Qu'est-ce que l'AI Act et quand est-elle applicable aux PME françaises ?

L'AI Act est la réglementation européenne sur l'intelligence artificielle, entrée en vigueur en 2027 pour les PME françaises. Elle impose des obligations de classification des systèmes d'IA, de documentation et de conformité aux droits fondamentaux. Les PME doivent s'inscrire au registre européen dès 2027.

AI Act : quels impacts pour les PME sur la société en 2027 ?

Q: Quelles sont les principales obligations pour les PME utilisant l'IA ?

Les PME doivent classer leurs systèmes d'IA selon le risque (minime, limité, élevé), documenter leurs impacts, mettre en place des mesures de sécurité, et respecter les droits RGPD. Les systèmes à risque élevé nécessitent une évaluation d'impact et une inscription au registre européen.

Q: Quelles sont les sanctions pour non-conformité ?

Les sanctions peuvent atteindre 7% du chiffre d'affaires annuel (jusqu'à 35 millions EUR) pour non-respect des obligations (art. 62 EU AI Act). Les PME encourent également des pertes de confiance, des coûts de mise en conformité et des procédures d'enquête par la CNIL et l'ECDA.

Q: Comment une PME peut-elle se conformer à l'AI Act ?

Une PME doit d'abord classer ses systèmes d'IA selon le risque, puis mettre en place des mesures de sécurité, documenter les impacts, et s'inscrire au registre européen. Des audits internes, des formations du personnel et l'utilisation de ressources comme le guide CNIL et le service desk européen sont recommandés.

Q: Quels sont les avantages de la conformité pour une PME ?

La conformité améliore la confiance des clients et partenaires, ouvre l'accès à des financements publics et marchés européens, et réduit les risques juridiques et réputationnels. Elle permet également d'optimiser les systèmes d'IA en intégrant des pratiques éthiques et durables.

## L'essentiel en 30 secondes - L'AI Act (Règlement (UE) 2024/1689) déploie ses obligations par paliers : août 2026 pour les systèmes à haut risque, août 2027 pour les systèmes intégrés à des produits réglementés (Art. 113). - Les PME françaises doivent classer chaque système d'IA utilisé selon quatre niveaux de risque : inacceptable, élevé, limité, minimal (Art. 6 et Annexe III). - Les sanctions atteignent 35 millions EUR ou 7 % du chiffre d'affaires mondial annuel pour les pratiques interdites (Art. 99). - La CNIL est l'autorité de référence en France ; l'AI Office coordonne au niveau européen via le service desk officiel. - La conformité ouvre l'accès aux marchés publics, aux financements européens et renforce la confiance client. - Un budget de mise en conformité de 5 000 à 50 000 EUR est à anticiper selon la criticité des usages [à vérifier selon contexte sectoriel].

1. Contexte réglementaire : l'AI Act en 2027

Le Règlement (UE) 2024/1689, dit « AI Act », est entré en vigueur le 1er août 2024. Son application s'échelonne sur trois ans. Les PME françaises sont concernées dès qu'elles développent, déploient ou distribuent un système d'intelligence artificielle sur le marché européen.

L'Article 113 du Règlement (UE) 2024/1689 fixe le calendrier d'application. Les pratiques interdites sont prohibées depuis février 2025. Les obligations pour les modèles d'IA à usage général s'appliquent depuis août 2025. Les systèmes à haut risque listés à l'Annexe III deviennent pleinement encadrés en août 2026. Enfin, août 2027 marque l'entrée en vigueur des obligations pour les systèmes d'IA intégrés à des produits soumis à une législation d'harmonisation européenne (Annexe I).

Date d'application	Obligation déclenchée	Article concerné
2 février 2025	Interdictions (Art. 5) et obligations d'alphabétisation IA (Art. 4)	Art. 5, Art. 4
2 août 2025	Gouvernance, modèles GPAI, sanctions	Art. 51 à 55, Art. 99
2 août 2026	Systèmes à haut risque Annexe III	Art. 6 §2, Art. 8 à 22
2 août 2027	Systèmes à haut risque Annexe I (produits réglementés)	Art. 6 §1

La classification du risque repose sur l'Article 6 et l'Annexe III. Quatre niveaux structurent l'analyse : risque inacceptable (interdit), risque élevé (encadré), risque limité (transparence) et risque minimal (libre usage). Pour une vue d'ensemble des obligations transverses, consultez notre guide AI Act PME France.

