AI Act PME France 2026 : le guide complet de conformité

1. Qu'est-ce que l'AI Act ?

Le Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024, communément appelé « EU AI Act » ou « AI Act », est le premier texte mondial à instaurer un cadre juridique harmonisé pour les systèmes d'intelligence artificielle mis sur le marché ou utilisés dans l'Union européenne. Il a été publié au Journal officiel de l'Union européenne le 12 juillet 2024.

L'AI Act repose sur une approche par les risques en quatre niveaux : pratiques interdites (Art. 5), systèmes à haut risque (Art. 6 + Annexes I et III), systèmes à risque limité (Art. 50, soumis à transparence), et systèmes à risque minimal (sans obligation spécifique).

Pour une PME française, le règlement s'applique directement sans transposition nationale — c'est un règlement européen, pas une directive. Toute entreprise ayant son siège ou ses utilisateurs en France est concernée.

2. Suis-je concerné ? Test rapide en 4 questions

Pour déterminer si l'AI Act s'applique à votre PME, posez-vous successivement les quatre questions suivantes :

Question 1 — Utilisez-vous un système d'IA dans votre activité ?

Au sens de l'article 3(1) de l'AI Act, un « système d'IA » est « un système automatisé conçu pour fonctionner avec différents niveaux d'autonomie, qui peut faire preuve d'adaptabilité après son déploiement, et qui, à des fins explicites ou implicites, déduit, à partir des entrées qu'il reçoit, comment générer des sorties telles que des prédictions, du contenu, des recommandations ou des décisions ».

Concrètement, sont des systèmes IA :

• Les modèles d'IA générative : ChatGPT, Claude, Gemini, Mistral, Copilot
• Les outils de tri de CV (ATS) avec scoring algorithmique
• Les chatbots clients (Intercom AI, Drift AI, Zendesk AI)
• Les outils de scoring : crédit, fournisseurs, fraude
• Les outils de surveillance prédictive ou d'aide à la décision
• Les systèmes de reconnaissance (image, voix, biométrie)

Si la réponse est oui, vous êtes potentiellement concerné. Passez à la question 2.

Question 2 — L'utilisez-vous dans le cadre d'une activité professionnelle ?

L'article 3(4) exclut explicitement l'« usage personnel non professionnel » du champ d'application des obligations « déployeur ». Si l'IA est utilisée par vos salariés, vos prestataires, ou pour produire un livrable client, vous êtes concerné.

Question 3 — Quel est votre rôle ?

Vous êtes déployeur (article 3(4)) si vous utilisez un système IA conçu par un tiers. Vous êtes fournisseur (article 3(3)) si vous développez ou faites développer un système IA et le mettez sur le marché sous votre nom.

La très grande majorité des PME françaises sont déployeurs uniquement. Devenir fournisseur implique des obligations beaucoup plus lourdes (documentation technique Annexe IV, déclaration UE de conformité, marquage CE).

Question 4 — Quel est le niveau de risque du système ?

Si votre système IA entre dans l'Annexe III (8 catégories haut-risque listées au point 4 ci-dessous), vous êtes soumis aux obligations renforcées des articles 9 à 17 et 26-27. Sinon, vous êtes en risque limité (Article 50) ou minimal.

3. Déployeur ou fournisseur ? Vos obligations selon votre rôle

3.1 Obligations communes à tous (déployeur ET fournisseur)

• Article 4 — Littératie IA : assurer que toute personne intervenant sur un système IA dispose d'un niveau suffisant de connaissance. Une formation interne documentée est attendue.
• Article 50 — Transparence : informer les personnes qu'elles interagissent avec un système IA, étiqueter les contenus générés (deepfakes), signaler les contenus de désinformation.

