Conformité IA

AI Act entreprise : checklist conformité en 100 jours (2026)

Le 2 août 2026, l'AI Act devient applicable. Voici les 7 actions concrètes à mener dans vos 100 prochains jours pour mettre votre entreprise en conformité.

Jean-Baptiste Huiban

Jean-Baptiste Huiban

·10 min
AI Act 2026 : checklist conformité entreprise en 100 jours

Le 2 août 2026, dans moins de 50 jours, l'AI Act devient applicable. Pour la majorité des entreprises françaises, ce n'est pas une date abstraite de plus dans le calendrier réglementaire : c'est le moment où une bonne partie des règles que tout le monde a survolées en 2024 deviennent vraiment opposables, avec des sanctions qui peuvent grimper jusqu'à 35 M€ ou 7 % du chiffre d'affaires mondial.

Et pourtant, sur le terrain, je n'observe pas d'accélération. J'observe du déni.

Sur les dizaines de DG et DSI que je rencontre chaque mois, ce sont surtout les grands groupes qui ont mis le sujet sur la table. Du côté des ETI et des PME, l'AI Act reste un acronyme flou, vaguement lié au RGPD, qu'on traitera "quand on aura le temps". Cette procrastination a toutes les chances de se transformer, fin août, en course aux audits express, aux registres improvisés et aux signatures de prestataires juridiques qui factureront le prix fort.

Cet article ne va pas vous sermonner. Il va vous donner ce que vous êtes venu chercher : la to-do exacte des 100 prochains jours pour mettre votre entreprise au carré sans transformer ça en projet de neuf mois.

Le grand déni français (et pourquoi c'est dangereux)

L'AI Act est entré en vigueur le 1er août 2024. Depuis le 2 février 2025, deux obligations très concrètes s'appliquent déjà : l'interdiction de certaines pratiques (notation sociale, manipulation comportementale, etc.) et l'obligation d'« AI literacy » pour les entreprises qui utilisent l'IA, c'est-à-dire former leurs collaborateurs aux usages, risques et limites des systèmes IA. Combien d'entreprises ont commencé à structurer cette formation interne ? Une minorité.

Le 2 août 2026 marque le palier suivant : la majorité des règles deviennent applicables, dont les obligations relatives aux modèles d'IA à usage général (GPAI), la gouvernance, les autorités compétentes et le régime des sanctions. En France, plusieurs autorités se partagent le terrain : la CNIL pour la protection des données, l'ARCOM pour les contenus, la DGCCRF pour la conformité produit et l'ACPR pour la finance.

Le déni vient surtout d'un raisonnement implicite que j'entends souvent : « ça concerne les fournisseurs d'IA, pas nous ». C'est faux. L'AI Act distingue cinq rôles (fournisseur, déployeur, importateur, distributeur, fabricant de produit). En pratique, dès qu'une entreprise utilise un système IA pour automatiser une tâche, scorer un candidat, qualifier un lead ou répondre à un client, elle est déployeur — et elle a des obligations.

Conséquence : si vos équipes utilisent ChatGPT, Copilot, un agent commercial sur mesure, un chatbot de support ou un outil de scoring RH, vous êtes concerné. Le silence n'est pas une stratégie.

Les deux erreurs qui plombent 80 % des premières analyses

Quand une entreprise s'y met, deux écueils reviennent quasi systématiquement.

Erreur n°1 : confondre AI Act et RGPD

Le réflexe naturel est de coller l'AI Act sur le squelette RGPD existant : DPO, registre, analyse d'impact, et puis voilà. Mauvais raccourci. L'AI Act n'a pas du tout le même périmètre. Le RGPD régule les données personnelles ; l'AI Act régule des systèmes (algorithmes, modèles, agents) selon leur niveau de risque, qu'il y ait ou non des données personnelles dans la boucle.

Concrètement : un système d'IA qui pilote un processus industriel sans aucune donnée personnelle peut être « haut risque » au sens de l'AI Act tout en restant invisible au RGPD. À l'inverse, un envoi d'emails marketing personnalisés peut être lourdement encadré par le RGPD et complètement « risque minimal » côté AI Act.

Conclusion pratique : ne refilez pas l'AI Act au DPO sans l'épauler. Il faut une cartographie nouvelle, dédiée aux systèmes IA, qui croise les deux régimes là où c'est pertinent mais qui ne les confond pas.

