AI Act : 7 étapes pour préparer ton entreprise avant août 2026

Ce que tu sauras faire à la fin de ce guide

À la fin de cet article, tu auras un plan d’action clair pour préparer ton entreprise à l’AI Act. Tu sauras identifier quels systèmes IA sont concernés, les classifier par niveau de risque, et mettre en place les mesures de conformité nécessaires. Pas besoin d’être juriste : ce guide traduit les obligations légales en actions concrètes.

Prérequis

Tu dois avoir une vue d’ensemble des outils et systèmes d’IA utilisés dans ton entreprise. Si tu ne sais pas exactement quels systèmes IA tu utilises, c’est justement la première étape. Un accès à ta documentation technique existante (même partielle) est un plus.

Les 7 étapes

Étape 1 : Cartographier tous tes systèmes IA

Dresse la liste exhaustive de tous les systèmes d’IA utilisés dans ton entreprise. Cela inclut les outils évidents (chatbots, assistants de rédaction, outils d’analyse) mais aussi les moins visibles : filtres anti-spam, systèmes de recommandation, outils de tri de CV, scoring client. Interroge chaque département. N’oublie pas les outils IA intégrés dans des logiciels tiers (ton CRM qui utilise de l’IA pour le lead scoring, par exemple). Cette cartographie est le socle de tout le reste.

Étape 2 : Classifier chaque système par niveau de risque

L’AI Act définit quatre niveaux : inacceptable (interdit), haut risque, risque limité, risque minimal. Pour chaque système identifié à l’étape 1, détermine son niveau de risque. Les critères clés : le système prend-il des décisions qui affectent des droits fondamentaux ? Traite-t-il des données biométriques ? Intervient-il dans le recrutement, le crédit, la justice, l’éducation ? Si oui, il est probablement à haut risque. En cas de doute, consulte l’AI Act Explorer, un outil interactif qui aide à classifier tes systèmes.

Étape 3 : Rédiger la documentation technique

Pour chaque système à haut risque, tu dois constituer un dossier technique. Ce dossier doit décrire : la finalité du système, son architecture générale, les données d’entraînement utilisées, les performances mesurées, les limites connues, et les mesures de gestion des risques. Pas besoin d’un document de 500 pages : un document structuré de 10-20 pages par système suffit généralement. Si tu utilises des solutions tierces, demande cette documentation à ton fournisseur.

Étape 4 : Mettre en place la supervision humaine

L’AI Act exige qu’un humain puisse superviser et, si nécessaire, interrompre tout système IA à haut risque. Concrètement : désigne un responsable pour chaque système, définis les seuils d’alerte et les procédures d’intervention, et assure-toi que l’interface permet à l’opérateur de comprendre les décisions de l’IA et de les corriger. Ce n’est pas une formalité : la supervision doit être effective, pas théorique.

Étape 5 : Activer la journalisation automatique

Les systèmes à haut risque doivent enregistrer automatiquement leurs activités (logs). Ces journaux doivent permettre de retracer les décisions prises, les données utilisées et les résultats produits. Vérifie que tes systèmes disposent de cette capacité de logging. Si ce n’est pas le cas, travaille avec ton fournisseur pour l’activer. Les logs doivent être conservés pendant une durée adaptée au niveau de risque.

Étape 6 : Préparer l’évaluation de conformité

Certains systèmes à haut risque nécessitent une évaluation de conformité avant leur mise sur le marché ou leur déploiement. Pour les PME, des procédures simplifiées existent. Tu peux aussi accéder aux « bacs à sable réglementaires » proposés par certains États membres, qui permettent de tester la conformité dans un cadre encadré. Selon euaiact.pro, anticiper cette étape est essentiel pour éviter des retards de mise en marché.

Étape 7 : Former tes équipes

L’AI Act impose une obligation de « AI literacy » : les personnes qui utilisent des systèmes IA doivent comprendre leur fonctionnement, leurs limites et leurs risques. Organise des formations adaptées à chaque profil : les développeurs doivent comprendre les exigences techniques, les managers doivent connaître les obligations de supervision, et les utilisateurs finaux doivent savoir repérer les comportements anormaux. L’AI Skills Academy européenne proposera des ressources gratuites dès 2026.

Astuces pro

Commence par les systèmes à haut risque — ce sont eux qui concentrent l’essentiel des obligations. Si tu utilises des solutions SaaS, la charge de conformité est partagée entre toi (déployeur) et ton fournisseur (fournisseur). Demande-lui sa feuille de route AI Act. Et si tu hésites sur la classification d’un système, classe-le au niveau supérieur par précaution : il est plus facile de déclasser que de rattraper une non-conformité.

Erreurs courantes à éviter

Ne confonds pas l’AI Act avec le RGPD : les deux s’appliquent mais couvrent des domaines différents (l’IA vs les données personnelles). Ne suppose pas que les systèmes IA intégrés dans des logiciels tiers sont automatiquement conformes : tu restes responsable en tant que déployeur. Et ne repousse pas la cartographie à la dernière minute : c’est l’étape la plus longue et la plus critique.

Récap

Cartographie, classifie, documente, supervise, journalise, évalue, forme. Sept étapes qui couvrent l’essentiel des obligations de l’AI Act pour les déployeurs. Commence par l’étape 1 dès cette semaine — la cartographie de tes systèmes IA te donnera une vision claire de ton exposition et de l’ampleur du travail restant.

FAQ

L’AI Act concerne-t-il les PME ?

Oui, mais avec des allègements : accès aux bacs à sable réglementaires, évaluations de conformité simplifiées, et certaines exemptions pour les systèmes à risque minimal. Les PME ne sont pas exemptées, mais les obligations sont proportionnées.

Mon entreprise est hors UE, suis-je concerné ?

Oui, si ton système IA produit des effets sur des personnes situées dans l’UE. C’est le même principe d’extraterritorialité que le RGPD.

Quelles sont les sanctions ?

Jusqu’à 35 millions d’euros ou 7 % du CA mondial pour les infractions les plus graves (pratiques interdites). 15 millions ou 3 % du CA pour les autres manquements. Les sanctions sont graduées selon la gravité et la taille de l’entreprise.

Par où commencer si je n’ai que 4 mois ?

Priorise les étapes 1 (cartographie), 2 (classification) et 4 (supervision humaine). Ce sont les fondations. La documentation technique et la journalisation peuvent être complétées progressivement après le 2 août si tu peux démontrer que tu es engagé dans une démarche de mise en conformité.