L'autorité de contrôle nationale est la CNIL. Au niveau européen, l'AI Office (Bureau de l'IA), créé au sein de la Commission européenne, coordonne l'application. Son service desk est accessible à l'adresse ai-act-service-desk.ec.europa.eu et répond aux questions des entreprises.

2. Obligations principales pour les PME

Les obligations varient selon le rôle de la PME : fournisseur (qui développe), déployeur (qui utilise), importateur ou distributeur. Le Règlement définit ces rôles à l'Article 3 du Règlement (UE) 2024/1689.

Pour les fournisseurs de systèmes à haut risque, l'Article 8 à l'Article 22 imposent :

Mise en place d'un système de gestion des risques (Art. 9)
Gouvernance des données d'entraînement et de test (Art. 10)
Documentation technique complète (Art. 11 et Annexe IV)
Conservation des journaux d'événements (Art. 12)
Transparence vis-à-vis du déployeur (Art. 13)
Surveillance humaine intégrée dès la conception (Art. 14)
Exactitude, robustesse et cybersécurité (Art. 15)
Enregistrement du système dans la base de données européenne (Art. 49)

Pour les déployeurs, l'Article 26 du Règlement (UE) 2024/1689 fixe des obligations distinctes : usage conforme à la notice, surveillance humaine effective, conservation des journaux, information des travailleurs concernés, et analyse d'impact sur les droits fondamentaux pour certains usages (Art. 27).

L'Article 4 impose une obligation transversale : tout personnel impliqué dans l'exploitation d'un système d'IA doit disposer d'un niveau suffisant d'alphabétisation en IA (« AI literacy »). Cette obligation, en vigueur depuis février 2025, vise dirigeants, opérateurs et utilisateurs internes.

Obligation	Fournisseur	Déployeur
Documentation technique	Oui (Art. 11)	Non
Surveillance humaine	Conception (Art. 14)	Exécution (Art. 26 §2)
Analyse d'impact droits fondamentaux	Non	Oui (Art. 27) si applicable
Enregistrement base UE	Oui (Art. 49)	Non
Conservation des journaux	Oui (Art. 12)	Oui (Art. 26 §6)
Information des travailleurs	Non	Oui (Art. 26 §7)

3. Sanctions et coûts de non-conformité

L'Article 99 du Règlement (UE) 2024/1689 structure les sanctions en trois paliers, calculés selon le montant le plus élevé entre une somme forfaitaire et un pourcentage du chiffre d'affaires mondial annuel de l'exercice précédent.

Type de manquement	Plafond forfaitaire	Plafond % CA mondial	Base juridique
Pratiques interdites (Art. 5)	35 M EUR	7 %	Art. 99 §3
Non-conformité haut risque	15 M EUR	3 %	Art. 99 §4
Informations inexactes aux autorités	7,5 M EUR	1 %	Art. 99 §5

L'Article 99 §6 prévoit un aménagement explicite pour les PME et les start-up : la sanction retenue est le montant le plus faible entre la somme forfaitaire et le pourcentage. Cette disposition réduit significativement l'exposition financière des petites structures par rapport aux grands groupes.

Au-delà des amendes, les coûts indirects s'accumulent : interruption d'activité pendant l'enquête, perte de marchés publics conditionnés à la conformité, atteinte réputationnelle, contentieux civils des personnes lésées.

Notre analyse détaillée des sanctions est disponible dans notre dossier sur les amendes AI Act pour PME, avec un calculateur en ligne.

Évaluez votre exposition réglementaire

Recevez le pack documentaire regulia : registre des systèmes d'IA, modèles d'analyse d'impact, grille de classification du risque. Conforme aux exigences des Articles 9 à 27.

Demander le pack documentaire

4. Les avantages de la conformité

La conformité n'est pas qu'une contrainte. Elle crée un avantage concurrentiel mesurable pour les PME qui structurent leur démarche tôt.

Premier bénéfice : accès aux marchés publics. Les acheteurs publics intègrent progressivement les exigences AI Act dans leurs cahiers des charges. Une PME conforme peut répondre à des appels d'offres dont sont écartés les fournisseurs non conformes.

Deuxième bénéfice : confiance client. Les grands comptes intègrent des clauses contractuelles imposant la conformité AI Act dans leurs chaînes de sous-traitance. Une PME conforme sécurise ses relations B2B avec les ETI et grands groupes.

Troisième bénéfice : financements européens. Les programmes Horizon Europe, Digital Europe et France 2030 conditionnent certains financements à des garanties de conformité réglementaire IA.

Quatrième bénéfice : réduction des risques. Un système documenté et auditable réduit l'exposition aux contentieux RGPD, aux actions en responsabilité civile, et aux risques cyber.

