Qu'est-ce qu'un système IA à risque élevé sous l'AI Act ?

Les systèmes IA classifiés risque élevé incluent : les systèmes d'IA utilisés dans les infrastructures critiques, l'éducation et formation professionnelle, l'emploi et gestion des travailleurs, l'accès aux services essentiels (crédit, assurance), les actions répressives, l'administration de la justice. Les agents IA B2B de service client standard sont généralement risque limité, pas élevé.

AI Act PME 2026 : niveaux de risque, checklist et coûts

Q: Quand l'AI Act entre-t-il en vigueur pour les PME ?

L'AI Act est entré en vigueur le 1er août 2024. Le calendrier d'application est progressif : pratiques interdites (février 2025), GPAI et modèles à usage général (août 2025), systèmes à risque élevé - infrastructure critique (août 2026), autres systèmes à risque élevé (août 2027).

AI Act Conformité PME 2026 — 4 niveaux de risque checklist coûts — Geniuspace — AI Act 2026 pour les PME : niveaux de risque, checklist et coûts de conformité — © Geniuspace / Guillaume Deplanque

🎯 L'essentiel : L'AI Act européen (Règlement UE 2024/1689) est entré en vigueur progressivement depuis août 2024. En 2026, les obligations principales s'appliquent. Pour 90 % des PME qui utilisent des outils IA standards (ChatGPT, Copilot, agents de service client), l'AI Act exige principalement de la transparence et quelques mesures organisationnelles légères. Seules les entreprises déployant des IA qui impactent directement des personnes physiques (RH, crédit, scoring) entrent dans la catégorie risque élevé avec des obligations lourdes.

📋 Sommaire

Calendrier d'application AI Act — ce qui est en vigueur en 2026
Les 4 niveaux de risque et votre classification
Ce que l'AI Act change concrètement pour une PME
Systèmes à risque élevé : obligations détaillées
Risque limité : obligations de transparence
Checklist de conformité AI Act PME
Coûts de mise en conformité : budget par niveau de risque
Sanctions : les montants réels
Ce que l'AI Act change pour les agents IA agentiques
FAQ

Avant d’aller plus loin sur ce sujet

Cette page répond à une question précise. Pour garder une lecture vraiment utile, voici le guide de fond associé et deux compléments qui évitent de perdre du temps sur des articles trop éloignés de votre besoin.

Guide de fond Gouvernance Agentic AI 2026 : cadre, risques et AI Act Cadre de gouvernance Agentic AI : 7 piliers, risques, AI Act, monitoring, kill switch et contrôle humain pour déployer une IA B2B fiable. Guide de référence Comparatif SLM 2026 : choisir son modèle local Quel small language model choisir en 2026 ? Comparatif SLM local : cas d’usage, coûts, performances, sécurité, edge et déploiement.

Le fil conducteur à garder en tête :

commencer par la page qui clarifie le cadre général
ouvrir ensuite un article plus ciblé sur l’outil, le canal, le KPI ou la décision qui vous bloque
terminer par une ressource pratique pour transformer la lecture en plan d’action

1. Calendrier d'Application AI Act — Ce qui Est en Vigueur en 2026

Date	Ce qui entre en vigueur	Impact PME
1 août 2024	Entrée en vigueur du règlement	Prise de connaissance obligatoire
2 février 2025	Interdiction des pratiques IA inacceptables	Vérifier qu'aucun outil ne manipule les comportements humains, note sociale cachée, etc.
2 août 2025	Obligations sur les modèles IA à usage général (GPAI)	Vos fournisseurs LLM (OpenAI, Anthropic) doivent se conformer — vous bénéficiez indirectement
2 août 2026 ⬅ Aujourd'hui	Systèmes IA à risque élevé dans infrastructure critique + obligations de transparence	Agent IA de service client : obligation de déclaration "vous parlez à une IA"
2 août 2027	Tous les systèmes IA à risque élevé (RH, crédit, recrutement)	Conformité complète pour les agents IA RH et financiers
2 août 2030	Systèmes IA existants (déployés avant août 2026)	Deadline finale pour la mise en conformité des systèmes legacy

2. Les 4 Niveaux de Risque AI Act et Votre Classification

🔴 Risque Inacceptable — INTERDIT

Pratiques totalement prohibées depuis février 2025. Si vous utilisez l'un de ces systèmes, arrêtez immédiatement :

