AI Act PME France 2026 : le guide complet de conformité

1. Qu'est-ce que l'AI Act ?

Le Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024, communément appelé « EU AI Act » ou « AI Act », est le premier texte mondial à instaurer un cadre juridique harmonisé pour les systèmes d'intelligence artificielle mis sur le marché ou utilisés dans l'Union européenne. Il a été publié au Journal officiel de l'Union européenne le 12 juillet 2024.

L'AI Act repose sur une approche par les risques en quatre niveaux : pratiques interdites (Art. 5), systèmes à haut risque (Art. 6 + Annexes I et III), systèmes à risque limité (Art. 50, soumis à transparence), et systèmes à risque minimal (sans obligation spécifique).

Pour une PME française, le règlement s'applique directement sans transposition nationale — c'est un règlement européen, pas une directive. Toute entreprise ayant son siège ou ses utilisateurs en France est concernée.

2. Suis-je concerné ? Test rapide en 4 questions

Pour déterminer si l'AI Act s'applique à votre PME, posez-vous successivement les quatre questions suivantes :

Question 1 — Utilisez-vous un système d'IA dans votre activité ?

Au sens de l'article 3(1) de l'AI Act, un « système d'IA » est « un système automatisé conçu pour fonctionner avec différents niveaux d'autonomie, qui peut faire preuve d'adaptabilité après son déploiement, et qui, à des fins explicites ou implicites, déduit, à partir des entrées qu'il reçoit, comment générer des sorties telles que des prédictions, du contenu, des recommandations ou des décisions ».

Concrètement, sont des systèmes IA :

• Les modèles d'IA générative : ChatGPT, Claude, Gemini, Mistral, Copilot
• Les outils de tri de CV (ATS) avec scoring algorithmique
• Les chatbots clients (Intercom AI, Drift AI, Zendesk AI)
• Les outils de scoring : crédit, fournisseurs, fraude
• Les outils de surveillance prédictive ou d'aide à la décision
• Les systèmes de reconnaissance (image, voix, biométrie)

Si la réponse est oui, vous êtes potentiellement concerné. Passez à la question 2.

Question 2 — L'utilisez-vous dans le cadre d'une activité professionnelle ?

L'article 3(4) exclut explicitement l'« usage personnel non professionnel » du champ d'application des obligations « déployeur ». Si l'IA est utilisée par vos salariés, vos prestataires, ou pour produire un livrable client, vous êtes concerné.

Question 3 — Quel est votre rôle ?

Vous êtes déployeur (article 3(4)) si vous utilisez un système IA conçu par un tiers. Vous êtes fournisseur (article 3(3)) si vous développez ou faites développer un système IA et le mettez sur le marché sous votre nom.

La très grande majorité des PME françaises sont déployeurs uniquement. Devenir fournisseur implique des obligations beaucoup plus lourdes (documentation technique Annexe IV, déclaration UE de conformité, marquage CE).

Question 4 — Quel est le niveau de risque du système ?

Si votre système IA entre dans l'Annexe III (8 catégories haut-risque listées au point 4 ci-dessous), vous êtes soumis aux obligations renforcées des articles 9 à 17 et 26-27. Sinon, vous êtes en risque limité (Article 50) ou minimal.

3. Déployeur ou fournisseur ? Vos obligations selon votre rôle

3.1 Obligations communes à tous (déployeur ET fournisseur)

• Article 4 — Littératie IA : assurer que toute personne intervenant sur un système IA dispose d'un niveau suffisant de connaissance. Une formation interne documentée est attendue.
• Article 50 — Transparence : informer les personnes qu'elles interagissent avec un système IA, étiqueter les contenus générés (deepfakes), signaler les contenus de désinformation.

3.2 Obligations spécifiques au déployeur (Article 26)

• Utiliser le système conformément aux instructions du fournisseur
• Confier la supervision humaine à des personnes qualifiées
• Tenir à jour les journaux d'événements pendant au moins 6 mois
• Informer les personnes concernées qu'elles font l'objet d'une décision IA
• Informer les représentants du personnel pour tout système affectant les salariés (Art. 26(7))
• Notifier les incidents graves ou défauts de conformité aux fournisseurs et autorités
• Pour les déployeurs publics ou opérateurs de service public : conduire une FRIA avant la mise en service (Art. 27)

