Ce que le Digital Omnibus a vraiment changé
Le 7 mai 2026, Parlement européen et Conseil ont trouvé un accord politique appelé Digital Omnibus. La grande nouvelle : les systèmes IA listés en Annexe III du règlement, qu'on appelle "à haut risque", voient leurs obligations de conformité reportées du 2 août 2026 au 2 décembre 2027.
Ce report concerne les cas d'usage les plus réglementés par le texte :
- La biométrie (reconnaissance faciale, identification à distance).
- La gestion des ressources humaines automatisée (présélection de CV, scoring de candidats, évaluation de performance par algorithme).
- L'accès aux services essentiels : crédit, aides sociales, assurance.
- L'éducation et la formation (systèmes d'évaluation automatisée des apprenants).
- La migration, l'asile et le contrôle aux frontières.
- L'administration de la justice et les forces de l'ordre.
Pour la grande majorité des PME du Loiret (45) ou d'Indre-et-Loire (37), cette liste ne correspond à aucun outil déployé au quotidien. Une société de transport à Blois, un artisan du bâtiment à Chartres, un cabinet comptable à Bourges : aucun de ces acteurs ne fournit ni n'opère de tels systèmes.
Cela dit, l'accord du 7 mai n'est pas encore publié au Journal officiel de l'Union européenne. Sa publication est attendue avant le 2 août 2026 pour avoir force de loi. Le calendrier initial reste techniquement en vigueur jusqu'à cette publication. Si vous opérez un système haut risque Annexe III, ne comptez pas sur ce report pour remettre à plus tard votre préparation.
Et surtout : deux obligations du règlement ne sont pas concernées par le report. Elles s'appliquent à toutes les entreprises qui utilisent l'IA, dès le 2 août 2026.
Article 4 : la culture IA obligatoire dans votre entreprise
L'Article 4 de l'EU AI Act impose aux employeurs de s'assurer que leurs équipes ont un niveau suffisant de compétences sur l'IA. Le texte appelle ça l'"AI literacy". Traduction directe pour un dirigeant de PME : vos collaborateurs qui utilisent des outils IA dans leur travail doivent comprendre ce qu'ils font, ses limites, et vous devez être en mesure de le démontrer.
Pas de formation certifiante imposée. Pas de diplôme à présenter à un inspecteur. Mais une démarche documentée : qui utilise quoi, avec quelle compréhension des limites de l'outil, et quelle procédure en cas d'erreur ou de résultat inattendu.
Pour une PME de 15 personnes à Orléans qui utilise Mistral ou Claude pour rédiger des réponses emails, ça ressemble à ça :
- Un document interne listant les outils IA autorisés et leurs usages.
- Une règle claire sur ce qu'on ne met pas dans l'IA : données clients identifiables, données médicales, informations contractuelles sensibles.
- Une réunion de 2 heures pour expliquer comment fonctionnent ces outils, pourquoi ils peuvent se tromper, et comment vérifier les sorties.
- Un référent IA nommé dans l'équipe, même à temps partiel.
Ce n'est pas lourd. Mais ça doit exister, et être traçable. Si un collaborateur utilise un assistant IA pour gérer des dossiers clients sans cadre documenté, vous n'êtes pas en conformité avec l'Article 4.
Article 50 : votre chatbot doit s'identifier comme une IA
Si votre entreprise déploie un système IA en contact direct avec des utilisateurs, vous avez une obligation de transparence. L'utilisateur doit savoir qu'il interagit avec une machine et non un humain. La règle s'applique à partir du moment où l'interaction est plausiblement confondue avec un échange humain.
Concrètement, les situations concernées pour une PME :
- Un chatbot sur votre site web piloté par une IA (et non par des scripts à règles fixes).
- Un assistant IA dans votre service client qui répond aux demandes entrantes.
- Un outil de réponse automatique aux emails ou messages sur les réseaux sociaux.
- Un agent IA vocal qui traite les appels entrants.
L'obligation : informer l'utilisateur de manière claire, au début de l'interaction. Pas dans les CGV, pas dans un bandeau cookie. Un message visible et compréhensible : "Vous êtes en contact avec un assistant automatisé."
Les outils de génération de contenu (textes, images, vidéos présentés comme authentiques) ont aussi des obligations de marquage. Si vous produisez du contenu généré par IA en le présentant comme réel, vous devez l'indiquer.
La mise en conformité sur l'Article 50 prend 10 à 30 minutes selon l'outil utilisé. C'est la vérification la plus rapide à faire avant le 2 août.
Quatre vérifications à faire avant le 2 août, dans votre PME
Pas besoin de cabinet juridique pour commencer. Voilà ce qu'il faut vérifier maintenant.
1. Faites l'inventaire de vos outils IA. Listez tous les outils qui ont une composante IA dans votre organisation : assistants de rédaction, outils d'analyse de données, chatbots, plateformes d'automatisation avec des noeuds IA (n8n, Make...), solutions de reconnaissance d'images ou de documents. Cette liste constitue la base de votre documentation Article 4.
2. Vérifiez si vous avez un système en contact avec vos clients ou prospects. Si oui, il doit s'identifier comme une IA dès l'ouverture de l'interaction. Modifiez le message d'accueil de votre chatbot maintenant.
