Un cabinet de conseil qui utilise ChatGPT ou Copilot est-il concerné par l'AI Act ?

Oui, en tant que déployeur de systèmes d'IA à usage général (GPAI). Vous n'entraînez pas de modèle, mais vous l'utilisez professionnellement. Vos obligations restent toutefois limitées : littératie IA de l'équipe (Article 4), politique d'usage, registre interne des systèmes, mentions de transparence dans les livrables. Vous n'avez ni marquage CE, ni enregistrement dans la base européenne EUDB à faire.

La formation à l'IA est-elle obligatoire pour mes salariés ?

Oui, depuis le 2 février 2025. L'Article 4 du règlement (UE) 2024/1689 impose aux fournisseurs et déployeurs de garantir « un niveau suffisant de littératie IA » de leur personnel et de toute personne opérant un système IA pour leur compte. C'est une obligation de moyens, sans format imposé par la Commission européenne. Un parcours interne avec attestation signée suffit pour les usages standards.

Faut-il nommer un référent IA ou un DPO dédié ?

Aucun texte du règlement (UE) 2024/1689 n'impose un référent IA nominatif pour un cabinet 10-50 pers., mais une responsabilité interne tracée est attendue. En pratique, soit le DPO étend son périmètre, soit la direction désigne un référent par lettre de mission. Sans mandat formel, vos preuves de gouvernance seront contestables en cas de contrôle par la CNIL ou la DGCCRF.

Quel budget prévoir pour mettre un cabinet de 25 personnes en conformité ?

Entre 3 et 20 k€ selon le scénario : 3-5 k€ en autonomie avec ressources publiques, 5-12 k€ en accompagnement ponctuel, 12-20 k€ en externalisation complète DPO/AI compliance. Le Prêt Boost Intelligence Artificielle de Bpifrance finance de 5 000 € à 75 000 € pour les entreprises jusqu'à 49 salariés, et la conformité AI Act fait partie des dépenses éligibles.

Que change vraiment le 2 août 2026 après l'accord Digital Omnibus ?

L'accord Digital Omnibus du 7 mai 2026 a repoussé les obligations sur les systèmes haut risque Annexe III au 2 décembre 2027. Ce qui reste au 2 août 2026 : la littératie IA (Article 4) devient sanctionnable, les obligations de transparence sur les modèles GPAI restent en place, et le watermarking des contenus synthétiques se durcit. Pour un cabinet conseil, c'est précisément l'essentiel : le report ne change pas votre périmètre.

Quelles sanctions risque vraiment un cabinet de 25 personnes ?

Les sanctions de l'article 99 du règlement (UE) 2024/1689 sont plafonnées au montant le moins élevé entre un forfait et un pourcentage du chiffre d'affaires mondial. Pour un défaut de transparence, c'est 7,5 M€ ou 1 % du CA. Sur un cabinet à 4 M€ de CA, le risque maximal théorique est donc 40 000 €, pas 7,5 M€. Le risque réel se joue surtout dans le cumul AI Act + RGPD quand le système traite des données personnelles.

AI Act cabinet de conseil 2026 : checklist 25 salariés

L’AI Act est le règlement (UE) 2024/1689, publié au Journal officiel de l’Union européenne le 12 juillet 2024 et entré en vigueur le 1er août 2024 [source: https://www.cnil.fr/fr/entree-en-vigueur-du-reglement-europeen-sur-lia-les-premieres-questions-reponses-de-la-cnil]. Le 2 août 2026 est dans le viseur de tout cabinet conseil qui utilise ChatGPT, Microsoft Copilot ou Anthropic Claude. Mais après l’accord Digital Omnibus du 7 mai 2026, l’échéance n’a plus le sens que vous lui prêtez. Voici ce qui change vraiment pour un cabinet de 25 personnes, et les douze obligations que vous devez avoir bouclées avant la deadline.

TL;DR

L’accord Digital Omnibus du 7 mai 2026 a repoussé les obligations Annexe III (haut risque) au 2 décembre 2027 [source: https://www.kleinblue.fr/post/aiact-ce-que-change-l-accord-omnibus-de-mai-2026]. Ce qui reste exigible au 2 août 2026 : littératie IA (Article 4), transparence GPAI, registre interne, gouvernance.
Un cabinet conseil de 25 personnes qui utilise ChatGPT, Copilot ou Claude est déployeur de GPAI, pas fournisseur. Cela élimine 70 % des obligations effrayantes lues dans les guides généralistes.
12 obligations effectives, chiffrables : 0,1 à 0,3 ETP et 3 à 8 k€ pour un cabinet 10-50 pers.
Les sanctions de l’article 99 du règlement (UE) 2024/1689 sont plafonnées au montant le moins élevé entre forfait et % du CA. Pour un cabinet à 4 M€ de CA, le plafond transparence tombe à 40 000 €, pas 7,5 M€.
Plan 90 jours possible : inventaire (S1-4), politique et formation Article 4 (S5-8), registre et clauses fournisseurs (S9-12).