3.2 Obligations spécifiques au déployeur (Article 26)

• Utiliser le système conformément aux instructions du fournisseur
• Confier la supervision humaine à des personnes qualifiées
• Tenir à jour les journaux d'événements pendant au moins 6 mois
• Informer les personnes concernées qu'elles font l'objet d'une décision IA
• Informer les représentants du personnel pour tout système affectant les salariés (Art. 26(7))
• Notifier les incidents graves ou défauts de conformité aux fournisseurs et autorités
• Pour les déployeurs publics ou opérateurs de service public : conduire une FRIA avant la mise en service (Art. 27)

3.3 Obligations spécifiques au fournisseur (Articles 16-25)

• Mise en place d'un système de gestion des risques sur le cycle de vie (Art. 9)
• Gouvernance des données train/validation/test (Art. 10)
• Documentation technique complète (Art. 11 + Annexe IV)
• Logs automatiques (Art. 12), transparence (Art. 13), supervision humaine (Art. 14)
• Précision, robustesse, cybersécurité (Art. 15)
• Système de management de la qualité (Art. 17)
• Évaluation de conformité, déclaration UE de conformité, marquage CE (Art. 43, 47, 48)
• Enregistrement dans la base de données UE (Art. 49)
• Plan de monitoring post-marché (Art. 72)
• Notification des incidents graves dans les 15 jours (Art. 73)

4. Les 4 niveaux de risque AI Act

Niveau	Définition	Exemples	Référence
Interdit	Pratiques d'IA interdites en toutes circonstances dans l'UE depuis le 2 février 2025.	Manipulation subliminale, scoring social, identification biométrique en temps réel dans les espaces publics, reconnaissance d'émotions sur le lieu de travail	Article 5
Haut risque	8 catégories listées à l'Annexe III ou intégration dans un produit régulé Annexe I.	ATS recrutement, scoring crédit, IA médicale, systèmes éducation, contrôle aux frontières, justice	Article 6 + Annexe III
Risque limité	Soumis à des obligations de transparence : informer l'utilisateur, étiqueter les contenus.	Chatbots, génération de contenu, deepfakes, systèmes émotionnels non interdits	Article 50
Risque minimal	Aucune obligation spécifique. Bonnes pratiques recommandées.	Filtres anti-spam, recommandation de contenu non-personnalisée, jeux vidéo IA	—

Les 8 catégories haut-risque (Annexe III)

1. Biométrie — identification, catégorisation, reconnaissance d'émotions
2. Infrastructures critiques — eau, gaz, électricité, transport
3. Éducation et formation professionnelle — accès, évaluation, surveillance d'examens
4. Emploi, RH, gestion des travailleurs — recrutement, scoring CV, monitoring salariés, décisions de promotion
5. Accès aux services publics et privés essentiels — crédit, assurance, prestations sociales, services d'urgence
6. Application de la loi — évaluation de risques de récidive, déduction d'émotions, polygraphes
7. Migration, asile, contrôle aux frontières — évaluation de risques migratoires, examen de demandes d'asile
8. Justice et processus démocratiques — aide à la décision judiciaire, influence sur élections

5. Les 13 documents à produire

Une mise en conformité AI Act + RGPD-IA + ISO 42001 implique la production et le maintien de jusqu'à 13 documents structurants. La liste exacte dépend de votre profil (déployeur seulement vs fournisseur, présence ou non de systèmes haut-risque, statut d'opérateur de service public).

#	Document	Obligation	Référentiel
1	Notice d'utilisation interne	Recommandée	Bonnes pratiques
2	Synthèse d'audit AI Act	Recommandée	ISO 42001 Cl. 4
3	Checklist de conformité	Recommandée	ISO 42001 Cl. 9.2
4	Politique IA approuvée par la direction	Obligatoire	ISO 42001 Cl. 5.2
5	Registre AIMS (registre des systèmes IA)	Obligatoire	ISO 42001 Cl. 4.4 + AI Act Art. 49
6	Évaluation des risques par système	Obligatoire	AI Act Art. 9 + ISO 42001 Cl. 6.1.2
7	AISIA — AI System Impact Assessment	Obligatoire	ISO 42001 Cl. 6.1.2 + Annexe B
8	FRIA — Fundamental Rights Impact Assessment	Obligatoire si déployeur public/services publics + haut-risque	AI Act Art. 27
9	SoA — Statement of Applicability ISO 42001	Obligatoire pour certification	ISO 42001 Cl. 6.1.3
10	Charte d'usage IA collaborateurs	Recommandée + consultation CSE	AI Act Art. 4 + Art. 26(7) + ISO 42001 A.9.2
11	Procédure de gouvernance + RACI	Recommandée	ISO 42001 Cl. 5.3 + 6.1
12	Procédure de gestion des incidents IA	Obligatoire	ISO 42001 A.8.4 + AI Act Art. 73 + RGPD Art. 33-34
13	Procédure d'évaluation des fournisseurs IA	Recommandée	ISO 42001 A.10.3 + AI Act Art. 25
14	Documentation technique Annexe IV	Obligatoire si fournisseur de système haut-risque	AI Act Art. 11 + Annexe IV