Erreur n°2 : sur-classifier tous les systèmes en « haut risque »

L'autre dérive, c'est l'inverse de la première. Par peur, on étiquette tout ce qui ressemble à de l'IA en « haut risque », on déclenche des analyses de conformité industrielles, et on bloque les projets pendant six mois.

Or les systèmes haut risque sont définis très précisément à l'Annexe III de l'AI Act : biométrie, infrastructures critiques, éducation, RH (tri de CV, scoring de candidats), accès à des services essentiels, application de la loi, migration, justice et processus démocratiques. C'est tout. Hors de cette liste et hors des produits régulés de l'Annexe I, la grande majorité de vos cas d'usage tombent en « risque limité » (transparence) ou « risque minimal » (peu ou pas d'obligations).

Le bon réflexe : commencer par la cartographie, puis classifier finement chaque système. Vous serez surpris de voir combien de cas réels passent en risque limité une fois bien analysés. C'est le travail qui débloque le plus de valeur en sortie de l'audit AI Act que nous menons chez nos clients.

Votre to-do AI Act en 100 jours : 7 actions concrètes

C'est ici que ça se joue. Voici la séquence que je recommande, calibrée pour une PME ou une ETI qui n'a pas encore commencé. Pour un grand groupe, divisez les durées par deux et multipliez les ressources par cinq.

Semaine 1-2 — Cartographier tous vos systèmes IA

Ouvrez un tableur et listez tout. Outils SaaS dopés à l'IA (Microsoft 365 Copilot, Salesforce Einstein, HubSpot AI, Notion AI, Jaydai, etc.), agents internes développés en interne ou par un prestataire, chatbots, scoring algorithmiques, modèles utilisés en R&D, intégrations de ChatGPT ou Claude via API.

Pour chaque système, notez : nom, fournisseur, finalité, équipe utilisatrice, type de données traitées, criticité métier. Si vous ne savez pas combien d'outils IA vos équipes utilisent réellement, vous n'êtes pas seul : la majorité des audits que nous menons identifient deux à trois fois plus d'outils IA en circulation que ce que la DSI avait recensé. Pour cadrer cette cartographie, lisez aussi notre guide complet de l'adoption IA en entreprise, qui détaille les angles morts les plus fréquents.

Semaine 3-4 — Classifier selon les 4 niveaux de risque

Pour chaque système cartographié, posez quatre questions dans cet ordre.

D'abord : est-ce qu'il tombe dans une pratique interdite (Article 5) ? Notation sociale, manipulation, exploitation de vulnérabilité, identification biométrique en temps réel non encadrée. Si oui, vous arrêtez. Si non, deuxième question : est-ce qu'il rentre dans un cas listé à l'Annexe III ou dans un produit régulé de l'Annexe I ? Si oui, c'est haut risque, et vous embrayez sur l'évaluation de conformité (système qualité, documentation technique, surveillance humaine, robustesse). Si non, troisième question : est-ce un système qui interagit avec des humains, génère du contenu ou détecte des émotions ? Si oui, c'est risque limité, et vous avez surtout des obligations de transparence (Article 50). Sinon, c'est risque minimal et vos obligations se résument à la bonne gouvernance.

Pour 80 % de vos cas, vous serez en « risque limité » ou « risque minimal ». Documentez chaque classification : c'est cette traçabilité qui vous sauvera en cas de contrôle.

Semaine 5 — Vérifier la conformité de vos fournisseurs GPAI

Les modèles de fondation (GPT, Claude, Gemini, Mistral, Llama) tombent sous des règles spécifiques aux GPAI applicables depuis le 2 août 2025. Vos fournisseurs doivent vous remettre une documentation technique, un résumé des données d'entraînement et des informations sur les capacités et limites du modèle.

Concrètement : récupérez ces documents auprès de chaque fournisseur LLM utilisé. OpenAI, Anthropic, Google et Mistral publient des fiches modèles et des notes de conformité. Stockez-les dans le dossier AI Act de votre entreprise. C'est rapide et c'est non négociable.

Semaine 6-8 — Lancer l'AI literacy interne (vous êtes déjà en retard)

L'obligation d'AI literacy (Article 4) est en vigueur depuis février 2025. Si vos collaborateurs n'ont pas reçu de formation sur les usages, biais, risques et limites des outils IA qu'ils manipulent, vous êtes déjà non-conforme.