Key Takeaways

Élément clé	Valeur
Date pivot	2 août 2026
Texte de référence	Règlement (UE) 2024/1689
Obligation centrale pour PME	Article 4 — littératie IA
Statut du cabinet conseil type	Déployeur de GPAI
Plafond sanction transparence	7,5 M€ ou 1 % du CA mondial (le moins élevé)
Autorité française coordinatrice	DGCCRF (surveillance marché) + CNIL (RGPD + IA)
Financement public dédié	Prêt Boost IA Bpifrance — 5 000 € à 75 000 €

Pourquoi le 2 août 2026 n’est plus l’échéance que vous croyez

Le 2 août 2026 est devenu, après l’accord Digital Omnibus, l’échéance de la littératie IA et de la transparence GPAI, pas celle des systèmes haut risque. Jusqu’au 7 mai 2026, cette date concentrait toutes les peurs : entrée en vigueur des obligations sur les systèmes IA classés haut risque (Annexe III du règlement), FRIA (analyse d’impact sur les droits fondamentaux), marquage CE, enregistrement dans la base européenne EUDB.

L’accord Digital Omnibus signé entre le Conseil et le Parlement le 7 mai 2026 a redistribué le calendrier. Selon KleinBlue, les obligations Annexe III sont décalées au 2 décembre 2027 (+16 mois), et les obligations Annexe I (produits régulés intégrant IA) au 2 août 2028 [source: https://www.kleinblue.fr/post/aiact-ce-que-change-l-accord-omnibus-de-mai-2026]. Le cabinet Leto confirme un décalage global de 16 à 22 mois selon les obligations concernées [source: https://www.leto.legal/news/omnibus-numerique-ia-industrielle-exemption-ai-act-2026].

Ce qui reste exigible au 2 août 2026 touche directement un cabinet de conseil ou une agence :

L’Article 4 sur la littératie IA, en application depuis le 2 février 2025, devient sanctionnable [source: https://artificialintelligenceact.eu/article/4/].
Les obligations de transparence sur les modèles GPAI (OpenAI ChatGPT, Microsoft Copilot, Anthropic Claude, Mistral AI) restent en place [source: https://entreprendre.service-public.gouv.fr/actualites/A18475].
Le watermarking des contenus synthétiques se durcit, avec une échéance ramenée au 2 décembre 2026 selon KleinBlue [source: https://www.kleinblue.fr/post/aiact-ce-que-change-l-accord-omnibus-de-mai-2026].
Les pratiques IA interdites (Article 5) restent en vigueur depuis le 2 février 2025 [source: https://www.cnil.fr/fr/entree-en-vigueur-du-reglement-europeen-sur-lia-les-premieres-questions-reponses-de-la-cnil].

Votre cabinet n’a pas gagné 16 mois supplémentaires sur l’essentiel. Vous avez gagné du temps sur des obligations qui, de toute façon, ne s’appliquaient pas à votre activité.

Êtes-vous fournisseur ou déployeur ?

Le règlement (UE) 2024/1689 distingue deux statuts juridiques : le fournisseur (provider) développe ou met sur le marché un système IA, le déployeur (deployer) utilise un système IA dans le cadre d’une activité professionnelle [source: https://www.cnil.fr/fr/entree-en-vigueur-du-reglement-europeen-sur-lia-les-premieres-questions-reponses-de-la-cnil]. C’est la question qui change tout, et que neuf cabinets sur dix posent à l’envers.

Un cabinet conseil de 25 personnes qui utilise OpenAI ChatGPT Enterprise pour rédiger, Microsoft Copilot pour synthétiser des comptes-rendus, Anthropic Claude pour analyser des contrats : vous êtes déployeur. Vous n’entraînez pas de modèle. Vous n’intégrez pas d’IA dans un produit que vous commercialisez. Vous achetez un service, vous l’utilisez.

