> Guides

AI Act post-Omnibus : 79 jours pour mettre votre PME en règle

L'accord du 7 mai rebat les cartes. Voici ce qui s'applique vraiment à votre entreprise — et ce qui peut attendre.

Par Paul Fauchille · · 9 min de lecture
Checklist de conformité AI Act posée sur un bureau avec un drapeau européen en arrière-plan

Le 7 mai 2026, le Conseil et le Parlement européen ont bouclé l'accord politique sur l'AI Omnibus — un texte qui modifie l'AI Act sur plusieurs points structurants. Résultat : certaines échéances reculent, les PME gagnent du répit, mais d'autres obligations sont déjà en vigueur depuis plus d'un an. À 79 jours du 2 août 2026, date à laquelle les autorités nationales — la CNIL en tête — pourront contrôler et sanctionner, le flou n'est plus une excuse.

Nous avions détaillé ce qui était déjà interdit et ce qui arrivait il y a cinq semaines. L'Omnibus change la donne sur plusieurs points. Voici ce qui s'applique à votre entreprise, ce qui peut attendre, et comment s'y préparer sans mobiliser un cabinet à 800 €/jour.

Ce que l'AI Omnibus change pour les PME françaises

L'accord du 7 mai n'est pas un simple report de calendrier. C'est une réécriture partielle du cadre réglementaire, négociée sous pression des lobbys industriels et des États membres soucieux de ne pas freiner l'innovation européenne. Trois changements majeurs concernent directement les PME.

Délais repoussés : qui gagne du temps, et combien ?

Le tableau ci-dessous résume les nouvelles dates post-Omnibus :

  • Systèmes IA à haut risque Annexe III (biométrie, recrutement, crédit scoring, éducation, forces de l'ordre) : échéance repoussée du 2 août 2026 au 2 décembre 2027. C'est le changement le plus significatif — seize mois de répit supplémentaires.
  • Systèmes IA dans les produits réglementés (dispositifs médicaux, machines industrielles, jouets connectés) : échéance repoussée du 2 août 2027 au 2 août 2028.
  • Transparence et marquage du contenu IA (watermarking, étiquetage) : échéance étendue au 2 décembre 2026 pour les systèmes déjà commercialisés.
  • Sandboxes réglementaires nationales : report au 2 août 2027, avec création d'un bac à sable au niveau européen.

Attention au piège : ces reports ne concernent que certaines catégories. Les obligations générales — interdictions, culture IA, obligations de transparence de base — restent calées sur les dates initiales.

Allègements étendus aux entreprises de moins de 500 salariés

Avant l'Omnibus, seules les PME au sens européen (moins de 250 salariés, CA < 50 M€) bénéficiaient d'allègements : documentation simplifiée, accès prioritaire aux sandboxes, amendes plafonnées. L'accord étend ces privilèges aux « small mid-cap companies », c'est-à-dire les entreprises de moins de 500 salariés. En France, cela couvre une grande partie des ETI.

Concrètement, ces entreprises peuvent déposer une documentation technique allégée, accéder aux bacs à sable réglementaires dans les mêmes conditions que les startups, et bénéficier d'un plafonnement des amendes au montant le plus bas entre le forfait et le pourcentage du CA. Selon une estimation de la DGE, le coût de conformité pour une PME déployant un système à haut risque se situe entre 2 000 et 8 000 € par an — audit et formation inclus.

Données sensibles : une ouverture encadrée pour corriger les biais

L'Omnibus élargit la possibilité d'utiliser des données personnelles sensibles (origine, santé, orientation) pour détecter et corriger les biais des systèmes IA. Cette disposition, auparavant limitée à certains cas, s'applique désormais à tous les fournisseurs et déployeurs, avec des garde-fous stricts. Pour les PME qui utilisent des outils de scoring ou de tri automatisé, c'est une clarification bienvenue : vous pouvez tester vos modèles contre les biais sans enfreindre le RGPD — à condition de documenter la démarche.

Combien coûte la non-conformité à l'AI Act en France ?

