Le « report à 2027 » dont tout le monde parle ne concerne que les systèmes à haut risque. Le 2 août 2026, les obligations de transparence s'appliquent — chatbots, contenus générés par IA, assistants clients, et les pouvoirs de sanction s'activent : jusqu'à 35 M€ ou 7 % du CA mondial. En 3 jours, on vous dit exactement où vous en êtes, et quoi faire.
Depuis fév. 2025 : pratiques interdites + obligation de maîtrise de l'IA pour vos équipes (art. 4). Depuis août 2025 : règles sur les grands modèles.
Transparence : informer quand on parle à une IA, signaler les contenus générés, deepfakes. Sanctions activées.
Haut risque (recrutement, scoring…) : déc. 2027 — annexe I : août 2028. C'est ce report-là qui fait les titres.
Aucun email demandé. Le verdict s'affiche en direct, et il est souvent différent de ce qu'on croit : la plupart des entreprises découvrent qu'elles utilisent plus d'IA qu'elles ne le pensent.
Un chatbot ou assistant IA interagit avec vos clients ou visiteursSite web, SAV, prise de RDV, réseaux sociaux…
Vous publiez des contenus créés ou retouchés par IATextes, visuels, vidéos, voix : site, réseaux, newsletters…
Vos équipes utilisent des outils IA sans cadre formaliséChatGPT, Claude, Copilot, générateurs : le « shadow AI »
L'IA intervient dans vos recrutements ou l'évaluation de salariésTri de CV, scoring de candidats, suivi de performance…
L'IA touche à l'accès à un service essentiel ou à son prixScoring crédit, tarification assurance, éligibilité…
Vous développez, personnalisez ou revendez des systèmes IAProduit SaaS avec IA, fine-tuning, intégration revendue…
Chaque « oui » active des obligations différentes, à des dates différentes. Le verdict vous dit lesquelles, et lesquelles sont déjà en vigueur.
Obtenir mon plan d'action – 1 900 €→Diagnostic indicatif fondé sur le Règlement UE 2024/1689 et le Digital Omnibus (juin 2026). L'audit complet établit votre situation exacte, système par système.
Le Digital Omnibus, voté en juin 2026, a décalé les obligations « haut risque » à décembre 2027. Trois blocs restent pleinement applicables, et c'est là que se trouve le risque réel des PME.
Toute entreprise qui utilise de l'IA doit s'assurer que son personnel est formé à un usage maîtrisé. Vos équipes utilisent ChatGPT ou Copilot ? Cette obligation vous concerne déjà : c'est la plus ignorée de toutes.
Vos clients doivent savoir quand ils parlent à une IA. Vos contenus générés par IA doivent être signalés dans les cas prévus, les deepfakes étiquetés. Chatbots, voicebots, contenus marketing : le cœur de l'échéance d'août.
Les pouvoirs de sanction s'activent : jusqu'à 35 M€ ou 7 % du CA mondial pour les pratiques interdites, 15 M€ ou 3 % pour les autres manquements. En France : CNIL, DGCCRF, Arcom. Le régulateur commence toujours par les cas simples et visibles.
Sources : Règlement UE 2024/1689 (AI Act) · Digital Omnibus sur l'IA — accord Parlement/Conseil, votes de juin 2026 (haut risque annexe III reporté au 2 déc. 2027, annexe I au 2 août 2028 ; marquage lisible par machine des contenus générés : fin 2026). Cette page est un support d'information, pas un avis juridique.
Tous vos systèmes, y compris ceux que vous ignorez : modules IA de votre CRM, scoring marketing, copilotes, outils RH. C'est souvent la partie qui surprend le plus.
Chaque usage classé selon la grille du règlement (interdit / haut risque / transparence / minimal) avec votre rôle : déployeur ou fournisseur. Les obligations ne sont pas les mêmes.
Le document de référence, prêt à l'emploi et à maintenir : l'équivalent du registre RGPD, pour l'IA. Votre preuve de démarche en cas de contrôle.