Selon DPO101, 90 % des PME se perçoivent comme simples utilisateurs et ignorent leur statut formel de déployeur [source: https://dpo101.fr/ai-act-le-calendrier-2026-pour-les-pme-et-eti-ce-qui-change-vraiment/]. C’est précisément ce statut qui déclenche des obligations.

Les obligations lourdes (documentation technique, marquage CE, FRIA, enregistrement EUDB) pèsent sur les fournisseurs de systèmes haut risque, pas sur les déployeurs de GPAI. En vous positionnant correctement, vous éliminez la plus grande partie du périmètre que les guides généralistes vous décrivent.

Cas particulier à vérifier : si vous fine-tunez un modèle, si vous le revendez sous votre marque, ou si vous l’intégrez dans un produit que vos clients utilisent, vous pouvez devenir co-fournisseur. Cela reste rare pour un cabinet 10-50 pers., mais c’est à examiner au cas par cas.

Les 12 obligations qui s’appliquent réellement à un cabinet de 25 personnes

Un cabinet de conseil de 25 salariés déployant des outils GPAI a 12 obligations effectives au titre du règlement (UE) 2024/1689 : littératie, gouvernance, transparence et journalisation. Aucune n’implique de marquage CE ni d’enregistrement EUDB.

#	Obligation	Qui la porte	Livrable concret	Délai
1	Littératie IA équipe (Article 4)	Direction + RH	Plan de formation + attestations signées	2 août 2026
2	Littératie IA prestataires	Achats / juridique	Clause contractuelle + preuve	2 août 2026
3	Politique d’usage IA interne	Direction	Document signé, diffusé, accessible	Avant déploiement
4	Registre des systèmes IA utilisés	DPO ou référent IA	Tableau de bord interne	2 août 2026
5	Classification du risque par usage	Référent IA	Matrice usage / niveau de risque	2 août 2026
6	Information utilisateur final	Chefs de projet	Mention IA dans livrables et chatbots	Avant mise en service
7	Étiquetage contenus synthétiques	Production	Mention « généré par IA » sur livrables	2 décembre 2026
8	Articulation AI Act / RGPD	DPO	Cartographie AIPD + registre RGPD	Permanent
9	Surveillance humaine effective	Managers	Procédure de revue avant transmission client	Permanent
10	Journalisation des incidents IA	Référent IA	Procédure de remontée + log	Permanent
11	Vérification clauses fournisseurs GPAI	Juridique	Audit contrats OpenAI, Microsoft, Anthropic, Mistral AI	2 août 2026
12	Référent IA désigné	Direction	Lettre de mission interne	2 août 2026

Pas d’enregistrement dans EUDB. Pas de marquage CE. Pas de FRIA dormante sauf si vous tombez dans un cas Annexe III, par exemple un outil de scoring de candidats utilisé dans votre propre recrutement. La très grande majorité des cabinets conseil n’y est pas.

L’Article 4 du règlement (UE) 2024/1689 dispose littéralement : « Providers and deployers of AI systems shall take measures to ensure, to their best extent, a sufficient level of AI literacy of their staff and other persons dealing with the operation and use of AI systems on their behalf » [source: https://artificialintelligenceact.eu/article/4/]. C’est une obligation de moyens, pas de résultat. La Commission européenne précise, via l’AI Office : « we do not intend to impose strict requirements or mandatory trainings » [source: https://digital-strategy.ec.europa.eu/en/faqs/ai-literacy-questions-answers]. Vous gardez la main sur le format. Un parcours interne documenté avec attestation est largement défendable.

Sanctions chiffrées : ce qu’un cabinet conseil risque vraiment

Le règlement (UE) 2024/1689 fixe à son article 99 trois étages de sanctions, plafonnés au montant le moins élevé entre forfait fixe et pourcentage du chiffre d’affaires mondial [source: https://dpo101.fr/ai-act-le-calendrier-2026-pour-les-pme-et-eti-ce-qui-change-vraiment/].

Manquement	Plafond	Application PME
Pratique IA interdite (Article 5)	35 M€ ou 7 % du CA mondial	Le moins élevé des deux
Système haut risque non conforme	15 M€ ou 3 % du CA mondial	Le moins élevé des deux
Défaut de transparence, informations inexactes	7,5 M€ ou 1 % du CA mondial	Le moins élevé des deux

Un cabinet conseil de 25 personnes avec 4 M€ de CA annuel encourt au maximum, sur un défaut de transparence concernant l’usage de ChatGPT : 1 % × 4 M€ = 40 000 €, ou 7,5 M€, le moins élevé étant retenu. Le risque maximal théorique est donc 40 000 €, pas 7,5 M€.

