Actualité

IA Act : ce qui s’applique déjà à votre entreprise en 2026

27/04/2026 - 6 min
Dirigeant de TPE/PME
Interdictions, obligation de maîtrise, systèmes à haut risque : ce que tout dirigeant de TPE/PME doit vérifier maintenant, sans attendre août 2026.

Un dirigeant rencontré lors d’un atelier de sensibilisation utilisait ChatGPT depuis plusieurs mois pour rédiger ses emails commerciaux. Quand on a abordé l’IA Act et l’article 4, sa réaction a été immédiate : « Ça concerne vraiment une structure comme la mienne ? » La réponse est oui et l’obligation existe depuis le 2 février 2025.

Cet article ne va pas vous demander de devenir expert en droit européen. Il va juste vous aider à répondre à une question simple : est-ce que ce que vous faites avec l’IA aujourd’hui est conforme au cadre en vigueur ? En moins de 10 minutes, vous aurez les éléments pour le savoir.

Sommaire :

Ce qui est déjà en vigueur et ce qui arrive

L’IA Act européen n’est pas une réglementation future. Son calendrier d’application est précis et une partie s’applique depuis plus d’un an.

2 février 2025 : les interdictions et l’article 4

Depuis cette date, certaines pratiques sont formellement interdites sur le territoire européen. Concrètement, sont prohibés les systèmes d’IA qui classent les citoyens selon leur comportement social, ceux qui manipulent psychologiquement des personnes à leur insu, ceux qui reconnaissent les émotions d’un employé ou d’un élève sur leur lieu de travail ou d’étude, et les dispositifs de surveillance biométrique de masse dans les espaces publics.

C’est aussi à cette date qu’est entré en application l’article 4, qui impose aux fournisseurs et déployeurs de systèmes d’IA de prendre des mesures pour que leur personnel ait un niveau suffisant de maîtrise des outils qu’il utilise.

2 août 2025 : les grands modèles sous obligation

ChatGPT, Gemini, Claude et leurs équivalents sont désormais soumis à des obligations de transparence et de documentation. Les éditeurs de ces modèles doivent informer les utilisateurs professionnels des caractéristiques, limites et risques de leurs systèmes.

2 août 2026 : la mise en conformité complète

C’est la date butoir pour les systèmes d’IA dits à haut risque : outils de recrutement automatisés, aide à la décision médicale, scoring de crédit, systèmes utilisés en contexte judiciaire ou dans des infrastructures critiques. À partir de cette date, les autorités nationales de surveillance du marché commencent également à faire appliquer l’ensemble des dispositions, y compris l’article 4.

Ce que ça change sur les sanctions : les montants évoqués (jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial) concernent les violations des pratiques interdites. Pour l’article 4, les sanctions seront proportionnées au cas et sont plus susceptibles d’être déclenchées en cas d’incident prouvé dû à un manque de formation que dans un contexte de simple contrôle de routine.

Vous voulez savoir si vos usages IA sont concernés ?

L'auto-diagnostic IA d'Oguhnas vous permet de faire le point en moins de 15 minutes.

Accéder à l'auto-diagnostic

Deux idées reçues qui retardent l’action

« C’est pour les grandes entreprises »

Le règlement ne fixe aucun seuil de taille. Il vise les fournisseurs (ceux qui développent des systèmes d’IA) et les déployeurs, c’est-à-dire toute organisation qui utilise un système d’IA dans son activité professionnelle. Une structure de deux personnes qui intègre un chatbot sur son site, ou dont le responsable utilise un outil d’IA pour trier des candidatures, est un déployeur au sens du règlement.

La Commission européenne précise par ailleurs que l’obligation s’étend aux personnes qui font fonctionner ces systèmes pour le compte de l’organisation, prestataires et sous-traitants inclus.

« On n’utilise pas vraiment l’IA »

C’est la réponse la plus fréquente et la plus trompeuse. Utiliser ChatGPT pour rédiger, un assistant vocal pour prendre des notes de réunion, un outil de scoring pour prioriser des prospects, un logiciel de comptabilité avec suggestions automatiques : ce sont des usages d’IA au sens du règlement. La plupart des dirigeants sont déjà déployeurs sans l’avoir formalisé.

La première étape n’est pas de se mettre en conformité. C’est de savoir ce qu’on utilise réellement.

Trois vérifications à faire maintenant

Ces trois points correspondent aux questions que l’on pose en atelier et dans l’auto-diagnostic disponible sur ce site. Elles ne demandent pas de compétences juridiques, juste une heure de réflexion sérieuse.

1. Vos usages IA entrent-ils dans une catégorie interdite ou à haut risque ?

Commencez par lister les outils IA que vous ou vos collaborateurs utilisez réellement (pas ceux que vous pensez utiliser). Vérifiez ensuite si l’un d’eux touche au recrutement, à une décision médicale, à un score financier ou à une décision qui affecte directement des droits de personnes. Si oui, vous êtes dans la zone à haut risque et les obligations qui s’y attachent s’appliquent à partir d’août 2026 au plus tard. Pour la grande majorité des TPE/PME, les outils du quotidien (rédaction, traduction, résumé, organisation) relèvent du risque minimal : aucune obligation spécifique au-delà de l’article 4.

2. Vos collaborateurs ont-ils eu une sensibilisation IA dans les 12 derniers mois ?

L’article 4 n’impose pas de formation certifiante ni de format défini. Le Bureau de l’IA européen est explicite sur ce point : l’approche doit être proportionnée au niveau de risque des outils utilisés et aux connaissances préalables des personnes. Pour une équipe qui utilise des outils à risque minimal, une sensibilisation de 2 à 3 heures couvre l’obligation. Ce qui compte, c’est que les personnes comprennent ce qu’elles utilisent, les limites et les risques, pas qu’elles obtiennent un diplôme.

3. Quelqu’un est-il désigné pour suivre ces sujets dans votre structure ?

Ce n’est pas une obligation formelle pour les petites structures, mais c’est une pratique de bon sens. Il ne s’agit pas de recruter un juriste spécialisé en droit de l’IA. Un profil curieux, capable de lire les évolutions réglementaires et de faire le lien avec les usages internes suffit. Une heure par mois pour surveiller les mises à jour, noter ce qui change et mettre à jour les règles d’usage internes. Cette question devient pertinente à partir de six à huit personnes dans l’organisation.

Besoin d'un point sur vos usages IA ?

L'auto-diagnostic vous guide étape par étape, avec des recommandations adaptées à la taille de votre structure.

Faire mon auto-diagnostic

Où en êtes-vous réellement ?

L’IA Act n’a pas été conçu pour sanctionner les structures de bonne foi qui font un effort raisonnable. Le règlement est explicite : l’application sera proportionnée et les sanctions liées à l’article 4 supposeront un incident documenté plutôt qu’un simple manquement formel.

Ce qui compte maintenant, c’est d’avoir commencé. Savoir ce qu’on utilise, s’assurer que les personnes qui utilisent ces outils comprennent leurs limites et identifier si on touche à des usages à haut risque. Les structures qui font cet état des lieux aujourd’hui ne se retrouveront pas à régler le problème dans l’urgence en juillet 2026.

Si vous n’avez pas encore pris ce temps, c’est probablement la bonne semaine pour le faire.

Vous préférez en parler directement ?

Un échange de 30 minutes pour faire le point sur vos usages IA et identifier ce qui s'applique à votre contexte.

Prendre rendez-vous