L'essentiel en 30 secondes
- Sanctions pouvant atteindre 7 % du CA mondial (Article 99 du Règlement (UE) 2024/1689)
- Obligation de documentation technique pour les systèmes à haut risque (Article 11)
- Allègements et bacs à sable réglementaires pour les PME de moins de 250 salariés (Article 62)
- Date d'application pour les systèmes à haut risque : 2 août 2026
- Ressources gratuites : AI Act Service Desk (ai-act-service-desk.ec.europa.eu)
Le Règlement (UE) 2024/1689, dit AI Act, est entré en vigueur le 1er août 2024. Il s'applique à toute organisation qui développe, déploie ou commercialise un système d'intelligence artificielle destiné au marché européen. Pour une startup qui intègre un moteur de recommandation dans son application ou une PME industrielle qui automatise son contrôle qualité, la question n'est plus « est-ce que ça nous concerne ? » mais « à quelle date et avec quelles obligations ? »
1. Qu'est-ce que l'AI Act et pourquoi les startups et PME s'en soucient-elles ?
Le Règlement (UE) 2024/1689 est le premier cadre juridique mondial contraignant sur l'intelligence artificielle. Il classe les systèmes d'IA en quatre niveaux de risque et impose des obligations proportionnelles. La logique est simple : plus le système peut nuire à des personnes, plus les exigences sont lourdes.
Deux rôles sont au cœur du dispositif. Le fournisseur développe ou met sur le marché un système IA. Le déployeur l'utilise dans un contexte professionnel. Une PME de 25 salariés qui achète un logiciel de présélection de candidatures basé sur l'IA est déployeuse. Elle porte des obligations réelles, même si elle n'a pas écrit une ligne de code.
Le texte ne vise pas seulement les GAFAM. Il couvre explicitement les PME et startups. L'Article 62 leur accorde des mesures d'accompagnement spécifiques, ce qui prouve que le législateur européen les a bien identifiées comme acteurs clés de l'écosystème IA.
Pour une cartographie complète des obligations selon votre rôle, consultez notre guide AI Act pour les PME françaises.
2. Les principaux impacts de l'AI Act sur les startups et PME
L'impact se joue sur trois plans concrets.
Plan documentaire. L'Article 11 du Règlement (UE) 2024/1689 impose, pour tout système à haut risque, une documentation technique couvrant l'architecture du modèle, les données d'entraînement, les métriques de performance et les mesures de cybersécurité. Pour une startup de dix personnes sans équipe juridique, c'est une charge de travail significative.
Plan financier. La mise en conformité complète d'un système à haut risque coûte entre 5 000 € et 50 000 € selon la complexité, d'après les premières estimations sectorielles. Audit technique, conseil juridique, formation des équipes, mise à niveau des processus internes : ces coûts s'accumulent avant même la première vente.
Plan commercial. Un système non conforme peut se voir interdit de mise sur le marché européen. Pour une startup dont l'essentiel des revenus provient de l'UE, c'est une menace directe sur la survie de l'activité.
| Impact | Qui est concerné | Priorité |
|---|---|---|
| Documentation technique (art. 11) | Fournisseur de solution IA | Critique |
| Évaluation de conformité (art. 9) | Déployeur à haut risque | Élevée |
| Journaux automatiques / logs (art. 12) | Fournisseur à haut risque | Élevée |
| Formation des utilisateurs (art. 26) | Tout déployeur | Moyenne |
| Marquage CE + déclaration UE | Fournisseur sur marché UE | Critique |
3. Les obligations de conformité pour les PME
Pour les systèmes à haut risque, les obligations sont précises et non négociables.
Gestion des risques. L'Article 9 du Règlement (UE) 2024/1689 exige un système de gestion des risques documenté, mis à jour tout au long du cycle de vie du système. Ce n'est pas un document à rédiger une fois puis à oublier : il évolue avec le produit.
Gouvernance des données. L'Article 10 impose des exigences strictes sur les données d'entraînement. Elles doivent être pertinentes, représentatives et, dans la mesure du possible, exemptes d'erreurs et de biais. Pour une startup qui travaille avec des données clients, cela se traduit par une documentation rigoureuse des jeux de données utilisés.
Transparence. L'Article 13 du Règlement (UE) 2024/1689 oblige les fournisseurs à concevoir leurs systèmes de manière suffisamment transparente pour que les déployeurs comprennent leurs capacités et leurs limites. Les chatbots et agents conversationnels doivent signaler qu'ils sont des machines, sauf si le contexte l'évidence (Article 50).
