AI Act : codes de bonne pratique GP AI attendus en mai 2026 pour les PME

Q: Les codes de bonne pratique sont-ils obligatoires pour les PME ?

Oui, les codes de bonne pratique GP AI seront obligatoires pour tous les fournisseurs d'IA et utilisateurs (Article 52 de l'AI Act). Les PME doivent les suivre pour éviter des sanctions pouvant atteindre 7% du CA. Ils servent de référence minimale pour la conformité.

Q: Quels sont les principaux domaines couverts par les codes ?

Les codes aborderont l'évaluation d'impact (Article 14), la documentation minimale (Article 52), la transparence des décisions (Article 15) et la surveillance post-commercialisation (Article 17). Ils fourniront des exemples concrets adaptés aux PME, comme des modèles de documentation simplifiés.

Q: Comment les PME peuvent-elles se préparer dès maintenant ?

Les PME doivent commencer dès 2025 par un audit de leurs systèmes d'IA, former leurs équipes sur l'AI Act, et mettre en place des processus de documentation. Le service desk européen (ai-act-service-desk.ec.europa.eu) et la CNIL (cnil.fr) offrent des ressources spécifiques aux PME.

Q: Quels avantages les PME obtiendront-elles en suivant les codes ?

Les PME bénéficieront d'une réduction potentielle de 50% des sanctions en cas de non-conformité, d'une meilleure réputation, d'un accès facilité aux marchés publics, et d'une réduction des coûts d'audit grâce à des références claires. Les codes aideront aussi à standardiser les processus internes.

Q: Où trouver les codes de bonne pratique en mai 2026 ?

Les codes seront publiés sur le site officiel de l'AI Act (artificialintelligenceact.eu) et sur EUR-Lex (eur-lex.europa.eu). Les PME pourront également consulter le service desk européen (ai-act-service-desk.ec.europa.eu) pour des clarifications spécifiques. Un guide pratique sera disponible sur regulia.fr.

TL;DR

L'essentiel en 30 secondes

Les codes de bonne pratique GP AI seront publiés en mai 2026 par l'UE pour accompagner l'application de l'AI Act.

Ils concernent les fournisseurs d'IA à usage général et leurs utilisateurs professionnels (Article 52 du Règlement (UE) 2024/1689).

Ils couvrent l'évaluation d'impact, la documentation technique, la transparence et la surveillance post-commercialisation.

Une PME qui adhère à un code reconnu peut voir le quantum de sanction réduit jusqu'à 50 % [à vérifier selon les lignes directrices finales].

Les amendes maximales atteignent 7 % du chiffre d'affaires mondial annuel (Article 99 du Règlement (UE) 2024/1689).

Références légales clés : Article 52, Article 56, Article 99 du Règlement (UE) 2024/1689.

Les codes de bonne pratique sont un outil de conformité intermédiaire. Ils ne remplacent pas le texte du règlement. Ils traduisent les obligations en actions opérationnelles pour les PME françaises. Cet article détaille ce qui est attendu en mai 2026, ce qu'une PME doit préparer dès 2025, et comment ces codes interagissent avec les sanctions de l'Article 99.

1. Contexte législatif : l'AI Act et les obligations des PME

Le Règlement (UE) 2024/1689 — dit AI Act — est entré en vigueur le 1er août 2024. Son calendrier d'application s'étale jusqu'en août 2027. Les obligations relatives aux modèles d'IA à usage général (general-purpose AI, ou GP AI) s'appliquent depuis le 2 août 2025. Les codes de bonne pratique encadrant ces modèles font l'objet d'un calendrier dédié coordonné par l'AI Office.

Pour une PME française, deux situations sont à distinguer :

Profil PME	Rôle au sens de l'AI Act	Obligations principales
Éditeur d'un outil IA générative	Fournisseur (provider)	Documentation technique, marquage CE le cas échéant, gestion des risques
Intégrateur d'un assistant tiers (ChatGPT, Mistral, Claude)	Déployeur (deployer)	Information des utilisateurs, supervision humaine, journalisation
Distributeur d'un système IA via marketplace	Distributeur	Vérification du marquage, traçabilité
Utilisateur interne d'un copilote de code	Déployeur	Politique d'usage, formation, surveillance

L'Article 52 du Règlement (UE) 2024/1689 impose une obligation de transparence à tout fournisseur. Cela inclut l'identification claire des contenus générés par IA et la documentation des limites du système. L'Article 99 fixe les sanctions : jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour les manquements les plus graves (pratiques interdites de l'Article 5).

Les pénalités calculables et les seuils par catégorie de manquement sont détaillés dans notre guide des sanctions AI Act pour PME. Pour le cadre général applicable aux PME françaises, voir notre pillar AI Act et PME en France.

