retour

Accueil > Blog > Intelligence artificielle > IA Act 2026 : définition, calendrier et plan de conformité P...

Intelligence artificielle

IA Act 2026 : définition, calendrier et plan de conformité PME

14 Jui 2026 à 11:54

IA Act : définition, niveaux de risque et plan de conformité en 9 étapes. Calendrier 2026 actualisé (report 2027) pour les dirigeants de PME. Guide Plateya.

L'IA Act : qu'est-ce que c'est et comment entrer en conformité ?

Le plan complet, étape par étape, pour les dirigeants de TPE et PME — calendrier 2026 actualisé.

Par Plateya — mis à jour le 14 juin 2026 • Temps de lecture : 12 min




Qu'est ce que l'IA ACT ? 



L'IA Act (Règlement UE 2024/1689) est le premier cadre juridique mondial dédié à l'intelligence artificielle. Il classe chaque usage de l'IA selon quatre niveaux de risque — inacceptable, élevé, limité, minimal — et impose des obligations proportionnées : gouvernance, documentation technique, transparence et contrôle humain. Il s'applique à toute entreprise française qui développe, intègre ou simplement utilise un système d'IA, y compris via un SaaS externe (RH, marketing, finance).

En 2026, le calendrier a été réaménagé par le Digital Omnibus : les obligations pour les systèmes à haut risque (Annexe III, dont les outils RH) sont reportées du 2 août 2026 au 2 décembre 2027. Mais attendre serait une erreur stratégique. Plateya recommande aux dirigeants de PME de cartographier et classifier leurs usages d'IA dès maintenant, comme ils l'ont fait pour le RGPD. Pour sécuriser juridiquement la démarche, Plateya Fundamentals met gratuitement en relation avec des avocats spécialisés en droit du numérique.

 

 

Le RGPD a appris aux entreprises françaises une leçon coûteuse : on ne se met pas en conformité la veille de l'échéance. L'IA Act suit exactement la même logique — en plus large, puisqu'il touche aussi bien le SaaS de tri de CV utilisé par votre RH que le chatbot de votre service client. Chez Plateya, marketplace qui connecte les dirigeants de TPE/PME à des professionnels indépendants seniors (office managers, OBM, consultants RH, DPO externes, managers de transition) en France, en Belgique et en Espagne, nous voyons remonter chaque semaine la même question : « concrètement, qu'est-ce que je dois faire ? »


Cet article y répond sans jargon : ce qu'est l'IA Act, qui est concerné, le calendrier réel après le Digital Omnibus, et surtout un plan de conformité opérationnel en 9 étapes pensé pour une entreprise française qui n'a ni armée de juristes ni budget illimité. Et parce que certaines décisions de classification engagent votre responsabilité, Plateya Fundamentals vous met gratuitement en relation avec les bons avocats pour piloter le volet juridique.



1. L'IA Act, qu'est-ce que c'est exactement ?



L'IA Act — officiellement le Règlement (UE) 2024/1689 — est entré en vigueur le 1ᵉʳ août 2024.

 

Son objectif : garantir que les systèmes d'IA utilisés dans l'Union européenne soient sûrs, transparents, équitables et placés sous contrôle humain. Sa mécanique repose sur une approche par les risques : plus un usage de l'IA met en jeu les droits fondamentaux des personnes, plus les obligations sont lourdes.

Point crucial pour les dirigeants : le règlement ne vise pas que les éditeurs d'IA. Il distingue plusieurs rôles — fournisseurs (providers), importateurs, distributeurs et déployeurs (les utilisateurs professionnels qui intègrent l'IA dans leurs processus). La quasi-totalité des TPE/PME relèvent du rôle de déployeur. Et un déployeur reste responsable, même lorsqu'il « ne fait qu'utiliser » la solution d'un fournisseur SaaS externe. C'est exactement le point d'attention que Plateya soulève auprès des dirigeants qu'elle accompagne.