IA de manipulation comportementale à l'insu des personnes (publicité subliminale, dark patterns IA)
Systèmes de notation sociale (social scoring) généralisée
Reconnaissance faciale en temps réel dans les espaces publics (sauf exceptions sécurité nationale)
IA qui exploite les vulnérabilités de personnes (enfants, personnes âgées, handicap)
Catégorisation biométrique inférant race, religion, orientation sexuelle

🟠 Risque Élevé — Obligations Lourdes

Ces systèmes sont autorisés mais soumis à des obligations de conformité importantes. En vigueur pour la plupart en août 2027 :

IA de recrutement et gestion RH (tri de CV, évaluation des employés)
IA d'accès au crédit, assurance, services bancaires
IA utilisées dans l'éducation (scoring d'élèves, accès à l'enseignement)
IA pour l'administration de la justice ou processus démocratiques
IA dans les infrastructures critiques (eau, énergie, transport)

🟡 Risque Limité — Transparence Obligatoire

La majorité des agents IA B2B : service client, assistants commerciaux, chatbots. Obligation principale : informer l'utilisateur qu'il interagit avec une IA. En vigueur depuis août 2026.

Chatbots et agents conversationnels
Outils de génération de texte (deepfakes inclus)
Systèmes de recommandation de contenu

🟢 Risque Minimal — Aucune Obligation Spécifique

La grande majorité des outils IA : filtres anti-spam, moteurs de recommandation de produits, assistants de traduction, outils de code assistance. Aucune obligation AI Act spécifique — mais les bonnes pratiques de gouvernance restent recommandées.

3. Ce que l'AI Act Change Concrètement pour une PME

Voici une grille pratique selon votre usage de l'IA en 2026 :

Usage IA dans votre PME	Niveau de risque	Obligations en 2026	Effort estimé
ChatGPT/Claude pour usage interne (rédaction, analyse)	Minimal	Aucune	0 €
Copilot Microsoft dans Teams/Outlook	Minimal	Aucune (Microsoft assume)	0 €
Chatbot de service client sur votre site	Limité	Mentionner "vous interagissez avec une IA"	1-3 jours
Agent IA qui qualifie vos leads B2B	Limité	Transparence + politique de gouvernance simple	5-10 jours
IA de scoring fournisseur ou crédit client	Élevé (potentiel)	Documentation, audit, superviseur humain	2-4 mois
IA de tri de candidatures RH	Élevé	Toutes obligations risque élevé (à partir août 2027)	3-6 mois

4. Systèmes à Risque Élevé : Les 7 Obligations

Si votre système IA est classifié risque élevé, vous devez respecter les 7 obligations suivantes avant la mise en service (ou avant août 2027 pour les systèmes existants) :

Système de gestion des risques documenté — Processus itératif d'identification et réduction des risques, revu régulièrement.
Gouvernance des données d'entraînement — Si vous développez ou fine-tunez un modèle, les données doivent être pertinentes, représentatives et exemptes d'erreurs significatives.
Documentation technique — Registre de conformité décrivant le système, ses capacités, ses limites, ses données, sa performance. Conservé pendant toute la durée de vie + 10 ans.
Journalisation automatique — Logs automatiques de toutes les opérations du système pendant sa durée de vie.
Transparence envers les utilisateurs — Les utilisateurs doivent recevoir des informations claires sur les capacités et les limites du système.
Superviseur humain — Mesures permettant à des personnes physiques de superviser, comprendre et intervenir sur le système. Droit à l'explication sur les décisions individuelles.
Exactitude, robustesse et cybersécurité — Niveaux appropriés d'exactitude et de résilience contre les tentatives de manipulation.

5. Risque Limité : Les Obligations de Transparence (Votre Cas en 2026)

Pour la majorité des agents IA B2B (service client, qualification de leads, assistants commerciaux), l'obligation principale en 2026 est la transparence. En pratique :

Obligation	Comment l'implémenter	Exemple concret
Informer qu'on interagit avec une IA	Message de bienvenue explicite, badge ou mention visible	"Bonjour, je suis l'assistant virtuel de Geniuspace. Comment puis-je vous aider ?"
Ne pas faire passer une IA pour un humain	Pas de prénom humain sans mention "assistant IA"	"Je suis Alex, votre assistant IA Geniuspace" — pas juste "Alex"
Deepfakes : identification obligatoire	Si vous générez des vidéos/audios synthétiques, les marquer comme IA-générés	Watermark ou mention "généré par IA" sur tout contenu synthétique publié
Politique d'utilisation de l'IA	Documenter comment vous utilisez l'IA dans vos processus	Page /politique-ia sur votre site, mise à jour annuelle

