AI Act août 2026 : les 5 questions urgentes à poser à votre DPO avant l'échéance
L'EU AI Act impose aux PME françaises de nouvelles obligations dès août 2026, notamment pour les systèmes d'IA à haut risque comme les outils de recrutement ou de scoring crédit. Le DPO devient le pivot central de cette conformité à l'intersection du RGPD et du droit de l'IA.
L'EU AI Act impose dès août 2026 de nouvelles obligations aux entreprises utilisant des outils d'IA, y compris les PME. Ce tournant réglementaire place le Délégué à la Protection des Données (DPO) au cœur d'un dispositif de conformité inédit, à l'intersection du RGPD et du droit de l'IA. Mais la plupart des dirigeants de PME françaises n'ont pas encore pris la mesure de ce qui les attend dans moins de quatre mois.
Dans cet article, nous décortiquons les cinq questions que tout dirigeant de PME devrait poser à son DPO avant l'échéance d'août 2026 — et les réponses juridiques précises qui s'imposent. Que vous utilisiez un outil de recrutement algorithmique, un chatbot de relation client ou un logiciel de scoring financier, vous êtes potentiellement concerné. Voici ce que vous devez savoir.
Contexte juridique
L'AI Act européen, entré en vigueur en août 2024, déploie ses obligations par vagues — août 2026 marque une échéance critique pour les systèmes à risque limité et élevé.
Le Règlement (UE) 2024/1689 — communément appelé EU AI Act — a été publié au Journal officiel de l'Union européenne le 12 juillet 2024 et est entré en vigueur le 1er août 2024. Il s'applique selon un calendrier échelonné :
- Février 2025 : interdiction des pratiques d'IA inacceptables (manipulation, notation sociale, etc.)
- Août 2026 : obligations pour les systèmes d'IA à haut risque (Annexe III) et les systèmes à risque limité
- Août 2027 : dispositions relatives aux modèles d'IA à usage général (GPAI)
Pour les PME françaises, l'échéance d'août 2026 est la plus immédiate et la plus concrète. Elle concerne notamment les outils d'IA utilisés dans les ressources humaines, la relation client, le crédit, l'éducation ou la sécurité. Or, selon une étude du CIGREF publiée en janvier 2026, 67 % des PME françaises ayant adopté des outils d'IA n'ont pas encore réalisé de cartographie de leurs systèmes au regard de l'AI Act.
Le cadre se superpose au RGPD (Règlement UE 2016/679), créant une zone de chevauchement complexe que le DPO est souvent seul à pouvoir naviguer.
Analyse approfondie
Le DPO, initialement gardien des données personnelles, devient de facto le premier interlocuteur de la conformité IA dans les PME.
Question 1 — Mon outil d'IA est-il "à haut risque" au sens de l'AI Act ?
L'Article 6 de l'AI Act définit les systèmes à haut risque par renvoi à l'Annexe III. Sont notamment concernés :
- Les systèmes d'IA utilisés pour le recrutement ou la sélection de candidats (Annexe III, point 4a)
- Les outils d'évaluation des solvabilités ou de scoring crédit (point 5b)
- Les systèmes utilisés dans l'administration de la justice (point 8)
- Les outils de gestion des infrastructures critiques (point 2)
Un logiciel de tri de CV basé sur l'IA — très répandu dans les PME de plus de 50 salariés — tombe directement dans cette catégorie. La question n'est pas théorique : elle conditionne l'ensemble des obligations à respecter avant août 2026.
Question 2 — Quelles obligations concrètes pèsent sur nous en tant que déployeur ?
L'AI Act distingue les fournisseurs (qui développent le système) des déployeurs (qui l'utilisent dans un contexte professionnel). La majorité des PME sont des déployeurs, soumis aux obligations de l'Article 26 :
- Vérifier que le système est conforme avant déploiement
- Mettre en place une surveillance humaine effective
- Informer les personnes concernées de l'utilisation d'un système d'IA
- Tenir un registre des logs d'activité (durée à définir selon le risque)
- Désigner un interlocuteur interne de la conformité IA
C'est sur ce dernier point que le DPO se retrouve naturellement en première ligne.
Question 3 — Le RGPD et l'AI Act se cumulent-ils ?
