L'essentiel en 30 secondes
- Le Règlement (UE) 2024/1689 dit « AI Act » est entré en vigueur le 1er août 2024.
- Les obligations applicables aux modèles d'IA à usage général (GPAI) — Chapitre V — sont entrées en application le 2 août 2025.
- La majorité des autres dispositions, dont les obligations applicables aux systèmes à haut risque, deviennent pleinement applicables le 2 août 2026 (Article 113 du Règlement).
- Une PME française qui intègre ChatGPT, Claude, Mistral, Gemini ou tout autre GPAI dans ses processus devient « déployeur » et hérite d'obligations propres.
- Les sanctions peuvent atteindre 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour les pratiques interdites, et 15 millions d'euros ou 3 % pour les autres manquements (Article 99).
- L'AI Office européen anime un service-desk dédié : ai-act-service-desk.ec.europa.eu.
1. Contexte : l'AI Act et ses implications pour les PME
L'EU AI Act est le premier cadre réglementaire horizontal au monde sur l'intelligence artificielle. Il s'applique à toute organisation qui met sur le marché, met en service ou utilise un système d'IA dans l'Union européenne. Les PME françaises ne sont pas exemptées.
Le texte distingue plusieurs catégories de risque : risque inacceptable (pratiques interdites, Article 5), haut risque (Annexe III et Annexe I), risque limité (obligations de transparence, Article 50) et risque minimal. Une catégorie transversale a été ajoutée tardivement : les modèles d'IA à usage général, dits GPAI pour General Purpose AI.
Qu'est-ce qu'un système GPAI ?
L'Article 3, point 63 du Règlement définit un modèle GPAI comme un modèle d'IA « entraîné sur une grande quantité de données utilisant l'auto-supervision à grande échelle, qui présente une généralité significative et est capable d'exécuter avec compétence un large éventail de tâches distinctes ». Les grands modèles de langage et les modèles multimodaux entrent typiquement dans cette catégorie.
Concrètement : GPT-4, Claude, Gemini, Mistral Large, Llama 3 sont des modèles GPAI. Lorsqu'une PME française utilise l'un d'eux — directement via API ou intégré dans un outil SaaS — elle devient déployeur au sens de l'Article 3, point 4.
Qui est concerné dans une PME ?
| Profil PME | Rôle au sens AI Act | Obligations principales |
|---|---|---|
| PME qui appelle l'API d'un LLM dans son produit | Déployeur (et parfois fournisseur en aval) | Transparence vis-à-vis des utilisateurs finaux, supervision humaine, documentation d'usage |
| PME qui ré-entraîne un modèle open source pour son cas d'usage | Fournisseur de modèle GPAI [à vérifier selon ampleur du fine-tuning] | Documentation technique, politique de droit d'auteur, résumé des données d'entraînement |
| PME qui utilise un SaaS embarquant un LLM | Déployeur indirect | Vérification contractuelle des garanties du fournisseur, journalisation des usages |
| PME éditrice classant des CV avec une IA | Déployeur d'un système haut risque (Annexe III, point 4) | Évaluation d'impact, registre, supervision humaine renforcée |
Les seuils de chiffre d'affaires n'exonèrent pas les PME. Les Articles 62 et 63 prévoient des allègements administratifs (bacs à sable réglementaires, documentation simplifiée pour les microentreprises), mais ne suppriment pas les obligations de fond.
2. Le calendrier d'application : où en sommes-nous ?
L'Article 113 du Règlement fixe une application échelonnée. Voici les jalons clés à connaître.
| Date | Disposition applicable | Article(s) concerné(s) |
|---|---|---|
| 1er août 2024 | Entrée en vigueur du Règlement | Article 113 |
| 2 février 2025 | Pratiques interdites + obligations de littératie IA | Chapitre I et II (Articles 4 et 5) |
| 2 août 2025 | Obligations applicables aux modèles GPAI ; gouvernance ; sanctions GPAI ; autorités notifiantes | Chapitre V, VII, XII (sauf Art. 101), Art. 78 |
| 2 août 2026 | Application générale du Règlement — systèmes haut risque de l'Annexe III, obligations de transparence Article 50, sanctions générales | Reste du Règlement |
| 2 août 2027 | Obligations pour les systèmes haut risque intégrés à des produits réglementés (Annexe I) | Article 6(1) |
À la date de publication de cet article, les obligations GPAI sont déjà applicables depuis près de douze mois. La deadline qui mobilise les PME en 2026 est celle du 2 août 2026 : elle ouvre la mise en application complète du Règlement, y compris les sanctions pleines pour la plupart des manquements et les obligations renforcées pour les systèmes haut risque.
