EUconformEUconform
← Blog·EU AI Act

Checklist conformité AI Act 2026 : le guide étape par étape pour les PME

6 avril 2026·10 min de lecture

Le 2 août 2026, les obligations de l'EU AI Act s'appliquent pleinement aux systèmes à risque élevé. Votre PME utilise de l'IA ? Voici les 10 étapes concrètes pour vous mettre en conformité, article par article, sans jargon juridique.

Pourquoi une checklist de conformité AI Act ?

Le Règlement (UE) 2024/1689 sur l'intelligence artificielle — l'EU AI Act — impose de nouvelles obligations aux entreprises qui utilisent des systèmes d'IA. Le problème : le texte fait 144 pages, 180 considérants et 113 articles. Pour une PME sans service juridique dédié, identifier ce qui s'applique concrètement à son activité relève du parcours du combattant.

Cette checklist traduit les exigences du règlement en 10 étapes actionnables. Chaque étape indique l'article concerné, ce qu'il faut faire, et comment le faire — sans mobiliser un cabinet de conseil à 5 000 € la journée.

Certaines obligations sont déjà en vigueur. L'article 5 (pratiques interdites) s'applique depuis le 2 février 2025. L'article 4 (formation IA) aussi. Les obligations sur les systèmes à risque élevé s'appliquent à partir du 2 août 2026.

Les 10 étapes de la mise en conformité AI Act

Étape 1 — Faites l'inventaire de vos systèmes d'IA (Art. 4 + Art. 6)

Avant de pouvoir vous mettre en conformité, vous devez savoir ce que vous utilisez. Dressez la liste complète de tous les outils, logiciels et services qui intègrent de l'intelligence artificielle dans votre entreprise.

Exemples d'outils à inventorier :

  • Les chatbots sur votre site web ou votre service client
  • Les outils de scoring ou de recommandation dans votre CRM
  • Les logiciels RH avec tri automatique de CV ou présélection de candidats
  • Les outils de traduction, rédaction ou résumé automatique
  • Les systèmes de comptabilité avec détection d'anomalies
  • Les outils de marketing avec ciblage prédictif ou personnalisation

Pour chaque outil identifié, notez son nom, son éditeur, son usage dans votre entreprise, et les données qu'il traite. Ce registre est la base de toute la démarche. Sans inventaire, pas de classification possible.

Étape 2 — Formez vos équipes à l'IA (Art. 4 — AI literacy)

L'article 4 du règlement impose à toute entreprise utilisant des systèmes d'IA de garantir un "niveau suffisant de compétences en matière d'IA" pour le personnel concerné. Cette obligation est en vigueur depuis le 2 février 2025.

Ce que cela implique :

  • Identifier qui utilise ou supervise des systèmes d'IA dans votre entreprise
  • Organiser une session de sensibilisation (2 heures suffisent pour démarrer)
  • Documenter la formation réalisée (date, contenu, participants)
  • Adapter le niveau de formation au rôle de chaque personne

Étape 3 — Classifiez chaque système par niveau de risque (Art. 6 + Annexe III)

L'EU AI Act classe les systèmes d'IA en quatre niveaux : interdit, risque élevé, risque limité et risque minimal. La classification dépend de l'usage que vous faites du système, pas de la technologie elle-même.

Les quatre niveaux de risque :

  • Risque inacceptable (Art. 5) : pratiques interdites — manipulation subliminale, scoring social, reconnaissance faciale en temps réel
  • Risque élevé (Art. 6, Annexe III) : domaines sensibles — emploi, éducation, santé, crédit, biométrie, justice
  • Risque limité (Art. 50) : obligation de transparence — chatbots, deepfakes, contenu généré par IA
  • Risque minimal : aucune obligation spécifique — la majorité des usages courants en entreprise

Le wizard EUconform effectue cette classification automatiquement. Vous répondez à des questions simples sur votre usage, et le système identifie le niveau de risque de chaque outil IA que vous utilisez.

Étape 4 — Documentez vos systèmes à risque élevé (Art. 11 + Annexe IV)

Si un de vos systèmes IA est classé à risque élevé, vous devez constituer un dossier de documentation technique. L'Annexe IV détaille les 9 sections obligatoires de cette documentation : description du système, données d'entraînement, mesures de gestion des risques, performances et limites, supervision humaine prévue.

En tant que déployeur (utilisateur d'un système développé par un tiers), une partie de cette documentation incombe à votre fournisseur. Vérifiez qu'il est en mesure de vous la transmettre — c'est aussi son obligation.

Étape 5 — Mettez en place la supervision humaine (Art. 14)

L'article 14 impose que les systèmes à risque élevé permettent une supervision humaine effective. Concrètement : une personne compétente doit pouvoir comprendre les résultats du système, les interpréter correctement, et intervenir si nécessaire — y compris pour désactiver le système.

Actions concrètes :

  • Désignez un responsable de supervision pour chaque système à risque élevé
  • Documentez la procédure d'intervention en cas de dysfonctionnement
  • Vérifiez que le système permet de corriger ou annuler une décision automatisée
  • Formez la personne désignée au fonctionnement et aux limites du système

Étape 6 — Assurez la transparence (Art. 13 + Art. 50)

Deux obligations de transparence coexistent. L'article 13 impose que les systèmes à risque élevé soient suffisamment transparents pour que l'utilisateur comprenne leurs résultats. L'article 50 impose d'informer les personnes qu'elles interagissent avec un système d'IA — pour tous les niveaux de risque.