Surveillance humaine. L'Article 14 rend obligatoire la possibilité d'une intervention humaine sur tout système à haut risque. On ne peut pas déléguer entièrement une décision impactante à un algorithme sans mécanisme de contrôle ou de correction.
Retrouvez les définitions précises dans notre glossaire AI Act.
Évaluez votre niveau de risque en 10 minutes
Notre diagnostic rapide identifie vos systèmes IA, leur classification réglementaire et les premières obligations à traiter. Gratuit et sans engagement.
Démarrer le diagnostic gratuit4. Les sanctions pour non-conformité
Le régime de sanctions du Règlement (UE) 2024/1689 est progressif selon la gravité de la violation.
Violations de niveau 1 (les plus graves) : utilisation d'un système d'IA interdit (manipulation comportementale, notation sociale, identification biométrique en temps réel non autorisée). Amende jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial annuel, le montant le plus élevé étant retenu.
Violations de niveau 2 : manquements aux obligations des fournisseurs ou déployeurs de systèmes à haut risque. Amende jusqu'à 15 millions d'euros ou 3 % du CA mondial.
Violations de niveau 3 : informations incorrectes ou trompeuses transmises aux autorités de contrôle. Amende jusqu'à 7,5 millions d'euros ou 1,5 % du CA mondial.
Ces pourcentages s'appliquent au chiffre d'affaires mondial, pas seulement français. Une PME réalisant 4 millions d'euros de CA peut théoriquement se voir infliger jusqu'à 120 000 € pour un manquement de niveau 2. Le texte prévoit que les autorités tiennent compte de la taille de l'entreprise, mais ne comptez pas sur l'indulgence : les premières affaires serviront à asseoir la crédibilité des régulateurs.
Pour des simulations chiffrées adaptées à votre taille, consultez notre guide sur les amendes et sanctions AI Act pour PME.
5. Les exemptions et allègements pour les PME
L'Article 62 du Règlement (UE) 2024/1689 prévoit des mesures de soutien concrètes.
Bacs à sable réglementaires. Les États membres doivent offrir aux PME et startups un accès prioritaire aux sandboxes : des environnements contrôlés pour tester et valider des systèmes IA innovants avant leur commercialisation, avec un accompagnement réglementaire dédié.
Documentation simplifiée. Les modèles de documentation technique sont adaptés à la taille et aux ressources des petites structures. Le niveau de détail exigé est proportionné à la complexité du système.
Systèmes à risque minimal. La grande majorité des systèmes IA utilisés en gestion interne — outils de productivité, recommandations internes, filtres de messagerie — relèvent du risque minimal. Aucune obligation spécifique ne s'y applique au-delà de bonnes pratiques volontaires.
Calendrier progressif. Les systèmes à haut risque relevant de l'Annexe III (emploi, éducation, crédit, santé, infrastructure critique) ont jusqu'au 2 août 2026 pour se conformer. Les systèmes déjà sur le marché avant cette date bénéficient d'un régime transitoire prolongé.
| Catégorie | Obligations | Délai |
|---|---|---|
| Systèmes interdits | Interdiction totale | Depuis février 2025 |
| Haut risque (Annexe III) | Documentation, évaluation, surveillance | Août 2026 |
| Risque limité | Transparence envers l'utilisateur | Août 2026 |
| Risque minimal | Aucune obligation spécifique | — |
6. Les étapes pour se conformer à l'AI Act
La démarche de mise en conformité suit une logique en trois temps.
Inventaire. Listez tous les systèmes IA que vous développez ou utilisez en production. Incluez les outils achetés à des tiers : un logiciel SaaS avec décision automatisée intégrée vous engage comme déployeur. Croisez cet inventaire avec les Annexes I et III du Règlement (UE) 2024/1689 pour classer chaque système par niveau de risque.
Analyse des écarts. Pour chaque système à haut risque, mesurez l'écart entre vos pratiques actuelles et les exigences du règlement : la documentation existe-t-elle ? Les logs sont-ils activés ? L'équipe a-t-elle reçu une formation ? Cet audit interne prend généralement 4 à 6 semaines pour une PME de taille standard.
Plan d'action. Priorisez les chantiers selon l'exposition au risque et les échéances. Commencez par la documentation technique et la politique de gouvernance des données, qui servent de fondation à toutes les autres obligations. Prévoyez un budget et un responsable identifié.