Pourquoi cette date est-elle critique pour les PME ?
Trois raisons. Premièrement, c'est la date à partir de laquelle l'autorité nationale de surveillance — en France, la désignation finale est attendue [à vérifier : décret de désignation au moment de la publication] — peut sanctionner sur l'intégralité des manquements. Deuxièmement, les obligations de transparence de l'Article 50 deviennent opposables : marquage des contenus générés par IA, information des personnes interagissant avec un chatbot, divulgation des deepfakes. Troisièmement, les obligations de littératie IA (Article 4), bien qu'applicables depuis février 2025, gagnent en effectivité avec l'arrivée du régime de sanctions.
Pour un panorama plus large des obligations PME, consultez le pillar AI Act : guide pour les PME françaises.
3. Les obligations applicables aux systèmes et modèles GPAI
Les obligations GPAI relèvent du Chapitre V du Règlement (Articles 51 à 56). Elles s'appliquent en cascade : du fournisseur du modèle au déployeur final.
3.1 Obligations applicables à tout fournisseur de modèle GPAI (Article 53)
- Rédiger et tenir à jour une documentation technique du modèle (Annexe XI).
- Mettre à disposition des fournisseurs intégrateurs en aval les informations leur permettant de comprendre les capacités et limites du modèle (Annexe XII).
- Mettre en place une politique de respect du droit d'auteur, notamment de l'Article 4(3) de la Directive (UE) 2019/790 sur le droit d'auteur dans le marché unique numérique.
- Publier un résumé suffisamment détaillé du contenu utilisé pour l'entraînement, selon un modèle fourni par l'AI Office.
3.2 Obligations supplémentaires pour les modèles GPAI à risque systémique (Article 55)
Un modèle est présumé à risque systémique lorsque le calcul d'entraînement dépasse 10²⁵ FLOPs (Article 51(2)). Pour ces modèles :
- Évaluation du modèle, y compris adversarial testing.
- Évaluation et atténuation des risques systémiques au niveau de l'Union.
- Notification des incidents graves à l'AI Office.
- Cybersécurité adéquate du modèle et de l'infrastructure.
Aucune PME française n'entraîne aujourd'hui à cette échelle. En revanche, plusieurs PME utilisent des modèles concernés et héritent d'obligations contractuelles d'information.
3.3 Obligations du déployeur PME
Une PME déployeur d'un GPAI doit :
- Informer les personnes soumises à une décision assistée par IA (Article 26(11) pour les systèmes haut risque ; Article 50 pour les obligations transversales de transparence).
- Conserver des journaux d'usage pendant la durée appropriée (au moins 6 mois pour les systèmes haut risque selon Article 19).
- Assurer une supervision humaine effective, en désignant un référent formé.
- Veiller à la qualité des données d'entrée lorsqu'elle a la maîtrise des prompts ou contextes injectés.
- Former ses équipes au sens de l'Article 4 (littératie IA).
Auditez votre exposition GPAI avant le 2 août 2026
regulia met à disposition un pack documentaire complet : registre des systèmes d'IA, politique d'usage GPAI, modèle de DPIA AI Act-compatible, supports de formation Article 4. Téléchargez la version d'évaluation et identifiez vos écarts en moins de deux heures.
Demander le pack PME GPAI4. Les sanctions : à quoi s'expose une PME non conforme ?
