Méta : Comment le Règlement (UE) 2024/1689 transforme la protection des données personnelles dans les PME françaises. Obligations, sanctions, étapes de mise en conformité.
TL;DR — L'essentiel en 30 secondes
- L'AI Act (Règlement (UE) 2024/1689) s'articule avec le RGPD pour encadrer les systèmes d'IA traitant des données personnelles, en particulier ceux classés à haut risque (Article 6 du Règlement (UE) 2024/1689).
- Les PME non conformes risquent des amendes administratives jusqu'à 4 % du chiffre d'affaires mondial annuel au titre du RGPD (Art. 83 du Règlement (UE) 2016/679), cumulables avec les sanctions spécifiques de l'AI Act (Art. 99 du Règlement (UE) 2024/1689).
- Le Service Desk officiel de la Commission européenne (ai-act-service-desk.ec.europa.eu) fournit un accompagnement gratuit pour les PME.
- La CNIL publie 13 fiches pratiques dédiées à l'IA et au RGPD, accessibles sur cnil.fr.
- Un audit interne, un registre des traitements d'IA et une formation ciblée du personnel forment le socle minimal de préparation.
- La transparence vis-à-vis des personnes concernées (Art. 13-14 du Règlement (UE) 2016/679) reste un pilier de toute démarche IA conforme.
1. Contexte juridique : AI Act et RGPD en 2026
Le Règlement (UE) 2024/1689 du 13 juin 2024, dit AI Act, est entré en vigueur le 1er août 2024. Son application se déploie par étapes jusqu'en août 2027. En 2026, deux jalons concernent directement les PME : les obligations relatives aux modèles d'IA à usage général sont entrées en vigueur le 2 août 2025, et la majeure partie des obligations applicables aux systèmes à haut risque devient exigible le 2 août 2026.
Le RGPD (Règlement (UE) 2016/679) reste pleinement applicable. L'AI Act ne le remplace pas. Il s'y ajoute. Une PME qui déploie un système d'IA traitant des données personnelles cumule donc deux régimes : le régime général de protection des données et le régime sectoriel d'encadrement des systèmes d'IA.
L'Article 2 du Règlement (UE) 2024/1689 confirme cette articulation. Le considérant 10 précise que l'AI Act s'applique « sans préjudice » du RGPD. Concrètement, votre cartographie RGPD existante reste valable mais doit être enrichie d'une couche AI Act.
1.1 Les principes RGPD réaffirmés par l'AI Act
L'Article 5 du Règlement (UE) 2016/679 fixe sept principes que tout traitement d'IA doit respecter :
| Principe RGPD | Implication pour un système d'IA |
|---|---|
| Licéité, loyauté, transparence | Base légale documentée pour chaque jeu de données d'entraînement |
| Finalité déterminée | Pas de réutilisation des données pour entraîner d'autres modèles sans nouvelle base |
| Minimisation | Limiter les variables d'entrée au strict nécessaire |
| Exactitude | Procédure de correction des données d'entraînement biaisées |
| Conservation limitée | Définir une durée de conservation des datasets et des journaux |
| Intégrité et confidentialité | Mesures techniques (chiffrement, contrôles d'accès) |
| Responsabilité | Documentation prouvant la conformité |
L'Article 22 du Règlement (UE) 2016/679 encadre les décisions individuelles automatisées. Une PME qui automatise des décisions à effet juridique ou significatif (refus de crédit, sélection de candidats) doit respecter ce régime, indépendamment de la classification AI Act.
1.2 Articulation avec le pilier PME
Pour une vue d'ensemble du périmètre AI Act applicable aux PME françaises, consultez notre guide pillar AI Act PME France. Le présent article traite spécifiquement de l'angle données personnelles.
2. Impacts clés sur les données personnelles pour les PME
L'AI Act ajoute trois exigences nouvelles aux obligations RGPD existantes.
2.1 Documentation renforcée des traitements d'IA
Le registre des activités de traitement (Art. 30 du Règlement (UE) 2016/679) doit désormais identifier explicitement les traitements impliquant un système d'IA. Pour chaque traitement IA, ajouter :
- Le rôle de la PME : fournisseur (provider) ou déployeur (deployer) au sens de l'Article 3 du Règlement (UE) 2024/1689.
- La classification du système : risque inacceptable, élevé, limité ou minimal.
- La base légale du traitement et la base légale spécifique pour l'entraînement le cas échéant.
- Les jeux de données utilisés et leur provenance.
