AI Act août 2026 : checklist technique pour les PME espagnoles

·

Le 2 août 2026 est la date que la plupart des entreprises ont entourée en rouge lorsqu'elles parlent de l'AI Act (Règlement UE 2024/1689). Et à juste titre : ce jour-là entrent en application les obligations de transparence envers les utilisateurs (article 50), la supervision du marché par l'AESIA —l'Agence espagnole de supervision de l'intelligence artificielle— et le régime complet pour les modèles d'IA à usage général (GPAI). Cependant, il existe un élément que de nombreux guides n'ont pas encore intégré : l'accord provisoire du Digital Omnibus de mai 2026 a reporté les obligations les plus exigeantes pour les systèmes à haut risque de l'Annexe III du 2 août 2026 au 2 décembre 2027. Cela ne signifie pas que vous pouvez souffler et ne rien faire. Cela signifie que vous devez distinguer ce qui vous concerne maintenant de ce que vous avez jusqu'en décembre 2027 pour résoudre.

Chez Summum, nous accompagnons les PME dans la navigation de cadres réglementaires complexes depuis 2007. Cet article reflète l'état réglementaire exact à juin 2026 et propose un checklist technique ordonné par urgence pour que vous puissiez agir, pas seulement lire.

La carte des dates de l'AI Act : ce qui est en vigueur et ce qui attend

L'AI Act est entré en vigueur le 1er août 2024, mais son application est échelonnée. Avant d'établir tout checklist, il est indispensable de savoir quelle obligation tombe à quel moment :

Date Ce qui entre en application Qui est principalement concerné
2 févr. 2025 Interdiction des pratiques d'IA inacceptables (art. 5) + obligation de culture IA (art. 4) Toutes les entreprises qui utilisent l'IA
2 août 2025 Règles pour les modèles GPAI : documentation technique, politique sur les droits d'auteur, résumé des données d'entraînement Fournisseurs de modèles fondamentaux (OpenAI, Mistral, etc.)
2 août 2026 Transparence envers les utilisateurs (art. 50), supervision du marché AESIA, obligations des déployeurs GPAI Toute entreprise déployant des chatbots, générateurs de contenu, deepfakes ou systèmes d'interaction directe avec des personnes
2 déc. 2027 (avant août 2026, reporté par le Digital Omnibus) Systèmes à haut risque Annexe III : documentation technique complète, gestion des risques, supervision humaine, évaluation de conformité Entreprises utilisant l'IA dans les RH, le crédit, les assurances, l'éducation, les infrastructures critiques, les services publics
2 août 2027 Modèles GPAI en service avant août 2025 : doivent se conformer au règlement Fournisseurs de modèles fondamentaux legacy

Conclusion pratique : si votre entreprise utilise l'IA sans la développer, et ne relève pas des secteurs à haut risque de l'Annexe III, votre obligation critique pour août 2026 se concentre sur la transparence, la culture IA et la gestion des fournisseurs GPAI. Cela dit, la plupart des PME ont au moins un ou deux points à régler avant cette date.

Ce que l'AI Act interdit depuis février 2025 (déjà en vigueur)

Avant d'examiner août 2026, rappelez-vous que ces pratiques sont interdites depuis le 2 février 2025 et que l'AESIA peut agir dès maintenant :

Si l'un de vos fournisseurs technologiques utilise l'une de ces techniques, c'est vous —en tant que déployeur— qui assumez une partie de la responsabilité. Révisez vos contrats.

Le checklist technique pour août 2026

Ce qui suit est un checklist ordonné du plus urgent au moins urgent pour une PME espagnole type qui utilise des outils d'IA tiers (copilots, chatbots, générateurs de texte/image, assistants RH). Si vous développez votre propre modèle, les exigences sont plus élevées : contactez notre équipe de conformité technique à l'AI Act pour une feuille de route personnalisée.