Le régime de sanctions est défini par l'Article 99 du Règlement (UE) 2024/1689. Il distingue trois plafonds, calculés sur le montant le plus élevé entre une somme forfaitaire et un pourcentage du chiffre d'affaires annuel mondial du groupe.
| Type de manquement | Plafond forfaitaire | Plafond % CA mondial |
|---|---|---|
| Pratique interdite (Article 5) | 35 M€ | 7 % |
| Manquement aux autres obligations (haut risque, transparence, GPAI déployeur) | 15 M€ | 3 % |
| Fourniture d'informations inexactes aux autorités | 7,5 M€ | 1 % |
Pour les PME et start-ups, l'Article 99(6) prévoit que le montant retenu est le plus bas des deux plafonds, et non le plus haut. C'est une atténuation notable, mais qui ne supprime pas le risque financier.
Procédure de sanction
L'autorité nationale de surveillance — pour la France, la désignation officielle reste à finaliser au niveau gouvernemental [à vérifier au moment de la lecture] — instruit, notifie un grief, recueille les observations, puis décide. Les recours suivent la procédure administrative française classique (recours gracieux, hiérarchique, contentieux devant le tribunal administratif).
Pour le détail des sanctions, du barème et du calculateur d'exposition, voir Sanctions AI Act : amendes et exposition des PME.
5. Guide pratique en 4 étapes pour se préparer
Étape 1 — Inventaire des systèmes et modèles d'IA utilisés
Listez tous les outils IA en production ou en test : LLM via API, chatbots intégrés à des SaaS (CRM, helpdesk, RH), outils de classification de CV, détection d'anomalies, scoring crédit, génération de contenus marketing. Pour chacun : fournisseur, modèle sous-jacent, finalité, données traitées, public concerné.
Étape 2 — Évaluation de la conformité
Pour chaque système inventorié, qualifiez-le selon les catégories AI Act :
- Pratique interdite (Article 5) ? Arrêt immédiat.
- Haut risque (Annexe III) ? Mise en conformité prioritaire avant le 2 août 2026.
- Obligation de transparence Article 50 ? Adaptation des interfaces utilisateur.
- Risque minimal ? Documentation légère et veille.
Étape 3 — Mesures correctives
Selon l'écart constaté, mettez en place : registre des systèmes d'IA, documentation technique, DPIA (en coordination avec le DPO et le RGPD), procédures de supervision humaine, journalisation, clauses contractuelles aux fournisseurs SaaS (qui doivent vous transmettre la documentation au titre de l'Article 53).
Étape 4 — Formation et sensibilisation
L'Article 4 du Règlement impose une littératie IA suffisante au personnel manipulant des systèmes d'IA. Cela couvre les utilisateurs métier, pas seulement les équipes techniques. Un plan de formation documenté constitue une preuve de bonne foi en cas de contrôle.
6. Les ressources officielles disponibles pour les PME
| Ressource | Utilité | Lien |
|---|---|---|
| AI Act Service Desk (Commission européenne) | Questions juridiques et techniques sur l'application du Règlement | ai-act-service-desk.ec.europa.eu |
| 13 fiches pratiques CNIL sur l'IA | Articulation AI Act / RGPD, cas d'usage RH, biométrie | cnil.fr |
| Texte consolidé AI Act | Référence opérationnelle article par article | artificialintelligenceact.eu |
| EUR-Lex Règlement 2024/1689 | Version officielle au Journal officiel de l'UE | eur-lex.europa.eu |
| Code of Practice GPAI | Bonnes pratiques sectorielles validées par l'AI Office [à vérifier — état d'avancement de la publication] | AI Office EU |
| ISO/IEC 42001:2023 | Système de management de l'IA — preuve de gouvernance | iso.org |
Pour les définitions techniques et juridiques, consultez le glossaire regulia et les sources officielles consolidées.
7. Les bénéfices de la conformité : au-delà du risque
Réduire la conformité à un coût de mise aux normes est un raccourci. Trois bénéfices documentés émergent.
Confiance client. Les acheteurs B2B exigent de plus en plus une cartographie des systèmes d'IA dans les appels d'offres. Une PME conforme dispose d'un avantage différenciant immédiat.
