L'essentiel en 30 secondes - Le Règlement (UE) 2024/1689 (AI Act) déploie ses obligations principales sur les systèmes à haut risque à compter du 2 août 2026. - Les amendes peuvent atteindre 35 M€ ou 7 % du chiffre d'affaires mondial annuel pour les pratiques interdites (Article 99 du Règlement (UE) 2024/1689). - La norme ISO/IEC 42001:2023, publiée le 18 décembre 2023, structure la gouvernance interne des systèmes d'IA via un cycle PDCA. - DPO et RSSI s'appuient sur ISO 42001 pour documenter, auditer et tracer les systèmes d'IA exigés par l'AI Act. - Une mise en conformité couvrant audit, processus, formation et outils mobilise 3 à 6 mois pour une PME de 10 à 250 salariés. - L'AI Act Service Desk de la Commission européenne (ai-act-service-desk.ec.europa.eu) accompagne gratuitement les PME.
1. Contexte réglementaire : AI Act et ISO 42001 en 2026
L'AI Act, ou Règlement (UE) 2024/1689, est entré en vigueur le 1er août 2024. Son application est progressive. Les pratiques interdites de l'Article 5 sont applicables depuis le 2 février 2025. Les obligations relatives aux modèles d'usage général (GPAI) sont entrées en vigueur le 2 août 2025. Le cœur du dispositif — les systèmes à haut risque listés à l'Annexe III — devient pleinement applicable le 2 août 2026.
Pour une PME française de 10 à 250 salariés, 2026 n'est pas une échéance théorique. C'est la date à laquelle un système de recrutement assisté par IA, un outil de scoring crédit ou un dispositif biométrique doit présenter une documentation technique, un système de gestion des risques et une traçabilité auditable.
La norme ISO/IEC 42001:2023, publiée le 18 décembre 2023, est la première norme internationale de système de management de l'intelligence artificielle (AIMS). Elle reprend la structure HLS (High-Level Structure) commune aux normes ISO 27001 et ISO 9001. Cette parenté permet une intégration rapide avec les systèmes de management déjà en place dans la PME.
DPO et RSSI partagent une difficulté : transformer un texte juridique de 113 articles en obligations opérationnelles. ISO 42001 fournit cette grille de lecture. Le pillar AI Act PME France décrit le périmètre général ; le présent article approfondit l'articulation avec la norme.
2. Les obligations de l'AI Act pour les PME
L'AI Act classe les systèmes en quatre niveaux de risque : interdit, haut risque, risque limité, risque minimal. Une PME peut être concernée à plusieurs titres : fournisseur (provider), déployeur (deployer), importateur ou distributeur.
| Catégorie | Article AI Act | Obligation principale | Échéance |
|---|---|---|---|
| Pratiques interdites | Article 5 | Cessation immédiate | 2 février 2025 |
| Modèles d'IA à usage général | Articles 51-56 | Documentation et politique copyright | 2 août 2025 |
| Systèmes à haut risque (Annexe III) | Articles 8-22 | Système de gestion des risques, documentation, monitoring | 2 août 2026 |
| Systèmes à haut risque (Annexe I) | Articles 8-22 | Conformité intégrée aux produits régulés | 2 août 2027 |
| Risque limité | Article 50 | Obligations de transparence | 2 août 2026 |
Pour un fournisseur de système à haut risque, l'Article 9 impose un système de gestion des risques continu. L'Article 10 encadre la qualité des données d'entraînement. L'Article 11 exige une documentation technique conforme à l'Annexe IV. L'Article 12 impose la journalisation automatique. L'Article 14 impose une supervision humaine effective. L'Article 17 demande un système de management de la qualité documenté.
Pour le déployeur — la situation la plus fréquente pour une PME utilisant un outil SaaS — l'Article 26 impose notamment d'utiliser le système conformément à la notice, d'assurer la supervision humaine, de tenir à jour les journaux et, dans certains cas, de réaliser une analyse d'impact sur les droits fondamentaux (FRIA, Article 27 du Règlement (UE) 2024/1689).