2.2 Droits des personnes étendus
L'Article 86 du Règlement (UE) 2024/1689 introduit un droit à l'explication des décisions individuelles prises ou assistées par un système d'IA à haut risque. Ce droit s'ajoute aux droits classiques du RGPD :
- Droit d'accès (Art. 15)
- Droit de rectification (Art. 16)
- Droit à l'effacement (Art. 17)
- Droit à la limitation (Art. 18)
- Droit à la portabilité (Art. 20)
- Droit d'opposition (Art. 21)
- Droit de ne pas faire l'objet d'une décision automatisée (Art. 22)
2.3 Données sensibles et catégories particulières
L'Article 10 du Règlement (UE) 2024/1689 autorise, à titre exceptionnel, le traitement de données sensibles (Art. 9 du RGPD) pour détecter et corriger des biais dans les systèmes d'IA à haut risque. Cette autorisation est strictement encadrée : finalité limitée, mesures techniques renforcées, suppression après usage.
3. Risques et sanctions pour les PME non conformes
L'architecture de sanction est cumulative. Une même défaillance peut déclencher deux régimes parallèles.
| Régime | Article | Plafond | Déclencheur typique |
|---|---|---|---|
| RGPD | Art. 83 §5 du Règlement (UE) 2016/679 | 20 M€ ou 4 % du CA annuel mondial | Violation des droits des personnes, base légale absente |
| RGPD | Art. 83 §4 du Règlement (UE) 2016/679 | 10 M€ ou 2 % du CA annuel mondial | Défaut de registre, défaut de DPIA |
| AI Act | Art. 99 §3 du Règlement (UE) 2024/1689 | 15 M€ ou 3 % du CA annuel mondial | Non-respect des obligations système haut risque |
| AI Act | Art. 99 §4 du Règlement (UE) 2024/1689 | 7,5 M€ ou 1 % du CA annuel mondial | Informations incorrectes aux autorités |
L'Article 99 §6 du Règlement (UE) 2024/1689 prévoit toutefois un plafond réduit pour les PME et startups : c'est le montant le plus bas qui s'applique entre le pourcentage et le montant fixe. Cette disposition de proportionnalité protège partiellement les structures de petite taille, sans les exempter.
Pour le détail du régime de sanction et un simulateur, voir notre article dédié sanctions AI Act et amendes pour les PME.
Au-delà des amendes, trois risques opérationnels pèsent sur la PME non conforme :
- Retrait du marché des systèmes d'IA non conformes par décision des autorités de surveillance.
- Perte de marchés B2B : les grands donneurs d'ordre exigent désormais des attestations de conformité dans leurs appels d'offres.
- Atteinte réputationnelle après publication des sanctions au registre public prévu à l'Article 71 du Règlement (UE) 2024/1689.
Évaluez votre exposition en 10 minutes
Notre formulaire d'auto-diagnostic identifie les écarts de votre PME avec l'AI Act et le RGPD. Résultat personnalisé par e-mail.
Lancer le diagnostic gratuit4. Outils et ressources officielles pour les PME
Quatre ressources gratuites suffisent à amorcer une démarche structurée.
4.1 Service Desk de la Commission européenne
Le Service Desk de l'AI Act est opéré par l'AI Office (Bureau européen de l'IA) au sein de la Commission. Il répond aux questions des opérateurs économiques, publie des FAQ thématiques, et oriente vers les autorités nationales compétentes.
4.2 Fiches pratiques CNIL
La CNIL publie 13 fiches pratiques dédiées à l'IA, accessibles sur cnil.fr. Elles couvrent notamment :
- La base légale du traitement à des fins d'entraînement
- L'analyse d'impact relative à la protection des données (DPIA)
- L'information des personnes concernées
- L'exercice des droits sur les modèles d'IA
4.3 Norme ISO/IEC 42001:2023
La norme ISO/IEC 42001:2023 définit un système de management de l'intelligence artificielle (AIMS). Elle propose une structure d'organisation interne directement transposable en politique IA d'entreprise. Sa structure de haut niveau s'aligne avec ISO/IEC 27001:2022 (sécurité de l'information) et ISO/IEC 23894:2023 (gestion du risque IA).
4.4 Guides professionnels français
Deux guides récents structurent la doctrine professionnelle française :
- Guide Cigref « AI Act, premiers pas » publié en janvier 2025
- Guide Numeum « AI Act et écosystème numérique » publié en mars 2025
Ces documents ne sont pas opposables juridiquement mais ils représentent une référence sectorielle utile.
5. Étapes clés pour la préparation des PME
Une trajectoire de mise en conformité raisonnable s'étale sur 6 à 9 mois. Voici une séquence éprouvée.