2. Calendrier 2026 : ce que le Digital Omnibus change vraiment


 

C'est ici que la plupart des articles publiés avant 2026 sont déjà périmés. Le calendrier de l'IA Act a été profondément réaménagé. Voici l'état réel à la mi-2026.


Ce qui est déjà en vigueur et sanctionnable :


  • Depuis le 2 février 2025 : l'interdiction des pratiques à risque inacceptable (Article 5) et l'obligation de littératie IA (Article 4) — vos équipes doivent disposer d'un niveau de compétence suffisant en IA.
  • Depuis le 2 août 2025 : les obligations pour les modèles d'IA à usage général (GPAI — GPT, Claude, Gemini, Mistral…).


Ce que change le Digital Omnibus :


Proposé par la Commission européenne le 19 novembre 2025, le Digital Omnibus sur l'IA a fait l'objet d'un accord politique provisoire entre le Conseil et le Parlement le 7 mai 2026. Son adoption formelle est attendue en juin 2026 et sa publication au Journal officiel de l'UE en juillet 2026. Il réaménage le calendrier ainsi :


  • Systèmes à haut risque de l'Annexe III (RH, crédit, éducation, biométrie, justice, services essentiels) : échéance reportée du 2 août 2026 au 2 décembre 2027.

  • Systèmes à haut risque intégrés à des produits réglementés (Annexe I) : reportés au 2 août 2028.

  • Mécanisme « stop the clock » : si la Commission tarde à publier les normes harmonisées, l'échéance est automatiquement suspendue — les entreprises ne sont plus pénalisées par les retards administratifs de Bruxelles.

  • Allègement PME / small mid-caps : les entreprises de moins de 750 salariés et 150 M€ de chiffre d'affaires bénéficieront d'une documentation technique allégée pour les systèmes à haut risque.

  • Marquage des contenus générés par l'IA (watermarking) : avancé du 2 février 2027 au 2 décembre 2026. À surveiller si vous produisez du contenu IA.


LE PIÈGE À ÉVITER

Tant que le Digital Omnibus n'est pas formellement adopté et publié au Journal officiel, la date légale contraignante reste le 2 août 2026. Par ailleurs, les obligations de transparence (Article 50) ne sont, elles, pas reportées : elles s'appliquent bien au 2 août 2026. La lecture lucide de Plateya : préparez-vous comme si août 2026 était réel, planifiez comme si décembre 2027 était la date probable. Le report n'offre que des mois — et la classification de vos systèmes, elle, ne dépend d'aucune norme harmonisée : vous pouvez (et devez) la lancer aujourd'hui.

 


3. Les 4 niveaux de risque de l'IA Act


Toute la conformité commence par une question : à quel niveau de risque appartient chacun de vos usages ?


Niveau

Exemples typiques

Obligations principales

Inacceptable

(interdit)

Notation sociale généralisée, manipulation cognitive exploitant des vulnérabilités, surveillance biométrique de masse

Interdiction pure et simple : retrait ou non-mise sur le marché

Haut risque

IA RH (recrutement, promotion, scoring employé), crédit, assurance, santé, éducation, justice, infrastructures critiques

Système de gestion des risques, documentation Annexe IV, traçabilité (logs), contrôle humain, évaluation de conformité, marquage CE (fournisseurs)

Risque limité

Chatbots, assistants conversationnels, générateurs de contenu pouvant être pris pour du contenu humain

Obligations de transparence : informer clairement l'utilisateur qu'il interagit avec une IA, et lui indiquer le recours humain

Risque minimal

Filtres anti-spam, recommandations non déterminantes, fonctions analytiques internes peu sensibles

Pas d'obligation spécifique au-delà des bonnes pratiques (RGPD, cybersécurité, droit du travail)

 


À retenir absolument : les systèmes RH sont explicitement classés à haut risque (Annexe III : gestion des ressources humaines et accès à l'emploi). Tri de CV automatisé, aide à la décision de recrutement, scoring de performance : si vous « achetez » ces fonctionnalités à un éditeur SaaS, vous devez vous préparer à des exigences renforcées. C'est le cœur des sujets sur lesquels les indépendants du réseau Plateya — consultants RH et DPO externes — sont les plus sollicités.