regulia propose ces 14 documents dans des packs personnalisés à partir de 299 €, livrés en moins d'une heure après paiement. Démarrer un pack →

6. Calendrier d'application 2025-2030

Date	Échéance	Statut
2 février 2025	Pratiques interdites (Art. 5) + littératie IA (Art. 4)	✅ En vigueur
2 août 2025	Obligations sur les modèles GPAI (Art. 51-56) — voir notre guide LLM open source et obligations GPAI	✅ En vigueur
2 août 2026	Transparence déployeur Art. 50 (information utilisateur deepfakes, étiquetage), gouvernance générale, Codes de bonne pratique	⏳ Imminente
2 août 2026 → 2 décembre 2026	Article 50 — étiquetage technique des contenus IA (watermarking machine-readable)	📅 Reporté de 4 mois par le Digital Omnibus mai 2026
2 décembre 2026	Nouvelles interdictions Article 5 — nudifiers, IA-CSAM, imagerie intime non-consensuelle (images, vidéo, audio)	🆕 Introduit par le Digital Omnibus mai 2026
2 août 2026 → 2 décembre 2027	Systèmes haut-risque Annexe III (biométrie, infrastructures critiques, éducation, emploi, services essentiels, application loi, migration, justice)	📅 Reporté de 16 mois par le Digital Omnibus mai 2026
2 août 2027 → 2 août 2028	Systèmes haut-risque Annexe I (produits régulés CE — machinerie, dispositifs médicaux, jouets, etc.)	📅 Reporté de 12 mois par le Digital Omnibus mai 2026
2 août 2030	Systèmes legacy déployés par les autorités publiques	📅 Programmée

6.1 Les 8 changements du Digital Omnibus AI (mai 2026)

L'analyse ci-dessous reflète l'accord politique provisoire du 7 mai 2026. L'adoption formelle par le Conseil et le Parlement est attendue avant le 2 août 2026. Tant que l'adoption formelle n'est pas finalisée, les dispositions originales de l'AI Act restent juridiquement applicables, mais les institutions ont publiquement confirmé l'intention de conclure avant la date d'entrée en vigueur Annexe III.