Optimisation opérationnelle. L'inventaire impose de clarifier l'usage réel des outils IA. Plusieurs PME y découvrent des doublons, des contrats SaaS sous-utilisés ou des usages hors-charte. Le ROI de l'audit dépasse souvent son coût.
Robustesse aux évolutions. Le marché européen converge vers une exigence d'IA responsable : Data Act, Digital Services Act, futur règlement Cyber Resilience. Les organisations qui structurent leur gouvernance IA dès 2026 capitalisent pour l'ensemble du paysage réglementaire.
8. Conclusion : agir avant le 2 août 2026
La deadline qui structure 2026 est celle du 2 août 2026 : application générale de l'AI Act, sanctions pleines pour la plupart des manquements, obligations de transparence opposables. Les PME françaises qui utilisent un GPAI sans inventaire, sans politique d'usage et sans formation s'exposent à un risque qui n'est plus théorique.
Trois actions à engager sans attendre : inventorier les systèmes d'IA, qualifier chacun selon les catégories de risque, documenter la gouvernance. Un trimestre suffit à une PME de 50 personnes pour atteindre un niveau défendable face à un contrôle.
Recevez le pack documentaire AI Act PME
Registre des systèmes d'IA, politique GPAI, modèle DPIA, supports de formation Article 4, checklist de conformité 2 août 2026. Tout est aligné sur le texte officiel du Règlement (UE) 2024/1689 et les fiches CNIL.
Demander un accèsFAQ
Qu'est-ce qu'un système d'IA généraliste (GPAI) ?
Un modèle GPAI, au sens de l'Article 3, point 63 du Règlement (UE) 2024/1689, est un modèle entraîné sur une grande quantité de données par auto-supervision à grande échelle, capable d'exécuter un large éventail de tâches distinctes. Les grands modèles de langage (ChatGPT, Claude, Mistral, Gemini) en sont les exemples emblématiques. Les obligations du Chapitre V leur sont applicables depuis le 2 août 2025.
Quelles sont les sanctions pour non-conformité ?
L'Article 99 du Règlement fixe trois plafonds : 35 M€ ou 7 % du CA mondial pour les pratiques interdites, 15 M€ ou 3 % pour les manquements aux autres obligations, 7,5 M€ ou 1 % pour fourniture d'informations inexactes. Pour les PME, l'Article 99(6) retient le plus bas des deux plafonds. La plupart des sanctions deviennent pleinement applicables au 2 août 2026.
Où trouver de l'aide officielle pour se conformer ?
Le service-desk de la Commission européenne (ai-act-service-desk.ec.europa.eu) répond aux questions juridiques et techniques. La CNIL publie 13 fiches pratiques sur l'IA. regulia propose des packs documentaires et des audits adaptés au profil PME.
Quelles sont les étapes pour se préparer ?
Quatre étapes : (1) inventaire des systèmes d'IA, (2) qualification selon les catégories de risque AI Act, (3) mesures correctives (registre, documentation, supervision, contrats fournisseurs), (4) formation des équipes au titre de l'Article 4. Un trimestre suffit pour une PME structurée.
Quels bénéfices au-delà de l'évitement des sanctions ?
Différenciation commerciale en B2B (les appels d'offres demandent la cartographie IA), optimisation opérationnelle (l'audit révèle des doublons SaaS), robustesse réglementaire face aux textes voisins (Data Act, DSA, Cyber Resilience Act). La conformité construit un actif, pas seulement un coût.
Sources officielles
- Règlement (UE) 2024/1689 — version consolidée : artificialintelligenceact.eu
- Version officielle EUR-Lex : eur-lex.europa.eu
- AI Act Service Desk — Commission européenne : ai-act-service-desk.ec.europa.eu
- CNIL — fiches pratiques IA : cnil.fr
- ISO/IEC 42001:2023 — Systèmes de management de l'IA
- ISO/IEC 23894:2023 — Gestion des risques liés à l'IA
Ressources internes regulia : pillar AI Act PME — sanctions et amendes — glossaire — sources.
Disclaimer. Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.