Mon entreprise est-elle concernée par le AI Act haut risque si elle utilise simplement un outil SaaS de recrutement ?

Oui dans la majorité des cas. Dès qu'un outil SaaS effectue du filtrage, du scoring ou du classement de candidats, il relève de la catégorie Emploi de l'Annexe III. L'entreprise utilisatrice devient déployeur au sens de l'article 26 du AI Act et porte cinq obligations : suivre la notice du fournisseur, assigner une supervision humaine compétente, contrôler la qualité des données d'entrée, conserver les logs, mener une analyse d'impact si pertinent. Le fournisseur de l'outil porte de son côté les sept obligations de l'article 16.

Quelle est la différence entre fournisseur (provider) et déployeur (deployer) au sens du AI Act ?

Le fournisseur développe ou met sur le marché un système IA sous son nom ou sa marque. Le déployeur utilise un système IA dans le cadre de son activité. La distinction est fondamentale car les obligations diffèrent : sept articles 16 pour le fournisseur (documentation technique, marquage CE, registre EU, évaluation de conformité), cinq articles 26 pour le déployeur (supervision, suivi, qualité données, logs, DPIA si pertinent). Attention : une entreprise qui personnalise substantiellement un système achété peut basculer dans la qualification fournisseur.

Un logiciel de productivité bureautique qui utilise l'IA est-il automatiquement haut risque ?

Non. Microsoft Copilot, ChatGPT Business, Notion AI ne sont pas en eux-mêmes haut risque. La qualification dépend de l'usage que l'entreprise en fait. Si Copilot est utilisé pour rédiger des comptes-rendus de réunion, il relève du risque limité (transparence). Si la même entreprise utilise Copilot pour pré-trier 500 CV et générer un classement, le cas d'usage bascule en Annexe III emploi. C'est l'usage qui déclenche la classification, pas l'outil.

Quelles sont les sanctions réelles en cas de non-conformité AI Act ?

Trois échelles de sanctions selon la gravité : 35 millions d'euros ou 7 % du chiffre d'affaires mondial annuel pour la violation des pratiques interdites (article 99), 15 millions d'euros ou 3 % du CA mondial pour la violation des obligations haut risque, 7,5 millions d'euros ou 1 % du CA pour la fourniture d'informations incorrectes aux autorités. Les sanctions s'appliquent au montant le plus élevé. Pour les PME et start-up, des réductions sont possibles mais ne suppriment pas la sanction.

Combien coûte une mise en conformité AI Act pour une PME française ?

Le coût dépend du nombre de systèmes haut risque identifiés et de la complexité métier. Un audit de classification (recensement, qualification, cartographie) coûte entre 3 000 et 8 000 euros pour une PME de 50-200 salariés. La documentation technique complète d'un système se chiffre entre 5 000 et 25 000 euros selon son périmètre. L'évaluation de conformité par tierce partie (si applicable) ajoute 10 000 à 50 000 euros. Les cabinets juridiques pratiquent fréquemment 80 000 à 150 000 euros pour un programme complet : c'est souvent surdimensionné pour une PME à un ou deux systèmes haut risque.

AI Act haut risque : qui est concerné, qui ne l'est pas, et quoi prouver avant le 2 août 2026

Le 7 mai 2026, le Conseil et le Parlement européens ont confirmé la deadline d'application du AI Act pour les systèmes haut risque listés à l'Annexe III : 2 août 2026. La simplification annoncée ne décale pas la date, elle clarifie les standards techniques. Pour une entreprise qui développe ou utilise un outil IA en recrutement, en crédit, en éducation ou en services essentiels, c'est dans douze semaines. Ce guide vous donne la méthode opérationnelle pour classer vos systèmes, produire les documents exigibles et éviter la sanction de 15 millions d'euros ou 3 % du chiffre d'affaires mondial.