Oui, et c'est là que la complexité explose. Voici un tableau comparatif des obligations qui se chevauchent :
| Obligation | RGPD | AI Act |
|---|---|---|
| Information des personnes | Art. 13-14 | Art. 26 §6 |
| Analyse de risque | AIPD (Art. 35) | Évaluation conformité (Art. 9) |
| Registre interne | Art. 30 | Logs obligatoires (Art. 12) |
| Droit à explication | Art. 22 | Art. 86 |
| Surveillance humaine | Non prévu | Art. 14 (haut risque) |
Le considérant 10 de l'AI Act précise explicitement que le règlement ne remet pas en cause le RGPD, mais s'y ajoute. En pratique, une Analyse d'Impact relative à la Protection des Données (AIPD) requise par l'article 35 RGPD devra désormais intégrer une dimension AI Act pour tout système d'IA traitant des données personnelles.
Question 4 — Quelles sanctions risquons-nous si nous ne sommes pas conformes ?
Les sanctions de l'AI Act sont calquées sur le modèle RGPD, mais les montants sont encore plus élevés :
| Infraction | Plafond (entreprise) | Référence |
|---|---|---|
| Pratique interdite (Art. 5) | 35 M€ ou 7 % CA mondial | Art. 99 §3 |
| Violation haut risque | 15 M€ ou 3 % CA mondial | Art. 99 §4 |
| Fausse déclaration | 7,5 M€ ou 1,5 % CA mondial | Art. 99 §5 |
Pour une PME réalisant 5 millions d'euros de chiffre d'affaires, une violation des règles relatives aux systèmes à haut risque pourrait théoriquement entraîner une amende de 150 000 euros. Une somme potentiellement fatale pour une structure de taille modeste. À noter que l'Article 99 §6 prévoit des plafonds réduits de moitié pour les PME et start-ups, ce qui constitue une atténuation bienvenue.
En France, c'est la CNIL qui a été désignée comme autorité nationale compétente pour l'AI Act par la loi du 22 mai 2025 relative à la gouvernance de l'intelligence artificielle — aux côtés de l'Autorité de sûreté nucléaire pour certains secteurs critiques.
Question 5 — Le DPO est-il compétent pour gérer la conformité AI Act ?
Juridiquement, le DPO n'est pas explicitement mentionné dans l'AI Act comme responsable de la conformité IA. Cependant, l'Article 26 §8 impose aux déployeurs de systèmes à haut risque de désigner un interlocuteur interne sans en préciser la nature. En pratique, selon le rapport de l'AFCDP (Association Française des Correspondants à la Protection des Données) de février 2026, 78 % des DPO français interrogés déclarent avoir déjà été sollicités par leur direction sur des questions liées à l'AI Act.
La compétence du DPO est naturelle pour les volets données personnelles mais insuffisante sans formation complémentaire sur les spécificités techniques de l'AI Act (biais algorithmiques, traçabilité des modèles, documentation technique au sens de l'Annexe IV). Plusieurs PME créent désormais un binôme DPO + référent technique IA, ce qui constitue la bonne pratique émergente.
Implications pratiques
Pour les PME, août 2026 impose un audit immédiat de tous les outils IA utilisés — l'inaction est désormais un risque juridique chiffrable.
Du point de vue du dirigeant de PME
Le dirigeant doit comprendre que la responsabilité de conformité lui incombe en tant que déployeur, même s'il achète une solution "clé en main" auprès d'un fournisseur SaaS. Un contrat avec un éditeur de logiciel IA devra désormais comporter des clauses de conformité AI Act aux côtés des clauses DPA (Data Processing Agreement) du RGPD.
La checklist minimale avant août 2026 comprend : - Cartographie des systèmes d'IA utilisés (internes et SaaS) - Classification du niveau de risque de chaque système - Révision des contrats fournisseurs pour y intégrer les obligations AI Act - Mise à jour du registre RGPD pour y refléter les traitements IA - Formation du DPO aux spécificités de l'AI Act
Du point de vue du DPO
Le DPO se retrouve dans une position ambivalente. D'un côté, sa légitimité est renforcée : il devient l'interlocuteur naturel de la conformité IA. De l'autre, son périmètre de responsabilité s'étend sans que ses ressources ou sa rémunération évoluent nécessairement. La question de la surcharge du DPO dans les PME est réelle : selon le baromètre AFCDP 2025, les DPO de PME gèrent en moyenne 3,2 missions en parallèle à leur fonction de délégué.