1. Report des obligations Annexe III au 2 décembre 2027 (+16 mois) — concerne les systèmes haut-risque dans biométrie, infrastructures critiques, éducation, emploi, services essentiels, application loi, migration, justice.
2. Report Annexe I au 2 août 2028 (+12 mois) — concerne les systèmes IA intégrés dans des produits régulés CE (machinerie, dispositifs médicaux, jouets, équipements de protection, ascenseurs, etc.).
3. Report Article 50 étiquetage technique au 2 décembre 2026 (+4 mois) — concerne les obligations de marquage machine-readable des contenus générés par IA (deepfakes, médias synthétiques). L'obligation de transparence déployeur côté utilisateur reste à la date d'origine 2 août 2026.
4. Nouvelles interdictions Article 5 (effectives 2 décembre 2026) — nudifiers, systèmes générant du matériel CSAM (child sexual abuse material), systèmes représentant des personnes identifiables dans des activités sexuelles explicites sans consentement, systèmes représentant les parties intimes de personnes identifiables sans consentement. Couverture : images, vidéo, audio. Architecture tripartite d'interdiction : mise sur le marché en finalité, mise sans garde-fous adéquats, usage déployeur pour contenu interdit.
5. Annexe I machinery — passage au régime sectoriel uniquement — les produits régulés CE quittent le régime à double conformité (AI Act + sectoriel) au profit d'un régime sectoriel exclusif. Une clause d'équivalence garantit que la protection santé/sécurité ne soit pas dégradée.
6. Restriction du concept « safety component » — les fonctions IA d'aide utilisateur ou d'optimisation de performance sont exclues du qualificatif « safety component » si leur défaillance ne présente aucun risque concret pour la santé ou la sécurité. Test causal relatif au dommage.
7. Détection de biais — autorisation données spéciales — le traitement de données spéciales du RGPD (Art. 9) est autorisé pour la détection et la mitigation de biais lorsque « strictement nécessaire », étendu aux systèmes non-haut-risque, sous réserve de garde-fous appropriés.
8. Extension PME → SMC (Small Mid-Cap) — les exemptions et modulations PME (Art. 99(6), Art. 62 etc.) sont étendues aux Small Mid-Cap enterprises. Les seuils Article 99 (table de sanctions ci-dessous) ne sont pas modifiés mais les protections proportionnelles sont étendues à une population plus large.

Le Digital Omnibus inclut également des aménagements GPAI (streamline de l'enforcement dans le périmètre de l'AI Office, extension de la supervision aux systèmes built-on-GPAI) et une simplification du registre EU pour les systèmes auto-classés non-haut-risque. Ces dispositions impactent principalement les fournisseurs de modèles fondation et les éditeurs de systèmes downstream.

7. Sanctions : ce que vous risquez vraiment

L'article 99 du Règlement (UE) 2024/1689 prévoit quatre niveaux de sanctions administratives :

Type de violation	Plafond grandes entreprises	Plafond PME (Art. 99(6))
Pratiques interdites (Art. 5)	35 M€ ou 7% du CA mondial	min(7% CA, 35 M€)
Obligations système haut-risque (Art. 16, 26)	15 M€ ou 3% du CA mondial	min(3% CA, 15 M€)
Informations trompeuses	7,5 M€ ou 1,5% du CA mondial	min(1,5% CA, 7,5 M€)
Transparence Art. 50	7,5 M€ ou 1% du CA mondial	min(1% CA, 7,5 M€)

L'article 99(6) protège spécifiquement les PME et start-up en imposant le montant le plus bas entre le plafond fixe et le pourcentage du CA. Pour une PME française de 5 M€ de CA :

• Pratiques interdites : jusqu'à 350 K€ (7% de 5 M€, vs plafond fixe 35 M€)
• Défaut sur système haut-risque : jusqu'à 150 K€
• Défaut de transparence Art. 50 : jusqu'à 50 K€

Les autorités de surveillance compétentes en France sont la CNIL (volet données personnelles), l'ACPR (banque/assurance), l'ANSM (santé/dispositifs médicaux), l'ARCEP (télécoms), et l'ARCOM (audiovisuel).

8. Cas concrets par secteur d'activité

8.1 Ressources Humaines et recrutement

Tous les outils d'aide au recrutement (ATS scoring CV, plateformes de présélection, outils de gamification) sont qualifiés haut-risque par l'Annexe III §4. Cela impose : registre AIMS détaillé, AISIA par outil, information explicite des candidats sur l'usage d'IA, consultation des représentants du personnel (Art. 26(7)), procédure de réclamation pour les candidats refusés.

8.2 Banque et services financiers

Le scoring crédit, l'évaluation de solvabilité, et la détection de fraude sont haut-risque par l'Annexe III §5. Les établissements régulés ACPR sont qualifiés d'opérateurs de service public : FRIA Article 27 obligatoire avant déploiement. Articulation à prévoir avec la directive CRD VI et le Cyber Resilience Act.

