Le 2 août 2026 est la date que la plupart des entreprises ont entourée en rouge lorsqu'elles parlent de l'AI Act (Règlement UE 2024/1689). Et à juste titre : ce jour-là entrent en application les obligations de transparence envers les utilisateurs (article 50), la supervision du marché par l'AESIA —l'Agence espagnole de supervision de l'intelligence artificielle— et le régime complet pour les modèles d'IA à usage général (GPAI). Cependant, il existe un élément que de nombreux guides n'ont pas encore intégré : l'accord provisoire du Digital Omnibus de mai 2026 a reporté les obligations les plus exigeantes pour les systèmes à haut risque de l'Annexe III du 2 août 2026 au 2 décembre 2027. Cela ne signifie pas que vous pouvez souffler et ne rien faire. Cela signifie que vous devez distinguer ce qui vous concerne maintenant de ce que vous avez jusqu'en décembre 2027 pour résoudre.
Chez Summum, nous accompagnons les PME dans la navigation de cadres réglementaires complexes depuis 2007. Cet article reflète l'état réglementaire exact à juin 2026 et propose un checklist technique ordonné par urgence pour que vous puissiez agir, pas seulement lire.
La carte des dates de l'AI Act : ce qui est en vigueur et ce qui attend
L'AI Act est entré en vigueur le 1er août 2024, mais son application est échelonnée. Avant d'établir tout checklist, il est indispensable de savoir quelle obligation tombe à quel moment :
| Date | Ce qui entre en application | Qui est principalement concerné |
|---|---|---|
| 2 févr. 2025 | Interdiction des pratiques d'IA inacceptables (art. 5) + obligation de culture IA (art. 4) | Toutes les entreprises qui utilisent l'IA |
| 2 août 2025 | Règles pour les modèles GPAI : documentation technique, politique sur les droits d'auteur, résumé des données d'entraînement | Fournisseurs de modèles fondamentaux (OpenAI, Mistral, etc.) |
| 2 août 2026 | Transparence envers les utilisateurs (art. 50), supervision du marché AESIA, obligations des déployeurs GPAI | Toute entreprise déployant des chatbots, générateurs de contenu, deepfakes ou systèmes d'interaction directe avec des personnes |
| 2 déc. 2027 (avant août 2026, reporté par le Digital Omnibus) | Systèmes à haut risque Annexe III : documentation technique complète, gestion des risques, supervision humaine, évaluation de conformité | Entreprises utilisant l'IA dans les RH, le crédit, les assurances, l'éducation, les infrastructures critiques, les services publics |
| 2 août 2027 | Modèles GPAI en service avant août 2025 : doivent se conformer au règlement | Fournisseurs de modèles fondamentaux legacy |
Conclusion pratique : si votre entreprise utilise l'IA sans la développer, et ne relève pas des secteurs à haut risque de l'Annexe III, votre obligation critique pour août 2026 se concentre sur la transparence, la culture IA et la gestion des fournisseurs GPAI. Cela dit, la plupart des PME ont au moins un ou deux points à régler avant cette date.
Ce que l'AI Act interdit depuis février 2025 (déjà en vigueur)
Avant d'examiner août 2026, rappelez-vous que ces pratiques sont interdites depuis le 2 février 2025 et que l'AESIA peut agir dès maintenant :
- Manipulation subliminale ou techniques subliminales pour influencer les décisions des personnes à leur insu.
- Exploitation des vulnérabilités de groupes spécifiques (mineurs, personnes handicapées, personnes en situation de précarité économique) pour déformer leur comportement.
- Systèmes de notation sociale généralisés par des acteurs publics ou privés évaluant la «fiabilité» de personnes dans de multiples contextes non liés.
- Catégorisation biométrique pour inférer la race, l'opinion politique, les croyances religieuses ou philosophiques, l'orientation sexuelle ou l'appartenance syndicale.
- Identification biométrique à distance en temps réel dans les espaces publics par les forces de l'ordre, sauf dans des cas très strictement définis.
- Scraping massif d'images faciales depuis Internet ou des caméras pour constituer des bases de données de reconnaissance faciale.
