TL;DR
L'essentiel en 30 secondes - L'Article 6 du Règlement (UE) 2024/1689 (AI Act) impose des obligations pour les systèmes d'IA à haut risque ; la Digital Omnibus renforce les droits des utilisateurs de services numériques. - Les sanctions atteignent 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour les infractions les plus graves (Art. 99 AI Act). - La CNIL publie 13 fiches pratiques dédiées à l'IA, dont plusieurs ciblent les PME (cnil.fr). - L'AI Act prévoit une application graduelle de 2025 à 2027, avec une échéance majeure le 2 août 2026 pour les systèmes à haut risque existants. - Les bonnes pratiques de 2026 reposent sur trois piliers : audit de cartographie IA, gouvernance documentée, formation continue du personnel (Art. 4 AI Act).
1. Contexte réglementaire en 2027
L'année 2027 marque la pleine application du Règlement (UE) 2024/1689, dit AI Act. Adopté le 13 juin 2024 et publié au Journal officiel de l'Union européenne le 12 juillet 2024, ce règlement est entré en vigueur le 1er août 2024. Son application s'étale jusqu'au 2 août 2027 selon les articles concernés.
La Digital Omnibus désigne l'ensemble des textes européens qui complètent ce cadre : Digital Services Act (DSA), Digital Markets Act (DMA), Data Act et Data Governance Act. Ces règlements forment un écosystème normatif cohérent. L'AI Act régule les systèmes algorithmiques. La Digital Omnibus encadre les flux de données et les services numériques.
Pour une PME française de 10 à 250 salariés, cette convergence change la donne. Un éditeur SaaS qui propose un module de recommandation par IA tombe sous deux régimes simultanés : l'AI Act pour son algorithme, le Data Act pour le partage de données contractualisé avec ses clients.
| Texte | Objet principal | Échéance clé pour les PME |
|---|---|---|
| AI Act (UE 2024/1689) | Systèmes d'IA, classification par risque | 2 août 2026 (haut risque) |
| Digital Services Act | Modération, transparence des plateformes | Déjà applicable |
| Data Act (UE 2023/2854) | Partage et accès aux données | 12 septembre 2025 |
| RGPD (UE 2016/679) | Protection des données personnelles | Déjà applicable |
Les PME concernées sont celles qui développent, déploient ou intègrent un système d'IA dans leur activité. La taille de l'entreprise n'exonère pas des obligations principales. Elle module seulement certaines facilités prévues à l'Article 62 AI Act, notamment l'accès prioritaire aux bacs à sable réglementaires.
Pour une vue d'ensemble du cadre AI Act appliqué aux PME, consulter le guide AI Act PME France.
2. Principales dispositions pour les PME
L'AI Act repose sur une classification par risque définie aux Articles 5 à 7. Cette classification détermine l'intensité des obligations.
Systèmes interdits (Art. 5). Notation sociale, manipulation cognitive, identification biométrique à distance en temps réel dans l'espace public. Ces usages sont prohibés depuis le 2 février 2025. Aucune PME ne devrait les exploiter.
Systèmes à haut risque (Art. 6 et Annexe III). Les domaines visés incluent le recrutement par IA, l'évaluation de crédit, l'éducation, certaines infrastructures critiques. Une PME qui utilise un outil de tri de CV automatisé doit vérifier le statut du système avec son fournisseur.
Systèmes à risque limité (Art. 50). Chatbots, deepfakes, contenus générés. Obligation de transparence envers l'utilisateur final.
Systèmes à risque minimal. Filtres antispam, IA dans les jeux vidéo. Aucune obligation spécifique au-delà du droit commun.
La Digital Omnibus, via le Data Act, ajoute des exigences spécifiques. Les utilisateurs d'objets connectés (IoT) doivent pouvoir accéder aux données générées par leurs équipements. Pour une PME industrielle qui exploite des capteurs IA, cela signifie revoir ses conditions contractuelles.
| Catégorie d'IA | Obligations principales | Article AI Act |
|---|---|---|
| Risque inacceptable | Interdiction totale | Art. 5 |
| Haut risque | Documentation, gestion des risques, supervision humaine | Art. 8 à 15 |
| Risque limité | Transparence vis-à-vis de l'utilisateur | Art. 50 |
| Usage général (GPAI) | Documentation technique, résumé des données d'entraînement | Art. 53 |
3. Obligations de conformité
Pour les systèmes à haut risque, l'AI Act impose un socle d'obligations détaillé aux Articles 8 à 17. Une PME qui en exploite doit construire un dossier de conformité comparable à celui exigé pour le marquage CE des équipements industriels.