Cinquième bénéfice : structuration interne. Le processus de mise en conformité oblige à cartographier les systèmes d'IA utilisés, ce qui révèle souvent des doublons, des shadow IT, ou des dépendances critiques jusqu'alors invisibles.

5. Impact sur la société : protection des droits fondamentaux

L'AI Act n'est pas une réglementation économique isolée. Le considérant 1 du Règlement (UE) 2024/1689 affirme son objectif : « promouvoir l'adoption d'une intelligence artificielle axée sur l'humain et digne de confiance, tout en garantissant un niveau élevé de protection de la santé, de la sécurité et des droits fondamentaux ».

L'Article 5 interdit huit catégories de pratiques :

Manipulation subliminale entraînant un préjudice
Exploitation de vulnérabilités liées à l'âge, au handicap ou à la situation socio-économique
Notation sociale par les autorités publiques
Évaluation prédictive du risque pénal individuel sur la seule base du profilage
Constitution non ciblée de bases de reconnaissance faciale par scraping
Reconnaissance des émotions sur le lieu de travail et dans les établissements scolaires
Catégorisation biométrique fondée sur des caractéristiques sensibles
Identification biométrique à distance en temps réel dans l'espace public (sauf exceptions strictement encadrées)

Pour les systèmes à risque limité, l'Article 50 impose des obligations de transparence : information de l'utilisateur lorsqu'il interagit avec un chatbot, marquage des contenus générés par IA (« deepfakes »), notification de l'usage de systèmes de reconnaissance d'émotions.

L'articulation avec le RGPD est centrale. L'Article 26 §9 prévoit que l'analyse d'impact relative à la protection des données (AIPD, Art. 35 du RGPD) peut intégrer l'analyse d'impact sur les droits fondamentaux exigée par l'Article 27 de l'AI Act. Une PME déjà avancée sur sa conformité RGPD dispose d'un socle réutilisable.

Pour préciser les termes techniques, consultez notre glossaire AI Act.

6. Rôles des autorités : CNIL et AI Office

L'Article 70 du Règlement (UE) 2024/1689 impose à chaque État membre de désigner une autorité notifiante et une ou plusieurs autorités de surveillance du marché. En France, la CNIL est positionnée comme autorité de référence pour l'IA, avec un Service de l'IA dédié créé en janvier 2023.

Autorité	Périmètre	Mission principale
CNIL	National (France)	Supervision, sanctions, accompagnement
AI Office (Bureau IA)	Européen	GPAI, coordination, codes de conduite
Comité IA européen	Européen	Avis, harmonisation des pratiques
Forum consultatif	Européen	Expertise sectorielle
Groupe d'experts scientifiques	Européen	Alerte sur risques systémiques

La CNIL a publié des fiches pratiques opérationnelles sur l'IA, accessibles sur cnil.fr/fr/les-fiches-pratiques-ia. Ces fiches couvrent la qualification juridique, la base légale, l'analyse d'impact, la minimisation des données et les droits des personnes.

L'AI Office, créé par la décision C(2024) 1459 de la Commission, supervise les modèles d'IA à usage général et coordonne la mise en œuvre. Son service desk (ai-act-service-desk.ec.europa.eu) est l'interlocuteur officiel pour toute question d'interprétation.

Les procédures de sanction respectent les droits de la défense (Art. 99 §7). L'entreprise visée bénéficie d'un droit d'être entendue avant toute décision de sanction. Les recours sont possibles devant les juridictions nationales.

7. Outils et ressources pour les PME

Plusieurs ressources permettent à une PME de structurer sa démarche sans recourir systématiquement à un cabinet de conseil.

Ressources officielles :

Fiches pratiques CNIL sur l'IA : 13 fiches couvrant l'ensemble du cycle de vie d'un projet IA
Service desk AI Office : réponses officielles aux questions d'interprétation
Base de données européenne des systèmes à haut risque (Art. 71) : référentiel public
Guidelines de la Commission européenne sur les pratiques interdites (publiées en février 2025)

Référentiels normatifs :

ISO/IEC 42001:2023 — Système de management de l'IA, équivalent ISO 27001 pour l'IA
ISO/IEC 23894:2023 — Lignes directrices pour la gestion des risques IA
ISO/IEC 27001:2022 — Sécurité de l'information, socle complémentaire

Guides professionnels :

Guide AI Act Cigref (janvier 2025) — vision DSI grands comptes
Guide AI Act Numeum (mars 2025) — vision écosystème numérique français

Pour la liste complète des références utilisées dans nos travaux éditoriaux, consultez notre page sources.

