AI Act 2026 : conformité PME en 90 jours.

L'AI Act (Règlement UE 2024/1689) est entré en vigueur en août 2024 avec une application par étapes. L'Annexe III — qui définit les systèmes d'IA à haut risque — est pleinement exigible le 2 août 2026. Toute PME qui utilise l'IA pour sélectionner des candidats, évaluer des salariés, accorder des crédits, tarifer des assurances, opérer un triage médical ou noter dans l'éducation doit se conformer. Voici un projet de mise en conformité clé en main en 90 jours.

Quelles obligations l'AI Act applique-t-il à une PME espagnole ?

Le règlement classe les systèmes IA en quatre niveaux : risque inacceptable (interdit), haut risque (Annexe III, fortes obligations), risque limité (obligations de transparence), risque minimal (libre usage). La majorité des PME concernées tombe dans la deuxième catégorie.

Les obligations principales pour un système haut risque incluent : système de gestion des risques, gouvernance des données et qualité des jeux de données d'entraînement, documentation technique, journalisation des événements, transparence vis-à-vis des utilisateurs, supervision humaine, exactitude, robustesse et cybersécurité, marquage CE et déclaration de conformité, enregistrement dans la base de données européenne, et surveillance post-marché.

Combien coûte la conformité à l'AI Act pour une PME espagnole en 2026 ?

Pour une PME de 10 à 50 salariés avec un ou deux systèmes IA à haut risque, le projet clé en main coûte typiquement entre 14 000 € et 28 000 €. Répartition habituelle : diagnostic et cartographie (3 000-5 000 €), gouvernance des données et AIPD (3 000-6 000 €), documentation technique et procédures (4 000-9 000 €), formation des équipes et supervision humaine (2 000-4 000 €), accompagnement à la mise en conformité continue (2 000-4 000 € la première année).

Cofinancement disponible : Kit Consulting (subvention espagnole de conseil, jusqu'à 24 000 € selon segment), Kit Digital pour la catégorie « Inteligencia Artificial » (jusqu'à 6 000 €), aides régionales selon la communauté autonome, et déduction pour innovation technologique sur l'impôt sur les sociétés.

Quels systèmes d'IA sont dans l'Annexe III à haut risque ?

L'Annexe III liste huit domaines. Les plus fréquents chez les PME espagnoles :

• Emploi. Systèmes IA de sélection de candidats, filtrage de CV, entretiens automatisés, évaluation de performance des salariés, décisions de promotion ou de licenciement assistées par IA.
• Services essentiels privés et publics. Scoring de crédit, tarification d'assurance santé ou vie, accès à des aides publiques.
• Éducation et formation professionnelle. IA qui évalue ou note les apprenants, qui décide de l'admission ou détecte la fraude aux examens.
• Application de la loi et migration. Moins fréquent en PME pure mais concerne les prestataires technologiques du secteur public.
• Justice et processus démocratiques. Idem.
• Infrastructures critiques. IA dans la gestion d'eau, d'énergie, de transport.
• Identification et catégorisation biométrique. Reconnaissance faciale, classification d'émotions.
• Composants de sécurité dans les dispositifs médicaux et machines. IA embarquée sous les règlements sectoriels.

Cas réel : cabinet de conseil de 18 salariés met en conformité l'AI Act en 90 jours

Cabinet de conseil RH à Valladolid, 18 salariés, qui utilisait un système IA tiers de filtrage automatique de CV pour ses clients. Diagnostic en semaine 2 : le système relevait clairement de l'Annexe III (emploi). Projet 90 jours : cartographie complète des systèmes IA utilisés, gouvernance des données, AIPD, documentation technique fournie par le prestataire IA puis adaptée, procédures de supervision humaine pour chaque décision automatique, formation des consultants, mise en place du registre interne. Investissement total 21 000 € (cofinancement 8 500 € via Kit Consulting). Résultat : conformité prête en juillet 2026, un mois avant l'échéance.

Quelles étapes suit un projet de conformité AI Act en 90 jours ?

• Semaines 1-2 — Diagnostic et cartographie. Inventaire de tous les systèmes IA utilisés (internes et fournis par des tiers), classification selon le règlement, identification des systèmes Annexe III.
• Semaines 3-5 — Gouvernance des données et AIPD. Audit des jeux de données d'entraînement et d'opération, mesures de qualité, analyse d'impact sur les droits fondamentaux pour chaque système haut risque.
• Semaines 6-9 — Documentation et procédures. Documentation technique conforme à l'annexe IV, procédures de supervision humaine, journalisation, traçabilité, registre interne et procédures de notification d'incidents.
• Semaines 10-11 — Formation et déploiement. Formation des équipes opérationnelles, des responsables et de la direction. Mise en place des contrôles continus.
• Semaine 12 — Audit final et clôture. Audit interne de conformité, rapport final pour la direction, plan de surveillance post-marché et de mise à jour.

Questions fréquentes

Mon entreprise utilise-t-elle un système d'IA à haut risque ?

Si vous utilisez l'IA pour la sélection de candidats, l'évaluation de salariés, l'octroi de crédits, la tarification d'assurances, le triage médical ou la notation éducative, vous êtes dans l'Annexe III.

Combien coûte la mise en conformité ?

Pour une PME de 10 à 50 salariés avec un ou deux systèmes IA à haut risque, le projet clé en main coûte typiquement entre 14 000 € et 28 000 €.

Quelles amendes prévoit l'AI Act ?

Jusqu'à 7 % du chiffre d'affaires annuel mondial pour les pratiques interdites, 3 % pour les manquements aux obligations des systèmes à haut risque, 1,5 % pour les informations incorrectes.

À quelle date l'AI Act est-il pleinement exigible ?

L'Annexe III (systèmes à haut risque) est pleinement exigible le 2 août 2026. Certaines pratiques interdites le sont depuis février 2025.

Peut-on financer le projet avec une subvention publique ?

Oui. Le Kit Consulting (subvention espagnole de conseil) couvre jusqu'à 24 000 €, le Kit Digital jusqu'à 29 000 € selon la catégorie, et certaines régions proposent des aides complémentaires.

Mini-glossaire

• AI Act : Règlement UE 2024/1689 sur l'intelligence artificielle.
• Annexe III : liste des domaines où un système IA est considéré comme à haut risque.
• AIPD : Analyse d'impact relative à la protection des données (RGPD).
• FRIA : Analyse d'impact sur les droits fondamentaux exigée par l'AI Act pour les systèmes haut risque.
• Kit Consulting : subvention espagnole de conseil en transformation numérique.

Sources officielles

• Règlement UE 2024/1689 du Parlement européen et du Conseil (AI Act).
• Lignes directrices de la Commission européenne sur l'application de l'AI Act.
• AESIA (Agencia Española de Supervisión de la Inteligencia Artificial) · guides sectoriels.
• AEPD · interaction RGPD et AI Act.