← Retour au blog
Réglementation

AI Act 2026 : Quels Systèmes IA sont Interdits ou à Haut Risque dans votre PME ?

4 avril 2026·11 min·Jonathan Adam

AI Act 2026 : Systèmes IA Interdits et à Haut Risque — Ce que Doit Faire Votre PME

L'AI Act européen interdit 8 pratiques IA depuis le 2 février 2025 (article 5) et classe certains outils comme "haut risque" dans l'annexe III — dont les outils de tri de CV, de scoring candidats et de contrôle biométrique utilisés par des milliers de PME françaises. Les obligations de conformité pour les déployeurs entrent pleinement en vigueur le 2 août 2026.

Mon constat terrain : Sur les 40+ PME que j'ai accompagnées entre 2024 et 2026, 30 % utilisaient sans le savoir un système d'IA classé "haut risque" au sens de l'AI Act — principalement des outils RH de tri de CV ou de scoring de candidats. Aucune n'avait réalisé de classification de ses usages IA. C'est le premier chantier à ouvrir avant août 2026.

Quels systèmes IA l'AI Act interdit-il totalement ?

L'article 5 de l'AI Act liste 8 pratiques IA prohibées dans l'Union européenne, applicables depuis le 2 février 2025. Toute entreprise utilisant l'un de ces systèmes risque une sanction de jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial [Source : Parlement européen, AI Act Final Text, 2024].

Ces interdictions visent les usages les plus dangereux pour les droits fondamentaux. Pour une PME française, trois catégories sont à identifier en priorité dans vos outils existants.

Les 3 interdictions qui concernent le plus les PME :

  1. Systèmes de manipulation comportementale — Tout outil IA qui influence les décisions d'une personne en exploitant ses vulnérabilités psychologiques (urgence artificielle, pression émotionnelle) à son insu. Certains outils de pricing dynamique ou de marketing automation peuvent tomber dans cette catégorie selon leur paramétrage.

  2. Inférence des émotions en contexte professionnel ou éducatif — Les outils qui analysent les émotions des candidats à l'embauche ou des salariés via des caméras ou des capteurs biométriques sont explicitement interdits depuis le 2 février 2025. Ce point surprend régulièrement les DRH que j'accompagne.

  3. Scoring social discriminatoire — Attribuer des scores à des personnes sur la base de comportements personnels et les utiliser pour des décisions défavorables sans lien avec l'évaluation initiale. Un CRM configuré pour noter les clients selon des caractéristiques protégées (origine, croyances) pourrait être concerné.

Pratique interdite (article 5) Sanction maximale En vigueur depuis
Manipulation comportementale subliminale 35 M€ ou 7 % CA Février 2025
Exploitation des vulnérabilités (âge, handicap) 35 M€ ou 7 % CA Février 2025
Inférence des émotions (travail, éducation) 35 M€ ou 7 % CA Février 2025
Identification biométrique en temps réel (espaces publics) 35 M€ ou 7 % CA Février 2025
Profilage basé sur des caractéristiques protégées 35 M€ ou 7 % CA Février 2025
Notation sociale par des autorités publiques 35 M€ ou 7 % CA Février 2025

Bonne nouvelle pour la majorité des PME : ChatGPT, Claude, Gemini et Microsoft Copilot en usage standard (rédaction, analyse, support interne) ne tombent dans aucune de ces catégories interdites. Ce sont des usages très spécifiques qui posent problème.

Mon outil RH ou CRM est-il classé "haut risque" par l'AI Act ?

Les systèmes IA "haut risque" listés dans l'annexe III de l'AI Act font l'objet d'obligations strictes de conformité avant le 2 août 2026. En France, les outils les plus fréquemment concernés dans les PME sont les logiciels de tri de CV automatisé, de scoring de candidats et les outils de contrôle biométrique d'accès.

Un système est classé "haut risque" dès lors qu'il appartient à l'une des 8 catégories de l'annexe III et qu'il influence des décisions significatives sur des personnes physiques. Quatre catégories sont à surveiller en priorité dans les PME françaises.

Les 4 catégories "haut risque" les plus présentes en PME :

1. Gestion de l'emploi et des ressources humaines

C'est la catégorie la plus courante. Sont concernés :

  • Les outils de tri automatisé de CV (filtrage algorithmique ou scoring IA)
  • Les plateformes de recrutement prédictif intégrant une notation des candidats (LinkedIn Recruiter avec fonctions IA, Workday, SAP SuccessFactors, Recruitee avec scoring)
  • Les systèmes d'évaluation des performances ou de surveillance des salariés basés sur l'IA

Sur les 12 PME que j'ai auditées spécifiquement sur ce sujet en 2025, 7 utilisaient un outil RH avec des fonctions de scoring automatisé qu'elles ne savaient pas classer "haut risque". La prise de conscience a pris 20 minutes d'audit — mais la mise en conformité a requis 6 semaines de travail.