1. Inventaire des systèmes d'IA (vous devriez déjà l'avoir)

Sans inventaire, vous ne pouvez pas classifier, et sans classification, vous ne pouvez pas vous conformer. Pour chaque outil d'IA que votre entreprise utilise, documentez :

2. Programme de culture IA (art. 4 — obligatoire depuis févr. 2025)

L'article 4 exige que les fournisseurs et déployeurs d'IA garantissent un niveau suffisant de culture IA pour tout le personnel qui conçoit, exploite ou supervise des systèmes d'IA. Ce n'est pas une formation à la mode, c'est une obligation légale. Le programme doit être proportionnel au niveau d'exposition de chaque personne et rester documenté. En pratique, pour une PME de 20 à 50 personnes, cela se traduit généralement par :

3. Transparence envers les utilisateurs finaux (art. 50 — 2 août 2026)

C'est le point que la plupart des entreprises ont encore en suspens. À partir du 2 août 2026, si votre entreprise utilise un système d'IA qui interagit directement avec des personnes, vous êtes tenu de les en informer. Les situations les plus courantes pour les PME sont :

La sanction pour non-conformité à l'article 50 peut atteindre 7,5 millions d'euros ou 1 % du chiffre d'affaires annuel mondial, le montant le plus élevé des deux étant retenu (article 99, paragraphe 4, du Règlement).

4. Révision des contrats avec les fournisseurs de modèles GPAI

Si vous utilisez des outils basés sur des modèles à usage général —ChatGPT, Claude, Gemini, Copilot, Mistral, LLaMA et tout dérivé— vous êtes un déployeur GPAI. L'AI Act établit que les fournisseurs de ces modèles doivent vous remettre :

Vérifiez que vos contrats actuels avec ces fournisseurs incluent ces garanties ou que les fournisseurs les ont publiées publiquement sur leurs pages de conformité. S'il y a des lacunes, documentez la tentative d'obtenir l'information : cela démontre la diligence raisonnable.

5. Politique interne d'utilisation de l'IA

De nombreuses PME utilisent l'IA sans aucun document interne régissant comment, par qui et à quelle fin. C'est un risque juridique et opérationnel. Une politique d'utilisation de l'IA n'a pas besoin d'être un document de 50 pages : 3 à 5 pages couvrant les points suivants suffisent pour une PME :

6. Évaluation des risques pour le 2 décembre 2027

Bien que le délai ait été prolongé, il est conseillé de commencer dès maintenant. Le Digital Omnibus a reporté les obligations des systèmes à haut risque de l'Annexe III, mais ne les a pas supprimées. Si votre entreprise utilise l'IA dans l'un de ces domaines, vous devrez satisfaire à des exigences beaucoup plus strictes avant décembre 2027 :

Pour ces cas, la feuille de route technique est significativement plus complexe et comprend un système formel de gestion des risques, une gouvernance des données, des journaux d'événements, une supervision humaine structurée et, dans certains cas, une évaluation de conformité par un tiers notifié. Notre équipe de conformité technique AI Act pour PME peut vous aider à déterminer exactement dans quelle catégorie tombe chaque système et quelle documentation vous avez besoin.

Tableau récapitulatif : obligations d'août 2026 par profil d'entreprise

Profil d'entreprise Obligation clé avant août 2026 Effort estimé
PME utilisant un chatbot de service client Avertissement d'interaction avec l'IA au premier contact (art. 50) Faible (1 à 2 jours de mise en œuvre)
Entreprise publiant du contenu généré par l'IA Étiquetage visible du contenu synthétique (art. 50) Faible à moyen (nécessite une révision des processus de publication)
Toute entreprise dont les employés utilisent l'IA Programme de culture IA documenté (art. 4) Moyen (formation + registres)
Entreprise utilisant des outils GPAI (Copilot, ChatGPT, etc.) Révision contractuelle avec les fournisseurs + inventaire Moyen (2 à 5 jours d'audit)
Entreprise avec IA dans la sélection du personnel, le crédit ou l'éducation Évaluation du haut risque + feuille de route jusqu'en déc. 2027 Élevé (projet de 3 à 9 mois)

Le rôle de l'AESIA et le cadre des sanctions en Espagne

L'Agence espagnole de supervision de l'intelligence artificielle (AESIA), dont le siège est à La Corogne et qui a été créée par le Décret royal 729/2023, est l'autorité nationale de contrôle de l'AI Act en Espagne. À partir du 2 août 2026, elle assume pleinement ses fonctions de supervision du marché et peut ouvrir des procédures de sanction. Les amendes de l'AI Act comportent trois niveaux :

Pour les microentreprises et les PME, l'AI Act prévoit des amendes réduites et un accès prioritaire aux bacs à sable réglementaires, mais pas d'exemption totale. La diligence documentée —même lorsque la conformité totale n'a pas été atteinte— est un facteur atténuant explicitement reconnu dans le règlement.