C’est très différent de ce que laissent croire les guides généralistes. Le risque financier réel pour un cabinet conseil 10-50 pers. ne tient pas dans le plafond AI Act seul. Il tient dans l’addition des dossiers RGPD et AI Act que la CNIL peut ouvrir simultanément, comme elle le rappelle explicitement : dès qu’un système IA traite des données personnelles, les deux régimes s’appliquent en parallèle [source: https://www.cnil.fr/fr/entree-en-vigueur-du-reglement-europeen-sur-lia-les-premieres-questions-reponses-de-la-cnil]. Et les amendes RGPD ont déjà fait jurisprudence sur des structures de votre taille.

Côté autorités, la DGCCRF est désignée point de contact unique et coordinateur opérationnel pour la surveillance du marché AI Act en France, tandis que la CNIL supervise spécifiquement les pratiques interdites, la reconnaissance émotionnelle, la catégorisation biométrique et les systèmes haut risque en emploi [source: https://www.entreprises.gouv.fr/priorites-et-actions/transition-numerique/soutenir-le-developpement-de-lia-au-service-de-0]. Pour un cabinet conseil, votre interlocuteur de fait reste la CNIL via l’angle RGPD.

Le plan 90 jours : semaine par semaine jusqu’au 2 août

Un plan 90 jours pour un cabinet conseil de 25 personnes s’articule en trois blocs de quatre semaines : inventaire des outils IA, politique d’usage et formation Article 4, registre et clauses fournisseurs. Si vous démarrez fin mai 2026, vous avez juste le temps.

Semaines 1 à 4. Inventaire et classification.

Listez tous les outils IA utilisés, déclarés ou non. Interrogez chaque équipe nominativement. Une étude Salesforce de septembre 2024 indique que 49 % des salariés utilisent des outils IA non approuvés par leur employeur [source: https://www.village-justice.com/articles/act-cinq-questions-que-vos-clients-pme-vont-vous-poser-avant-aout-2026,57134.html]. Vous trouverez du shadow AI, c’est garanti.

Classez chaque usage : production de contenu, traitement de données personnelles, aide à la décision client, gestion RH interne. Identifiez les cas Annexe III éventuels (recrutement, évaluation de collaborateurs, scoring).

Semaines 5 à 8. Politique d’usage et formation Article 4.

Rédigez votre politique d’usage IA : outils autorisés (ChatGPT Enterprise, Microsoft Copilot, Anthropic Claude, Mistral AI Le Chat Pro), types de données interdits en input, validation humaine obligatoire avant transmission client, mentions de transparence dans les livrables, gestion des comptes professionnels. Diffusez et faites signer.

Lancez la formation Article 4. Une session de 2 à 3 heures par profil suffit pour les usages standards : rappel du cadre, démonstration, exercices pratiques sur cas du cabinet, attestation. Pour les profils techniques ou exposés à des données sensibles, ajoutez un module dédié. Les 251 European Digital Innovation Hubs (EDIH) en Europe, dont 80 % proposent déjà des services AI (formations, workshops, bootcamps) aux PME selon la Commission européenne, sont une ressource gratuite ou subventionnée à exploiter [source: https://digital-strategy.ec.europa.eu/en/faqs/ai-literacy-questions-answers].

Semaines 9 à 12. Registre, clauses fournisseurs, procédure dormante.

Construisez le registre IA : un tableau qui répertorie pour chaque système son fournisseur, son usage, sa classification de risque, son responsable interne, ses incidents éventuels. Un format Notion partagé ou Airtable suffit pour 25 personnes. Ce registre est distinct de votre registre RGPD ; il ne le remplace pas.

Revoyez les clauses de vos fournisseurs GPAI : OpenAI (ChatGPT), Microsoft (Copilot), Anthropic (Claude), Mistral AI (Le Chat). Vérifiez les engagements sur l’usage des données d’entraînement, la localisation, la sous-traitance, les SLA de sécurité. Préparez une procédure FRIA dormante au cas où vous ajouteriez plus tard un usage Annexe III (recrutement automatisé, évaluation, scoring).

Vous arrivez au 2 août 2026 avec un dossier de conformité documenté, opposable, défendable.

Budget conformité réaliste pour 25 salariés

Le budget conformité AI Act d’un cabinet de 25 personnes va de 3 k€ en autonomie à 20 k€ en externalisation complète, finançable via le Prêt Boost IA de Bpifrance.