Système de gestion des risques (Art. 9). Processus itératif d'identification, d'évaluation et de mitigation des risques. Documenté et mis à jour pendant tout le cycle de vie.
Gouvernance des données (Art. 10). Les jeux de données d'entraînement, de validation et de test doivent être pertinents, représentatifs et exempts d'erreurs autant que techniquement possible.
Documentation technique (Art. 11 et Annexe IV). Description du système, finalité, méthodes de conception, performances attendues. Cette documentation doit être conservée pendant 10 ans après la mise sur le marché.
Journalisation automatique (Art. 12). Les systèmes à haut risque tracent automatiquement leurs événements pour permettre l'audit.
Transparence et information de l'utilisateur (Art. 13). Instructions d'utilisation claires, niveau de précision et de robustesse documentés.
Supervision humaine (Art. 14). Mesures techniques et organisationnelles pour qu'une personne physique puisse comprendre, surveiller et, si nécessaire, intervenir sur le système.
Robustesse, précision et cybersécurité (Art. 15). Niveau de performance approprié au regard de la finalité.
À ces obligations s'ajoute l'Article 4 AI Act sur la culture IA : tout opérateur, y compris une PME utilisatrice, doit garantir un niveau suffisant de compétence en IA chez son personnel. Cette obligation s'applique depuis le 2 février 2025.
Besoin d'une cartographie IA conforme AI Act ?
regulia propose des packs documentaires prêts à l'emploi pour structurer votre démarche de conformité : registre des systèmes IA, modèle de DPIA, procédure de supervision humaine.
Découvrir les packs regulia4. Sanctions et risques
L'Article 99 du Règlement (UE) 2024/1689 fixe le régime des sanctions. Ces sanctions s'appliquent depuis le 2 août 2025.
| Infraction | Sanction maximale | Base légale |
|---|---|---|
| Pratiques d'IA interdites (Art. 5) | 35 M€ ou 7 % du CA mondial annuel | Art. 99(3) |
| Manquement aux obligations sur les systèmes à haut risque ou GPAI | 15 M€ ou 3 % du CA mondial annuel | Art. 99(4) |
| Informations incorrectes aux autorités | 7,5 M€ ou 1 % du CA mondial annuel | Art. 99(5) |
L'AI Act prévoit explicitement un ajustement pour les PME : le montant retenu correspond au plus bas des deux plafonds, et non au plus haut comme pour les grandes entreprises (Art. 99(6)). Cette nuance protège relativement les structures les plus petites, sans les exonérer.
Au-delà des amendes, les risques opérationnels sont triples. Premièrement, l'interdiction de mise sur le marché du système non conforme. Deuxièmement, l'obligation de rappel et de retrait. Troisièmement, la perte de confiance des clients B2B, qui exigent désormais des attestations de conformité dans leurs appels d'offres.
Pour une analyse détaillée du régime des amendes et un calculateur d'exposition, consulter Sanctions et amendes AI Act PME.
5. Opportunités pour les PME
La conformité n'est pas qu'un coût. Elle ouvre trois leviers de compétitivité.
Différenciation commerciale. Les donneurs d'ordre publics et privés intègrent des clauses AI Act dans leurs cahiers des charges. Une PME conforme dès 2026 prend une avance de plusieurs trimestres sur ses concurrentes.
Accès aux bacs à sable réglementaires. L'Article 57 AI Act impose à chaque État membre de mettre en place un regulatory sandbox d'ici le 2 août 2026. Les PME y bénéficient d'un accès prioritaire et gratuit selon l'Article 62. Cet environnement permet de tester des systèmes innovants sous la supervision d'une autorité compétente, sans risque de sanction immédiate.
Confiance des utilisateurs. Une IA documentée, supervisée et transparente rassure les clients finaux. Cette confiance se traduit en taux de conversion et en taux de rétention.
| Levier | Action concrète | Bénéfice attendu |
|---|---|---|
| Marketing B2B | Attestation de conformité dans les propositions commerciales | Élargissement du pipeline |
| R&D | Inscription au sandbox national | Innovation sécurisée |
| Marque employeur | Communication sur la gouvernance IA | Recrutement facilité |
6. Étapes de mise en conformité
La feuille de route 2026-2027 se décompose en sept étapes opérationnelles.