1. Le AI Act en une page : qui le produit, qui l'applique

Le AI Act est le Règlement (UE) 2024/1689, adopté le 13 juin 2024, entré en vigueur le 1er août 2024. Premier texte mondial à encadrer l'intelligence artificielle de manière horizontale. Le texte couvre tous les systèmes IA mis sur le marché ou utilisés dans l'Union, quel que soit le pays d'établissement de l'entreprise — un développeur américain ou un éditeur SaaS japonais qui sert des clients européens est concerné.

Union
européenne

Commission
européenne

European
AI Office

Marquage
CE

Trois figures pilotent la mise en œuvre.

Ursula von der Leyen

Présidente Commission EU

Mandat reconduit 2024-2029. Donne l'impulsion politique et arbitre les ajustements du AI Act — dont la simplification du 7 mai 2026.

Roberto Viola

DG CONNECT

Directeur général de la Direction Communications, Networks, Content and Technology. Pilote la mise en œuvre opérationnelle du AI Act.

Lucilla Sioli

Directrice AI Office

Première directrice du bureau européen de l'IA, créé en février 2024. Interlocutrice des fournisseurs de modèles GPAI et coordinatrice des standards techniques.

Crédits photos : Ursula von der Leyen — Wikimedia Commons (portrait officiel 2024). Roberto Viola — Ars Electronica Gala 2018, photo Tom Mesic / Vog.Photo (CC BY-NC-ND 2.0). Lucilla Sioli — European Digital Innovation Hubs Network, sommet annuel 2024 (Commission européenne).

2. Quatre niveaux de risque, une seule catégorie qui pose problème

Le AI Act ne soumet pas tous les systèmes IA aux mêmes règles. Il classe en quatre niveaux selon l'impact potentiel sur les droits fondamentaux et la sécurité.

Niveau 1 · INTERDIT

Pratiques prohibées

Notation sociale, manipulation cognitive, biométrie en temps réel dans l'espace public (sauf exceptions). Sanction : 35 M€ ou 7 % du CA. En vigueur depuis le 2 février 2025.

Niveau 2 · HAUT RISQUE

Annexe III + produits soumis

Recrutement, crédit, éducation, services essentiels, biométrie, infrastructures critiques, justice. Deadline : 2 août 2026. Sept obligations côté fournisseur, cinq côté déployeur.

Niveau 3 · RISQUE LIMITÉ

Transparence

Chatbots, deepfakes, contenus générés. Obligation d'information de l'utilisateur. Pas de marquage CE, pas de registre. Applicable depuis le 2 août 2025.

Niveau 4 · RISQUE MINIMAL

Libre

Filtres anti-spam, recommandations produits, IA dans jeux vidéo. Aucune obligation légale spécifique. Représente la majorité des systèmes IA en circulation.

Le niveau qui déclenche la majorité des projets de mise en conformité cette année est le niveau 2 haut risque. Pas parce qu'il est complexe en soi, mais parce qu'il concerne des cas d'usage très répandus dans les PME et ETI françaises : tout outil de recrutement, de scoring client, d'aide à la décision RH ou de filtrage automatisé tombe potentiellement dedans.

Timeline du calendrier d'application du AI Act 2024-2027 montrant les quatre échéances clés avec le repère du 12 mai 2026. — Calendrier officiel du AI Act — repère aujourd'hui

3. Les huit catégories Annexe III, avec exemples PME français concrets

L'article 6 du AI Act renvoie à l'Annexe III pour la liste exhaustive des cas haut risque. Huit catégories, et la grande majorité des PME concernées tombent dans deux d'entre elles : emploi et services essentiels.