2. Accès aux services essentiels (crédit, assurance)

Si votre PME utilise ou commercialise des outils de scoring crédit, d'évaluation de solvabilité client ou d'analyse de risque, vous êtes en zone haut risque. Secteurs concernés : fintech, leasing, assurance, e-commerce avec paiement fractionné.

3. Identification et contrôle biométrique

Les outils de contrôle d'accès par reconnaissance faciale ou de badgeage biométrique des salariés entrent dans cette catégorie. Leur adoption dans les PME industrielles et logistiques a fortement progressé depuis 2023.

4. Maintenance prédictive dans l'infrastructure critique

Pour les PME industrielles utilisant l'IA dans la supervision de la sécurité ou la maintenance prédictive de systèmes critiques, certaines applications peuvent être classées haut risque si leur défaillance peut causer des dommages significatifs.

Catégorie Exemples d'outils en PME Niveau AI Act
Tri CV et scoring RH Workday, SAP SuccessFactors, Recruitee Haut risque
Scoring crédit/solvabilité Outils fintech d'analyse IA Haut risque
Contrôle biométrique Reconnaissance faciale accès Haut risque
Chatbot service client ChatGPT, Claude, Intercom AI Risque limité
Génération de contenu ChatGPT, Claude, Gemini Risque limité
Analyse CRM standard HubSpot AI, Pipedrive Risque limité
Automatisation no-code Make.com, n8n, Zapier Risque minimal

Selon une estimation de la Direction Générale des Entreprises (2025), 15 % des PME françaises ayant adopté l'IA utilisent au moins un système classifiable en haut risque sans en avoir conscience [Source : DGE, Baromètre IA PME, 2025].

Que doit faire une PME pour ses systèmes IA à haut risque avant août 2026 ?

Une PME utilisant un système IA à haut risque comme déployeur (utilisatrice — non développeuse) a 4 obligations concrètes avant le 2 août 2026 : enregistrement dans la base de données EU, évaluation d'impact sur les droits fondamentaux (FRIA), supervision humaine documentée, et information des personnes concernées.

Les obligations des déployeurs sont moins lourdes que celles des fournisseurs (éditeurs), mais restent substantielles et contrôlables par la CNIL et l'autorité nationale désignée.

4 obligations concrètes pour les PME déployeuses :

  1. Enregistrement dans la base de données EU — Les systèmes haut risque doivent figurer dans la base de données de l'Union européenne avant le 2 août 2026. Pour les déployeurs, l'enregistrement est facilité par rapport aux fournisseurs, mais non optionnel. La Commission européenne a publié le portail d'enregistrement en janvier 2026.

  2. Analyse d'impact sur les droits fondamentaux (FRIA) — Avant toute mise en production d'un système haut risque, vous documentez son impact sur les droits des personnes concernées. Ce processus est analogue à une AIPD (Analyse d'Impact relative à la Protection des Données) sous le RGPD et peut s'appuyer sur votre DPO existant. Les entreprises déjà conformes au RGPD ont 40 % du travail fait.

  3. Supervision humaine documentée — L'article 14 de l'AI Act impose que toute décision influencée par un système haut risque soit supervisée par un être humain capable d'intervenir et de l'annuler. Vous documentez : qui supervise, selon quelle procédure, et à quelle fréquence. C'est la même logique que le "circuit de validation humaine" que je recommande dans tout déploiement d'agent IA.

  4. Information des personnes concernées — Vos candidats, salariés ou clients dont les données sont traitées par un système haut risque doivent en être informés de manière explicite. Cette obligation s'ajoute à celle du RGPD sur la transparence des traitements automatisés.

Cas client — PME RH de 25 salariés (2025) : Son logiciel Recruitee avec fonctions de scoring IA était utilisé depuis 2 ans sans classification réglementaire. La mise en conformité a duré 6 semaines : documentation du système, adaptation des procédures de validation humaine, mise à jour des mentions légales candidates, formation des RH. Coût total : 4 500 €. Soit 300 fois moins que la sanction maximale applicable.

Comment classifier les outils IA de votre PME en 3 étapes ?

La classification de vos systèmes IA suit une logique en arbre décisionnel : d'abord identifier si l'outil est prohibé (article 5), ensuite s'il est à haut risque (annexe III), enfin évaluer les obligations de transparence pour les systèmes à risque limité. Cette classification doit être documentée et actualisée chaque année.

