90% des dirigeants que j'accompagne — la date du 2 août 2026 change peu de chose pour vous. L'effet principal est l'activation des sanctions, déjà prévues mais désormais effectivement applicables.

Les sanctions, en chiffres

Article 99 du règlement. Trois niveaux :

  • Jusqu'à 35 M€ ou 7% du CA mondial — pour les pratiques interdites de l'article 5.
  • Jusqu'à 15 M€ ou 3% du CA mondial — pour la violation d'autres obligations (haut risque, transparence).
  • Jusqu'à 7,5 M€ ou 1% du CA mondial — pour information incorrecte aux autorités.

Le règlement précise que pour les PME et start-up, ces plafonds sont applicables au montant inférieur entre les deux (donc 1, 3 ou 7% du CA plutôt que les montants fixes). Une PME à 2 M€ de CA s'expose donc à un maximum de 140 000 € pour une violation grave — pas négligeable, mais ce n'est pas l'amende d'1 M€ que certains agitent.

Les exemptions que personne ne mentionne

Trois zones d'exemption utiles :

  • Usage personnel non professionnel (article 2). Si vous utilisez Claude pour rédiger un mail privé, l'AI Act ne s'applique pas.
  • Recherche, développement et test pré-déploiement. Tester un cas d'usage en interne sans le déployer auprès de clients reste hors du champ tant que ça ne sort pas de l'entreprise.
  • Modèles open source sous certaines conditions (article 2). Si vous faites tourner Mistral ou Llama localement à des fins internes, plusieurs obligations sautent.

Ce qu'un dirigeant de TPE/PME doit avoir fait avant l'été 2026

Trois actions, par ordre de priorité :

  1. Cartographier vos usages d'IA — un tableau simple : qui utilise quoi, sur quels données, pour quelle finalité. Quinze minutes d'effort, ça met fin aux discussions floues.
  2. Rédiger une charte interne d'usage de l'IA — deux pages, signées par tout le monde. C'est votre trace écrite vis-à-vis de l'article 4. Sans charte, vous êtes à découvert depuis février 2025.
  3. Vérifier si un de vos usages tombe en annexe III — recrutement assisté par IA, scoring client, décisions automatisées. Si oui, prenez conseil maintenant, pas en juillet.

C'est tout. Pas besoin de DPO dédié, pas besoin de cabinet d'avocats, pas besoin de logiciel de conformité à 8 000 € par an. La conformité AI Act pour une TPE qui n'opère pas en zone annexe III, c'est trois documents et une session de cadrage.

En résumé : la date qui devrait vous inquiéter, c'est le 2 février 2025 — passée — pour l'obligation de formation. Le 2 août 2026 active les sanctions et concerne surtout les systèmes à haut risque. Si vous êtes une PME B2B technique sans IA dans vos décisions RH ou crédit, votre vraie échéance est la rédaction de votre charte interne. Le reste est de l'industrie de la peur.

Sources principales : Règlement (UE) 2024/1689, EUR-Lex · Cadre réglementaire IA, Commission européenne · AI Act Explorer (Future of Life Institute).

← Retour au carnet Réserver un diagnostic →