Les sanctions ne sont pas théoriques. Le texte prévoit trois paliers :

  • Pratiques interdites (scoring social, manipulation subliminale, deepfakes non consentis) : jusqu'à 35 millions d'euros ou 7 % du CA mondial, le montant le plus élevé l'emportant.
  • Non-conformité aux obligations générales (documentation, transparence, registre) : jusqu'à 15 millions d'euros ou 3 % du CA.
  • Informations incorrectes fournies aux autorités : jusqu'à 7,5 millions d'euros ou 1,5 % du CA.

Pour les PME, les amendes sont plafonnées au montant le plus bas. Un détail qui change tout : une PME de 2 M€ de CA risque au maximum 60 000 € pour non-conformité générale (3 % de 2 M€), contre 15 M€ pour un grand groupe. Mais 60 000 €, pour une PME de 15 salariés, ça reste trois mois de trésorerie.

En France, la CNIL sera l'autorité de contrôle principale, épaulée par une quinzaine d'autorités sectorielles (DGCCRF, Arcom, ACPR, AMF, ANSM). Les contrôles peuvent commencer dès le 3 août 2026. Les autorités sont toutefois encouragées à privilégier l'accompagnement plutôt que la sanction immédiate pour les petites structures — mais rien ne les y oblige.

Comment savoir si votre PME est concernée par l'AI Act

La première question n'est pas « suis-je en règle ? » mais « est-ce que j'utilise de l'IA au sens du règlement ? ». La réponse est souvent oui sans qu'on le sache. Un chatbot sur votre site, un outil de tri de CV, un logiciel de prévision de stock, un scoring de leads — tout cela entre potentiellement dans le périmètre.

Étape 1 : dresser l'inventaire de vos systèmes IA

Plus de la moitié des entreprises européennes n'ont pas de registre formalisé de leurs systèmes IA. L'inventaire est pourtant le point de départ de toute démarche de conformité. Pour chaque outil :

  • Quel est le fournisseur ? (OpenAI, Google, Mistral, éditeur métier…)
  • Quelles données traite-t-il ? (données clients, CV, données financières…)
  • Qui l'utilise dans l'entreprise ? (RH, marketing, service client, direction…)
  • Le fournisseur est-il basé dans l'UE ou hors UE ?

Pensez au shadow AI : les outils que vos équipes utilisent sans validation IT. Nous avons publié un guide dédié au shadow AI — c'est le moment de le relire.

Étape 2 : classifier chaque système par niveau de risque

L'AI Act définit quatre niveaux :

  • Risque inacceptable (interdit) : scoring social, manipulation subliminale, identification biométrique en temps réel dans l'espace public, « nudifiers » deepfake. Si vous utilisez l'un de ces systèmes, arrêtez immédiatement — c'est interdit depuis février 2025.
  • Haut risque : tri automatisé de CV, crédit scoring, évaluation des employés, dispositifs médicaux IA, surveillance d'infrastructures critiques. Post-Omnibus, la conformité est exigée au 2 décembre 2027 (Annexe III) ou 2 août 2028 (produits réglementés).
  • Risque limité : chatbots, générateurs de contenu IA. Obligation principale : informer l'utilisateur qu'il interagit avec une IA. Marquage du contenu IA exigé au plus tard le 2 décembre 2026.
  • Risque minimal : filtres anti-spam, correcteurs orthographiques IA. Aucune obligation spécifique.

La plupart des PME françaises se situent dans les catégories « risque limité » et « risque minimal ». Mais une PME qui utilise un logiciel de recrutement avec tri automatique de CV bascule directement en « haut risque » — même si elle ne l'a pas développé elle-même.

Checklist conformité AI Act : 7 actions avant le 2 août 2026

Voici les actions concrètes à lancer maintenant, classées par urgence.

1. Vérifiez que vous n'utilisez aucun système interdit. Les interdictions sont en vigueur depuis février 2025. Scoring social, manipulation comportementale, reconnaissance faciale en temps réel dans l'espace public, nudifiers IA : si l'un de ces usages existe dans votre entreprise (même via un outil tiers), cessez-le. C'est le palier à 35 M€ / 7 % du CA.

2. Formez vos équipes à la « culture IA ». L'article 4 de l'AI Act impose une obligation de culture IA depuis février 2025. Post-Omnibus, cette obligation est passée d'une obligation de résultat à une obligation de moyens : vous devez démontrer que vous avez mis en place des actions de sensibilisation, pas que 100 % de vos salariés ont un certificat. Un atelier interne de 2 heures, documenté, peut suffire.