Trois leviers concrets : un module e-learning court (30-45 min) pour 100 % des collaborateurs, un module avancé pour les utilisateurs intensifs, un module dédié au comité exécutif sur la gouvernance IA. C'est exactement ce que nous structurons dans notre accompagnement formation IA, avec une logique d'IA par métier qui rend la formation utile et la trace de complétion devient un livrable de conformité.

Semaine 8-10 — Constituer votre registre interne

Le registre AI Act, c'est l'équivalent du registre RGPD pour les systèmes IA : un document interne qui prouve que vous savez ce que vous utilisez, comment, pourquoi, et avec quelles précautions.

Pour chaque système haut risque, le registre contient : description, finalité, classification, mesures de gestion des risques, supervision humaine, plan de monitoring. Pour les systèmes risque limité, contentez-vous de la fiche d'identité et des mesures de transparence appliquées. Pour les systèmes risque minimal, une ligne dans le tableau suffit.

Ce registre n'est pas demandé tel quel par l'AI Act pour tous les niveaux, mais en pratique, c'est la pièce qui vous permettra de répondre à un contrôle en quelques heures plutôt qu'en quelques mois.

Pour vous éviter de partir d'une page blanche, j'ai construit un template Excel de bilan AI Act qui couvre les sept actions de cette checklist : cartographie, classification automatique selon les 4 niveaux de risque, registre, tracker AI Literacy, conformité fournisseurs GPAI et dashboard de score global. C'est gratuit, sans inscription, et préformatté pour qu'une PME ou ETI puisse démarrer en cinq minutes.

Semaine 10-12 — Mettre à jour transparence et CGU

L'Article 50 impose des obligations de transparence dès qu'un humain interagit avec une IA : il faut le lui dire. Concrètement, ça veut dire revoir vos chatbots clients, vos agents commerciaux automatisés, vos pages support, et préciser explicitement quand un message ou un contenu est généré par IA.

Pour les contenus générés (textes, images, vidéos diffusés en externe), prévoyez un marquage. Pour les CGU, ajoutez une section sur l'usage des systèmes IA dans la fourniture du service. C'est court, mais c'est un irritant fréquent en cas de contrôle.

En transverse — Désigner un responsable AI Act

Pas besoin d'un nouveau poste. Un responsable opérationnel (DSI, COO, secrétaire général) désigné formellement, avec un mandat écrit, suffit à montrer que la gouvernance existe. Il devient le point de contact en cas de question d'un régulateur, et il porte la mise à jour annuelle du registre.

Le cas que je vois trop souvent

Une ETI industrielle française, environ 800 salariés, qui avait déployé un agent commercial IA pour qualifier ses leads entrants, prioriser les rappels et générer les premiers messages personnalisés. Au moment de l'audit AI Act, première réaction du CODIR : « c'est forcément haut risque, ça touche aux clients, on a peur ». Ils étaient prêts à enclencher une analyse de conformité de 6 mois.

Quand on a déroulé la cartographie et la classification, voilà ce qu'on a trouvé : l'agent ne décide pas de l'accès à un service essentiel, ne fait pas de scoring d'éligibilité financière, et ne gère pas de données biométriques. C'est un système d'aide à la priorisation commerciale. Verdict : risque limité, avec deux obligations de transparence (mention « réponse générée par IA » dans les premiers emails, supervision humaine documentée). Le tout traité en deux semaines, registre inclus.

Sans cette analyse, ils auraient gelé l'agent et perdu six mois de productivité commerciale. Avec, ils sont conformes et continuent à scaler. C'est exactement le type de bénéfice qu'apporte une cartographie sérieuse en amont.

Pourquoi l'AI Act ne tuera pas l'innovation européenne

On entend souvent — surtout dans les milieux tech — que l'AI Act va « tuer l'innovation européenne » et que l'Europe condamne ses champions à coups de régulation. Je ne suis pas d'accord, et pour deux raisons.

D'abord parce que l'innovation ne se réduit pas à l'innovation produit. Les droits et devoirs qu'une société se donne sont aussi une forme d'innovation, peut-être la plus structurante de toutes. Le RGPD, en 2018, n'a pas été un texte conservateur : c'était au contraire une loi profondément innovante, qui a réfléchi pour la première fois à un asset (la donnée personnelle) que personne ne savait vraiment cadrer. Aujourd'hui, le RGPD est devenu un standard de fait que d'autres juridictions copient, et il a créé un marché entier de solutions et de compétences. Penser le cadre n'empêche pas de bâtir ; ça oriente la manière de bâtir.