8.3 Santé et dispositifs médicaux

Les systèmes IA d'aide au diagnostic ou de tri patients tombent à l'intersection de l'Annexe I (produits régulés CE) et de l'Annexe III §5. Articulation à prévoir avec le règlement MDR/IVDR. Délégation possible au fournisseur du dispositif médical pour la documentation technique Annexe IV.

8.4 Éducation et formation

Les systèmes d'orientation scolaire, d'évaluation, ou de surveillance d'examens sont haut-risque par l'Annexe III §3. Les écoles privées sous contrat sont qualifiées opérateurs de service public : FRIA obligatoire. Information des élèves et parents (Art. 86).

9. Plan d'action 30 / 60 / 90 jours

Phase 1 — Quick wins (J+30)

• Désigner ou confirmer le Responsable IA (IA Lead) en interne
• Faire approuver et diffuser une politique IA d'entreprise
• Diffuser une charte d'usage IA à tous les collaborateurs avec signature
• Compléter le registre AIMS avec tous les systèmes IA déjà en exploitation
• Programmer la première réunion du Comité IA

Phase 2 — Documents structurants (J+60)

• Conduire une évaluation des risques IA pour chaque système haut-risque
• Conduire une AISIA pour chaque système haut-risque
• Cadrer la procédure de gouvernance, la procédure d'incidents, le cadre fournisseurs
• Démarrer le SoA ISO 42001 sur les contrôles prioritaires
• Si applicable : conduire la FRIA et préparer la notification à l'autorité

Phase 3 — Implémentation opérationnelle (J+90)

• Activer les journaux d'événements (Art. 12) sur les systèmes haut-risque
• Mettre en place la supervision humaine effective (Art. 14)
• Communiquer aux personnes affectées par les décisions IA (Art. 26(11), 86)
• Préparer le premier audit interne AIMS (ISO 42001 Cl. 9.2)
• Programmer la première revue de direction (Cl. 9.3)

10. FAQ — questions fréquentes

Mon entreprise de moins de 50 salariés est-elle concernée par l'AI Act ?

Oui, dès que vous utilisez un système d'intelligence artificielle dans votre activité professionnelle (ChatGPT, Copilot, ATS, scoring fournisseur, etc.), vous êtes qualifié de « déployeur » au sens de l'article 3(4) du Règlement (UE) 2024/1689. Les obligations dépendent ensuite de la classification de risque du système.

Quelle est la date limite pour se mettre en conformité ?

Les obligations sur les systèmes haut-risque ont été reportées du 2 août 2026 au 2 décembre 2027 par le Digital Omnibus de mai 2026. Les obligations sur les pratiques interdites (Art. 5) sont applicables depuis le 2 février 2025.

Quelles sanctions risque concrètement une PME ?

L'article 99(6) prévoit une protection PME : on applique le montant le plus bas entre le plafond fixe et le pourcentage du chiffre d'affaires. Une PME de 5 M€ de CA risque concrètement jusqu'à 350 000 € pour pratiques interdites, jusqu'à 150 000 € pour défaut sur système haut-risque.

Suis-je « déployeur » ou « fournisseur » d'un système IA ?

Vous êtes déployeur si vous utilisez un système IA conçu et mis sur le marché par une autre entité. Vous êtes fournisseur si vous développez vous-même un système IA. La très grande majorité des PME françaises sont déployeurs uniquement.

Qui est concerné par la FRIA Article 27 ?

La FRIA est obligatoire pour les déployeurs de systèmes IA haut-risque qui sont des organismes de droit public OU des entités privées fournissant des services publics : banques, compagnies d'assurance, opérateurs énergie, écoles privées sous contrat, hôpitaux.

Quelle articulation entre RGPD et AI Act ?

Les deux textes s'appliquent cumulativement dès qu'un système IA traite des données personnelles. La DPIA RGPD couvre les risques pour les données personnelles. La FRIA AI Act couvre les risques pour les droits fondamentaux. Les deux évaluations doivent être cohérentes et arbitrées par votre DPO.

Combien de temps faut-il prévoir ?

Avec une démarche structurée, comptez 30 jours pour les quick wins, 60 jours pour les documents structurants, 90 jours pour l'implémentation opérationnelle.

Faut-il un avocat spécialisé ?

Non pour la majorité des PME. Les modèles documentaires permettent à votre DPO ou IA Lead de produire la conformité de premier niveau. Le recours à un avocat reste recommandé pour les arbitrages frontières.

Quels sont les 13 documents à produire ?

Politique IA, registre AIMS, évaluation des risques, AISIA, FRIA, SoA ISO 42001, charte d'usage, procédures gouvernance/incidents/fournisseurs, documentation Annexe IV, et plusieurs documents de pilotage.

Le Digital Omnibus a-t-il vraiment reporté les obligations ?

Oui. L'accord politique provisoire du 7 mai 2026 reporte les obligations sur les systèmes haut-risque Annexe III du 2 août 2026 au 2 décembre 2027, les obligations Annexe I du 2 août 2027 au 2 août 2028, et l'étiquetage technique Article 50 du 2 août 2026 au 2 décembre 2026. La transparence déployeur Article 50 reste à la date d'origine 2 août 2026.

Quelles nouvelles interdictions Article 5 sont introduites par le Digital Omnibus ?

Quatre catégories supplémentaires, effectives au 2 décembre 2026 : (1) les nudifiers (systèmes générant des représentations dénudées non-consenties), (2) les systèmes générant du matériel CSAM (child sexual abuse material), (3) les systèmes représentant des personnes identifiables dans des activités sexuelles explicites sans consentement, (4) les systèmes représentant les parties intimes de personnes identifiables sans consentement. La couverture s'étend aux images, à la vidéo et à l'audio. L'interdiction couvre trois étapes : la mise sur le marché à cette finalité, la mise sans garde-fous adéquats, et l'usage par le déployeur pour produire ce contenu.

Mon entreprise génère des images ou vidéos de personnes — suis-je impacté par les nouvelles interdictions CSAM ?

Si votre PME développe ou opère un système IA générant ou modifiant des images, vidéos ou pistes audio représentant des personnes identifiables, vous devez impérativement implémenter dès maintenant : (1) des filtres techniques bloquant la génération de mineurs en contexte sexuel ou de nudité non-consentie, (2) une politique d'usage interdisant explicitement ces finalités, (3) une procédure de modération + signalement Pharos, (4) une traçabilité des prompts utilisateurs. Le manquement vous expose au plafond le plus élevé des sanctions (Art. 99 : 35 M€ ou 7 % CA mondial, ou min des deux pour PME).

Ma PME est-elle une Small Mid-Cap entreprise ?

Au sens de la Recommandation 2003/361/CE et de ses adaptations récentes par la Commission, une Small Mid-Cap (SMC) est une entreprise qui ne remplit plus les critères PME (250 salariés / 50 M€ CA / 43 M€ bilan) mais qui reste sous des seuils élevés (typiquement 1500 salariés et 1,5 Md€ CA). Le Digital Omnibus AI étend aux SMC les exemptions et modulations originalement réservées aux PME (Art. 99(6) plafonds proportionnels, allègements documentaires Art. 62).

Est-ce que je dois changer mes documents si j'ai déjà acheté un pack regulia ?

Non, les packs regulia tiennent compte du Digital Omnibus AI de mai 2026 dans leur version courante. Les clients Pack Premium reçoivent automatiquement les mises à jour trimestrielles intégrant l'adoption formelle du Digital Omnibus dès qu'elle interviendra. Les clients Pack Express ou Pack Complet peuvent commander une mise à jour ponctuelle après adoption formelle.

11. Sources officielles

• Texte intégral consolidé de l'AI Act (artificialintelligenceact.eu)
• Règlement (UE) 2024/1689 sur EUR-Lex
• AI Act Service Desk (Commission européenne)
• CNIL — Fiches pratiques IA (13 fiches)
• CNIL — Recommandations sur le développement de systèmes d'IA respectueux du RGPD
• ISO/IEC 42001:2023 — AI Management System (publié 18 décembre 2023)
• Toutes les sources réglementaires citées par regulia →