Biométrie non interdite. Identification biométrique à distance (hors espace public temps réel), catégorisation biométrique sensible, reconnaissance d'émotions. Exemple PME : une plateforme de télé-entretien qui détecte les émotions du candidat. Concerne : HR tech, edtech.
Infrastructures critiques. Composants de sécurité dans la gestion du réseau routier, de l'eau, du gaz, de la chaleur, de l'électricité, des réseaux numériques critiques. Exemple PME : une start-up qui vend un système d'optimisation réseau à un régie d'eau. Concerne : industrie, utilities, smart grid.
Éducation et formation professionnelle. Accès aux établissements, évaluation des résultats, attribution d'orientation, détection des comportements pendant les examens. Exemple PME : une edtech B2B qui scoreCAcs étudiants pour des écoles de commerce. Concerne : edtech, formation continue.
Emploi et gestion des travailleurs. Recrutement, filtrage de CV, évaluation pendant l'entretien, attribution de tâches, évaluation de performance, décisions de promotion ou de licenciement. Exemple PME : un ATS (Applicant Tracking System) qui pré-trie automatiquement les candidatures. Concerne : tous secteurs ayant un outil de recrutement IA.
Accès aux services essentiels. Évaluation d'éligibilité aux prestations sociales, scoring de crédit personne physique, scoring d'assurance vie/santé, triage en services d'urgence. Exemple PME : un fintech qui calcule un score de remboursement pour un mini-prêt conso. Concerne : fintech, assurtech, santé.
Application de la loi. Évaluation du risque de récidïve, profilage, analyse de preuves, polygraphes. Concerne quasi exclusivement les fournisseurs des forces de l'ordre.
Migration, asile et contrôle aux frontières. Évaluation du risque posé par un demandeur de visa, examen des demandes d'asile, vérification d'identité. Concerne très peu de PME privées.
Administration de la justice et processus démocratiques. Aide au juge dans la recherche de faits, influence d'élections, modération d'opinions politiques. Concerne legaltech B2B et plateformes éditoriales.

Pour une PME ou ETI française, la probabilité d'être concernée se concentre sur les catégories 4 (emploi) et 5 (services essentiels). Si vous utilisez un ATS, un outil de scoring client, une solution d'aide à la décision de crédit ou d'assurance, ou une plateforme d'évaluation de candidats, vous devez classer.

4. Le test de classification en cinq questions

L'article 6 du AI Act et son article 6(3) introduisent une logique simple : tomber dans l'Annexe III ne suffit pas toujours à basculer en haut risque. Si le système exécute uniquement une tâche procédurale, améliore un travail humain antérieur, ou prépare une évaluation sans la remplacer, l'exception 6(3) peut s'appliquer. Voici l'arbre de décision à suivre.

Arbre de décision en cinq questions pour déterminer si un système IA est haut risque au sens du AI Act 2024. — Arbre de décision haut risque — AI Act article 6 + Annexe III

Les cinq questions, dans l'ordre, sont les suivantes :

Votre système IA tombe-t-il dans une des 8 catégories de l'Annexe III ? Reprenez la liste de la section 3 et confrontez-la à vos cas d'usage réels, pas à la brochure marketing du fournisseur.
Le système exécute-t-il une tâche purement procédurale sans influence sur la décision finale ? Exemple : un OCR qui lit un CV pour remplir un formulaire sans noter le candidat : exception 6(3). Un OCR qui lit un CV et calcule un score de compatibilité : haut risque.
Êtes-vous fournisseur (provider) ou déployeur (deployer) ? Le fournisseur développe ou met sur le marché sous son nom. Le déployeur utilise un système déjà existant dans son activité. La distinction détermine quel article s'applique : 16 ou 26.
Avez-vous personnalisé substantiellement le système du fournisseur ? Si oui, vous pouvez basculer en provider au sens de l'article 25. Personnaliser substantiellement signifie modifier la finalité prévue ou ré-entraîner le modèle, pas simplement configurer des seuils.
Le système est-il déjà en production au 2 août 2026 ou sera-t-il mis en service après ? Les systèmes haut risque mis sur le marché avant le 2 août 2026 bénéficient de l'article 111 (période transitoire 2-6 ans selon le cas). Les systèmes mis en service après sont soumis au régime complet immédiatement.