2. Objectifs des codes de bonne pratique GP AI

Les codes ont quatre objectifs explicites définis par l'Article 56 du Règlement (UE) 2024/1689. Ils complètent les normes harmonisées élaborées par le CEN-CENELEC JTC 21.

Clarifier les exigences — traduire le texte juridique en exigences techniques mesurables.
Fournir des exemples concrets — proposer des modèles de documentation, des arbres de décision, des matrices de risque.
Faciliter l'audit interne — donner aux PME une grille de contrôle reproductible.
Réduire les coûts de mise en conformité — éviter à chaque PME de réinventer ses templates.

Concrètement, un code de bonne pratique reconnu par la Commission (via acte d'exécution prévu à l'Article 56(6)) crée une présomption partielle de conformité. La PME qui le suit n'est pas automatiquement conforme, mais elle bénéficie d'un faisceau d'indices favorable en cas de contrôle.

Objectif	Mécanisme prévu	Bénéfice direct PME
Clarification	Glossaire opérationnel, fiches métier	Moins d'interprétation juridique coûteuse
Exemples concrets	Templates de Fiche Technique, modèles d'AIPD-IA	Gain de temps documentaire
Audit interne	Checklists par niveau de risque	Cadre auditable par DPO ou commissaire aux comptes
Réduction de coûts	Mutualisation des bonnes pratiques	Diminution de la facture de conseil externe

3. Domaines couverts par les codes de bonne pratique

Les codes attendus en mai 2026 portent sur quatre domaines structurants. Ils s'articulent avec la norme ISO/IEC 42001:2023 sur les systèmes de management de l'IA.

Évaluation d'impact

L'évaluation porte sur les risques pour les droits fondamentaux. L'Article 27 du Règlement (UE) 2024/1689 impose une analyse d'impact (Fundamental Rights Impact Assessment, FRIA) pour les déployeurs publics ou parapublics de systèmes à haut risque. Les codes préciseront le format attendu pour les PME concernées.

Documentation minimale

L'Annexe IV du Règlement (UE) 2024/1689 liste neuf catégories de documentation technique. Pour une PME, le code de bonne pratique apportera des modèles allégés correspondant à des cas d'usage standardisés (RH, marketing, support client).

Transparence et explication des décisions

L'Article 50 impose des obligations de transparence spécifiques pour les systèmes interagissant avec des personnes physiques et pour les contenus générés (deepfakes, chatbots). Les codes définiront les formulations admissibles et les mécanismes de marquage technique (filigrane, métadonnées C2PA).

Surveillance post-commercialisation

L'Article 72 oblige les fournisseurs de systèmes à haut risque à mettre en place un plan de surveillance. Les codes proposeront un canevas adapté à la taille d'une PME : indicateurs de dérive, registres d'incidents, seuils de remontée.

Domaine	Article AI Act	Norme ISO connexe	Document type attendu
Évaluation d'impact	Art. 27	ISO/IEC 23894:2023	FRIA simplifiée
Documentation technique	Annexe IV	ISO/IEC 42001:2023	Fiche technique modèle
Transparence	Art. 50	—	Mentions UX standardisées
Surveillance	Art. 72	ISO/IEC 27001:2022	Plan de monitoring

Anticipez la publication des codes de mai 2026

Notre pack documentaire regulia couvre déjà les quatre domaines listés par l'Article 56 : templates de FRIA, fiches techniques Annexe IV, mentions de transparence Article 50 et plan de surveillance Article 72. Vos équipes gagnent six à douze mois de préparation.

Demander une démonstration

4. Avantages pour les PME

Adhérer à un code de bonne pratique reconnu produit des effets juridiques, opérationnels et commerciaux distincts.

Avantage	Nature	Article AI Act mobilisé
Présomption partielle de conformité	Juridique	Art. 56(6)
Atténuation possible des sanctions	Juridique	Art. 99(7)
Réduction des coûts d'audit	Opérationnel	—
Signal de confiance commercial	Commercial	—
Accès facilité aux marchés publics	Commercial	Code de la commande publique, articles R. 2152-1 et suivants

L'Article 99(7) du Règlement (UE) 2024/1689 prévoit que l'autorité compétente tient compte « de la coopération avec les autorités nationales compétentes » et « de toute mesure prise par le fournisseur ou le déployeur pour atténuer le préjudice ». L'adhésion à un code documenté constitue un élément probant. Le quantum exact de l'atténuation n'est pas fixé par le règlement et dépendra de la pratique des autorités nationales [à vérifier selon les lignes directrices finales de l'AI Office].