- Cartographier les systèmes d'IA utilisés dans l'entreprise, qu'ils soient développés en interne ou fournis par un tiers.
- Classifier chaque système selon les catégories de l'Art. 6 et de l'Annexe III.
- Désigner un référent IA interne, qui peut être le DPO, le RSSI ou un membre de la direction.
- Constituer la documentation technique exigée par l'Art. 11 et l'Annexe IV pour les systèmes à haut risque.
- Mettre en place le système de gestion des risques (Art. 9) et la supervision humaine (Art. 14).
- Former le personnel au niveau de compétence requis par l'Art. 4.
- Auditer périodiquement la conformité et tracer les évolutions.
Cette feuille de route doit être adaptée à la taille et à la nature de l'activité. Pour une PME qui n'utilise que des outils SaaS d'IA, la responsabilité principale incombe au fournisseur. Le rôle de la PME consiste alors à vérifier les attestations de conformité reçues et à respecter les conditions d'utilisation.
7. Outils et ressources
Plusieurs ressources officielles facilitent la mise en conformité.
- CNIL — Fiches pratiques IA. 13 fiches publiées entre 2024 et 2025, couvrant la base légale, l'analyse d'impact, les droits des personnes, l'open source. Disponibles sur cnil.fr/fr/les-fiches-pratiques-ia.
- AI Act Service Desk. Service de la Commission européenne dédié à l'accompagnement des entreprises, accessible sur ai-act-service-desk.ec.europa.eu.
- artificialintelligenceact.eu. Version consolidée et navigable du règlement, avec moteur de recherche par article.
- ISO/IEC 42001:2023. Norme internationale pour le management des systèmes d'IA, complémentaire à l'AI Act et utile pour structurer la gouvernance.
- Glossaire réglementaire regulia. Définitions clés de l'AI Act vulgarisées pour les opérationnels, disponible sur le glossaire.
Le registre des sources officielles regulia recense l'ensemble des références juridiques mobilisables pour documenter votre démarche.
8. Défis spécifiques aux PME
Trois obstacles structurels freinent la mise en conformité dans les PME françaises.
Ressources financières limitées. Une démarche de conformité complète demande entre 15 000 € et 60 000 € de budget initial pour une PME [à vérifier]. Ce coût intègre l'audit, la documentation et la formation. Les packs documentaires de marché abaissent significativement la barrière d'entrée.
Complexité technique des systèmes IA. L'évaluation de la robustesse d'un modèle nécessite des compétences en science des données rarement disponibles en interne. La sous-traitance partielle à un cabinet spécialisé est souvent la voie pragmatique.
Manque de compétences internes. L'Art. 4 AI Act impose un niveau de culture IA suffisant chez le personnel. Or, les PME peinent à recruter des profils IA en raison de la tension du marché et des écarts de rémunération avec les grands groupes.
| Défi | Mitigation | Ressource regulia |
|---|---|---|
| Budget contraint | Packs documentaires standardisés | Bonnes pratiques |
| Manque d'expertise | Modèles validés par juristes IA | Pack conformité |
| Veille réglementaire | Mises à jour automatiques | Abonnement |
9. Bonnes pratiques
La conformité s'installe progressivement. Plusieurs principes opérationnels facilitent le parcours.
Approche incrémentale. Démarrer par un système IA pilote, documenter le retour d'expérience, généraliser ensuite. Cette approche évite l'effet tunnel et capitalise sur les acquis.
Documentation vivante. La documentation technique exigée par l'Art. 11 doit refléter la réalité du système à tout moment. Un dossier figé devient obsolète dès la première mise à jour de l'algorithme.
Gouvernance documentée. Procéder par décisions tracées : qui a validé quoi, à quelle date, sur quels critères. Cette traçabilité protège juridiquement en cas de contrôle.
Veille active. L'AI Act fera l'objet d'actes délégués et d'actes d'exécution dans les années à venir. Le Bureau européen de l'IA (AI Office) publie régulièrement des lignes directrices interprétatives. Une veille mensuelle est un minimum.
Collaboration externe ciblée. Externaliser ce qui demande une expertise rare (analyse de biais algorithmique, test de robustesse) et internaliser ce qui touche au cœur métier (cartographie des usages, formation des opérationnels).
Pour un guide approfondi sur les bonnes pratiques de mise en conformité, voir Bonnes pratiques AI Act PME.