5. Qui n'est pas concerné (et pour quelles raisons)

Beaucoup d'entreprises paniquent en croyant qu'elles relentent du haut risque alors que non. Quatre cas typiques sortent du régime.

Usage purement bureautique de l'IA générative. Un commercial qui utilise ChatGPT pour rédiger des emails, un comptable qui demande à Claude de vérifier une formule Excel, un marketeur qui demande à Gemini de proposer des accroches : aucun de ces cas ne relève de l'Annexe III. C'est un usage de productivité. Le seul devoir est la transparence si du contenu généré est publié sans édition humaine substantielle.

Recherche, prototypage interne, R&D. Les systèmes en développement, non mis sur le marché ni utilisés en production, sortent du périmètre. Article 2(8). La bascule se fait au moment de la mise en service ou de la commercialisation.

Exception article 6(3). Même dans une catégorie Annexe III, si le système effectue une tâche procédurale déterminée (extraction de données, traduction, classification simple sans évaluation) sans poser de risque significatif sur les droits fondamentaux, il sort du régime haut risque. La documentation de cette évaluation reste obligatoire.

Systèmes IA pour usage militaire, défense, sécurité nationale. Article 2(3). Hors périmètre du AI Act, soumis à d'autres régimes.

6. Fournisseur ou déployeur : la distinction qui change tout

L'erreur la plus fréquente en mai 2026 chez les PME : croire qu'on est déployeur quand on a en réalité le statut de fournisseur. La conséquence est massive : l'article 16 (fournisseur) impose sept obligations cumulatives lourdes, l'article 26 (déployeur) en impose cinq beaucoup plus légères.

Vous êtes fournisseur (provider) au sens du AI Act si :

Vous développez un système IA et le mettez sur le marché sous votre nom ou votre marque (cas typique : éditeur SaaS).
Vous personnalisez substantiellement un système IA acheté en modifiant sa finalité prévue (article 25). Exemple : vous achetez un modèle généraliste, vous le ré-entraînez sur vos données RH pour décider de promotions internes : vous basculez fournisseur.
Vous mettez en service un système IA développé sous votre marque, même s'il est utilisé uniquement en interne.

Vous êtes déployeur (deployer) si :

Vous utilisez dans le cadre de votre activité un système IA développé par un tiers, sans modifier sa finalité prévue.
Cas typique PME : vous payez un abonnement à un ATS du marché (Workable, Greenhouse, Welcome to the Jungle ATS, etc.) pour pré-trier vos candidatures.

L'erreur de qualification coûte cher Un cabinet juridique français spécialisé observait en avril 2026 que près d'un dossier de mise en conformité sur cinq commençait par une qualification erronée — généralement une PME qui se croyait déployeur alors qu'elle était fournisseur du fait d'un ré-entraînement de modèle. Les obligations à produire ne sont pas du tout les mêmes : documentation technique complète, évaluation de conformité, marquage CE, registre EU. La qualification est la première décision à valider — avant toute production de livrable.

7. Les sept obligations du fournisseur (article 16)

Un fournisseur de système IA haut risque doit produire et maintenir sept livrables cumulatifs avant le 2 août 2026.

Système de gestion des risques continu (article 9) — identification, évaluation et atténuation des risques sur tout le cycle de vie. Document vivant, mis à jour à chaque changement substantiel.
Données et data governance (article 10) — jeux d'entraînement, validation et test doivent être pertinents, représentatifs, exempts d'erreurs et de biais documentables. Exigence forte pour les usages RH et crédit.
Documentation technique (article 11 + Annexe IV) — description du système, architecture, données, performances, métriques. Conservée 10 ans, accessible aux autorités.
Tenue de logs (article 12) — troisçabilité automatique des opérations pendant la durée de vie. Conservés 6 mois minimum (ou plus selon règles sectorielles).
Transparence et information de l'utilisateur (article 13) — notice d'utilisation claire, instructions, périmètre de performance, limites connues, supervision humaine attendue.
Supervision humaine effective (article 14) — le système doit être conçu pour permettre à un humain de l'interrompre, de remettre en cause ses sorties, de comprendre ses limites.
Précision, robustesse et cybersécurité (article 15) — niveaux d'exactitude documentés, robustesse aux entrées inattendues, protection contre les attaques adversariales.