3. Dressez votre inventaire IA. Listez tous les systèmes IA en usage (voir étape 1 ci-dessus). Incluez les outils SaaS, les API, les plugins. Un tableur structuré suffit : nom de l'outil, fournisseur, catégorie de risque, données traitées, responsable interne.

4. Classifiez vos systèmes par risque. Pour chaque outil inventorié, déterminez son niveau de risque selon la grille AI Act (voir étape 2). En cas de doute, des outils de classification gratuits existent en ligne.

5. Mettez en place la transparence. Si vous utilisez un chatbot ou un générateur de contenu IA face au public, informez vos utilisateurs. Un bandeau « Ce contenu a été généré par une IA » ou « Vous échangez avec un assistant IA » suffit. Échéance : 2 décembre 2026 pour les systèmes déjà en production.

6. Vérifiez les engagements de vos fournisseurs. Si vous déployez un système à haut risque (logiciel RH, scoring client), votre fournisseur doit vous transmettre la documentation de conformité. Demandez-la par écrit. L'article 26 du règlement impose des obligations propres au « déployeur », distinctes de celles du fournisseur : vous êtes responsable de la supervision humaine, de la traçabilité des décisions et de la conformité opérationnelle.

7. Documentez tout. Registre des systèmes IA, preuves de formation, politique d'usage de l'IA, évaluation des risques : la CNIL peut demander ces documents lors d'un contrôle. Le format importe peu (PDF, tableur, wiki interne), mais l'absence de documentation sera le premier motif de remarque.

Ce qui peut attendre (mais pas trop longtemps)

L'Omnibus offre du répit sur trois fronts :

  • Systèmes à haut risque Annexe III : conformité repoussée au 2 décembre 2027. Si vous utilisez un outil de recrutement IA ou du crédit scoring, vous avez 18 mois pour vous mettre en règle — mais commencez l'inventaire maintenant.
  • Produits IA réglementés (machines, dispositifs médicaux) : 2 août 2028. Concerne surtout les fabricants industriels.
  • Marquage watermark du contenu généré par IA : 2 décembre 2026. Si vous publiez du contenu marketing généré par ChatGPT ou Claude, vous avez encore six mois pour mettre en place l'étiquetage.

Attention : « peut attendre » ne signifie pas « ignorer ». Les projets de conformité prennent du temps. Une PME qui démarre sa démarche en novembre 2027 pour une échéance en décembre 2027, c'est une PME qui court après le train.

Combien coûte la mise en conformité AI Act pour une PME

Les chiffres varient selon la taille et le nombre de systèmes IA déployés. Pour une PME type (10-50 salariés, 2 à 5 outils IA en usage) :

  • Conformité basique (inventaire, formation, documentation, transparence) : 1 500 à 4 000 €. Réalisable en interne avec un responsable dédié et les ressources gratuites de la CNIL.
  • Conformité avec systèmes à haut risque (audit, évaluation d'impact, suivi continu) : 5 000 à 15 000 €/an, selon la complexité. La DGE estime le coût entre 2 000 et 8 000 € par système à haut risque.
  • Accompagnement cabinet spécialisé : 500 à 1 200 € / jour. Utile pour un audit initial, pas forcément pour le suivi récurrent.

Comparez ces montants aux amendes potentielles : 60 000 € minimum pour une PME de 2 M€ de CA. Le calcul est vite fait.

Trois erreurs à ne pas commettre

Croire que « on n'utilise pas d'IA ». Si vos équipes utilisent ChatGPT, Copilot, un chatbot fournisseur ou un outil de scoring intégré à votre CRM — vous utilisez de l'IA. Le shadow AI est le premier angle mort des PME françaises.

Attendre la sanction pour agir. La CNIL a une longue tradition de mise en demeure publique. Une PME épinglée pour non-conformité IA, c'est un signal dévastateur auprès des clients, des partenaires et des financeurs. Le risque réputationnel dépasse largement le risque financier.

Confondre « report » et « exemption ». L'Omnibus repousse des échéances, il ne supprime aucune obligation. Tout ce qui est repoussé finira par s'appliquer — avec des contrôles plus stricts à mesure que les autorités montent en compétence.