6. Checklist de Conformité AI Act PME 2026

#	Action	Applicable si	Urgence	Statut
1	Inventaire de tous les outils IA utilisés dans l'entreprise	Toutes PME	🔴 Immédiat	⬜
2	Classifier chaque outil selon les 4 niveaux de risque	Toutes PME	🔴 Immédiat	⬜
3	Vérifier l'absence de pratiques IA interdites	Toutes PME	🔴 Immédiat	⬜
4	Ajouter mention "IA" sur tous vos chatbots/agents publics	Risque limité +	🟠 Août 2026	⬜
5	Signer un DPA avec vos fournisseurs IA (OpenAI, etc.)	Si données personnelles	🟠 Immédiat	⬜
6	Publier une politique d'utilisation de l'IA	Toutes PME	🟡 2026	⬜
7	Former les collaborateurs sur l'AI Act	Toutes PME	🟡 2026	⬜
8	Désigner un référent AI Act (peut être le DPO)	ETI+, PME >50 pers.	🟡 2026	⬜
9	Documentation technique complète pour systèmes risque élevé	Risque élevé uniquement	🔴 Août 2026/2027	⬜
10	Audit de biais annuel pour systèmes risque élevé	Risque élevé uniquement	🔴 Continu	⬜

7. Coûts de Mise en Conformité : Budget par Niveau de Risque

Niveau de risque	Actions requises	Coût estimé PME	Coût estimé ETI
Minimal	Inventaire outils IA, vérification pratiques interdites	0-500 € (temps interne)	500-2 000 €
Limité	Mentions IA, politique IA, DPA fournisseurs, formation équipe	2 000-8 000 €	8 000-20 000 €
Élevé	Documentation technique, audit de biais, superviseur humain, logs, évaluation de conformité	20 000-50 000 €	50 000-150 000 €
Élevé + audit externe	Idem + audit tiers obligatoire pour certains secteurs (finance, santé)	50 000-100 000 €	100 000-300 000 €

Décomposition du Budget de Conformité Risque Limité pour une PME (2 000-8 000 €)

Inventaire et classification des outils IA (0-500 € de conseil externe ou temps interne)
Mise à jour des mentions légales et CGU (500-1 500 € avocat ou LegalTech)
Rédaction de la politique d'utilisation de l'IA (500-1 000 € rédaction + publication)
Formation de l'équipe dirigeante et DPO à l'AI Act (500-2 000 €)
Signature des DPA avec fournisseurs IA (temps juridique interne ou 500-1 500 € externe)
Audit interne initial (temps interne ou 1 000-2 000 € consultant)

8. Sanctions : Les Montants Réels

⚠️ Les amendes AI Act sont parmi les plus élevées du droit numérique européen — supérieures au RGPD sur certaines catégories.

Type d'infraction	Amende maximale	Plafond PME
Pratiques IA interdites (Art. 5)	35 M€ ou 7 % CA mondial	7 % CA (le plus bas des deux)
Non-conformité système risque élevé (Art. 10-15)	15 M€ ou 3 % CA mondial	3 % CA
Informations incorrectes aux autorités	7,5 M€ ou 1,5 % CA	1,5 % CA
Violation obligations transparence (Art. 50)	Jusqu'à 15 M€ ou 3 % CA	3 % CA

Pour les microentreprises et PME, les amendes sont calculées sur le niveau le plus bas (montant fixe ou pourcentage). Une PME avec 5 M€ de CA qui utilise un chatbot sans mention "IA" s'expose théoriquement à 150 000 € d'amende (3 % de 5 M€). En pratique, les autorités de surveillance (autorités nationales de contrôle désignées) commencent par des avertissements et mises en demeure avant les amendes pour les premières infractions non intentionnelles.