- Inférence d'émotions dans des environnements professionnels ou éducatifs.
Si l'un de vos fournisseurs technologiques utilise l'une de ces techniques, c'est vous —en tant que déployeur— qui assumez une partie de la responsabilité. Révisez vos contrats.
Le checklist technique pour août 2026
Ce qui suit est un checklist ordonné du plus urgent au moins urgent pour une PME espagnole type qui utilise des outils d'IA tiers (copilots, chatbots, générateurs de texte/image, assistants RH). Si vous développez votre propre modèle, les exigences sont plus élevées : contactez notre équipe de conformité technique à l'AI Act pour une feuille de route personnalisée.
1. Inventaire des systèmes d'IA (vous devriez déjà l'avoir)
Sans inventaire, vous ne pouvez pas classifier, et sans classification, vous ne pouvez pas vous conformer. Pour chaque outil d'IA que votre entreprise utilise, documentez :
- Nom du système et fournisseur (y compris le modèle GPAI sous-jacent si vous le connaissez).
- Fonction exercée : interagit-il directement avec des clients ou des employés ? Prend-il ou soutient-il des décisions qui affectent des personnes ?
- Catégorie de risque provisoire : inacceptable / haut risque / risque limité / risque minimal.
- Données traitées : personnelles ? De catégorie spéciale (santé, ethnie, idéologie) ?
2. Programme de culture IA (art. 4 — obligatoire depuis févr. 2025)
L'article 4 exige que les fournisseurs et déployeurs d'IA garantissent un niveau suffisant de culture IA pour tout le personnel qui conçoit, exploite ou supervise des systèmes d'IA. Ce n'est pas une formation à la mode, c'est une obligation légale. Le programme doit être proportionnel au niveau d'exposition de chaque personne et rester documenté. En pratique, pour une PME de 20 à 50 personnes, cela se traduit généralement par :
- Une formation de base de 2 à 4 heures pour l'ensemble du personnel sur ce qu'est l'IA, quels risques elle présente et ce qui est interdit.
- Une formation spécifique de 8 à 16 heures pour les rôles qui utilisent l'IA dans des processus critiques (sélection du personnel, service client, analyse de crédit, etc.).
- Un registre signé de présence et de validation, avec date.
3. Transparence envers les utilisateurs finaux (art. 50 — 2 août 2026)
C'est le point que la plupart des entreprises ont encore en suspens. À partir du 2 août 2026, si votre entreprise utilise un système d'IA qui interagit directement avec des personnes, vous êtes tenu de les en informer. Les situations les plus courantes pour les PME sont :
- Chatbot de service client : l'utilisateur doit savoir qu'il parle à une IA, dès le premier contact, de manière claire. Une mention dans les conditions générales ne suffit pas.
- Assistant vocal automatisé : idem que le chatbot, adapté au canal vocal.
- Génération d'images, de vidéos ou d'audio synthétique : le contenu doit être étiqueté comme généré par l'IA. Si vous publiez des vidéos générées, vous avez besoin d'un système de marquage technique ou visuel explicite.
- Deepfakes à des fins légitimes (art, satire) : doivent être étiquetés de la même façon, sauf si cela est évident d'après le contexte.
La sanction pour non-conformité à l'article 50 peut atteindre 7,5 millions d'euros ou 1 % du chiffre d'affaires annuel mondial, le montant le plus élevé des deux étant retenu (article 99, paragraphe 4, du Règlement).
4. Révision des contrats avec les fournisseurs de modèles GPAI
Si vous utilisez des outils basés sur des modèles à usage général —ChatGPT, Claude, Gemini, Copilot, Mistral, LLaMA et tout dérivé— vous êtes un déployeur GPAI. L'AI Act établit que les fournisseurs de ces modèles doivent vous remettre :
- Une documentation technique suffisante pour que vous puissiez remplir vos obligations en tant que déployeur.
- Des informations sur les capacités, les limites et les usages prévus du modèle.
- Un résumé des données d'entraînement (à un niveau agrégé, non des données brutes).