- Cartographier les systèmes d'IA déployés ou en projet. Inclure les outils SaaS qui intègrent de l'IA, même si le fournisseur est tiers.
- Classer chaque système selon les catégories de l'Article 6 du Règlement (UE) 2024/1689 : interdit, haut risque, risque limité, risque minimal.
- Identifier le rôle de votre PME pour chaque système : fournisseur, déployeur, importateur, distributeur (Art. 3 du Règlement (UE) 2024/1689).
- Auditer la conformité RGPD des traitements associés : base légale, registre, DPIA, transferts hors UE.
- Construire le registre des traitements d'IA en cohérence avec le registre RGPD existant.
- Mettre à jour les politiques de confidentialité pour mentionner explicitement les traitements d'IA.
- Former le personnel : direction, DPO, RSSI, équipes métier. L'Article 4 du Règlement (UE) 2024/1689 impose un niveau de littératie IA suffisant à tous les opérateurs concernés.
- Documenter les contrôles mis en œuvre, leur fréquence et leurs résultats.
Pour clarifier le vocabulaire technique (fournisseur, déployeur, système haut risque, modèle d'IA à usage général), consultez notre glossaire AI Act.
6. Cas d'usage typiques pour les PME
Six familles d'usage couvrent la majorité des déploiements observés dans les PME françaises.
| Cas d'usage | Classification probable | Risque dominant |
|---|---|---|
| CRM enrichi par IA générative (scoring, résumés) | Risque limité | Transparence client (Art. 50 AI Act) |
| Tri automatisé de CV | Haut risque (Annexe III §4) | Discrimination, Art. 22 RGPD |
| Chatbot service client | Risque limité | Obligation d'information (Art. 50 AI Act) |
| Détection de fraude documentaire | Haut risque (selon contexte) | Décision automatisée |
| Analyse de sentiment sur avis clients | Risque minimal | Base légale de la collecte |
| Outil de productivité (transcription, traduction) | Risque minimal | Transfert hors UE |
6.1 Focus : tri automatisé de CV
L'Annexe III §4 du Règlement (UE) 2024/1689 classe explicitement les systèmes d'IA utilisés pour le recrutement parmi les systèmes à haut risque. Cette classification déclenche l'ensemble des obligations des Articles 8 à 17 du Règlement (UE) 2024/1689 : système de gestion des risques, gouvernance des données, documentation technique, journalisation, transparence, supervision humaine, robustesse.
Une PME qui déploie un tel outil doit également notifier les candidats que leur dossier est traité par un système d'IA (Art. 50 §3 du Règlement (UE) 2024/1689) et leur permettre de demander une intervention humaine (Art. 22 §3 du Règlement (UE) 2016/679).
7. Bonnes pratiques pour la protection des données
Quatre pratiques convergent avec les exigences AI Act et RGPD.
7.1 Protection des données dès la conception
L'Article 25 du Règlement (UE) 2016/679 impose la protection des données dès la conception et par défaut. Appliqué à l'IA, ce principe se traduit par :
- Choix d'architectures favorisant la pseudonymisation
- Minimisation des variables d'entrée du modèle
- Durée de conservation des journaux limitée à la durée utile
- Cloisonnement entre environnements d'entraînement et de production
7.2 Pseudonymisation et anonymisation
L'anonymisation, lorsqu'elle est techniquement effective, fait sortir les données du champ d'application du RGPD. La pseudonymisation, elle, reste dans le champ mais réduit significativement les risques. La CNIL publie des recommandations méthodologiques détaillées sur ces deux techniques.
7.3 Tests de conformité réguliers
Un système d'IA évolue. Les jeux de données s'enrichissent, les modèles se réentraînent, les biais se déplacent. Un test de conformité annuel minimal couvre :
- Performance du modèle sur des sous-populations protégées
- Existence et qualité de la journalisation
- Actualité de la DPIA
- Respect des durées de conservation
7.4 Procédure de notification de violation
L'Article 33 du Règlement (UE) 2016/679 impose la notification d'une violation de données dans les 72 heures. L'Article 73 du Règlement (UE) 2024/1689 ajoute une obligation parallèle de signalement des incidents graves liés à un système d'IA à haut risque. Une procédure unifiée évite les doublons et les oublis.
Recevez le pack documentaire regulia
Modèles de registre IA, DPIA spécifique IA, politique d'usage IA, charte salariés. Conformes AI Act et RGPD.