3. Nommez un référent IA dans votre équipe. Dans une PME de 10 à 50 personnes, c'est souvent le dirigeant ou la responsable administrative qui endosse ce rôle dans un premier temps. L'objectif : avoir une personne qui centralise les questions sur les usages IA et maintient la documentation à jour.
4. Documentez vos règles d'usage. Un document d'une page suffit pour commencer : quels outils IA sont utilisés, par qui, pour quoi, ce qu'on n'y met pas. Partagez-le avec vos équipes. Mettez une date dessus.
Ces quatre étapes prennent une demi-journée. Elles vous mettent en situation de conformité sur les Articles 4 et 50, et vous donnent une base solide pour aborder sereinement les obligations Annexe III d'ici décembre 2027.
Pour aller plus loin sur la sécurité de vos données dans ces outils, consultez notre guide IA en entreprise : comment l'intégrer sans exposer vos données. Et pour faire le point sur votre situation globale, demandez un diagnostic IA gratuit.
Ce que je vois dans les PME du Loiret et du Loir-et-Cher
Depuis début 2026, j'accompagne des PME du Loiret (45), du Loir-et-Cher (41) et de l'Indre-et-Loire (37) sur leurs projets IA et automatisation. Consultant indépendant basé à Orléans, j'interviens aussi sur Tours, Blois, Chartres et Bourges.
Ce que j'observe : la grande majorité des dirigeants n'ont pas de système IA à haut risque au sens de l'Annexe III. Pas de scoring RH automatisé, pas de biométrie, pas de crédit décidé par algorithme sans supervision humaine.
En revanche, beaucoup utilisent des outils IA au quotidien sans y avoir réfléchi dans un cadre réglementaire. Des assistants de rédaction, des outils de traduction automatique, des automatisations n8n ou Make avec des appels à des modèles de langage. Et certains ont installé un chatbot sur leur site web sans avoir ajouté de mention "assistant automatisé".
Ce sont ces deux points qui constituent le risque court terme. Pas le haut risque Annexe III, reporté à 2027. Mais l'Article 4 et l'Article 50, actifs dans 27 jours.
La bonne nouvelle : c'est rapide à traiter. Un après-midi suffit pour documenter vos usages IA et mettre à jour votre chatbot. Ce n'est pas un projet de conformité RGPD de six mois. Mais si vous attendez le 3 août pour vous y mettre, vous serez formellement hors délai.
Pour comprendre comment j'interviens sur ces sujets, vous pouvez consulter la page à propos ou contacter directement via les boutons ci-dessous.
Je fais le point avec vous en 30 minutes : inventaire des outils, vérification Article 4 et Article 50, actions à prioriser. Sans jargon juridique, sans engagement. Depuis Orléans, j'accompagne les PME du Centre-Val de Loire sur leurs projets IA et automatisation.
Appeler maintenantQuestions pratiques sur l'EU AI Act pour les PME
Mon outil de présélection de CV est-il considéré à haut risque par l'EU AI Act ?
Les systèmes de recrutement avec scoring automatisé des candidats figurent effectivement en Annexe III, dans la catégorie emploi et gestion des ressources humaines. Grâce au Digital Omnibus (accord du 7 mai 2026), les obligations formelles pour ces systèmes sont reportées à décembre 2027. Mais si vous utilisez déjà ce type d'outil, commencez dès maintenant à documenter : quels critères utilise l'algorithme, qui valide les décisions finales, comment un candidat peut contester. Cela vous prépare à 2027 et constitue aussi une bonne pratique RGPD.
Qu'implique concrètement l'obligation d'AI literacy (Article 4) ?
L'Article 4 ne prescrit pas de formation certifiante. Il demande que vos collaborateurs utilisant des outils IA comprennent leur fonctionnement général, leurs limites et les risques associés. En pratique : listez qui utilise quoi dans votre entreprise, organisez une session de 1 à 2 heures sur les outils déployés, et rédigez une règle simple sur ce que vous ne mettez pas dans l'IA (données clients identifiables, données médicales, informations contractuelles sensibles).
J'ai un chatbot sur mon site. Que dois-je faire avant le 2 août ?
Si votre chatbot est piloté par une IA, vous avez l'obligation d'informer les utilisateurs qu'ils interagissent avec un système automatisé. Ajoutez une mention visible dès le démarrage de la conversation : "Vous êtes en contact avec un assistant automatisé". La plupart des outils comme Tidio ou Intercom permettent de configurer ce message d'accueil dans leurs paramètres. Comptez 10 à 30 minutes de configuration selon l'outil.
Quelle différence entre l'EU AI Act et le RGPD pour une PME ?
Le RGPD encadre la collecte et le traitement de données personnelles, quelle que soit la technologie. L'EU AI Act encadre spécifiquement les systèmes d'intelligence artificielle, selon leur niveau de risque. Les deux se cumulent : un système IA qui traite des données personnelles doit respecter les deux règlements. La bonne pratique pour une PME : vérifier la conformité RGPD en premier si elle n'est pas encore acquise, puis regarder l'EU AI Act en parallèle.
Vous avez 27 jours pour vous mettre en conformité sur les Articles 4 et 50.
Je vous aide à faire le point sur vos usages IA et à vérifier ce qui s'applique à votre PME. 30 minutes, sans engagement, depuis Orléans.