Vérifiez que vos contrats actuels avec ces fournisseurs incluent ces garanties ou que les fournisseurs les ont publiées publiquement sur leurs pages de conformité. S'il y a des lacunes, documentez la tentative d'obtenir l'information : cela démontre la diligence raisonnable.
5. Politique interne d'utilisation de l'IA
De nombreuses PME utilisent l'IA sans aucun document interne régissant comment, par qui et à quelle fin. C'est un risque juridique et opérationnel. Une politique d'utilisation de l'IA n'a pas besoin d'être un document de 50 pages : 3 à 5 pages couvrant les points suivants suffisent pour une PME :
- Quels outils d'IA sont autorisés et pour quelles fonctions.
- Quels types de données ne peuvent pas être introduits dans des systèmes d'IA externes (données personnelles sensibles, secrets commerciaux, contrats confidentiels).
- Qui est responsable en interne de superviser l'utilisation de l'IA et d'escalader les incidents.
- Procédure de communication transparente aux clients lorsque l'IA intervient dans leur relation avec l'entreprise.
- Règles concernant la révision humaine des décisions ayant un impact significatif sur des personnes.
6. Évaluation des risques pour le 2 décembre 2027
Bien que le délai ait été prolongé, il est conseillé de commencer dès maintenant. Le Digital Omnibus a reporté les obligations des systèmes à haut risque de l'Annexe III, mais ne les a pas supprimées. Si votre entreprise utilise l'IA dans l'un de ces domaines, vous devrez satisfaire à des exigences beaucoup plus strictes avant décembre 2027 :
- Processus de sélection, de gestion ou d'évaluation des performances des travailleurs.
- Approbation ou refus de crédits, d'assurances ou de produits financiers.
- Admission, évaluation ou classification d'étudiants dans des établissements d'enseignement.
- Priorisation des services d'urgence ou gestion d'infrastructures critiques.
- Prise de décisions dans des procédures migratoires ou d'asile.
- Évaluations dans le domaine de la justice ou de l'administration judiciaire.
Pour ces cas, la feuille de route technique est significativement plus complexe et comprend un système formel de gestion des risques, une gouvernance des données, des journaux d'événements, une supervision humaine structurée et, dans certains cas, une évaluation de conformité par un tiers notifié. Notre équipe de conformité technique AI Act pour PME peut vous aider à déterminer exactement dans quelle catégorie tombe chaque système et quelle documentation vous avez besoin.
Tableau récapitulatif : obligations d'août 2026 par profil d'entreprise
| Profil d'entreprise | Obligation clé avant août 2026 | Effort estimé |
|---|---|---|
| PME utilisant un chatbot de service client | Avertissement d'interaction avec l'IA au premier contact (art. 50) | Faible (1 à 2 jours de mise en œuvre) |
| Entreprise publiant du contenu généré par l'IA | Étiquetage visible du contenu synthétique (art. 50) | Faible à moyen (nécessite une révision des processus de publication) |
| Toute entreprise dont les employés utilisent l'IA | Programme de culture IA documenté (art. 4) | Moyen (formation + registres) |
| Entreprise utilisant des outils GPAI (Copilot, ChatGPT, etc.) | Révision contractuelle avec les fournisseurs + inventaire | Moyen (2 à 5 jours d'audit) |
| Entreprise avec IA dans la sélection du personnel, le crédit ou l'éducation | Évaluation du haut risque + feuille de route jusqu'en déc. 2027 | Élevé (projet de 3 à 9 mois) |
Le rôle de l'AESIA et le cadre des sanctions en Espagne
L'Agence espagnole de supervision de l'intelligence artificielle (AESIA), dont le siège est à La Corogne et qui a été créée par le Décret royal 729/2023, est l'autorité nationale de contrôle de l'AI Act en Espagne. À partir du 2 août 2026, elle assume pleinement ses fonctions de supervision du marché et peut ouvrir des procédures de sanction. Les amendes de l'AI Act comportent trois niveaux :
- Infractions mineures (non-respect des obligations de transparence ou de documentation) : jusqu'à 7,5 millions d'euros ou 1 % du chiffre d'affaires annuel mondial.