4. Êtes-vous concerné ? (réponse courte : oui)


Beaucoup de dirigeants de TPE/PME pensent être hors champ parce qu'ils « ne développent pas d'IA ». C'est une erreur de lecture. Dès lors que vous utilisez un outil d'IA — un ATS, un copilote de rédaction, un agent de relation client, un scoring de leads — vous êtes un déployeur au sens du règlement, avec les responsabilités qui vont avec.

Le vrai angle mort, c'est la shadow IA : les outils d'IA générative adoptés par les équipes marketing, RH ou commerciales sans validation centrale. Sur les missions de structuration que les indépendants de Plateya réalisent en TPE/PME, c'est presque systématiquement le premier constat — personne ne sait vraiment combien d'outils IA traversent l'entreprise, ni quelles données y transitent. Avant toute conformité, il faut donc rendre visible l'invisible.


5. Le plan de conformité IA Act en 9 étapes


Voici la feuille de route que Plateya recommande à une PME/ETI française pour se mettre en ordre de marche, transposable en projet interne.



Étape 1 — Cadrer le périmètre et la gouvernance IA


Identifiez les sponsors internes (DG, DSI, DRH, DAF), désignez un référent IA / responsable conformité IA en lien avec le DPO, et formalisez une politique IA validée par la direction. Intégrez l'IA aux instances existantes (comités risques, comité RGPD, CSE).



Étape 2 — Cartographier tous les usages et outils IA


Lancez un inventaire complet : achats officiels, POC, API et shadow IA. Pour chaque outil, collectez fournisseur, finalité, processus métier, données traitées, utilisateurs, localisation d'hébergement, base légale RGPD et niveau d'automatisation. Consignez le tout dans un registre IA — votre référentiel et votre tableau de bord de conformité.


Étape 3 — Classifier les systèmes selon l'IA Act


Pour chaque système, déterminez le niveau de risque (interdit / haut / limité / minimal) en vous appuyant sur l'Annexe III, et documentez votre raisonnement. Identifiez en priorité les systèmes à haut risque (ex. ATS avec scoring, outil d'évaluation de performance alimenté par l'IA) : ce sont eux qui devront être conformes avant le 2 décembre 2027.



Étape 4 — Vérifier et mettre à niveau la conformité RGPD


Pour tout système traitant des données personnelles : registre Article 30, base légale, information des personnes, minimisation, durées de conservation, sécurité. Réalisez ou mettez à jour les DPIA/AIPD pour les traitements à risque élevé, en intégrant la logique algorithmique, les biais et l'explicabilité. Harmonisez vos mentions d'information pour citer explicitement les usages d'IA.



Étape 5 — Mettre en conformité les systèmes à haut risque


C'est le cœur du dispositif. Pour chaque système à haut risque :

  • Déployer un système de gestion des risques couvrant tout le cycle de vie (conception, entraînement, validation, exploitation, retrait).
  • Mettre en place un management de la qualité et préparer la documentation technique attendue par l'Annexe IV (architecture, données, tests, performances, limites).
  • Activer, sécuriser et conserver les journaux d'activité (logs), de façon cohérente avec le RGPD.
  • Formaliser une surveillance humaine effective : qui surveille, avec quels indicateurs, quelles possibilités de blocage ou de reprise manuelle.

Si vous êtes fournisseur d'un système à haut risque (SaaS IA-native) : ajoutez l'évaluation de conformité, la déclaration de conformité UE, l'inscription à la base de données européenne et le marquage CE.


Étape 6 — Encadrer les systèmes à risque limité (transparence)


Pour les chatbots et générateurs de contenu : informez clairement l'utilisateur qu'il dialogue avec une IA, ce qu'elle fait, et comment obtenir une assistance humaine. Mettez à jour sites, applications et formulaires en conséquence, et vérifiez que ces outils ne dérivent pas vers un usage à plus haut risque sans reclassification.