La solution passe par une priorisation claire : concentrer l'effort sur les systèmes d'IA à haut risque identifiés à l'Annexe III, et traiter les systèmes à risque limité avec des mesures de transparence légères (information des utilisateurs, mise à jour de la politique de confidentialité).
Points clés à retenir
- L'AI Act s'applique aux déployeurs, c'est-à-dire aux PME qui utilisent des outils d'IA, pas seulement à ceux qui les développent — l'article 26 est votre référence principale.
- Août 2026 est l'échéance critique pour les systèmes à haut risque (recrutement, scoring, infrastructures) et les systèmes à risque limité, avec des sanctions pouvant atteindre 3 % du chiffre d'affaires mondial.
- Le DPO n'est pas désigné explicitement par l'AI Act, mais devient de facto le pivot de la conformité IA dans les PME, à condition d'être formé aux spécificités du règlement.
- RGPD et AI Act se cumulent sans se substituer : une AIPD doit désormais intégrer une évaluation de conformité AI Act pour tout traitement IA impliquant des données personnelles.
- Les PME bénéficient d'un plafond de sanctions réduit de moitié (article 99 §6), mais ce n'est pas une raison d'attendre — la CNIL dispose de pouvoirs d'enquête et d'injonction indépendants de l'amende finale.
- La cartographie des outils IA est le premier chantier prioritaire : sans elle, aucune évaluation du niveau de risque n'est possible.
- Les contrats avec les éditeurs SaaS doivent être révisés pour inclure des clauses AI Act — vérifiez si votre fournisseur vous fournit la documentation technique requise par l'Annexe IV.
Questions fréquentes
Ma PME utilise ChatGPT pour rédiger des emails — suis-je concerné par l'AI Act ?
L'utilisation de ChatGPT pour des tâches de rédaction générale relève d'un système d'IA à risque minimal, non soumis aux obligations lourdes de l'AI Act. Cependant, si cet usage implique le traitement de données personnelles de clients ou salariés, les obligations RGPD s'appliquent pleinement. Vérifiez les conditions d'utilisation de votre outil et assurez-vous qu'aucune donnée personnelle sensible n'est transmise sans base juridique adéquate.
Le DPO peut-il refuser de gérer la conformité AI Act si ce n'est pas dans sa fiche de poste ?
Juridiquement, la mission du DPO est définie par l'Article 39 du RGPD et ne couvre pas explicitement l'AI Act. Le DPO peut légitimement signaler un dépassement de périmètre à sa direction. En pratique, il est fortement conseillé de formaliser une lettre de mission complémentaire ou de créer un poste de "Responsable conformité IA" distinct, afin d'éviter toute ambiguïté sur les responsabilités.
Quel est le délai pour mettre en conformité un système d'IA à haut risque déjà déployé ?
L'AI Act prévoit dans son Article 111 des dispositions transitoires : les systèmes à haut risque déjà déployés avant août 2026 disposent en principe d'un délai supplémentaire de 36 mois pour se mettre en conformité, soit jusqu'en août 2027 pour certaines catégories. Toutefois, ce délai ne couvre pas les nouvelles mises à jour substantielles du système — vérifiez avec votre fournisseur si les mises à jour récentes constituent une "modification substantielle" au sens de l'Article 83.
L'AI Act s'applique-t-il à une PME française qui utilise un outil IA développé aux États-Unis ?
Oui, de manière extraterritoriale. L'Article 2 de l'AI Act précise qu'il s'applique à tout déployeur établi dans l'Union européenne, quelle que soit la nationalité du fournisseur du système. Si vous utilisez un outil américain pour traiter des données de vos salariés français, vous êtes soumis à l'AI Act en tant que déployeur. C'est vous qui devez vérifier la conformité du système, idéalement via les clauses contractuelles avec l'éditeur.
Faut-il informer les salariés que l'entreprise utilise un outil d'IA pour les évaluer ?