- Infractions graves (systèmes à haut risque non conformes) : jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial.
- Infractions très graves (pratiques interdites par l'article 5) : jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial.
Pour les microentreprises et les PME, l'AI Act prévoit des amendes réduites et un accès prioritaire aux bacs à sable réglementaires, mais pas d'exemption totale. La diligence documentée —même lorsque la conformité totale n'a pas été atteinte— est un facteur atténuant explicitement reconnu dans le règlement.
Quel rapport entre la norme ISO 42001 et l'AI Act
De nombreuses entreprises se demandent si la certification ISO 42001 (le système de management de l'IA publié en 2023) leur permet de se conformer à l'AI Act. La réponse courte est : ce n'est pas équivalent, mais cela aide. La norme ISO 42001 est un cadre volontaire qui structure la gouvernance de l'IA au sein de l'organisation ; l'AI Act est une réglementation ayant force de loi. Cependant, mettre en œuvre la norme ISO 42001 génère une grande partie de la documentation exigée par l'AI Act (politique IA, évaluation d'impact, registres d'incidents, revue de direction), ce qui accélère le processus de conformité réglementaire. Si votre entreprise dispose ou prévoit d'obtenir la norme ISO 42001, l'équipe Summum Calidad peut vous aider à cartographier quels contrôles couvrent les exigences de l'AI Act et où se situent les lacunes.
Questions fréquentes
L'AI Act m'oblige-t-il même si j'utilise uniquement l'IA de tiers (sans la développer moi-même) ?
Oui. L'AI Act distingue entre les fournisseurs (ceux qui développent ou mettent le système sur le marché) et les déployeurs (ceux qui utilisent le système dans un contexte professionnel). Si vous utilisez un chatbot, un copilot ou tout outil d'IA dans votre activité professionnelle, vous êtes un déployeur avec vos propres obligations : garantir la culture IA de votre équipe, informer les utilisateurs lorsqu'ils interagissent avec l'IA, et ne pas utiliser l'outil à des fins interdites. La responsabilité ne repose pas uniquement sur le fournisseur technologique.
Le Digital Omnibus a reporté le haut risque : puis-je attendre jusqu'en 2027 pour agir ?
Non. Le report du Digital Omnibus concerne exclusivement les systèmes à haut risque de l'Annexe III. Les obligations relatives aux pratiques interdites (déjà en vigueur depuis février 2025), à la culture IA (février 2025), aux modèles GPAI (août 2025) et à la transparence (août 2026) n'ont pas changé. Attendre jusqu'en 2027 sans agir sur ces fronts est une décision qui comporte un risque réglementaire significatif.
Combien de temps faut-il pour se préparer à août 2026 ?
Pour une PME qui n'est pas à haut risque, le processus de conformité de base pour août 2026 prend généralement entre 4 et 10 semaines : inventaire des systèmes (1 à 2 semaines), révision contractuelle (1 à 2 semaines), conception et mise en œuvre du programme de culture IA (2 à 4 semaines) et ajustement des avis de transparence sur les canaux numériques (1 à 2 semaines). Beaucoup de ces étapes peuvent se chevaucher. Chez Summum, nous avons accompagné ce processus auprès d'entreprises de différents secteurs et disposons d'une méthodologie éprouvée pour raccourcir les délais sans laisser de lacunes.
Que se passe-t-il si mon fournisseur d'IA ne me fournit pas la documentation technique requise par l'AI Act ?
Documentez la tentative. Envoyez une demande formelle écrite au fournisseur en demandant les informations requises par l'article 13 (systèmes à haut risque) ou les articles correspondants aux GPAI. Si le fournisseur ne répond pas ou ne fournit pas la documentation, vous avez deux options : trouver un fournisseur alternatif conforme, ou évaluer si le risque de continuer avec ce fournisseur est acceptable. L'AESIA peut exiger cette documentation lors d'une inspection ; ne pas l'avoir à cause du fournisseur peut être un facteur atténuant, mais documenter votre diligence raisonnable est indispensable.