Ensuite parce que ce qui peut effrayer dans l'IA, c'est la perte de contrôle. Aujourd'hui, l'IA est partout, dans toutes les entreprises, sans aucune barrière sérieuse. Quand on dit « les règles européennes empêchent l'innovation », c'est une fausse excuse : l'IA prolifère librement, ce ne sont pas les règles qui la freinent. Si l'Europe peine à produire des champions IA, ce n'est pas une question de régulation, c'est une question de capital. Mistral n'a pas perdu la course à OpenAI à cause de l'AI Act, Mistral a perdu parce qu'il a levé 1 milliard quand OpenAI en lève 40.

L'AI Act ne tuera pas l'innovation. Ce qui tuera l'innovation française, c'est de continuer à confondre conformité et complexité, et à transformer chaque texte européen en projet de neuf mois alors qu'il pourrait être bouclé en trois.

Audit AI Act

Cartographiez vos systèmes IA en 5 jours, pas en 5 mois

Notre audit identifie tous les systèmes IA utilisés dans votre entreprise, les classifie selon les 4 niveaux de risque AI Act et vous livre un registre conforme prêt à l'emploi.

Faites votre diagnostic IA Voir nos solutions

En résumé : 100 jours pour transformer une contrainte en avantage

Les entreprises qui auront fait ce travail avant le 2 août 2026 ne se contenteront pas d'éviter une amende. Elles auront cartographié leur stack IA pour la première fois, formé leurs équipes, identifié leurs cas d'usage à valeur, structuré leur gouvernance. C'est ce qui distingue les entreprises qui font de l'IA un avantage concurrentiel de celles qui la subissent.

100 jours, c'est court mais largement suffisant si on suit la séquence. Cartographier, classifier, vérifier, former, documenter, communiquer, gouverner. Sept actions, douze semaines, et vous passez en mode conforme et productif.

Si vous voulez gagner six semaines sur ce parcours et démarrer avec une cartographie déjà faite, parlons-en. Notre audit AI Act livre la cartographie complète, la classification documentée et le registre prêt à l'emploi en cinq jours ouvrés. Et vous récupérez bien plus que la conformité : vous récupérez une vision exécutive de l'IA dans votre organisation, exploitable bien au-delà du 2 août.

Pour aller plus loin sur les fondamentaux : lisez le texte officiel de l'AI Act sur EUR-Lex, parcourez nos cas d'usage IA en entreprise pour voir comment d'autres organisations ont structuré leur déploiement, ou démarrez par notre diagnostic IA si vous voulez une vue d'ensemble combinant maturité, opportunités et conformité.

AI ActConformité IAAdoption IAGouvernance IA

Articles similaires

Illustration de l'approche IA par métier en entreprise — personnalisation par département
IA par métier

IA par métier : pourquoi le one-size-fits-all ne marche jamais en entreprise

Découvrez pourquoi l'approche IA par métier est la seule qui génère un ROI réel. Cas concret, méthode et erreurs à éviter pour déployer l'IA par département.

Formation Microsoft Copilot 365 en entreprise — maximiser le ROI des licences Copilot
Formation

Formation Copilot Microsoft 365 entreprise : maximisez votre investissement

Vos licences Copilot sont sous-utilisées ? Formation pratique par cas d'usage métier + suivi post-formation pour maximiser le ROI de Microsoft Copilot 365.

Agents IA en entreprise — créer, déployer et mesurer des agents intelligents autonomes
Automatisation

Agent IA entreprise : créer, déployer et mesurer vos agents intelligents

Comment créer et déployer des agents IA dans votre entreprise ? Cas d'usage concrets, étapes de création et métriques pour mesurer l'impact de vos agents.

Guide adoption IA en entreprise — méthodologie en 3 phases pour déployer l'intelligence artificielle
Transformation Digitale

Guide complet : adoption IA en entreprise en 2026

Méthodologie en 3 phases pour adopter l'IA dans votre entreprise : audit des cas d'usage, construction d'outils sur mesure et déploiement avec suivi. Guide actionnable.