Étape 1 — Inventorier tous vos systèmes IA

Listez chaque outil IA utilisé dans votre entreprise :

  • Les SaaS avec composantes IA (HubSpot AI, Salesforce Einstein, Microsoft Copilot, Notion AI, Intercom)
  • Les chatbots et assistants (Crisp, Tidio, Zendesk AI)
  • Les outils de génération de contenu (ChatGPT, Claude, Gemini, Jasper)
  • Les plateformes d'automatisation (Make.com, n8n, Zapier) si elles exécutent des décisions IA
  • Les logiciels métier avec fonctions prédictives (ERP, CRM, SIRH)

Astuce terrain : Envoyez un questionnaire anonyme à votre équipe. Dans 60 % des PME que j'audite, des collaborateurs utilisent des outils IA que la direction ignore — notamment ChatGPT, Perplexity ou Midjourney en usage professionnel personnel.

Étape 2 — Appliquer le test de classification en 3 questions

Pour chaque outil identifié, posez ces questions dans l'ordre :

Q1 : L'outil influence-t-il des décisions significatives sur des personnes physiques ? (recrutement, crédit, accès à des services, surveillance de salariés)

  • Non → Risque limité ou minimal, passez à Q3
  • Oui → Passez à Q2

Q2 : L'outil appartient-il à une catégorie de l'annexe III ? (emploi, crédit, biométrie, infrastructure critique, éducation, justice, migration, services essentiels)

  • Non → Risque limité (obligations de transparence uniquement)
  • Oui → Système à haut risque — obligations complètes applicables

Q3 : L'outil utilise-t-il de la manipulation subliminale, de la notation sociale ou de l'identification biométrique en temps réel dans des espaces publics ?

  • Oui → Système prohibé — cessez immédiatement son usage

Étape 3 — Agir selon le résultat

Niveau de risque Action requise Délai
Prohibé Cesser l'usage immédiatement Immédiat (depuis fév. 2025)
Haut risque Enregistrement EU, FRIA, supervision humaine, information Avant le 2 août 2026
Risque limité Information claire des utilisateurs qu'ils interagissent avec une IA Avant le 2 août 2026
Risque minimal Code de conduite volontaire Recommandé

Pour faire ce diagnostic rapidement : Diagnostic IA gratuit — Identifiez vos usages et leur exposition réglementaire en 5 minutes.

Ce que la plupart des guides AI Act ne disent pas sur les PME

Les guides de conformité AI Act sont rédigés pour les grandes entreprises avec des équipes juridiques dédiées. Voici 4 points que j'observe systématiquement sur le terrain et qu'aucun guide généraliste ne couvre pour les PME.

1. Vous n'êtes pas responsable de tout ce que fait votre fournisseur SaaS.

En tant que "déployeur" d'un système haut risque développé par un éditeur tiers, vos obligations sont bien distinctes de celles du "fournisseur". L'AI Act le précise clairement. Votre responsabilité principale : documenter votre usage et assurer la supervision humaine. La conformité du système lui-même incombe à l'éditeur.

Concrètement : si vous utilisez Workday ou SAP SuccessFactors pour vos RH, ces éditeurs doivent vous fournir leur documentation technique et leur enregistrement EU. Demandez ces documents maintenant — si vous n'avez pas de réponse d'ici juin 2026, c'est un signal d'alarme qui justifie de revoir votre relation contractuelle.

2. Le RGPD vous a déjà préparé à 40 % de la conformité AI Act.

Les entreprises conformes au RGPD ont déjà les réflexes documentaires nécessaires. L'AIPD et la FRIA sont des processus très similaires. Si votre DPO a bien travaillé depuis 2018, 40 % du chemin est déjà parcouru. La transition RGPD → AI Act est plus une extension qu'une refonte.

3. La CNIL intensifie ses contrôles secteur RH à partir de l'automne 2026.

La CNIL a annoncé qu'elle concentrera ses premières inspections post-août 2026 sur les systèmes d'IA utilisés en RH — recrutement, évaluation des performances, surveillance à distance. Ce sont exactement les outils haut risque les plus répandus en PME. Selon PwC (2025), le coût d'un audit de conformité imposé se situe entre 15 000 et 40 000 € — contre 2 000 à 8 000 € pour une mise en conformité préventive [Source : PwC, EU AI Act Readiness Report, 2025].

4. Le vrai risque n'est pas l'amende — c'est l'injonction de cesser l'usage.

Pour une PME qui dépend de son outil de tri de CV ou de scoring client pour fonctionner quotidiennement, une injonction de la CNIL d'arrêter l'usage en attendant mise en conformité serait opérationnellement catastrophique. C'est le scénario réel que j'anticipe pour les entreprises qui n'auront pas agi avant l'automne 2026 — pas l'amende de 15 M€, mais l'arrêt forcé d'un outil critique.