Scénario	Coût	Profil cible	Inclus
Autonome	3 à 5 k€	Cabinet avec DPO interne	Outillage (Notion/Airtable), formation Article 4 interne, 0,2-0,3 ETP référent IA
Accompagné	5 à 12 k€	Cabinet 10-50 pers. sans DPO	Audit externe (2-4 k€), formation prestataire (1,5-3 k€), templates (1-2 k€), accompagnement (1-3 k€)
Externalisé	12 à 20 k€	Équipe saturée ou données sensibles	DPO/AI compliance externalisé : audit, politique, formation, registre, revue contractuelle GPAI

Le scénario accompagné est le plus fréquent pour un cabinet 10-50 pers. sans DPO interne dédié. Le scénario externalisé devient pertinent si vous traitez des données sensibles (santé, RH externalisées, services juridiques, données client confidentielles).

Côté financement, le Prêt Boost Intelligence Artificielle de Bpifrance couvre de 5 000 € à 75 000 € pour les entreprises jusqu’à 49 salariés, à taux fixe à partir de 4,79 %, avec un différé de remboursement de 9 à 12 mois et une durée totale de 3 à 5 ans [source: https://flash.bpifrance.fr/financement/pret-boost-intelligence-artificielle]. Les dépenses d’audit, de formation Article 4 et d’outillage de gouvernance IA sont éligibles. Réponse en 48h, déblocage moyen en 7 jours. C’est l’outil le plus pertinent pour absorber le coût de mise en conformité sans entamer la trésorerie courante.

5 erreurs fréquentes des cabinets de conseil sur l’AI Act

Cinq erreurs typiques exposent les cabinets conseil 10-50 pers. à un risque AI Act évitable : confusion fournisseur/déployeur, fusion RGPD/AI Act, mauvaise lecture du report Annexe III, référent IA non mandaté, interdiction brute des outils GPAI.

1. Se croire fournisseur parce qu’on intègre l’IA dans une mission client. Utiliser OpenAI ChatGPT pour rédiger un livrable ne fait pas de vous un fournisseur d’IA. Vous restez déployeur. Le fournisseur est OpenAI. Votre obligation est la transparence vis-à-vis du client, pas le marquage CE [source: https://entreprendre.service-public.gouv.fr/actualites/A18475].

2. Confondre RGPD et AI Act. Les deux régimes se cumulent. Avoir un registre RGPD à jour ne dispense pas d’un registre IA, et inversement. La CNIL est explicite là-dessus depuis ses premières Q/R [source: https://www.cnil.fr/fr/entree-en-vigueur-du-reglement-europeen-sur-lia-les-premieres-questions-reponses-de-la-cnil].

3. Croire que le report Annexe III change votre périmètre. Pour un cabinet conseil 10-50 pers., l’essentiel se joue sur l’Article 4 et la transparence GPAI, qui ne sont pas reportés. Le décalage Annexe III concerne d’autres acteurs (santé, industrie, sécurité, infrastructures critiques) [source: https://www.leto.legal/news/omnibus-numerique-ia-industrielle-exemption-ai-act-2026].

4. Nommer un référent IA sans mandat ni temps. Un référent qui n’a pas de lettre de mission, pas de quota horaire, pas de remontée directe à la direction, c’est un point de défaillance. Si vous nommez, vous outillez.

5. Interdire ChatGPT et Copilot en interne. L’interdiction brute, sans alternative, crée du shadow AI massif (49 % des salariés selon l’étude Salesforce de septembre 2024) [source: https://www.village-justice.com/articles/act-cinq-questions-que-vos-clients-pme-vont-vous-poser-avant-aout-2026,57134.html]. Mieux vaut une politique claire, des outils Enterprise (avec contrats data adaptés), et de la formation, qu’un règlement ignoré.

Ce que vous pouvez faire cette semaine

La première action concrète pour un cabinet conseil de 25 personnes est un inventaire d’outils IA conduit en une heure par équipe sur une feuille partagée. Vous saurez exactement où vous en êtes avant même de parler conformité formelle. Le reste, c’est de la documentation à structurer autour de ce que vos équipes font déjà.

La deadline du 2 août 2026 est moins effrayante qu’elle n’en a l’air, à condition de ne pas se laisser noyer dans les obligations qui ne sont pas les vôtres. Concentrez-vous sur les 12 qui s’appliquent. Le reste, c’est du bruit.