En pratique :

  • Chatbot : informez l'utilisateur qu'il parle à une IA (mention visible)
  • Contenu généré par IA : identifiez-le comme tel
  • Scoring ou décision automatisée : expliquez les critères principaux à la personne concernée
  • Mettez à jour vos mentions légales et votre politique de confidentialité en conséquence

Étape 7 — Vérifiez vos fournisseurs d'IA (Art. 25 + Art. 26)

En tant que déployeur, vous n'êtes pas responsable de la conception du système, mais vous êtes responsable de l'utiliser conformément aux instructions du fournisseur. L'article 25 détaille vos obligations spécifiques, l'article 26 encadre la relation contractuelle avec vos fournisseurs.

Points à vérifier auprès de chaque fournisseur :

  • Fournit-il une notice d'utilisation conforme à l'article 13 ?
  • A-t-il réalisé une évaluation de conformité (marquage CE si applicable) ?
  • Le système est-il enregistré dans la base de données UE si nécessaire ?
  • Le contrat prévoit-il les mises à jour et le support conformité ?

Si votre fournisseur ne peut pas répondre à ces questions, c'est un signal d'alerte. Vous pourriez être tenu responsable de lacunes qui ne sont pas les vôtres.

Étape 8 — Réalisez une évaluation de conformité (Art. 43)

Pour les systèmes à risque élevé, une évaluation de conformité est obligatoire. En tant que déployeur, vous devez vérifier que cette évaluation a été faite par le fournisseur. L'audit EUconform génère un rapport qui documente cette évaluation pour chaque système IA identifié, avec le niveau de risque et les obligations applicables.

Étape 9 — Organisez votre veille réglementaire

L'EU AI Act est un cadre évolutif. Des actes délégués, des normes harmonisées et des guidelines viendront préciser les exigences techniques au fil des mois. Les autorités nationales (CNIL, ANSM, ACPR) commencent à publier leurs propres recommandations sectorielles.

Sources à suivre :

  • Le site officiel de l'AI Act (artificialintelligenceact.eu)
  • Les publications de la CNIL sur l'IA
  • Les communications de la Commission européenne
  • Le blog EUconform pour les décryptages et analyses pratiques

Étape 10 — Passez un audit complet (Art. 9 — gestion des risques)

L'article 9 impose un système de gestion des risques pour les systèmes à risque élevé. Cela commence par un audit initial qui identifie les risques, évalue leur impact et définit les mesures à prendre. Cet audit doit être documenté, mis à jour régulièrement, et accessible aux autorités.

C'est exactement ce que le rapport de conformité EUconform produit : une documentation structurée, avec classification des risques, obligations identifiées et plan d'action. Un audit complet que vous pouvez présenter en cas de contrôle.

Calendrier : quand faire quoi ?

  1. Dès maintenant (déjà en vigueur) : Étapes 1 et 2 — inventaire des systèmes IA et formation des équipes (Art. 4 et Art. 5)
  2. Avant août 2025 : Étape 3 — classification de vos systèmes par niveau de risque
  3. Avant décembre 2025 : Étapes 4, 5 et 6 — documentation technique, supervision humaine, transparence
  4. Avant avril 2026 : Étapes 7 et 8 — vérification des fournisseurs et évaluation de conformité
  5. Avant le 2 août 2026 : Étapes 9 et 10 — veille réglementaire et audit complet

Ne vous y prenez pas au dernier moment. Les entreprises qui démarrent en juin 2026 risquent de ne pas être prêtes le 2 août. Comptez au minimum quatre mois pour une démarche complète.

EUconform fait ces 10 étapes pour vous en 10 minutes

Le wizard EUconform vous guide à travers ces étapes. Vous répondez à des questions simples sur votre activité et vos outils IA. En retour, vous obtenez la classification de risque de chaque système et un rapport de conformité complet.

Ce que contient le rapport :

  • La classification de risque de chaque système IA identifié (gratuit)
  • Un rapport PDF de 9 pages avec vos obligations détaillées (49 €)
  • 3 templates de documentation prêts à compléter (DOCX)
  • Un calendrier de mise en conformité personnalisé

Évaluez la conformité de votre IA maintenant

Audit gratuit en 10 minutes. Rapport de conformité EU AI Act à 49 € TTC.

Démarrer l'audit gratuit →

Sans inscription · Résultat immédiat · Rapport disponible à 49 €

Secteurs concernés par cet article

Cabinet de conseilStartup SaaSE-commerceCabinet comptable

Autres articles

15 mars 2026

L'EU AI Act expliqué simplement aux PME françaises

Le Règlement européen sur l'IA (EU AI Act) est entré dans le droit positif en 2024. Pour les PME françaises qui utilisent des outils d'intelligence artificielle, les obligations commencent à s'appliquer à partir de 2026. Voici un guide clair pour comprendre ce qui vous concerne vraiment.

10 mars 2026

Chatbot conforme à l'EU AI Act : la checklist 2026

Les chatbots sont parmi les outils d'IA les plus répandus en entreprise. Ils sont aussi directement visés par l'EU AI Act, notamment sur les obligations de transparence. Cette checklist vous aide à vérifier la conformité de votre chatbot avant la date butoir du 2 août 2026.

5 mars 2026

EU AI Act : 5 erreurs que font les PME (et comment les éviter)

Depuis que l'EU AI Act est entré en vigueur, beaucoup de PME françaises adoptent la même posture : attendre de voir ce qui se passe. C'est souvent la première erreur d'une série. Voici les 5 pièges les plus fréquents — et comment les éviter avant le 2 août 2026.