Pour les marchés publics, la directive européenne 2014/24/UE permet aux acheteurs publics d'exiger des certifications ou attestations de conformité. Une PME documentant son adhésion à un code reconnu améliore son score qualité dans les appels d'offres incluant des composants IA.

5. Préparation anticipée pour les PME

Une PME ne peut pas attendre mai 2026 pour agir. Les obligations relatives aux pratiques interdites (Article 5) s'appliquent depuis le 2 février 2025. Celles relatives aux modèles GP AI depuis le 2 août 2025. Les obligations sur les systèmes à haut risque entrent en vigueur le 2 août 2026.

Le séquençage recommandé est le suivant :

Inventaire des systèmes IA en place — recensement par direction métier (RH, marketing, finance, IT, support).
Classification AI Act — interdit, haut risque, risque limité, risque minimal selon les Articles 5, 6, 50.
Identification des rôles — fournisseur, déployeur, distributeur, importateur.
Cartographie des écarts documentaires — comparaison avec l'Annexe IV.
Formation des équipes — DPO, RSSI, IA Lead, direction générale.
Mise en place des processus de surveillance — registre d'incidents, indicateurs de dérive.
Veille active sur les codes — abonnement aux publications de l'AI Office et de la CNIL.

Étape	Échéance recommandée	Référence
Inventaire	Septembre 2025	pillar PME
Classification	Décembre 2025	Articles 5, 6, 50
Cartographie	Mars 2026	Annexe IV
Formation	Continu	Fiches CNIL
Plan de surveillance	Mai 2026	Article 72
Audit blanc	Juillet 2026	ISO/IEC 42001

Le glossaire regulia précise les termes employés par l'AI Act et leurs équivalents dans la norme ISO/IEC 42001:2023.

6. Exemples de codes de bonne pratique attendus

Les codes seront sectoriels et transverses. Voici les axes annoncés ou anticipables au regard des travaux préparatoires de l'AI Office et des contributions Cigref et Numeum.

Documentation simplifiée pour les systèmes à faible risque

Pour les usages internes non décisionnels (résumé de réunion, génération d'images marketing), les codes prévoiront un format documentaire allégé : description fonctionnelle, données d'entraînement déclaratives, mentions UX. Une PME pourra remplir ce format en une à deux heures par système.

Processus d'évaluation d'impact simplifié

Pour les déployeurs PME concernés par l'Article 27, un canevas de FRIA en cinq à huit pages remplacera les modèles génériques de quarante pages utilisés dans les grands groupes. Le format attendu reprendra la structure de l'AIPD RGPD pour réduire la charge de double documentation.

Outils de surveillance adaptés

Le plan de surveillance Article 72 sera décliné en indicateurs minimaux : taux d'erreur, taux de plaintes utilisateurs, dérive statistique. Les codes proposeront des seuils de remontée par catégorie d'usage.

Guide de transparence pour les clients finaux

Pour l'Article 50, les codes fixeront des formulations standard en français : mention pré-interaction (« Vous interagissez avec un système d'IA »), marquage des contenus générés, modalités de recours humain.

Code attendu	Public visé	Pages estimées	Effort PME
Documentation faible risque	Déployeurs PME	10-15	Faible
FRIA simplifiée	Déployeurs publics PME	20-25	Moyen
Plan de surveillance	Fournisseurs PME haut risque	15-20	Moyen
Transparence Article 50	Tous	8-12	Faible

Ces volumes sont des estimations basées sur les drafts publics du Code of Practice for General-Purpose AI Models publiés en 2025 par l'AI Office [à vérifier selon version finale].

7. Ressources pour les PME

Les ressources officielles sont gratuites. Les ressources sectorielles privées (Cigref, Numeum) sont accessibles aux adhérents. Les ressources regulia couvrent la production documentaire opérationnelle.

Ressource	Type	Coût	Usage
AI Act Service Desk (Commission)	Officiel UE	Gratuit	Questions juridiques
Fiches pratiques CNIL	Officiel FR	Gratuit	Cadrage opérationnel
Guide Cigref AI Act	Privé sectoriel	Adhérent	Retours d'expérience grands comptes
Guide Numeum AI Act	Privé sectoriel	Adhérent	Cadre éditeurs logiciels
Norme ISO/IEC 42001:2023	Norme internationale	Payant	Système de management IA
Glossaire regulia	Privé	Gratuit	Lexique opérationnel
Packs documentaires regulia	Privé	Payant	Templates prêts à l'emploi

Les liens utiles : service desk européen ai-act-service-desk.ec.europa.eu, fiches CNIL cnil.fr/fr/les-fiches-pratiques-ia, glossaire regulia, sources officielles regulia.

8. Impact sur les PME françaises

L'impact se mesure sur trois plans : juridique, économique, concurrentiel.

