Uncategorized

Le 2 août 2026, vos outils IA deviennent une affaire juridique — même si personne ne vous l’a dit

Il y a quelques semaines, une dirigeante de PME m’a montré fièrement le chatbot qu’elle venait d’intégrer sur son site. Outil de service client, réponses automatisées, disponible 24h/24. Elle était satisfaite. Quand je lui ai demandé si ses utilisateurs savaient qu’ils parlaient à une machine, elle a levé les yeux : « Ah, c’est obligatoire ? »

La vérité est que depuis le 2 août 2026 — dans moins de deux mois au moment où j’écris — la réponse à cette question n’est plus une affaire d’opinion. C’est du droit.

Le règlement européen sur l’intelligence artificielle (Règlement UE 2024/1689, dit « acte européen sur l’IA ») est entré en vigueur le 1er août 2024. Son application est progressive, mais une échéance majeure arrive : le 2 août 2026, les obligations de transparence (Article 50) et les premières sanctions nationales pour manquement à la littératie IA (Article 4) deviennent pleinement opposables. Et la plupart des dirigeants de TPE-PME n’en ont encore aucune idée.

Ce texte est pour eux.

Ce que « déployeur » signifie concrètement — et pourquoi presque toutes les PME le sont

L’acte européen sur l’IA distingue deux rôles principaux : le fournisseur, qui développe et commercialise un système IA, et le déployeur, qui utilise un système IA dans le cadre de son activité professionnelle.

La grande majorité des TPE-PME sont des déployeurs. Elles n’ont pas développé le modèle qu’elles utilisent — elles ont souscrit un abonnement à un SaaS, branché une API, ou intégré un outil dans leur CRM. Cela ne les exonère pas. L’acte européen sur l’IA adopte une définition large : une PME qui utilise ChatGPT, Copilot, un chatbot de service client, un outil RH de pré-filtrage de CV, ou un scoring de prospects automatisé est un déployeur au sens du texte, et porte des obligations qui lui sont propres.

Le règlement ne distingue pas l’usage formel et l’usage informel. Dès qu’une décision produite par un système IA touche une personne, les obligations s’imposent au déployeur — qu’il en ait eu conscience ou non.

Ce qui entre en vigueur le 2 août 2026 — et ce qui a été décalé

C’est ici que la situation devient à la fois plus simple et plus complexe qu’on ne le dit.

Ce qui est pleinement applicable au 2 août 2026 : les obligations de transparence de l’Article 50 et les premières sanctions nationales pour manquement à l’Article 4 (littératie IA). Ce qui s’applique aussi depuis le 2 février 2025 déjà : les pratiques interdites (manipulation comportementale, notation sociale, identification biométrique en temps réel dans l’espace public) — et précisément, l’obligation de littératie IA pour les déployeurs.

Ce qui a été décalé : l’accord politique provisoire du 7 mai 2026 entre le Parlement européen et le Conseil, dans le cadre du « Digital Omnibus on AI », repousse les obligations les plus lourdes pour les systèmes à haut risque de l’Annexe III du règlement (recrutement, scoring de crédit, gestion d’infrastructures critiques, identification biométrique) du 2 août 2026 au 2 décembre 2027.

Il y a un détail juridique important ici, que j’ai vu passer inaperçu dans plusieurs communications : cet accord n’est pas encore formellement adopté ni publié au Journal officiel de l’Union européenne. Sur le plan du droit strict, la date du 2 août 2026 reste aujourd’hui la seule opposable. Les cabinets qui présentent le report comme acquis vont trop vite. La direction est probable ; la certitude juridique ne l’est pas encore.

Cela dit, pour la plupart des PME, ce report sur l’Annexe III ne change pas grand-chose à l’urgence d’agir sur ce qui, lui, est clairement en vigueur.

L’Article 4 : une obligation qui court depuis février 2025 — et que presque personne n’a remplie

L’Article 4 du règlement est entré en application le 2 février 2025. Il impose à tous les fournisseurs et déployeurs de systèmes IA de prendre les mesures nécessaires pour assurer un niveau suffisant de maîtrise de l’IA parmi leur personnel — et parmi toute personne qui utilise ces systèmes pour leur compte.

Ce texte vise aussi les sous-traitants et prestataires qui manipulent l’IA en votre nom. Aucun seuil d’effectif. Aucune exclusion sectorielle.