Ce qui s'applique déjà, ce qui tombe le 2 août 2026, fin 2026, décembre 2027 : un calendrier établi sur vos systèmes, avec les dates et les textes de référence qui vous concernent.
Les corrections à moins de 30 jours (mentions, bannières, signalements) séparées des chantiers de fond. Chaque action : qui, quoi, quand, effort estimé.
Présentation à votre direction (visio ou sur site), support inclus, questions traitées en direct. Vous repartez en sachant décider.
Un questionnaire guidé envoyé en amont, puis deux entretiens de 45 min (direction + opérationnel). On détecte aussi le shadow AI que le questionnaire ne voit pas.
Nos consultants classifient chaque usage sur la grille du règlement, constituent votre registre et rédigent le plan d'action. Revue par un senior avant restitution.
Situation, risques réels, plan priorisé. Vous recevez tous les livrables le jour même. Et une recommandation honnête : parfois, la conclusion est « vous êtes peu exposé ».
C'est à moitié vrai, et c'est le problème. Le Digital Omnibus voté en juin 2026 reporte les obligations des systèmes à haut risque (recrutement, scoring crédit…) à décembre 2027. Mais les obligations de transparence de l'article 50 et l'activation des sanctions restent au 2 août 2026, et l'obligation de maîtrise de l'IA est en vigueur depuis février 2025. Croire que « tout est reporté » est exactement le malentendu qui expose les PME.
Probablement plus que vous ne le pensez. L'IA est déjà dans vos outils : fonctionnalités IA de votre CRM, scoring de vos campagnes marketing, tri automatique dans votre outil RH, copilotes bureautiques, générateurs utilisés par la communication. C'est le « shadow AI », et sa détection est incluse dans l'audit. Si vos équipes utilisent ne serait-ce que ChatGPT, l'obligation de maîtrise de l'IA vous concerne déjà.
Non, et nous l'assumons : l'audit est un diagnostic opérationnel. ITEAL n'est pas un cabinet d'avocats ; notre travail consiste à cartographier vos systèmes, les classifier et les prioriser selon les textes, avec la rigueur d'une maison qui fait de la conformité SI depuis 2011. Les livrables sont structurés pour être validés par votre conseil juridique si votre exposition le justifie : c'est d'ailleurs une des recommandations possibles du plan d'action.
Trois niveaux. Le réglementaire : sanctions jusqu'à 35 M€ ou 7 % du CA mondial pour les pratiques interdites, 15 M€ ou 3 % pour les autres manquements, en France, CNIL, DGCCRF et Arcom sont désignées. Le commercial : vos clients grands comptes et le secteur public commencent à exiger des garanties de conformité IA dans leurs appels d'offres. Le réputationnel : un chatbot non signalé ou un deepfake non étiqueté se transforme vite en article de presse.
Pour un diagnostic, oui, et c'est un choix de conception. La grille d'analyse est standardisée (le règlement est public, les catégories sont fixes), notre pipeline est outillé, et chaque dossier passe une revue senior. Trois jours suffisent pour établir où vous en êtes et quoi faire. Ce qui prend des mois, c'est la mise en conformité d'un système à haut risque, et ça, c'est un projet séparé, que l'audit dimensionne précisément.
Alors c'est ce que nous écrirons, avec le registre qui le prouve. Un audit qui conclut systématiquement « il faut acheter la suite » ne vaut rien. Environ un dossier sur quatre débouche sur « exposition limitée : maintenez le registre, formez les équipes, point ». Vous aurez payé 1 900 € pour dormir tranquille et pouvoir le démontrer en cas de contrôle ou d'appel d'offres. C'est un bon achat aussi.
Acompte de 500 € à la commande : le solde (1 400 €) à la restitution. Avant le 2 août, les créneaux de kick-off partent vite : nous en ouvrons un nombre limité par semaine pour tenir la garantie délai.