Le calendrier AI Act post-Omnibus en un coup d'œil

  • Février 2025 (déjà en vigueur) : interdictions + obligation culture IA
  • Août 2025 (déjà en vigueur) : règles IA à usage général (GPAI), désignation des autorités
  • 2 août 2026 : application générale, début des contrôles et sanctions
  • 2 décembre 2026 : transparence et marquage du contenu IA généré
  • 2 décembre 2027 : conformité systèmes haut risque Annexe III
  • 2 août 2028 : conformité IA dans les produits réglementés

FAQ

L'AI Act s'applique-t-il aux PME qui utilisent ChatGPT ou Claude sans développer d'IA ?
Oui. L'AI Act distingue les « fournisseurs » (qui développent l'IA) et les « déployeurs » (qui l'utilisent). Une PME qui utilise ChatGPT pour trier des CV ou un chatbot IA pour son service client est un déployeur et a des obligations propres : transparence envers les utilisateurs, supervision humaine des décisions, documentation. Les obligations varient selon le niveau de risque du système utilisé.
Combien coûte la mise en conformité AI Act pour une PME française ?
Pour une conformité basique (inventaire, formation, documentation), comptez entre 1 500 et 4 000 €. Si vous déployez des systèmes à haut risque (recrutement IA, scoring client), le budget monte à 5 000-15 000 €/an avec audit et suivi continu. La DGE estime le coût par système à haut risque entre 2 000 et 8 000 € par an.
Quelles sont les amendes AI Act pour une PME ?
Les amendes sont plafonnées au montant le plus bas entre un forfait et un pourcentage du CA. Pour une PME de 2 M€ de CA : jusqu'à 60 000 € pour non-conformité générale (3 % du CA), ou 140 000 € pour usage d'un système interdit (7 % du CA). Les autorités sont encouragées à privilégier l'accompagnement avant la sanction pour les petites structures.
L'AI Omnibus de mai 2026 repousse-t-il toutes les obligations ?
Non. Seules certaines obligations sont reportées : systèmes à haut risque Annexe III (repoussé à décembre 2027), produits réglementés (août 2028), marquage contenu IA (décembre 2026). Les interdictions et l'obligation de culture IA sont en vigueur depuis février 2025. L'application générale et les contrôles démarrent bien le 2 août 2026.
Comment savoir si mon outil IA est classé « haut risque » ?
Un système IA est à haut risque s'il intervient dans l'un des huit domaines de l'Annexe III : biométrie, infrastructures critiques, éducation, emploi/recrutement, services essentiels (crédit, assurance), forces de l'ordre, migration, justice. Si votre logiciel RH trie automatiquement des CV ou si votre CRM attribue un score de solvabilité, il est probablement à haut risque. Des outils de classification gratuits existent en ligne pour vous aider.
Partager
★ Pack PME · 49 €

Vous avez aimé cet article ? Allez plus loin.

Le pack qui complète la théorie : 30 prompts + workflows actionnables, pas un autre cours en ligne.

Découvrir le pack →
Vous aimerez aussi
Agent IA service client répondant à des tickets sur un écran de tableau de bord PME
Guides 9 min

Agent IA service client : ce qu'il faut savoir avant de se lancer

Un ticket humain coûte 15 à 25 €. Un ticket IA, moins de 0,50 €. Voici comment déployer un agent IA service client en PME, outil par outil, euro par euro.

28 avril 2026 Lire le guide →
Équipe en formation autour d'un écran affichant une interface IA
Guides 8 min

Former vos équipes à l'IA : le guide avant les sanctions

L'article 4 de l'AI Act rend la formation IA obligatoire. Les sanctions tombent le 2 août 2026. Guide concret pour PME : étapes, budget, financement OPCO.

23 avril 2026 Lire le guide →
Illustration d'un bureau avec des applications IA cachées derrière un écran d'ordinateur, symbolisant le shadow AI en entreprise
Guides 8 min

Shadow AI en PME : détecter, encadrer, survivre

Le shadow AI coûte 670 000 $ de plus par incident de sécurité. Guide pratique pour détecter, encadrer et gouverner l'usage sauvage de l'IA en PME.

24 avril 2026 Lire le guide →
Résumé vidéoen cours…