3. L'ISO 42001 : norme de référence pour la gouvernance de l'IA
La norme ISO/IEC 42001:2023 décrit les exigences pour établir, mettre en œuvre, maintenir et améliorer un système de management de l'intelligence artificielle. Elle s'organise autour du cycle PDCA — Plan, Do, Check, Act — déjà familier aux équipes ISO 27001.
Sa structure normative compte dix clauses :
- Domaine d'application
- Références normatives
- Termes et définitions
- Contexte de l'organisation
- Leadership
- Planification
- Support
- Fonctionnement
- Évaluation des performances
- Amélioration
L'Annexe A regroupe les contrôles de référence, organisés en huit objectifs : politiques relatives à l'IA, organisation interne, ressources, évaluation des impacts, cycle de vie du système d'IA, données pour les systèmes d'IA, information pour les parties intéressées, utilisation des systèmes d'IA.
La CNIL recommande la norme dans ses fiches pratiques IA publiées entre février et juillet 2025 comme cadre de gouvernance compatible avec le RGPD et l'AI Act. ISO 42001 n'est pas obligatoire. Elle facilite la démonstration de conformité.
4. Les liens entre l'AI Act et l'ISO 42001
L'AI Act fixe le « quoi » : les obligations légales. ISO 42001 fournit le « comment » : la structure organisationnelle pour les tenir. Les deux référentiels se recouvrent largement, sans se confondre.
| Exigence AI Act | Clause ISO 42001 correspondante | Document opérationnel |
|---|---|---|
| Système de gestion des risques (Art. 9) | Clause 6.1.2 + Annexe A.5 | Registre des risques IA |
| Gouvernance des données (Art. 10) | Annexe A.7 | Politique de qualité des données |
| Documentation technique (Art. 11) | Clause 7.5 | Dossier technique Annexe IV |
| Journalisation (Art. 12) | Annexe A.6.2.6 | Procédure de logs |
| Transparence (Art. 13) | Annexe A.8 | Notice d'utilisation |
| Supervision humaine (Art. 14) | Annexe A.9.3 | Procédure de contrôle humain |
| Système qualité (Art. 17) | Clauses 4 à 10 entières | Manuel AIMS |
| FRIA (Art. 27) | Annexe A.5.3 | Rapport d'analyse d'impact |
La Commission européenne, via l'AI Office et l'AI Act Service Desk, mentionne explicitement ISO/IEC 42001 parmi les normes de référence à mobiliser pour démontrer la conformité. La norme harmonisée définitive sera publiée par le CEN-CENELEC JTC 21, mais ISO 42001 sert dès maintenant de socle.
Le glossaire détaillé des définitions croisées AI Act et ISO 42001 est disponible dans le glossaire regulia.
5. Étapes clés pour la mise en conformité ISO 42001
La trajectoire type pour une PME de 10 à 250 salariés s'étend sur trois à six mois. Elle suit six étapes structurées.
Étape 1 — Cartographie des systèmes d'IA (semaines 1-3). Recensement de tous les systèmes utilisés ou développés : SaaS RH, scoring marketing, assistants génératifs, outils de support client. Classification par niveau de risque AI Act et identification du rôle de la PME (provider, deployer, distributor).
Étape 2 — Analyse d'écart (semaines 3-6). Comparaison entre les pratiques existantes et les exigences combinées AI Act + ISO 42001. Identification des contrôles manquants. La grille de l'Annexe A de la norme structure naturellement cette analyse.
Étape 3 — Conception du système de management (semaines 6-10). Rédaction de la politique IA, du registre des risques, de la procédure d'évaluation d'impact, de la procédure de supervision humaine et du plan de surveillance post-déploiement.
Étape 4 — Déploiement opérationnel (semaines 10-16). Mise en production des procédures, configuration des outils de journalisation, intégration de la traçabilité dans les pipelines existants.