S'ajoutent à ces sept obligations de fond trois obligations administratives : évaluation de conformité (article 43), apposition du marquage CE (article 48), enregistrement dans la base de données EU des systèmes haut risque (article 49). Le marquage CE est l'équivalent IA de ce qui existe déjà pour les jouets, les dispositifs médicaux, les machines : une attestation de conformité apposée sur le produit ou sa documentation.

8. Les cinq obligations du déployeur (article 26)

Le régime déployeur est plus léger mais loin d'être nul. Pour une PME qui utilise un outil tiers en catégorie haut risque, voici les cinq obligations à assumer.

Mesures techniques et organisationnelles pour respecter la notice d'utilisation du fournisseur. Concrètement : lire la notice, l'intégrer à vos processus, former vos équipes.
Supervision humaine assignée à une personne physique disposant de la compétence, de la formation et de l'autorité nécessaires. Pas une simple ligne dans le contrat : un humain identifié, formé, capable d'interrompre ou de challenger les décisions IA.
Pertinence et qualité des données d'entrée — le déployeur reste responsable de la propreté et de la représentativité des données qu'il fournit au système. Données CV biaisées : la responsabilité vous remonte.
Conservation des logs — au minimum 6 mois, sauf règle sectorielle plus stricte (RH, secteur financier, santé).
Analyse d'impact sur les droits fondamentaux (FRIA) — obligatoire pour les organismes publics et certains secteurs régulés, recommandée dans tous les autres cas. Compléte (et ne remplace pas) le DPIA RGPD.

9. La méthode opérationnelle en quatre sprints

Il reste 82 jours au 12 mai. Le programme de mise en conformité tient en quatre sprints de deux semaines chacun. Cible : une PME de 30 à 250 salariés avec un ou deux systèmes IA potentiellement haut risque.

Sprint 1 (semaines 1-2) : recensement et qualification

Inventaire de tous les outils IA en service : SaaS, modules métier, scripts internes, agents.
Classification de chaque outil selon l'arbre de décision (section 4).
Qualification du statut juridique pour chaque outil haut risque : fournisseur, déployeur, ou les deux selon usage.
Livrable : Tableau de classification avec, pour chaque outil, statut, catégorie Annexe III, justification.

Sprint 2 (semaines 3-4) : documentation et lecture de notice

Pour chaque outil en régime déployeur : récupération des notices fournisseur, lecture critique, identification des conditions d'usage non respectées.
Pour chaque outil en régime fournisseur : lancement de la documentation technique (annexe IV) ou demande à un prestataire.
Politique de supervision humaine : qui supervise, sur quels déclencheurs, comment trace-t-on.
Livrable : Pochette documentaire par outil + politique de supervision humaine de l'entreprise.

Sprint 3 (semaines 5-6) : gouvernance, données, logs

Mise en place de la collecte de logs sur les outils haut risque (souvent une simple activation côté SaaS).
Revue des données d'entrée (qualité, biais documentables, représentativité).
FRIA (Fundamental Rights Impact Assessment) si applicable.
Formation des superviseurs humains.
Livrable : Politique de gouvernance des données + FRIA + plan de formation.

Sprint 4 (semaines 7-8) : finalisation et registre

Pour les fournisseurs : évaluation de conformité (par soi-même ou par organisme tiers selon le cas), apposition du marquage CE, enregistrement dans la base EU.
Pour les déployeurs : signature interne de la politique IA, communication au CSE, documentation des cas d'usage.
Mise en place du processus de revue annuelle.
Livrable : Dossier conformité complet prêt pour audit autorité nationale (en France, CNIL renforcée par les compétences AI Office).