Oui, et c'est une double obligation. L'Article 22 du RGPD encadre les décisions automatisées ayant un effet significatif sur les personnes, avec un droit à l'information et à l'explication. L'Article 26 §6 de l'AI Act impose aux déployeurs d'informer les personnes exposées à un système d'IA à haut risque. Pour les salariés soumis à un outil d'évaluation algorithmique, cette information doit être ajoutée au règlement intérieur et/ou à la notice d'information RGPD.
Quelle est la différence entre une AIPD et l'évaluation de conformité AI Act ?
L'Analyse d'Impact relative à la Protection des Données (AIPD), requise par l'article 35 RGPD, se concentre sur les risques pour les droits des personnes liés au traitement de données personnelles. L'évaluation de conformité AI Act (Articles 43 et suivants) analyse la fiabilité, la robustesse, la transparence et la surveillance humaine du système d'IA, indépendamment des données. Les deux démarches sont complémentaires et doivent être conduites simultanément pour tout système d'IA à haut risque traitant des données personnelles.
Existe-t-il des aides ou ressources pour aider les PME à se conformer avant août 2026 ?
La CNIL a publié en janvier 2026 un guide pratique "IA et données personnelles" téléchargeable gratuitement, accompagné d'une grille d'auto-évaluation. L'ANSSI propose des recommandations sur la sécurité des systèmes d'IA. Au niveau européen, l'AI Office (créé par l'AI Act) met à disposition des modèles de documentation technique. Plusieurs CCI régionales ont également lancé des ateliers de sensibilisation à l'AI Act pour les PME au premier semestre 2026.
Article rédigé par Jeremy Couchet, publié le 25 avril 2026. Cet article est fourni à titre informatif et ne constitue pas un conseil juridique. Pour toute situation spécifique, consultez un professionnel du droit qualifié.
Questions fréquentes
- Qu'est-ce que l'EU AI Act et quand s'applique-t-il aux PME ?
- L'EU AI Act (Règlement UE 2024/1689) est entré en vigueur le 1er août 2024. L'échéance critique pour les PME est août 2026, date à laquelle les obligations relatives aux systèmes d'IA à haut risque et à risque limité deviennent obligatoires.
- Comment savoir si mon outil d'IA est classé à haut risque selon l'AI Act ?
- Un système d'IA est à haut risque s'il figure à l'Annexe III de l'AI Act. Cela inclut les outils de recrutement algorithmique, les logiciels de scoring crédit, les systèmes de gestion d'infrastructures critiques ou ceux utilisés dans la justice.
- Quelles sont les obligations d'une PME déployeuse d'IA selon l'AI Act ?
- En tant que déployeur, une PME doit vérifier la conformité du système avant usage, assurer une surveillance humaine effective, informer les personnes concernées, tenir un registre des logs d'activité et désigner un interlocuteur interne de conformité IA.
- Le RGPD et l'AI Act s'appliquent-ils simultanément ?
- Oui, les deux règlements se cumulent et créent des zones de chevauchement complexes, notamment sur les obligations d'information, de transparence et de gouvernance des données. Le DPO est souvent le seul profil capable de gérer cette double conformité.
- Le DPO est-il obligatoire pour gérer la conformité à l'AI Act dans une PME ?
- L'AI Act n'impose pas formellement un DPO, mais désigne l'obligation d'un interlocuteur interne de conformité IA. Dans les PME déjà dotées d'un DPO au titre du RGPD, ce rôle lui revient naturellement compte tenu de ses compétences transversales.
Sources
- Microsoft – AI, Cloud, Productivity, Computing, Gaming & Apps
- Office 365 login
- Microsoft account | Sign In or Create Your Account Today – Microsoft
- Microsoft Targets About 7% of Its U.S. Workers With Buyout Offer
- Microsoft’s First-Ever Employee Buyout: Here’s What They Could Get
- Free Porn teen age 18 (18+) Sex Videos - Sex3 HD Porn Tube
- Adult film models that look younger than they are - YouTube
- 10 Best 18-Year-Old OnlyFans Models in 2026
- Best Teen/Young Adult Movies - IMDb
- busty babes college teen documentary Porn Videos & Fre…
- O que é Query: Entenda de Forma Simples e Completa
- Entendendo o que é uma Query e como utilizá-la - Cubos Academy
- Query em SQL: o que é, como usar e principais comandos
- Query em bancos de dados: guia rápido e prático - Hostinger
- QUERY | tradução de inglês para português - Cambridge Dictionary