Étape 5 — Formation (semaines 12-18). Sensibilisation obligatoire au titre de l'Article 4 de l'AI Act (AI literacy). Formations différenciées : direction, DPO, RSSI, équipes métier, développeurs.
Étape 6 — Audit interne et revue de direction (semaines 18-24). Vérification de l'efficacité du système, identification des non-conformités, plan d'amélioration. La certification externe par un organisme accrédité reste optionnelle, mais valorise la démarche en appel d'offres.
Vous démarrez votre conformité AI Act ?
Le pack documentaire regulia couvre les 8 procédures ISO 42001 alignées sur les Articles 9 à 27 du Règlement (UE) 2024/1689 : registre des risques, FRIA, politique IA, supervision humaine, journalisation, qualité des données, formation et surveillance post-déploiement.
Demander le pack documentaire6. Rôles du DPO et du RSSI dans la mise en conformité
L'AI Act ne crée pas de fonction dédiée comparable au DPO. Mais il génère des responsabilités opérationnelles qui se répartissent naturellement entre les acteurs existants.
| Acteur | Mission principale | Livrables ISO 42001 |
|---|---|---|
| Direction générale | Décision d'usage, allocation des ressources, revue de direction (Clause 9.3) | Politique IA, déclaration d'applicabilité |
| DPO | Conformité RGPD, supervision FRIA, articulation avec les AIPD existantes | Registre des traitements IA, FRIA |
| RSSI | Sécurité, robustesse (Art. 15), cybersécurité, journalisation | Procédure de logs, plan de continuité IA |
| IA Lead / Responsable produit | Pilotage du cycle de vie, qualité des données | Documentation technique Annexe IV |
| Métier | Supervision humaine effective, remontée d'incidents | Journaux d'usage, fiches d'incidents |
Le DPO veille particulièrement à l'articulation avec le RGPD. L'analyse d'impact relative à la protection des données (AIPD) couvre les traitements de données personnelles. La FRIA de l'Article 27 couvre les impacts sur les droits fondamentaux. Les deux peuvent être fusionnées dans un document unique, comme le suggère la CNIL.
Le RSSI assure la sécurité technique des systèmes d'IA. L'Article 15 exige un niveau approprié d'exactitude, de robustesse et de cybersécurité. La maîtrise ISO 27001 facilite la mise en œuvre. Les contrôles d'accès, la protection contre les attaques par empoisonnement de données et l'inférence adversariale relèvent du périmètre RSSI.
La collaboration est documentée dans la matrice RACI du système de management. ISO 42001 exige une définition claire des rôles (Clause 5.3).
7. Outils et ressources disponibles
Les PME disposent de ressources gratuites publiées par les autorités. La sélection ci-dessous est validée et tenue à jour.
| Ressource | Émetteur | Usage |
|---|---|---|
| AI Act Service Desk | Commission européenne | Réponses individualisées aux PME |
| Fiches pratiques IA | CNIL | Articulation RGPD et IA |
| Texte consolidé AI Act | artificialintelligenceact.eu | Lecture annotée |
| Texte officiel | EUR-Lex | Référence juridique |
| Guide AI Act janvier 2025 | Cigref | Retour d'expérience grands comptes |
| Guide AI Act mars 2025 | Numeum | Cadrage filière numérique |
| Norme ISO/IEC 42001:2023 | ISO/AFNOR | Texte normatif officiel (payant) |
| Norme ISO/IEC 23894:2023 | ISO/AFNOR | Gestion des risques IA |
Les outils internes à déployer incluent un registre des systèmes d'IA (souvent un tableur structuré ou un module GRC), un système de journalisation conforme à l'Article 12, et un processus de gestion des incidents graves au sens de l'Article 73.
La liste complète des sources officielles regulia est consultable sur la page sources.