3.3 Obligations spécifiques au fournisseur (Articles 16-25)

• Mise en place d'un système de gestion des risques sur le cycle de vie (Art. 9)
• Gouvernance des données train/validation/test (Art. 10)
• Documentation technique complète (Art. 11 + Annexe IV)
• Logs automatiques (Art. 12), transparence (Art. 13), supervision humaine (Art. 14)
• Précision, robustesse, cybersécurité (Art. 15)
• Système de management de la qualité (Art. 17)
• Évaluation de conformité, déclaration UE de conformité, marquage CE (Art. 43, 47, 48)
• Enregistrement dans la base de données UE (Art. 49)
• Plan de monitoring post-marché (Art. 72)
• Notification des incidents graves dans les 15 jours (Art. 73)

4. Les 4 niveaux de risque AI Act

Niveau	Définition	Exemples	Référence
Interdit	Pratiques d'IA interdites en toutes circonstances dans l'UE depuis le 2 février 2025.	Manipulation subliminale, scoring social, identification biométrique en temps réel dans les espaces publics, reconnaissance d'émotions sur le lieu de travail	Article 5
Haut risque	8 catégories listées à l'Annexe III ou intégration dans un produit régulé Annexe I.	ATS recrutement, scoring crédit, IA médicale, systèmes éducation, contrôle aux frontières, justice	Article 6 + Annexe III
Risque limité	Soumis à des obligations de transparence : informer l'utilisateur, étiqueter les contenus.	Chatbots, génération de contenu, deepfakes, systèmes émotionnels non interdits	Article 50
Risque minimal	Aucune obligation spécifique. Bonnes pratiques recommandées.	Filtres anti-spam, recommandation de contenu non-personnalisée, jeux vidéo IA	—

Les 8 catégories haut-risque (Annexe III)

1. Biométrie — identification, catégorisation, reconnaissance d'émotions
2. Infrastructures critiques — eau, gaz, électricité, transport
3. Éducation et formation professionnelle — accès, évaluation, surveillance d'examens
4. Emploi, RH, gestion des travailleurs — recrutement, scoring CV, monitoring salariés, décisions de promotion
5. Accès aux services publics et privés essentiels — crédit, assurance, prestations sociales, services d'urgence
6. Application de la loi — évaluation de risques de récidive, déduction d'émotions, polygraphes
7. Migration, asile, contrôle aux frontières — évaluation de risques migratoires, examen de demandes d'asile
8. Justice et processus démocratiques — aide à la décision judiciaire, influence sur élections

5. Les 13 documents à produire

Une mise en conformité AI Act + RGPD-IA + ISO 42001 implique la production et le maintien de jusqu'à 13 documents structurants. La liste exacte dépend de votre profil (déployeur seulement vs fournisseur, présence ou non de systèmes haut-risque, statut d'opérateur de service public).

#	Document	Obligation	Référentiel
1	Notice d'utilisation interne	Recommandée	Bonnes pratiques
2	Synthèse d'audit AI Act	Recommandée	ISO 42001 Cl. 4
3	Checklist de conformité	Recommandée	ISO 42001 Cl. 9.2
4	Politique IA approuvée par la direction	Obligatoire	ISO 42001 Cl. 5.2
5	Registre AIMS (registre des systèmes IA)	Obligatoire	ISO 42001 Cl. 4.4 + AI Act Art. 49
6	Évaluation des risques par système	Obligatoire	AI Act Art. 9 + ISO 42001 Cl. 6.1.2
7	AISIA — AI System Impact Assessment	Obligatoire	ISO 42001 Cl. 6.1.2 + Annexe B
8	FRIA — Fundamental Rights Impact Assessment	Obligatoire si déployeur public/services publics + haut-risque	AI Act Art. 27
9	SoA — Statement of Applicability ISO 42001	Obligatoire pour certification	ISO 42001 Cl. 6.1.3
10	Charte d'usage IA collaborateurs	Recommandée + consultation CSE	AI Act Art. 4 + Art. 26(7) + ISO 42001 A.9.2
11	Procédure de gouvernance + RACI	Recommandée	ISO 42001 Cl. 5.3 + 6.1
12	Procédure de gestion des incidents IA	Obligatoire	ISO 42001 A.8.4 + AI Act Art. 73 + RGPD Art. 33-34
13	Procédure d'évaluation des fournisseurs IA	Recommandée	ISO 42001 A.10.3 + AI Act Art. 25
14	Documentation technique Annexe IV	Obligatoire si fournisseur de système haut-risque	AI Act Art. 11 + Annexe IV

regulia propose ces 14 documents dans des packs personnalisés à partir de 299 €, livrés en moins d'une heure après paiement. Démarrer un pack →