Ce qui change au 2 août 2026, ce sont les contrôles nationaux. En France, c’est la CNIL qui sera l’autorité de surveillance compétente. L’obligation elle-même existe depuis 16 mois. La plupart des PME n’ont rien fait. La question n’est plus de savoir si elles sont concernées — elle l’est — mais de savoir comment prouver qu’elles ont agi.

Concrètement, prouver la conformité à l’Article 4 suppose de tenir un registre des formations dispensées, de conserver les supports et attestations, et de pouvoir montrer que les personnes qui utilisent vos outils IA comprennent les risques liés à leur usage. Une formation certifiée Qualiopi produit automatiquement cette documentation. Une demi-journée d’atelier interne, correctement tracée, peut aussi y répondre — à condition qu’elle soit documentée.

Un chiffre que j’ai croisé dans le rapport Salesforce « AI at Work » de septembre 2024 : 49 % des salariés utilisent déjà des outils IA non approuvés par leur employeur. Ce n’est pas de la mauvaise volonté — c’est simplement que personne ne leur a appris à distinguer ce qui est autorisé, ce qui est risqué, et ce qui est interdit. L’Article 4 cherche à corriger exactement ça.

L’Article 50 : ce que la transparence exige, outil par outil

L’Article 50 est l’un des seuls pans du règlement que l’Omnibus numérique n’a pas touché. Il s’applique pleinement au 2 août 2026, et il touche bien plus d’organisations qu’on ne le croit — parce qu’il ne concerne pas seulement les systèmes à haut risque, mais tous les systèmes d’IA générative.

Ce que le texte impose, concrètement :

Si vous déployez un chatbot ou un assistant virtuel qui interagit directement avec vos clients ou prospects, vous devez les informer — dès le début de la conversation, clairement, pas en bas de page dans une mention grise — qu’ils s’adressent à une intelligence artificielle. Ce n’est pas une recommandation. C’est une obligation légale.

Si vous utilisez un système IA pour générer ou manipuler des images, des vidéos ou des contenus audio susceptibles d’être pris pour authentiques (ce que le règlement appelle des « hypertrucages » ou deepfakes), vous devez indiquer explicitement que le contenu a été généré par une IA.

Si vous produisez des textes générés par IA publiés dans un but d’information du public sur des questions d’intérêt général, ces textes doivent porter la mention de leur origine artificielle.

La Commission a précisé dans ses lignes directrices de mai 2026 ce que « clair et distinct » signifie dans ce contexte — et ce que ça ne signifie pas. Un tout petit extrait de texte caché dans le pied de page d’un site web n’est pas conforme. Un message d’accueil dès le premier échange, visible et lisible, l’est.

Ce que le « haut risque » recouvre — et pourquoi ça vous concerne peut-être plus que vous ne pensez

Un système IA est classé à haut risque s’il est utilisé dans des domaines sensibles listés à l’Annexe III du règlement : recrutement, sélection et évaluation des candidats, scoring de crédit, attribution de services essentiels, identification biométrique, ou gestion d’infrastructures critiques.

Ce que j’observe dans les PME que j’accompagne : beaucoup utilisent des outils qui touchent à ces domaines sans le savoir. Un outil RH qui pré-filtre les CV basé sur des critères automatisés peut basculer dans l’Annexe III. Un CRM qui score automatiquement les leads selon un algorithme opaque peut aussi. Un logiciel de gestion de flotte qui surveille les comportements de conduite en temps réel entre dans ce périmètre.

La Commission a publié des lignes directrices sur la classification des systèmes à haut risque en mai 2026 — leur consultation est fortement recommandée. Le fait qu’un système figure dans l’Annexe III ne préjuge pas de sa licéité au regard du RGPD, qui s’applique en parallèle et cumulativement quand des données personnelles sont traitées.

Si vos systèmes tombent dans la catégorie haut risque, et en attendant la publication formelle de l’Omnibus, l’Article 26 impose aux déployeurs : une supervision humaine effective et réelle (pas formelle — les décisions importantes produites par le système doivent pouvoir être revues et corrigées par un humain compétent), la conservation des journaux automatiques générés par le système, le respect de l’usage prévu par le fournisseur, et l’information des personnes concernées.