8. Sanctions en cas de non-conformité
Le régime de sanctions est défini à l'Article 99 du Règlement (UE) 2024/1689. Il distingue trois niveaux selon la nature de l'infraction.
| Type d'infraction | Plafond maximum | Plafond alternatif (CA mondial annuel) |
|---|---|---|
| Pratiques interdites (Art. 5) | 35 000 000 € | 7 % |
| Autres obligations (Art. 16, 22, 23, 24, 26, 50, 55, 60) | 15 000 000 € | 3 % |
| Information incorrecte aux autorités | 7 500 000 € | 1 % |
L'Article 99 paragraphe 6 introduit un mécanisme spécifique pour les PME et les jeunes entreprises : le montant de l'amende correspond au plus bas des deux plafonds (montant fixe ou pourcentage), et non au plus haut comme pour les grandes entreprises.
L'Article 101 ajoute un régime distinct pour les fournisseurs de modèles d'IA à usage général, avec des amendes jusqu'à 15 000 000 € ou 3 % du CA mondial annuel.
Au-delà de l'amende, les conséquences sont multiples : retrait du marché, rappel des produits, interdiction de mise à disposition. L'impact réputationnel est documenté dans l'analyse détaillée sanctions AI Act PME.
L'enjeu pour le DPO et le RSSI est de produire une trace écrite continue de la démarche. ISO 42001 produit cette trace par construction. En cas de contrôle, la documentation du système de management constitue la première ligne de défense.
FAQ
Quelle est la différence entre l'AI Act et l'ISO 42001 ?
L'AI Act est un règlement européen contraignant qui impose des obligations juridiques aux systèmes d'IA selon leur niveau de risque. ISO/IEC 42001:2023 est une norme volontaire internationale qui structure la gouvernance interne via un système de management. L'un fixe les règles, l'autre organise leur application.
Comment l'ISO 42001 aide-t-elle à se conformer à l'AI Act ?
La norme couvre par construction les principales exigences de l'AI Act : gestion des risques (Art. 9), gouvernance des données (Art. 10), documentation (Art. 11), supervision humaine (Art. 14), système qualité (Art. 17). Le cycle PDCA fournit une mécanique d'amélioration continue cohérente avec le caractère évolutif des systèmes d'IA.
Quels sont les avantages de l'ISO 42001 pour une PME ?
La norme structure la démarche, réduit le risque juridique, facilite les audits externes et constitue un argument différenciant dans les appels d'offres. Elle s'intègre rapidement aux systèmes ISO 27001 ou ISO 9001 déjà déployés grâce à la structure HLS commune.
Quels outils sont recommandés pour la mise en conformité ISO 42001 ?
Les outils essentiels sont un registre des systèmes d'IA, une matrice de classification des risques alignée sur l'Annexe III de l'AI Act, un système de journalisation conforme à l'Article 12, et un processus FRIA documenté. L'AI Act Service Desk et les fiches CNIL fournissent les modèles de référence.
Quelles sont les étapes pour obtenir la certification ISO 42001 ?
La certification suit six étapes : cartographie des systèmes, analyse d'écart, conception du système de management, déploiement, formation, audit interne. La certification externe est délivrée par un organisme accrédité COFRAC après audit initial en deux étapes. Le délai courant pour une PME est de 3 à 6 mois jusqu'à l'audit initial.
Besoin d'un cadre opérationnel prêt à déployer ?
regulia met à disposition un pack documentaire alignant les exigences AI Act et ISO 42001 : politiques, procédures, registres et modèles FRIA, adaptés aux PME de 10 à 250 salariés.
Recevoir le pack documentaireSources officielles
- Texte officiel du Règlement (UE) 2024/1689 — EUR-Lex
- Texte consolidé annoté — artificialintelligenceact.eu
- AI Act Service Desk — Commission européenne
- Fiches pratiques IA — CNIL
- Norme ISO/IEC 42001:2023 — Système de management de l'IA
- Norme ISO/IEC 23894:2023 — Gestion des risques IA
Disclaimer Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.