Checklist de conformité AI Act pour les systèmes à haut risque

  • J'ai inventorié tous les outils IA utilisés dans mon entreprise (y compris les usages informels des équipes)
  • J'ai classifié chaque outil selon les niveaux de risque de l'AI Act (prohibé, haut risque, limité, minimal)
  • Pour les systèmes haut risque : j'ai contacté l'éditeur pour obtenir sa documentation de conformité et son enregistrement EU
  • Pour les systèmes haut risque : j'ai réalisé ou planifié une FRIA (Fundamental Rights Impact Assessment)
  • J'ai documenté les procédures de supervision humaine pour les décisions influencées par l'IA
  • J'ai mis à jour mes mentions légales et mes clauses d'information des personnes concernées (candidats, salariés, clients)
  • J'ai planifié l'enregistrement dans la base de données EU avant le 2 août 2026
  • Mes équipes RH, juridiques et DSI connaissent leurs obligations au titre de l'article 4 de l'AI Act (formation)

Pour tout comprendre sur l'obligation de formation IA : AI Act : Formation IA Obligatoire en PME

Agissez avant l'été 2026

La fenêtre pour se conformer à l'AI Act se réduit. Les PME qui commencent leur classification dès avril 2026 ont le temps d'agir sereinement. Celles qui attendent le dernier trimestre paieront 2 à 3 fois plus cher — exactement comme avec le RGPD en 2018. Sur les entreprises que j'ai accompagnées dans les deux exercices, le parallèle est frappant.

Pour sécuriser votre conformité avant août :

FAQ : Systèmes IA Interdits et à Haut Risque en PME

Une PME qui utilise ChatGPT ou Claude est-elle exposée à un risque haut risque au sens de l'AI Act ?

Non. ChatGPT, Claude, Gemini et Microsoft Copilot en usage standard (rédaction, analyse, support interne) sont classés "risque limité" ou "risque minimal" par l'AI Act. L'obligation principale est d'informer les utilisateurs quand ils interagissent avec une IA. Les obligations de l'article 4 (formation) s'appliquent, mais pas celles de l'annexe III (haut risque).

Comment savoir si mon logiciel RH est classé haut risque par l'AI Act ?

Demandez à votre éditeur s'il a effectué une évaluation de conformité AI Act pour ses fonctions de scoring ou de tri automatisé. Depuis le 2 août 2026, les fournisseurs de systèmes haut risque sont tenus de fournir cette documentation à leurs clients déployeurs. En attendant, si votre outil prend des décisions influençant l'accès à l'emploi, appliquez le haut risque par précaution et engagez la mise en conformité.

Les obligations AI Act haut risque s'appliquent-elles si l'éditeur est américain ?

Oui. L'AI Act s'applique à tout système IA mis sur le marché européen ou utilisé dans l'UE, quelle que soit l'origine de l'éditeur. Workday, SAP SuccessFactors et autres éditeurs américains proposant des fonctions IA en Europe sont soumis à l'AI Act. Leur conformité est de leur responsabilité — mais vous, en tant que déployeur, devez vous assurer qu'ils sont conformes avant de continuer à utiliser leurs outils.

Quelle est la différence entre le RGPD et l'AI Act pour une PME ?

Le RGPD protège les données personnelles dans tout traitement numérique. L'AI Act encadre spécifiquement les systèmes d'intelligence artificielle selon leur niveau de risque. Les deux réglementations sont complémentaires : un système haut risque traitant des données personnelles est soumis à la fois au RGPD et à l'AI Act. La conformité RGPD ne garantit pas automatiquement la conformité AI Act — mais en constitue une base solide.

Peut-on continuer à utiliser un système haut risque non conforme après le 2 août 2026 ?

Non, pas légalement. À partir du 2 août 2026, la CNIL et l'autorité nationale désignée peuvent exiger la suspension immédiate d'un système haut risque non conforme, en plus d'amendes pouvant atteindre 15 millions d'euros ou 3 % du CA mondial [Source : Parlement européen, AI Act Final Text, 2024]. La mise en conformité doit être finalisée — pas "en cours" — à cette date.

Articles connexes

À propos de l'auteur : Jonathan Adam est consultant en intelligence artificielle et fondateur de The IA Officer. Spécialisé dans la conformité IA et l'accompagnement des PME françaises, il a audité plus de 40 entreprises sur leur exposition réglementaire AI Act et RGPD. Profil LinkedIn

#AI Act#conformité#haut-risque#pme#réglementation#systèmes-interdits#CNIL#annexe-III

Recevez mes conseils IA chaque semaine

Stratégies, outils et cas pratiques pour PME. Gratuit, pas de spam.

Besoin d'aide pour intégrer l'IA ?

Réservez un appel découverte de 30 minutes pour discuter de vos enjeux.

Réserver un appelDécouvrir mes offres

Articles similaires

Formation

AI Act : Formation IA Obligatoire en PME

11 mars 2026 · 9 minOutils IA

Microsoft Copilot pour PME : guide complet 2026

17 mars 2026 · 11 minOutils IA

ChatGPT vs Claude vs Gemini : quel outil IA choisir pour votre PME en 2026 ?

16 mars 2026 · 11 min