Ressource	Coût	Public cible	Utilité
Fiches CNIL	Gratuit	DPO, IA Lead	Cadrage RGPD-IA
Service desk AI Office	Gratuit	Tous	Interprétation officielle
ISO 42001	Payant (~150 EUR)	RSSI, IA Lead	Certification
Pack regulia	Payant	Dirigeant, DPO	Documentation opérationnelle

Cadrez votre conformité dès maintenant

regulia accompagne les PME françaises avec des modèles documentaires alignés sur les Articles 9 à 27, prêts à être adaptés à votre activité.

Recevoir le diagnostic AI Act

8. Perspectives futures : évolutions possibles

L'AI Act est conçu comme un cadre évolutif. Plusieurs mécanismes prévoient son adaptation.

Révision de l'Annexe III. L'Article 7 autorise la Commission européenne à mettre à jour la liste des systèmes à haut risque par actes délégués. De nouveaux cas d'usage peuvent y être ajoutés en fonction des évolutions techniques et des incidents constatés.

Codes de bonne pratique. L'Article 56 prévoit l'élaboration de codes pour les modèles d'IA à usage général. Le premier code, publié en juillet 2025, encadre les modèles GPAI à risque systémique.

Articulation internationale. Les négociations en cours dans le cadre du Conseil de l'Europe (Convention IA de mai 2024) et de l'OCDE poursuivent l'harmonisation des principes. Une PME exportatrice doit suivre ces évolutions.

Sandboxes réglementaires. L'Article 57 impose aux États membres de créer au moins une « regulatory sandbox » avant août 2026. Ces bacs à sable permettent de tester des systèmes innovants sous supervision allégée. La France a annoncé un dispositif piloté par la CNIL [à vérifier auprès de la CNIL].

Convergence RGPD-AI Act. Le futur règlement européen sur la responsabilité civile en matière d'IA, en discussion, complétera le dispositif en facilitant les recours des victimes.

FAQ

Qu'est-ce que l'AI Act et quand est-il applicable aux PME françaises ?

L'AI Act est le Règlement (UE) 2024/1689, première législation horizontale au monde sur l'intelligence artificielle. Il s'applique aux PME françaises selon un calendrier progressif : interdictions depuis février 2025, obligations GPAI depuis août 2025, systèmes à haut risque Annexe III en août 2026, systèmes à haut risque Annexe I en août 2027 (Art. 113).

Quelles sont les principales obligations pour les PME utilisant l'IA ?

Une PME doit d'abord identifier son rôle : fournisseur ou déployeur. Elle classe chaque système selon les quatre niveaux de risque (Art. 6). Pour les systèmes à haut risque, elle documente, journalise, garantit la surveillance humaine et enregistre dans la base UE (Art. 8 à 22 pour fournisseurs ; Art. 26 et 27 pour déployeurs). Tout le personnel concerné doit être formé (Art. 4).

Quelles sont les sanctions pour non-conformité ?

Trois paliers s'appliquent (Art. 99). Pratiques interdites : jusqu'à 35 M EUR ou 7 % du CA mondial. Non-conformité haut risque : jusqu'à 15 M EUR ou 3 %. Informations inexactes : jusqu'à 7,5 M EUR ou 1 %. Pour les PME, l'Article 99 §6 retient le montant le plus faible entre forfait et pourcentage.

Comment une PME peut-elle se conformer à l'AI Act ?

La démarche suit cinq étapes : cartographier les systèmes d'IA utilisés, qualifier le rôle (fournisseur ou déployeur), classer chaque système selon le risque (Art. 6), mettre en place la documentation et les processus exigés (Art. 8 à 27), former les équipes (Art. 4). Les fiches CNIL et le service desk AI Office sont les ressources officielles de référence.

Quels sont les avantages de la conformité pour une PME ?

La conformité ouvre l'accès aux marchés publics intégrant des clauses IA, sécurise les contrats B2B avec les grands comptes, débloque l'éligibilité à certains financements européens, réduit l'exposition aux contentieux RGPD et de responsabilité civile. Elle structure aussi la gouvernance interne des systèmes d'IA.

Sources officielles

Règlement (UE) 2024/1689 — texte officiel EUR-Lex
Texte consolidé de l'AI Act — artificialintelligenceact.eu
CNIL — fiches pratiques IA
AI Office — service desk officiel
ISO/IEC 42001:2023 — Système de management de l'IA
ISO/IEC 23894:2023 — Gestion des risques IA
ISO/IEC 27001:2022 — Sécurité de l'information

Disclaimer. Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.