Ce que ça change pour vous — et une nuance sur les sanctions

Les sanctions prévues par l’acte européen sur l’IA peuvent atteindre 35 millions d’euros ou 7 % du chiffre d’affaires mondial pour les violations les plus graves (pratiques interdites). Pour les systèmes à haut risque, jusqu’à 15 millions d’euros ou 3 % du CA mondial. Pour les manquements à la littératie IA, jusqu’à 7,5 millions d’euros ou 1,5 % du CA.

Ces montants concernent les pratiques caractérisées. Une PME de 20 personnes qui n’a pas encore mis en place son plan de formation IA ne va pas recevoir une amende de 7,5 millions d’euros le 3 août 2026. Le règlement précise que les autorités de surveillance tiennent compte de la taille et des ressources de l’organisation — et que les PME bénéficient d’une application proportionnée.

L’exemption n’existe pas. La proportionnalité, oui.

La vraie question n’est donc pas : « est-ce que je vais être sanctionné ? » Elle est : « est-ce que mon organisation utilise l’IA de manière consciente, traçable, et explicable ? » Parce que les contrôles démarrent, et que la première organisation à devoir répondre sera celle qui n’a rien documenté.

Par où commencer — les trois actions qui débloquent le reste

La cartographie d’abord. Faire l’inventaire de tous les outils IA déployés dans votre organisation : lesquels interagissent avec vos clients, lesquels traitent des données sur vos salariés ou candidats, lesquels produisent des contenus diffusés à l’extérieur. C’est le prérequis à tout le reste. Sans cet inventaire, on ne peut ni classifier, ni prioriser, ni documenter.

La littératie ensuite. Identifier qui dans votre équipe utilise des outils IA — y compris de façon informelle, sans validation de votre part — et s’assurer qu’ils comprennent les risques de base : biais, hallucinations, confidentialité des données, limites de l’usage. Tracer cette démarche. Une demi-journée bien documentée vaut mieux qu’une journée non tracée.

La transparence en troisième. Vérifier chaque point de contact entre vos outils IA et vos interlocuteurs extérieurs. Chatbot sur le site ? Message d’accueil IA visible dès le premier échange. Contenus générés par IA publiés sur vos réseaux ou dans vos communications ? Mention claire de leur origine. C’est simple à corriger — à condition de l’avoir identifié.

Auditer vos fournisseurs SaaS fait aussi partie du travail : demander à vos prestataires IA s’ils sont conformes, s’ils disposent d’une documentation technique, s’ils sont enregistrés dans la base européenne. Vous êtes déployeur — mais leur conformité conditionne la vôtre.

Ce que j’observe dans les entreprises que j’accompagne

La plupart des dirigeants de TPE-PME que je rencontre ne savent pas encore qu’ils sont concernés par ce texte. Ils pensent que l’acte européen sur l’IA cible les grandes plateformes, les éditeurs de logiciels, les géants du numérique. La logique paraît sensée : ce sont eux qui développent l’IA.

Cela dit, ce n’est pas ce que le règlement prévoit. Dès qu’une organisation utilise un système IA dans un contexte professionnel — ce qui est le cas de toute entreprise qui a souscrit à un outil de productivité, un CRM avec scoring, un chatbot ou un assistant de rédaction — elle entre dans le périmètre. Et les obligations de transparence et de littératie s’appliquent indépendamment du niveau de risque de l’outil.

Il y a là une opportunité réelle pour les dirigeants qui bougent maintenant. Non pas parce qu’il faut avoir peur des sanctions — mais parce qu’une organisation qui a cartographié ses outils IA, formé ses équipes à un usage conscient, et mis en place une supervision humaine effective sur les décisions importantes est une organisation qui utilise l’IA mieux que les autres. La conformité réglementaire et l’usage intelligent de l’IA pointent dans la même direction.

Alors Buen Camino — il reste deux mois pour faire ce premier pas, et il n’est pas si compliqué qu’il y paraît.


Sources : Règlement UE 2024/1689 (acte européen sur l’IA) · Accord politique provisoire Digital Omnibus on AI, 7 mai 2026 · Commission européenne, lignes directrices Article 6 et Article 50, mai 2026 · Salesforce, « AI at Work », septembre 2024 · Proactive Academy, analyse Article 4 · IT Social, analyse juridique Omnibus mai 2026

Conformément à l’Article 50 de l’acte européen sur l’IA : cet article a été rédigé avec l’assistance de Claude Sonnet 4.6 (Anthropic).

Articles recommandés

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *