L'essentiel en 30 secondes - Le 2 août 2026 marque l'entrée en application des obligations principales pour les systèmes d'IA à haut risque listés à l'Annexe III du Règlement (UE) 2024/1689. - Les PME fournisseuses ou déployeuses doivent réaliser une évaluation des risques (Art. 9), tenir une documentation technique (Art. 11) et garantir un contrôle humain (Art. 14). - Les sanctions atteignent 35 M€ ou 7 % du chiffre d'affaires annuel mondial pour les pratiques interdites (Art. 99 du Règlement (UE) 2024/1689). - Le service desk AI Act de la Commission européenne accompagne gratuitement les PME : ai-act-service-desk.ec.europa.eu. - La CNIL a publié treize fiches pratiques IA dédiées au RGPD et à l'IA, complémentaires de l'AI Act. - Les PME disposent d'aménagements spécifiques : bacs à sable réglementaires (Art. 57-63) et frais réduits pour l'évaluation de conformité.
1. Évolution de l'AI Act en 2026 : contexte pour les PME
Le Règlement (UE) 2024/1689, publié au Journal officiel le 12 juillet 2024, est entré en vigueur le 1ᵉʳ août 2024. Son application est échelonnée. 2026 constitue l'année charnière pour les PME françaises.
Au 2 février 2025, les pratiques interdites (Art. 5) et les obligations de maîtrise de l'IA (Art. 4) sont déjà applicables. Au 2 août 2025, les règles relatives aux modèles d'IA à usage général (GPAI) et au régime des sanctions sont entrées en vigueur.
Le 2 août 2026 déclenche l'application complète des obligations relatives aux systèmes d'IA à haut risque listés à l'Annexe III : recrutement, scoring de crédit, accès aux services essentiels, ou encore évaluation scolaire. Pour les systèmes à haut risque liés aux produits soumis à harmonisation (Annexe I), la date butoir est le 2 août 2027.
Pour les PME, ce calendrier impose une mise en conformité opérationnelle en 2026, et non plus simplement préparatoire. La pédagogie propose ici un cadrage complet du dispositif pour les PME avant d'entrer dans le détail des obligations.
| Échéance | Obligations applicables | Cible PME |
|---|---|---|
| 2 février 2025 | Pratiques interdites (Art. 5), maîtrise de l'IA (Art. 4) | Toutes |
| 2 août 2025 | GPAI, gouvernance, sanctions (Art. 99) | Fournisseurs de modèles |
| 2 août 2026 | Systèmes à haut risque Annexe III | PME déployeuses ou fournisseuses |
| 2 août 2027 | Systèmes à haut risque Annexe I (produits régulés) | PME secteurs régulés |
2. Nouvelles obligations pour les PME en 2026
L'AI Act fait peser des obligations distinctes selon le rôle : fournisseur (provider) ou déployeur (deployer). Une PME peut cumuler les deux statuts si elle développe ses propres outils internes.
Pour un système d'IA à haut risque, le fournisseur doit :
- Mettre en place un système de gestion des risques documenté tout au long du cycle de vie (Art. 9 du Règlement (UE) 2024/1689).
- Garantir la qualité des jeux de données d'entraînement, validation et test (Art. 10).
- Tenir une documentation technique conforme à l'Annexe IV (Art. 11).
- Assurer un enregistrement automatisé des événements — logs (Art. 12).
- Fournir des instructions d'utilisation transparentes au déployeur (Art. 13).
- Permettre une surveillance humaine effective (Art. 14).
- Garantir un niveau approprié d'exactitude, de robustesse et de cybersécurité (Art. 15).
Le déployeur, lui, doit notamment respecter les instructions d'utilisation, assurer le contrôle humain, suspendre l'utilisation en cas de risque, et conserver les logs (Art. 26).
Une analyse d'impact sur les droits fondamentaux (FRIA) est exigée pour certains déployeurs publics ou prestataires de services essentiels (Art. 27).
3. Sanctions et amendes pour non-conformité
Le régime de sanctions de l'AI Act figure à l'Article 99 du Règlement (UE) 2024/1689. Il s'articule en trois plafonds, selon la gravité du manquement.
| Type d'infraction | Plafond pour grandes entreprises | Plafond pour PME et start-ups |
|---|---|---|
| Pratiques interdites (Art. 5) | 35 M€ ou 7 % du CA mondial | Le plus bas des deux |
| Non-respect des obligations (haut risque, GPAI, etc.) | 15 M€ ou 3 % du CA mondial | Le plus bas des deux |
| Fourniture d'informations incorrectes aux autorités | 7,5 M€ ou 1 % du CA mondial | Le plus bas des deux |
L'AI Act prévoit explicitement, à l'Article 99 §6, que pour les PME et start-ups les sanctions retiennent le montant le plus bas entre le pourcentage de chiffre d'affaires et le montant en euros — ce qui constitue un aménagement majeur.
Les sanctions ne sont pas le seul risque. Une non-conformité expose la PME à : retrait du système du marché, perte de contrats B2B (clauses contractuelles de conformité), rupture d'éligibilité aux marchés publics, et atteinte réputationnelle.
Pour estimer concrètement l'exposition financière, le simulateur de sanctions PME calcule le plafond applicable selon le chiffre d'affaires et le type d'infraction.
4. Ressources et outils pour la mise en conformité
Plusieurs ressources institutionnelles gratuites accompagnent les PME en 2026.
Au niveau européen :
- AI Act Service Desk (ai-act-service-desk.ec.europa.eu) : portail officiel de la Commission, FAQ structurée, demande d'éclaircissement par formulaire.
- AI Office : pilote l'application des règles GPAI et publie des lignes directrices.
- Bases EUR-Lex : version consolidée du Règlement disponible sur eur-lex.europa.eu.
Au niveau français :
- CNIL : treize fiches pratiques sur l'IA et le RGPD, plan d'action IA publié en mai 2023 et mis à jour.
- Pôle Bpifrance Diag IA : diagnostic subventionné pour les PME [à vérifier selon l'évolution 2026].
- Cigref : guide AI Act publié en janvier 2025, recommandations pratiques pour DSI.
- Numeum : guide AI Act publié en mars 2025, axé éditeurs et ESN.
Pour un référencement complet et actualisé des sources institutionnelles, consulter la base de sources regulia.
Le référentiel normatif ISO/IEC 42001:2023 (système de management de l'IA) constitue une base technique utile pour construire un système de conformité. ISO/IEC 23894:2023 cadre le risk management. ISO/IEC 27001:2022 reste pertinent pour la cybersécurité associée.
Vous êtes à 7 mois de l'échéance d'août 2026 ?
Évaluez en 10 minutes le niveau de risque de vos systèmes d'IA et recevez votre feuille de route personnalisée.
Démarrer mon diagnostic AI Act5. Évaluation des risques : changements en 2026
L'Article 6 définit les critères de classification des systèmes à haut risque. L'Annexe III liste huit domaines : biométrie, infrastructures critiques, éducation, emploi, services essentiels publics et privés, application de la loi, migration et asile, administration de la justice.
Un système qui relève d'un domaine de l'Annexe III est présumé à haut risque, sauf s'il ne représente pas un risque significatif pour la santé, la sécurité ou les droits fondamentaux (Art. 6 §3). Le fournisseur doit alors documenter cette analyse et la notifier à l'autorité compétente.
Le système de gestion des risques (Art. 9) couvre quatre étapes :
- Identification et analyse des risques connus et raisonnablement prévisibles.
- Estimation et évaluation des risques en utilisation conforme et en mauvais usage prévisible.
- Évaluation des autres risques sur la base des données issues du suivi post-commercialisation.
- Adoption de mesures appropriées de gestion des risques.
Lorsque le système traite des données personnelles, l'articulation avec le RGPD impose en pratique une AIPD (Article 35 RGPD) coordonnée avec l'évaluation AI Act. Le glossaire regulia détaille les différences entre AIPD, FRIA et évaluation de conformité.
6. Obligations de transparence et d'information
La transparence se décline à plusieurs niveaux dans le Règlement.
Vis-à-vis des déployeurs (Art. 13) : les systèmes à haut risque doivent être accompagnés d'instructions concises, complètes, correctes et claires. Elles précisent l'identité du fournisseur, les caractéristiques, capacités, limites du système, et les mesures de contrôle humain.
Vis-à-vis des personnes exposées (Art. 50) :
- Les systèmes d'IA conçus pour interagir avec des personnes physiques doivent les informer qu'elles interagissent avec une IA.
- Les systèmes de reconnaissance des émotions ou de catégorisation biométrique doivent informer les personnes exposées.
- Les contenus générés ou manipulés (deepfakes) doivent être marqués comme tels.
Pour les PME utilisant des chatbots, assistants IA ou outils génératifs en relation client, ces obligations sont directement applicables en août 2026. La mention doit être visible, accessible et compréhensible.
| Obligation | Article | Bénéficiaire | Format attendu |
|---|---|---|---|
| Instructions techniques | Art. 13 | Déployeur professionnel | Notice détaillée |
| Information chatbot | Art. 50 §1 | Utilisateur final | Mention claire à l'écran |
| Marquage deepfake | Art. 50 §4 | Public | Étiquetage visible |
| Information biométrie/émotions | Art. 50 §3 | Personne exposée | Information préalable |
7. Impacts sur les projets d'IA en cours et futurs
Les projets d'IA initiés avant 2026 ne sont pas automatiquement exemptés. L'AI Act distingue selon la date de mise sur le marché ou de mise en service.
Pour les systèmes à haut risque mis sur le marché avant le 2 août 2026, l'Article 111 prévoit que les obligations s'appliquent uniquement en cas de modification significative de leur conception. Pour les systèmes mis sur le marché après cette date, la conformité est exigée immédiatement.
Concrètement, une PME doit :
- Cartographier l'existant : inventaire de tous les systèmes d'IA en production, en pilote ou en développement.
- Classifier chaque système : risque inacceptable, haut risque, risque limité, risque minimal.
- Évaluer l'impact des modifications prévues : un changement majeur déclenche les obligations complètes.
- Réviser les contrats fournisseurs : intégrer des clauses de conformité AI Act, notamment pour les modèles GPAI sous-jacents.
- Planifier les budgets 2026 conformité : documentation, formation, audits.
Les cycles de développement (CI/CD pour IA) doivent intégrer des contrôles de conformité : test des biais (Art. 10), traçabilité des données, journalisation, tests de robustesse (Art. 15).
8. Opportunités pour les PME : innovation responsable
L'AI Act prévoit des dispositifs spécifiquement orientés vers les PME et les start-ups.
Bacs à sable réglementaires (Art. 57-63) : chaque État membre doit établir au moins un sandbox d'IA opérationnel avant le 2 août 2026. Les PME y bénéficient d'un accès prioritaire et gratuit (Art. 62 §2 a)). En France, l'animation est confiée à la CNIL en lien avec la DGE [à vérifier sur la base des décrets d'application].
Frais réduits (Art. 62 §2 b)) : les frais d'évaluation de conformité par tiers, lorsqu'ils sont applicables, sont réduits pour les PME et start-ups, proportionnellement à leur taille et leur capacité.
Plafonds de sanctions ajustés : comme évoqué, l'Article 99 §6 retient le montant le plus bas pour les PME.
Soutien institutionnel : canaux de communication dédiés via les autorités nationales et l'AI Office.
Au-delà des aménagements, la conformité crée un avantage concurrentiel : appels d'offres publics, contractualisation B2B avec donneurs d'ordres exigeants, accès aux marchés européens sans friction.
9. Étapes clés pour la mise en conformité en 2026
Une trajectoire opérationnelle réaliste pour une PME tient en cinq étapes sur 6 à 9 mois.
| Mois | Étape | Livrables |
|---|---|---|
| M1-M2 | Cartographie et classification | Inventaire IA, matrice de risque, statut par système |
| M2-M3 | Gouvernance et rôles | Désignation d'un référent, politique IA, registre |
| M3-M5 | Documentation technique | Dossier Art. 11, AIPD, FRIA le cas échéant |
| M4-M6 | Mesures techniques | Contrôle humain, logs, tests robustesse, transparence |
| M6-M9 | Audit interne et formation | Audit gap, formation Art. 4, plan d'amélioration continue |
L'obligation de maîtrise de l'IA (Art. 4) est déjà applicable depuis le 2 février 2025. Tous les collaborateurs interagissant avec un système d'IA doivent disposer d'un niveau suffisant de littératie en IA, proportionné à leur rôle et au contexte d'utilisation.
La désignation d'un référent conformité IA n'est pas une obligation textuelle explicite pour toutes les PME [à vérifier selon la taille et le secteur], mais constitue une bonne pratique recommandée par le Cigref et Numeum. Le référent coordonne DPO, RSSI, DSI et métiers.
Pour les systèmes à haut risque, un système de management de la qualité documenté est exigé (Art. 17). ISO/IEC 42001:2023 fournit un cadre structurant compatible.
Construisez votre dossier AI Act sans repartir de zéro
Le pack documentaire regulia couvre la cartographie, la documentation Art. 11, l'AIPD et le registre des systèmes. Conforme aux exigences du 2 août 2026.
Découvrir le pack documentaire PMEFAQ
Quelles sont les principales obligations de l'AI Act pour les PME en 2026 ?
Les PME doivent classifier leurs systèmes d'IA selon les quatre niveaux de risque (Art. 6), tenir un système de gestion des risques (Art. 9), produire une documentation technique conforme à l'Annexe IV (Art. 11), garantir le contrôle humain (Art. 14) et informer les utilisateurs finaux le cas échéant (Art. 50). Pour les systèmes à haut risque, l'application complète intervient le 2 août 2026.
Quelles sont les sanctions possibles pour non-conformité ?
L'Article 99 du Règlement (UE) 2024/1689 fixe trois plafonds : 35 M€ ou 7 % du CA mondial pour les pratiques interdites, 15 M€ ou 3 % pour les manquements aux obligations principales, 7,5 M€ ou 1 % pour les informations erronées aux autorités. Pour les PME et start-ups, le montant le plus bas entre la valeur absolue et le pourcentage s'applique (Art. 99 §6).
Où puis-je trouver des ressources officielles pour me conformer ?
Trois sources principales : l'AI Act Service Desk de la Commission européenne (ai-act-service-desk.ec.europa.eu), les treize fiches pratiques de la CNIL sur cnil.fr, et le texte consolidé sur artificialintelligenceact.eu. Le cadre normatif ISO/IEC 42001:2023 complète utilement le dispositif.
Quels sont les systèmes d'IA de haut risque concernés ?
L'Annexe III du Règlement liste huit domaines : biométrie, infrastructures critiques, éducation et formation, emploi et gestion des travailleurs, accès aux services essentiels (publics et privés), application de la loi, migration et asile, administration de la justice et processus démocratiques. Les systèmes d'IA composants de produits soumis à harmonisation (Annexe I) constituent une seconde catégorie, applicable au 2 août 2027.
Quelles sont les étapes clés pour se conformer en 2026 ?
Cinq étapes : (1) cartographie et classification des systèmes d'IA existants, (2) désignation d'un référent et mise en place d'une gouvernance, (3) production de la documentation technique, (4) déploiement des mesures techniques (contrôle humain, logs, transparence), (5) audit interne et plan de formation Art. 4. Une trajectoire réaliste tient en 6 à 9 mois.
Sources officielles
- Règlement (UE) 2024/1689 — version consolidée EUR-Lex : eur-lex.europa.eu/eli/reg/2024/1689
- Texte intégral structuré : artificialintelligenceact.eu
- AI Act Service Desk — Commission européenne : ai-act-service-desk.ec.europa.eu
- CNIL — fiches pratiques IA : cnil.fr/fr/intelligence-artificielle
- ISO/IEC 42001:2023 — Système de management de l'IA
- ISO/IEC 23894:2023 — Lignes directrices sur la gestion des risques liés à l'IA
- ISO/IEC 27001:2022 — Sécurité de l'information
- Cigref — Guide AI Act, janvier 2025
- Numeum — Guide AI Act, mars 2025
Pour une base documentaire enrichie, voir la page sources regulia et le glossaire AI Act.
Avertissement. Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.