Découvrir le pack8. Perspectives futures et évolutions législatives
Trois chantiers réglementaires structureront 2026 et 2027.
8.1 Codes de conduite et standards harmonisés
L'AI Office élabore actuellement les codes de conduite prévus à l'Article 95 du Règlement (UE) 2024/1689. Les standards harmonisés en cours d'élaboration au CEN-CENELEC fourniront une présomption de conformité aux PME qui les appliqueront.
8.2 Évolution de la classification des risques
L'Article 7 du Règlement (UE) 2024/1689 autorise la Commission à modifier la liste des systèmes à haut risque par actes délégués. La liste de l'Annexe III est donc évolutive. Les PME doivent surveiller les actualisations publiées au Journal officiel de l'Union européenne.
8.3 Articulation avec d'autres réglementations
Plusieurs textes complémentaires s'articulent avec l'AI Act :
- Règlement (UE) 2022/2065 sur les services numériques (DSA)
- Règlement (UE) 2022/1925 sur les marchés numériques (DMA)
- Règlement (UE) 2023/2854 sur les données (Data Act)
- Directive (UE) 2022/2555 sur la cybersécurité (NIS 2)
Une PME peut être soumise simultanément à plusieurs de ces textes. Une approche intégrée évite la duplication d'efforts.
Pour la liste complète des textes et publications officielles, consultez nos sources de référence.
FAQ — Questions fréquentes des PME
Q : Quelles sont les principales obligations RGPD pour les PME utilisant l'IA en 2026 ?
Les PME doivent documenter tous les traitements d'IA impliquant des données personnelles (Art. 30 du Règlement (UE) 2016/679), respecter les principes de minimisation et de conservation limitée (Art. 5 du Règlement (UE) 2016/679), et garantir la transparence avec les personnes concernées (Art. 13-14 du Règlement (UE) 2016/679). L'AI Act renforce ces obligations pour les systèmes à haut risque, avec un droit nouveau à l'explication des décisions automatisées (Art. 86 du Règlement (UE) 2024/1689).
Q : Quelles sanctions peuvent encourir les PME non conformes à l'AI Act en 2026 ?
Les PME risquent des amendes administratives jusqu'à 4 % de leur chiffre d'affaires annuel mondial au titre du RGPD (Art. 83 du Règlement (UE) 2016/679) et jusqu'à 3 % au titre de l'AI Act (Art. 99 du Règlement (UE) 2024/1689). L'Article 99 §6 prévoit toutefois un plafond proportionné pour les PME et startups, qui retient le montant le plus bas entre pourcentage et plafond fixe. Des sanctions complémentaires existent : retrait du marché, interdiction d'usage.
Q : Où trouver des ressources gratuites pour comprendre l'AI Act et le RGPD ?
Le Service Desk de l'AI Act fournit des réponses officielles aux questions des opérateurs. Le site cnil.fr publie 13 fiches pratiques dédiées à l'IA. Le site artificialintelligenceact.eu propose le texte consolidé du Règlement et un suivi des actes d'application.
Q : Quels sont les premiers pas pour préparer ma PME à l'AI Act ?
Commencez par cartographier vos systèmes d'IA, y compris les outils SaaS qui en intègrent. Classez chacun selon les catégories de l'Article 6 du Règlement (UE) 2024/1689. Identifiez votre rôle (fournisseur ou déployeur) au sens de l'Article 3. Mettez à jour votre registre des traitements et formez vos équipes au titre de l'obligation de littératie IA (Art. 4 du Règlement (UE) 2024/1689).
Q : Comment l'AI Act impacte-t-il les systèmes d'IA à faible risque ?
Les systèmes à risque limité (chatbots, IA générative grand public) sont soumis aux obligations de transparence de l'Article 50 du Règlement (UE) 2024/1689. Les utilisateurs doivent savoir qu'ils interagissent avec un système d'IA. Les contenus générés artificiellement doivent être identifiables. Les principes RGPD restent applicables : base légale, registre, droits des personnes, sécurité.
Sources officielles
- Règlement (UE) 2024/1689 (AI Act) — texte consolidé
- Proposition initiale AI Act sur EUR-Lex
- Règlement (UE) 2016/679 (RGPD) sur EUR-Lex
- CNIL — fiches pratiques IA et RGPD
- AI Act Service Desk — Commission européenne
- ISO/IEC 42001:2023 — Information technology — Artificial intelligence — Management system
- ISO/IEC 23894:2023 — Information technology — Artificial intelligence — Guidance on risk management
- ISO/IEC 27001:2022 — Information security management systems
Disclaimer : Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.