10. Conclusion : Perspectives pour 2027
L'AI Act et la Digital Omnibus dessinent en 2027 un cadre réglementaire stabilisé. Pour les PME françaises, ce cadre est à la fois exigeant et structurant.
Exigeant, parce que les obligations sur les systèmes à haut risque rappellent les standards des dispositifs médicaux ou des équipements sous pression. Structurant, parce qu'un opérateur conforme inspire confiance et accède plus facilement aux marchés publics, aux financements innovation et aux partenariats stratégiques.
L'horizon 2027 n'est pas un point d'arrivée. Il marque le début d'un nouveau régime d'innovation, où la responsabilité algorithmique est une condition d'accès au marché européen. Les PME qui investissent en 2026 transforment cette contrainte en avantage compétitif durable.
L'engagement réglementaire devient un levier. Anticiper, documenter, former : trois verbes qui résument la posture à tenir pour aborder 2027 sereinement.
Préparer 2027 dès aujourd'hui
Les packs documentaires regulia regroupent registre IA, DPIA, procédures de supervision humaine et plan de formation conforme à l'Art. 4 AI Act. Conçus pour les PME de 10 à 250 salariés.
Demander un pack reguliaFAQ
Quelles sont les sanctions pour les PME non conformes ?
Les PME risquent jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial annuel pour les pratiques d'IA interdites (Art. 99 du Règlement (UE) 2024/1689). Pour les manquements aux obligations sur les systèmes à haut risque, le plafond descend à 15 M€ ou 3 % du CA. L'Article 99(6) prévoit que les PME se voient appliquer le plus bas des deux montants. Au-delà des amendes, le système non conforme peut être retiré du marché.
Comment les PME peuvent-elles obtenir de l'aide pour la conformité ?
Trois ressources gratuites sont mobilisables. Les 13 fiches pratiques IA de la CNIL (cnil.fr) couvrent les sujets opérationnels. L'AI Act Service Desk (ai-act-service-desk.ec.europa.eu) répond aux questions d'interprétation. Les bacs à sable réglementaires nationaux (Art. 57 et 62 AI Act) offrent un cadre d'expérimentation sécurisée avec priorité aux PME. Les packs documentaires regulia complètent ces ressources avec des modèles prêts à l'emploi.
Quelles sont les principales obligations pour les PME ?
Quatre obligations structurent la démarche. Cartographier les systèmes d'IA utilisés et les classifier par niveau de risque (Art. 6). Pour les systèmes à haut risque, documenter la gestion des risques (Art. 9), la gouvernance des données (Art. 10) et la supervision humaine (Art. 14). Assurer la transparence vis-à-vis des utilisateurs finaux pour les systèmes à risque limité (Art. 50). Garantir un niveau suffisant de compétence IA dans le personnel (Art. 4).
Quelle est la différence entre l'AI Act et la Digital Omnibus ?
L'AI Act (Règlement UE 2024/1689) régule spécifiquement les systèmes d'intelligence artificielle selon leur niveau de risque. La Digital Omnibus regroupe les autres textes numériques européens : Digital Services Act, Digital Markets Act, Data Act, Data Governance Act. Ces textes encadrent les services en ligne, les marchés numériques et les flux de données. Une PME qui exploite une IA traitant des données IoT relève simultanément de l'AI Act (pour l'algorithme) et du Data Act (pour le partage des données).
Quelles sont les étapes pour se conformer en 2027 ?
Cinq étapes structurent la trajectoire. Premièrement, un audit de cartographie des systèmes d'IA. Deuxièmement, la classification par catégorie de risque selon l'Art. 6. Troisièmement, la constitution du dossier de documentation technique (Art. 11 et Annexe IV). Quatrièmement, la mise en œuvre des mesures techniques et organisationnelles (gestion des risques, supervision humaine, journalisation). Cinquièmement, la formation du personnel et le suivi périodique. Le service desk européen accompagne les PME tout au long de cette trajectoire.
Sources officielles
- Règlement (UE) 2024/1689 — version consolidée — texte intégral et navigable de l'AI Act
- EUR-Lex — Règlement IA officiel — version officielle UE
- AI Act Service Desk — Commission européenne, accompagnement des entreprises
- CNIL — Fiches pratiques IA — 13 fiches opérationnelles
- ISO/IEC 42001:2023 — Management des systèmes d'IA
- ISO/IEC 23894:2023 — Gestion des risques liés à l'IA
- ISO/IEC 27001:2022 — Management de la sécurité de l'information
Disclaimer. Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.