7. Les ressources disponibles pour les PME
Plusieurs outils gratuits accompagnent les PME.
L'AI Act Service Desk de la Commission européenne est le premier point de contact : réponses aux questions techniques, modèles de documentation, FAQ opérationnelle. Disponible en français.
La CNIL publie des guides pratiques sur la conformité IA à destination des entreprises françaises sur cnil.fr. Elle accompagne aussi la mise en conformité croisée AI Act / RGPD, obligatoire dès que votre système traite des données personnelles.
L'ISO 42001:2023 est la norme de management des systèmes d'IA. Non obligatoire, mais elle structure la gouvernance IA et fournit un référentiel auditable qui rassure les clients grands groupes.
L'ensemble des textes de référence est centralisé dans notre page sources. Pour approfondir votre analyse réglementaire, revenez également sur notre guide AI Act PME.
8. Les avantages de la conformité pour les PME
La conformité n'est pas qu'une charge. Elle génère des effets positifs mesurables.
Avantage commercial. Un fournisseur de solution IA conforme répond à une demande explicite des grands comptes : leurs propres obligations de déployeur les poussent à exiger des garanties de leurs sous-traitants. La conformité devient un critère d'appel d'offres, parfois éliminatoire.
Accès aux marchés. Le marquage CE pour les systèmes à haut risque est un passeport valable dans les 27 États membres. Une PME française qui l'obtient peut vendre sans obstacle réglementaire dans toute l'Union européenne.
Qualité produit. Les exigences de robustesse, de précision et de gestion des biais améliorent objectivement la qualité des systèmes IA. Les tests de performance et les audits réguliers détectent des problèmes que vous n'auriez pas nécessairement identifiés seuls.
Crédibilité. Dans un marché où la confiance dans l'IA est encore fragile, afficher sa conformité différencie. C'est un argument de vente auprès des clients institutionnels, des investisseurs et des partenaires.
FAQ
Quelles sont les sanctions pour les PME en cas de non-conformité ?
Les PME peuvent être sanctionnées jusqu'à 7 % de leur chiffre d'affaires mondial annuel pour les violations les plus graves (utilisation d'un système d'IA interdit). Pour les manquements aux obligations portant sur les systèmes à haut risque, le plafond est de 15 millions d'euros ou 3 % du CA mondial. Les autorités tiennent compte de la taille de l'entreprise. Consultez notre guide amendes AI Act pour des simulations.
Quelles exemptions sont prévues pour les PME dans l'AI Act ?
Les PME bénéficient d'un accès prioritaire aux bacs à sable réglementaires et de modèles de documentation simplifiés (Article 62 du Règlement (UE) 2024/1689). Les systèmes à risque minimal ne sont soumis à aucune obligation. Les délais de transition permettent aux systèmes déjà déployés de se conformer progressivement.
Quelles ressources peuvent utiliser les PME pour se conformer ?
L'AI Act Service Desk offre un accompagnement gratuit. La CNIL publie des guides en français. L'ISO 42001:2023 structure la démarche de gouvernance. Des accompagnements spécialisés sont disponibles via les chambres de commerce et les cabinets spécialisés comme Regulia.
Quand l'AI Act s'applique-t-il aux PME ?
Les pratiques d'IA interdites (manipulation comportementale, notation sociale) sont prohibées depuis février 2025. Les obligations sur les systèmes à haut risque s'appliquent à partir du 2 août 2026. Les systèmes commercialisés avant cette date bénéficient d'un régime transitoire jusqu'en 2027 ou 2029 selon les cas.
Quels sont les avantages de la conformité pour les PME ?
La conformité renforce la confiance clients et partenaires, facilite l'accès aux 27 marchés européens, améliore la qualité des systèmes IA et positionne favorablement l'entreprise dans les appels d'offres où la conformité réglementaire devient un critère d'évaluation.
Sources officielles
- Règlement (UE) 2024/1689 — texte intégral sur EUR-Lex
- AI Act Service Desk — Commission européenne
- artificialintelligenceact.eu — guide pratique et outils
Passez à l'action avec Regulia
Nos experts vous accompagnent de l'inventaire de vos systèmes IA jusqu'à la mise en conformité complète. Résultats concrets en 6 semaines.
Contacter un expert ReguliaAvertissement — Cet article fournit une information générale et ne constitue pas un conseil juridique.