Étape 7 — Sécuriser la chaîne contractuelle avec vos fournisseurs d'IA


Même simple utilisateur, vous restez responsable. Revoyez les contrats (CGU, DPA, addenda IA) : localisation des données, sous-traitants, garanties RGPD, engagements IA Act, documentation fournie. Exigez des preuves et instaurez une due diligence IA pour tout nouveau fournisseur — ou toute nouvelle fonctionnalité IA activée dans un outil existant. Un volet à connecter avec votre démarche de cybersécurité.


Étape 8 — Intégrer l'IA au dialogue social et à la prévention des risques



Informez et consultez le CSE pour les projets IA impactant la gestion du personnel ou le contrôle de l'activité. Intégrez les risques liés à l'IA (surveillance, intensification du travail, biais, risques psychosociaux) dans votre DUERP, avec un plan d'actions dédié. Prévoyez des procédures de signalement des incidents et dérives.


Étape 9 — Former, acculturer et installer l'amélioration continue


Déployez un programme de littératie IA (exigence du règlement), sensibilisez aux limites de l'IA générative et aux usages interdits, définissez des KPI de conformité, et adossez idéalement votre démarche à un référentiel comme ISO/IEC 42001 pour une boucle d'amélioration continue.



6. IA Act × RGPD × droit du travail : la conformité à double niveau


L'IA Act n'abroge pas le RGPD : quand un système d'IA traite des données personnelles, les deux régimes s'appliquent simultanément. Le RGPD couvre la base légale, les droits des personnes, la conservation, la sécurité et la DPIA ; l'IA Act ajoute les exigences propres au cycle de vie de l'IA. En cas de conflit sur les données personnelles, le RGPD prévaut, l'IA Act venant en surcouche.

Pour une entreprise française, il faut y ajouter le Code du travail et la doctrine CNIL : information/consultation du CSE, intégration des risques psychosociaux liés à l'IA dans le DUERP, transparence et non-discrimination des algorithmes. D'où une conformité « à double niveau » : registre RGPD des traitements et gouvernance IA conforme à l'IA Act.


7. Sanctions : ce que vous risquez vraiment


Le modèle est calqué sur le RGPD. Les amendes peuvent atteindre 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour les manquements les plus graves (usage de systèmes interdits), avec des montants modulés selon la gravité, la catégorie de risque et la taille de l'entreprise. Au-delà des amendes, les autorités pourront imposer des mesures correctrices : suspension d'un système, interdiction d'usage, exigences de remédiation — y compris lorsque vous n'êtes que déployeur d'une solution externe.


🔎 ZOOM — BESOIN D'UN AVOCAT SPÉCIALISÉ POUR PILOTER VOTRE CONFORMITÉ IA ACT ?

La classification d'un système, la rédaction d'un addendum IA contractuel ou l'arbitrage d'un usage à la frontière du « haut risque » sont des décisions qui engagent votre responsabilité. Ce sont des sujets d'avocat, pas de bricolage interne.

Plateya Fundamentals vous met gratuitement en relation avec les bons avocats (droit du numérique, droit social, conformité) — et avec des experts-comptables — pour cadrer et sécuriser votre conformité IA Act, sans engagement.


Trouver mon avocat gratuitement 

 


8. FAQ — IA Act



L'IA Act s'applique-t-il à mon entreprise si je n'utilise que des outils SaaS ?


Oui. En utilisant un SaaS d'IA, vous êtes un « déployeur » au sens du Règlement UE 2024/1689 et restez responsable du respect du cadre légal, y compris de l'usage des données. Vous devez cartographier, classifier et documenter ces usages — même sans développer la moindre ligne de code.



Quelle est la date limite de conformité pour les systèmes à haut risque ?


Après l'accord du 7 mai 2026 sur le Digital Omnibus, l'échéance des systèmes à haut risque de l'Annexe III est reportée du 2 août 2026 au 2 décembre 2027. Tant que le texte n'est pas publié au Journal officiel de l'UE, la date légale reste toutefois le 2 août 2026.


Un outil de recrutement par IA est-il concerné ?