6. Calendrier d'application 2025-2030

Date	Échéance	Statut
2 février 2025	Pratiques interdites (Art. 5) + littératie IA (Art. 4)	✅ En vigueur
2 août 2025	Obligations sur les modèles GPAI (Art. 51-56)	✅ En vigueur
2 août 2026	Transparence Art. 50, gouvernance générale, Codes de bonne pratique	⏳ Imminente
2 août 2026 → 2 décembre 2027	Systèmes haut-risque Annexe III	📅 Reporté par le Digital Omnibus mai 2026
2 août 2028	Systèmes haut-risque Annexe I (produits régulés)	📅 Programmée
2 août 2030	Systèmes legacy déployés par les autorités publiques	📅 Programmée

7. Sanctions : ce que vous risquez vraiment

L'article 99 du Règlement (UE) 2024/1689 prévoit quatre niveaux de sanctions administratives :

Type de violation	Plafond grandes entreprises	Plafond PME (Art. 99(6))
Pratiques interdites (Art. 5)	35 M€ ou 7% du CA mondial	min(7% CA, 35 M€)
Obligations système haut-risque (Art. 16, 26)	15 M€ ou 3% du CA mondial	min(3% CA, 15 M€)
Informations trompeuses	7,5 M€ ou 1,5% du CA mondial	min(1,5% CA, 7,5 M€)
Transparence Art. 50	7,5 M€ ou 1% du CA mondial	min(1% CA, 7,5 M€)

L'article 99(6) protège spécifiquement les PME et start-up en imposant le montant le plus bas entre le plafond fixe et le pourcentage du CA. Pour une PME française de 5 M€ de CA :

• Pratiques interdites : jusqu'à 350 K€ (7% de 5 M€, vs plafond fixe 35 M€)
• Défaut sur système haut-risque : jusqu'à 150 K€
• Défaut de transparence Art. 50 : jusqu'à 50 K€

Les autorités de surveillance compétentes en France sont la CNIL (volet données personnelles), l'ACPR (banque/assurance), l'ANSM (santé/dispositifs médicaux), l'ARCEP (télécoms), et l'ARCOM (audiovisuel).

8. Cas concrets par secteur d'activité

8.1 Ressources Humaines et recrutement

Tous les outils d'aide au recrutement (ATS scoring CV, plateformes de présélection, outils de gamification) sont qualifiés haut-risque par l'Annexe III §4. Cela impose : registre AIMS détaillé, AISIA par outil, information explicite des candidats sur l'usage d'IA, consultation des représentants du personnel (Art. 26(7)), procédure de réclamation pour les candidats refusés.

8.2 Banque et services financiers

Le scoring crédit, l'évaluation de solvabilité, et la détection de fraude sont haut-risque par l'Annexe III §5. Les établissements régulés ACPR sont qualifiés d'opérateurs de service public : FRIA Article 27 obligatoire avant déploiement. Articulation à prévoir avec la directive CRD VI et le Cyber Resilience Act.

8.3 Santé et dispositifs médicaux

Les systèmes IA d'aide au diagnostic ou de tri patients tombent à l'intersection de l'Annexe I (produits régulés CE) et de l'Annexe III §5. Articulation à prévoir avec le règlement MDR/IVDR. Délégation possible au fournisseur du dispositif médical pour la documentation technique Annexe IV.

8.4 Éducation et formation

Les systèmes d'orientation scolaire, d'évaluation, ou de surveillance d'examens sont haut-risque par l'Annexe III §3. Les écoles privées sous contrat sont qualifiées opérateurs de service public : FRIA obligatoire. Information des élèves et parents (Art. 86).