Plan juridique

L'obligation de conformité ne dépend pas de la taille de l'entreprise. Une PME de quinze salariés utilisant un outil de scoring de candidats est soumise aux mêmes exigences qu'un grand groupe pour ce système classé haut risque (Annexe III point 4). Les codes de bonne pratique apportent une feuille de route opérationnelle adaptée à la taille.

Plan économique

La mise en conformité représente un coût initial. Les retours d'expérience publiés par Numeum en mars 2025 estiment l'effort moyen pour une PME éditrice à 20-40 jours-homme la première année [à vérifier selon mise à jour]. Suivre un code de bonne pratique reconnu divise typiquement cet effort par deux à trois.

Plan concurrentiel

La conformité AI Act devient un argument commercial. Les acheteurs publics et les grands donneurs d'ordre intègrent la conformité IA dans leurs questionnaires fournisseurs depuis 2025. Une PME qui peut attester d'une adhésion à un code reconnu se différencie face à des concurrents non préparés.

Dimension	Effet attendu	Horizon
Juridique	Réduction du risque de sanction	Immédiat
Économique	Diminution du coût documentaire	6-12 mois
Concurrentiel	Différenciation marchés publics	12-24 mois
Innovation	Standardisation des pratiques internes	24-36 mois

Sécurisez votre conformité AI Act dès maintenant

Le pack documentaire regulia couvre les quatre domaines anticipés par les codes de bonne pratique : FRIA, documentation Annexe IV, mentions de transparence et plan de surveillance. Livraison sous 48 heures, mises à jour incluses jusqu'à la publication officielle des codes.

Recevoir le pack documentaire

FAQ

Les codes de bonne pratique sont-ils obligatoires pour les PME ?

Non au sens strict, oui en pratique. L'Article 56 du Règlement (UE) 2024/1689 prévoit que les codes constituent un moyen d'établir la conformité, sans interdire d'autres moyens équivalents. Une PME peut donc démontrer sa conformité hors code reconnu, mais devra produire elle-même la preuve équivalente. En cas de manquement, l'absence d'adhésion à un code reconnu pèse défavorablement dans le calcul de la sanction prévue à l'Article 99.

Quels sont les principaux domaines couverts par les codes ?

Les codes couvrent quatre domaines : l'évaluation d'impact sur les droits fondamentaux (Article 27), la documentation technique conforme à l'Annexe IV, les obligations de transparence vis-à-vis des utilisateurs finaux (Article 50), et la surveillance post-commercialisation (Article 72). Ils fourniront des modèles allégés adaptés aux contraintes opérationnelles d'une PME de 10 à 250 salariés.

Comment les PME peuvent-elles se préparer dès maintenant ?

La préparation suit sept étapes : inventaire des systèmes IA, classification par niveau de risque, identification des rôles (fournisseur ou déployeur), cartographie des écarts documentaires, formation des équipes clés (DPO, RSSI, IA Lead), mise en place d'un plan de surveillance, et veille sur les publications de l'AI Office. Le pillar regulia détaille chaque étape avec les références d'articles applicables.

Quels avantages les PME obtiendront-elles en suivant les codes ?

Quatre avantages concrets : présomption partielle de conformité au titre de l'Article 56(6), prise en compte favorable dans le calcul des sanctions au titre de l'Article 99(7), réduction des coûts d'audit interne et externe, et différenciation commerciale dans les appels d'offres publics et privés intégrant des critères de conformité IA.

Où trouver les codes de bonne pratique en mai 2026 ?

Les codes seront publiés sur le portail officiel de la Commission européenne (ai-act-service-desk.ec.europa.eu) et référencés sur EUR-Lex (eur-lex.europa.eu/eli/reg/2024/1689). La version pédagogique consolidée sera disponible sur artificialintelligenceact.eu. La CNIL publiera les déclinaisons françaises sur cnil.fr/fr/les-fiches-pratiques-ia. regulia publiera une analyse opérationnelle sous quinze jours après la sortie officielle.

Sources officielles

Règlement (UE) 2024/1689 du Parlement européen et du Conseil — texte officiel : eur-lex.europa.eu
Version consolidée et pédagogique : artificialintelligenceact.eu
AI Act Service Desk de la Commission européenne : ai-act-service-desk.ec.europa.eu
CNIL — fiches pratiques IA et recommandations : cnil.fr
ISO/IEC 42001:2023 — Information technology – Artificial intelligence – Management system
ISO/IEC 23894:2023 — Artificial intelligence – Guidance on risk management
ISO/IEC 27001:2022 — Information security management systems

Pour les références internes : pillar AI Act et PME en France, sanctions AI Act et calculateur, glossaire regulia, sources officielles regulia.

Disclaimer

Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.