9. Ce que l'AI Act Change pour les Agents IA Agentiques

Les agents IA autonomes qui exécutent des actions sans intervention humaine à chaque étape posent des questions spécifiques sous l'AI Act. Voici les points d'attention :

Caractéristique de l'agent	Impact AI Act	Action requise
Agent prend des décisions qui impactent des clients personnes physiques	Potentiellement risque élevé	Classifier précisément selon les annexes III et IV de l'AI Act
Agent génère du contenu publié (emails clients, offres)	Risque limité — transparence	Mention "généré par IA" ou disclosure dans les CGU
Agent accède à des données personnelles pour décider	RGPD + AI Act cumulatifs	DPA + base légale traitement + minimisation des données
Agent multi-LLM (chaîne d'agents)	Chaque LLM = potentiellement GPAI	Vérifier la conformité GPAI de chaque modèle utilisé
Agent fine-tuné sur vos données	Vous devenez "fournisseur" AI Act	Obligations fournisseur applicables selon la classification

🔒 Article connexe : Gouvernance Agentic AI 2026 — Cadre 7 Piliers Mettre en place une gouvernance concrète pour vos agents IA : monitoring, kill switch, audit trail. 📄 Article connexe : Clauses SLA Agents IA 2026 — Template B2B Intégrer les exigences AI Act dans vos contrats avec les fournisseurs de solutions IA.

Passer de la lecture à l’action

Votre plan d’action en 15 minutes

Servez-vous de cette page comme d’un support de travail, pas seulement comme d’une lecture. Cochez ce qui est déjà clair, notez ce qui manque encore et gardez un plan d’action simple.

Nommer le propriétaire métier du cas d’usage et le sponsor qui arbitre les priorités.
Lister les données, intégrations, risques et validations humaines qui ne doivent pas être improvisés.
Choisir un indicateur de succès visible dès le pilote : délai, coût, qualité, taux d’erreur ou adoption.

Pour transformer la lecture en décision

Quand un article devient vraiment utile, il vous aide à choisir la prochaine action. Ces pages complètent la lecture avec un angle plus opérationnel : cas terrain, checklist, cadrage ou accompagnement.

Ressource pratique Offre machine-readable B2B : rendre le catalogue lisible Rendre une offre B2B lisible par les agents IA : catalogue structuré, Product schema, API, PIM et retrieval orienté business. Ressource pratique Checklist projet IA B2B : 25 questions avant le cadrage Avant de lancer un projet IA B2B, validez le cas d’usage, les données, les risques, les KPI, la conformité et le pilote avec une checklist simple et opérationnelle. Article spécialisé Hardware IA local 2026 : RTX 4090, Mac M3 Max, A6000 Choisir une machine IA locale : VRAM, benchmarks, coûts, consommation, setup et arbitrages entre RTX 4090, Mac M3 Max et A6000.

À ce stade, gardez surtout ceci :

la meilleure suite n’est pas la page la plus longue, mais celle qui vous aide à arbitrer
les liens ci-dessous restent dans le même dossier pour limiter la dispersion
ouvrez une seule lecture complémentaire à la fois, puis décidez ce qui doit être testé sur le terrain

FAQ — AI Act Conformité PME 2026

L'AI Act s'applique-t-il aux PME qui utilisent simplement ChatGPT ?

Si vous utilisez ChatGPT ou Claude via leur interface standard, les obligations pèsent principalement sur OpenAI/Anthropic. Vous avez une obligation de transparence si l'IA interagit avec des tiers (clients, candidats). Si vous intégrez une IA dans un système qui prend des décisions impactant des personnes (RH, crédit), vous entrez en risque élevé.

Quand l'AI Act entre-t-il en vigueur pour les PME ?

Progressivement : pratiques interdites (fév. 2025), GPAI (août 2025), transparence et infrastructure critique (août 2026), RH/crédit/recrutement (août 2027), systèmes legacy (août 2030).

Quelles sanctions pour non-conformité à l'AI Act ?

Pratiques interdites : jusqu'à 35 M€ ou 7 % du CA mondial. Systèmes à risque élevé non conformes : jusqu'à 15 M€ ou 3 % du CA. En pratique pour les PME, les autorités commencent par des avertissements avant les amendes sur les premières infractions non intentionnelles.

Qu'est-ce qu'un système IA à risque élevé ?

Les systèmes classifiés risque élevé incluent : IA dans les RH (tri CV, évaluation), l'accès au crédit et aux services financiers, l'éducation, l'administration de la justice, et les infrastructures critiques. Les agents IA de service client standard sont généralement risque limité, pas élevé.

Guillaume Deplanque — Expert IA & Commerce B2B International

15 ans d'expérience en vente B2B et déploiement IA en entreprise. Fondateur de Geniuspace, basé à Arras (62000). Profil auteur · LinkedIn · contact@geniuspace.io · 06 30 76 62 76

📋 Mettre en place votre Gouvernance Agents IA →