9. Plan d'action 30 / 60 / 90 jours

Phase 1 — Quick wins (J+30)

• Désigner ou confirmer le Responsable IA (IA Lead) en interne
• Faire approuver et diffuser une politique IA d'entreprise
• Diffuser une charte d'usage IA à tous les collaborateurs avec signature
• Compléter le registre AIMS avec tous les systèmes IA déjà en exploitation
• Programmer la première réunion du Comité IA

Phase 2 — Documents structurants (J+60)

• Conduire une évaluation des risques IA pour chaque système haut-risque
• Conduire une AISIA pour chaque système haut-risque
• Cadrer la procédure de gouvernance, la procédure d'incidents, le cadre fournisseurs
• Démarrer le SoA ISO 42001 sur les contrôles prioritaires
• Si applicable : conduire la FRIA et préparer la notification à l'autorité

Phase 3 — Implémentation opérationnelle (J+90)

• Activer les journaux d'événements (Art. 12) sur les systèmes haut-risque
• Mettre en place la supervision humaine effective (Art. 14)
• Communiquer aux personnes affectées par les décisions IA (Art. 26(11), 86)
• Préparer le premier audit interne AIMS (ISO 42001 Cl. 9.2)
• Programmer la première revue de direction (Cl. 9.3)

10. FAQ — questions fréquentes

Mon entreprise de moins de 50 salariés est-elle concernée par l'AI Act ?

Oui, dès que vous utilisez un système d'intelligence artificielle dans votre activité professionnelle (ChatGPT, Copilot, ATS, scoring fournisseur, etc.), vous êtes qualifié de « déployeur » au sens de l'article 3(4) du Règlement (UE) 2024/1689. Les obligations dépendent ensuite de la classification de risque du système.

Quelle est la date limite pour se mettre en conformité ?

Les obligations sur les systèmes haut-risque ont été reportées du 2 août 2026 au 2 décembre 2027 par le Digital Omnibus de mai 2026. Les obligations sur les pratiques interdites (Art. 5) sont applicables depuis le 2 février 2025.

Quelles sanctions risque concrètement une PME ?

L'article 99(6) prévoit une protection PME : on applique le montant le plus bas entre le plafond fixe et le pourcentage du chiffre d'affaires. Une PME de 5 M€ de CA risque concrètement jusqu'à 350 000 € pour pratiques interdites, jusqu'à 150 000 € pour défaut sur système haut-risque.

Suis-je « déployeur » ou « fournisseur » d'un système IA ?

Vous êtes déployeur si vous utilisez un système IA conçu et mis sur le marché par une autre entité. Vous êtes fournisseur si vous développez vous-même un système IA. La très grande majorité des PME françaises sont déployeurs uniquement.

Qui est concerné par la FRIA Article 27 ?

La FRIA est obligatoire pour les déployeurs de systèmes IA haut-risque qui sont des organismes de droit public OU des entités privées fournissant des services publics : banques, compagnies d'assurance, opérateurs énergie, écoles privées sous contrat, hôpitaux.

Quelle articulation entre RGPD et AI Act ?

Les deux textes s'appliquent cumulativement dès qu'un système IA traite des données personnelles. La DPIA RGPD couvre les risques pour les données personnelles. La FRIA AI Act couvre les risques pour les droits fondamentaux. Les deux évaluations doivent être cohérentes et arbitrées par votre DPO.

Combien de temps faut-il prévoir ?

Avec une démarche structurée, comptez 30 jours pour les quick wins, 60 jours pour les documents structurants, 90 jours pour l'implémentation opérationnelle.

Faut-il un avocat spécialisé ?

Non pour la majorité des PME. Les modèles documentaires permettent à votre DPO ou IA Lead de produire la conformité de premier niveau. Le recours à un avocat reste recommandé pour les arbitrages frontières.

Quels sont les 13 documents à produire ?

Politique IA, registre AIMS, évaluation des risques, AISIA, FRIA, SoA ISO 42001, charte d'usage, procédures gouvernance/incidents/fournisseurs, documentation Annexe IV, et plusieurs documents de pilotage.

Le Digital Omnibus a-t-il vraiment reporté les obligations ?

Oui. L'accord politique provisoire du 7 mai 2026 reporte les obligations sur les systèmes haut-risque Annexe III du 2 août 2026 au 2 décembre 2027. Les autres échéances restent inchangées.

11. Sources officielles

• Texte intégral consolidé de l'AI Act (artificialintelligenceact.eu)
• Règlement (UE) 2024/1689 sur EUR-Lex
• AI Act Service Desk (Commission européenne)
• CNIL — Fiches pratiques IA (13 fiches)
• CNIL — Recommandations sur le développement de systèmes d'IA respectueux du RGPD
• ISO/IEC 42001:2023 — AI Management System (publié 18 décembre 2023)
• Toutes les sources réglementaires citées par regulia →