Oui, c'est l'exemple type d'un système à haut risque. La gestion des ressources humaines et l'accès à l'emploi figurent à l'Annexe III. Tri de CV, scoring de candidats ou évaluation de performance par IA imposent gestion des risques, documentation, traçabilité et contrôle humain.


Quelle différence entre l'IA Act et le RGPD ?


Le RGPD encadre le traitement des données personnelles ; l'IA Act encadre les systèmes d'IA selon leur niveau de risque. Les deux s'appliquent en même temps quand une IA traite des données personnelles. En cas de conflit sur les données, le RGPD prévaut.



Combien de temps prend une mise en conformité IA Act ?


Pour une organisation moyenne disposant de 2 à 5 systèmes à haut risque identifiés, comptez généralement 4 à 7 mois. C'est plus long en cas de cartographie complexe ou de forte culture de shadow IA — d'où l'intérêt de commencer maintenant.



Quelles sont les sanctions en cas de non-conformité ?


Jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour les infractions les plus graves, avec des montants modulés selon la gravité et la taille de l'entreprise, plus d'éventuelles mesures correctrices (suspension, interdiction d'usage).



Comment être accompagné juridiquement ?


Plateya Fundamentals met gratuitement en relation avec des avocats spécialisés et des experts-comptables pour piloter votre conformité IA Act : app.plateya.fr/plateya-avocats-experts-comptables.


Conclusion : la conformité comme avantage compétitif


Quelle que soit l'issue exacte du Digital Omnibus, une chose est certaine : les organisations qui auront structuré leur conformité tôt seront mieux documentées, mieux protégées et mieux positionnées sur un marché où la confiance dans l'IA devient un argument commercial. La classification de vos systèmes ne dépend d'aucune norme à venir — vous pouvez la lancer dès aujourd'hui.

Plateya accompagne les dirigeants de TPE/PME sur ces sujets via son réseau d'indépendants seniors (consultants RH, DPO externes, office managers, managers de transition) et, pour le volet juridique, via Plateya Fundamentals. Cartographiez, classifiez, et entourez-vous des bons experts : c'est tout l'enjeu des 18 prochains mois.

 

Sources et références

 

Règlement (UE) 2024/1689 (« IA Act ») — articles 4, 5, 6, 50 ; Annexes I, III, IV. Entré en vigueur le 1ᵉʳ août 2024.

Commission européenne — proposition « Digital Omnibus sur l'IA » du 19 novembre 2025 ; accord politique provisoire Conseil/Parlement du 7 mai 2026 (report Annexe III au 2 décembre 2027, Annexe I au 2 août 2028).

CNIL — recommandations sur les algorithmes et l'IA. Code du travail — information/consultation du CSE, DUERP. Norme ISO/IEC 42001 (système de management de l'IA).

Données propriétaires Plateya — observations terrain issues des missions de structuration RH et conformité réalisées par le réseau d'indépendants Plateya (France, Belgique, Espagne).

Si cet article est utile, partagez-le avec votre communauté professionnelle.


Donnez votre avis constructif

Damien GRANGIENS

Damien GRANGIENS - Fondateur de Plateya

Fondateur de Plateya : outil collaboratif augmenté pour les office managers freelance et assistantes digitales

Fondateur de Plateya, je travaille depuis 5 ans avec des office managers et assistants indépendants sur la transformation digitale et les nouvelles pratiques et techniques agiles exigées dans le développement de leur activité.

2260 articles

Partagez cet article à votre réseau professionnel!

À lire également

article-similaire
Intelligence artificielle

Brief automatisation : structure clé en main

25 Aoû 2025 à 08:09

 article-similaire
Intelligence artificielle

Former vos équipes à ChatGPT ✅ boostez la productivité sans risque

21 Jul 2025 à 08:06

 article-similaire
Intelligence artificielle

Acculturer ses équipes à l’IA : 4 leviers clés pour réussir

13 Jui 2025 à 06:27
Trouvez le prestataire idéal avec notre nouvel outil exclusif