Quel rapport entre la norme ISO 42001 et l'AI Act

De nombreuses entreprises se demandent si la certification ISO 42001 (le système de management de l'IA publié en 2023) leur permet de se conformer à l'AI Act. La réponse courte est : ce n'est pas équivalent, mais cela aide. La norme ISO 42001 est un cadre volontaire qui structure la gouvernance de l'IA au sein de l'organisation ; l'AI Act est une réglementation ayant force de loi. Cependant, mettre en œuvre la norme ISO 42001 génère une grande partie de la documentation exigée par l'AI Act (politique IA, évaluation d'impact, registres d'incidents, revue de direction), ce qui accélère le processus de conformité réglementaire. Si votre entreprise dispose ou prévoit d'obtenir la norme ISO 42001, l'équipe Summum Calidad peut vous aider à cartographier quels contrôles couvrent les exigences de l'AI Act et où se situent les lacunes.

Questions fréquentes

L'AI Act m'oblige-t-il même si j'utilise uniquement l'IA de tiers (sans la développer moi-même) ?

Oui. L'AI Act distingue entre les fournisseurs (ceux qui développent ou mettent le système sur le marché) et les déployeurs (ceux qui utilisent le système dans un contexte professionnel). Si vous utilisez un chatbot, un copilot ou tout outil d'IA dans votre activité professionnelle, vous êtes un déployeur avec vos propres obligations : garantir la culture IA de votre équipe, informer les utilisateurs lorsqu'ils interagissent avec l'IA, et ne pas utiliser l'outil à des fins interdites. La responsabilité ne repose pas uniquement sur le fournisseur technologique.

Le Digital Omnibus a reporté le haut risque : puis-je attendre jusqu'en 2027 pour agir ?

Non. Le report du Digital Omnibus concerne exclusivement les systèmes à haut risque de l'Annexe III. Les obligations relatives aux pratiques interdites (déjà en vigueur depuis février 2025), à la culture IA (février 2025), aux modèles GPAI (août 2025) et à la transparence (août 2026) n'ont pas changé. Attendre jusqu'en 2027 sans agir sur ces fronts est une décision qui comporte un risque réglementaire significatif.

Combien de temps faut-il pour se préparer à août 2026 ?

Pour une PME qui n'est pas à haut risque, le processus de conformité de base pour août 2026 prend généralement entre 4 et 10 semaines : inventaire des systèmes (1 à 2 semaines), révision contractuelle (1 à 2 semaines), conception et mise en œuvre du programme de culture IA (2 à 4 semaines) et ajustement des avis de transparence sur les canaux numériques (1 à 2 semaines). Beaucoup de ces étapes peuvent se chevaucher. Chez Summum, nous avons accompagné ce processus auprès d'entreprises de différents secteurs et disposons d'une méthodologie éprouvée pour raccourcir les délais sans laisser de lacunes.

Que se passe-t-il si mon fournisseur d'IA ne me fournit pas la documentation technique requise par l'AI Act ?

Documentez la tentative. Envoyez une demande formelle écrite au fournisseur en demandant les informations requises par l'article 13 (systèmes à haut risque) ou les articles correspondants aux GPAI. Si le fournisseur ne répond pas ou ne fournit pas la documentation, vous avez deux options : trouver un fournisseur alternatif conforme, ou évaluer si le risque de continuer avec ce fournisseur est acceptable. L'AESIA peut exiger cette documentation lors d'une inspection ; ne pas l'avoir à cause du fournisseur peut être un facteur atténuant, mais documenter votre diligence raisonnable est indispensable.