Pour une PME à un seul système haut risque (cas le plus fréquent), le programme est compressible à 6 semaines avec un binome interne (un DSI ou DPO + un juriste interne ou externe). Pour une ETI multi-systèmes, comptez 12 à 16 semaines.

10. Sanctions : ce que vous risquez concrètement

Le AI Act distingue trois échelles de sanctions, codifiées à l'article 99.

Manquement	Sanction	Critère
Pratique interdite (Niveau 1)	Jusqu'à 35 M€ ou 7 % du CA mondial annuel	Montant le plus élevé
Violation obligations haut risque	Jusqu'à 15 M€ ou 3 % du CA mondial annuel	Montant le plus élevé
Information incorrecte aux autorités	Jusqu'à 7,5 M€ ou 1 % du CA mondial annuel	Montant le plus élevé

Pour les PME et start-up, des réductions sont prévues mais ne suppriment pas la sanction. Le scénario réaliste pour une PME française au 2 août 2026 n'est pas une amende de 15 M€, mais :

Une mise en demeure par l'autorité compétente avec délai de mise en conformité de 60 à 90 jours.
Un audit forcé sur place ou sur pièces (les autorités démarrent par les outils RH les plus visibles).
En cas de manquement persistant ou de dommage avéré à un candidat ou un client : action en justice civile (le client cite la non-conformité AI Act comme preuve de faute), parallèle à la sanction administrative.
Impact concret le plus probable : une PME entre 10 et 50 salariés qui se voit infliger une amende administrative entre 20 000 et 200 000 euros, plus l'arrêt forcé du système concerné jusqu'à mise en conformité.

11. Ressources officielles et points d'appui

Trois sources publiques permettent de vérifier vos obligations sans cabinet :

AI Act Service Desk de la Commission européenne (ai-act-service-desk.ec.europa.eu) — portail officiel, base de connaissances structurée par article. Répond aux questions en moins de 15 jours ouvrés.
Règlement (UE) 2024/1689 consolidé sur artificialintelligenceact.eu — texte intégral commentaire article par article, gratuit.
European AI Office (digital-strategy.ec.europa.eu) — publications officielles, standards harmonisés, Codes of Practice GPAI.

Côté français, la CNIL a publié en avril 2026 une fiche pratique sur l'articulation AI Act / RGPD, et organise des webinaires mensuels pour les PME. La DGE (Direction générale des entreprises) maintient un guide pratique adressé aux ETI et grands groupes industriels.

Règle d'or 2026 Documenter une exception 6(3) est plus simple que documenter un régime haut risque complet. Avant de lancer un programme à 80 000 €, vérifiez si l'exception s'applique à votre cas. Beaucoup d'usages PME tombent dans 6(3) avec une documentation 2 pages, alors que les cabinets juridiques vendent par défaut un programme complet.

12. Conclusion : 82 jours, deux décisions, un livrable

L'AI Act haut risque ne demande pas un projet géant. Il demande deux décisions et un livrable.

Première décision : classez chaque système IA en service ou en projet selon l'arbre de la section 4. Beaucoup d'usages PME tombent en régime limité ou en exception 6(3). Le travail de classification prend une journée pour une PME à cinq outils IA.

Deuxième décision : pour chaque outil haut risque confirmé, identifiez si vous êtes fournisseur ou déployeur. La majorité des PME qui utilisent du SaaS sont déployeurs, et le régime article 26 est nettement plus léger que l'article 16.

Le livrable : un dossier de conformité (classification + notices + politique supervision + logs + FRIA si applicable) prêt au 2 août 2026. Pas un livre de 200 pages. Un dossier opérationnel, à jour, exhibable à l'autorité en cas d'audit.

La fenêtre de tir est de 82 jours au 12 mai 2026. Ce qui se joue n'est pas l'amende théorique de 15 M€ (peu probable pour une PME), mais le risque opérationnel d'un système arrêté en cours de saison commerciale, et la perte de confiance client si un cas devient public.