AI Act : conformité ISO 42001 pour DPO et RSSI en 2026

Q: Quelles sont les sanctions pour non-conformité à l'AI Act pour les PME ?

Les sanctions peuvent atteindre 7% du chiffre d'affaires annuel (CA) pour les entreprises de taille moyenne et 4% pour les grandes entreprises. Les PME peuvent également faire face à des amendes administratives et à des obligations de mise en conformité. Il est donc crucial de se conformer dès que possible.

Q: Comment ISO 42001 aide-t-il les PME à se conformer à l'AI Act ?

ISO 42001 fournit un cadre structuré pour la gestion de l'IA, couvrant l'évaluation des risques, la documentation, et la surveillance. En suivant cette norme, les PME peuvent s'assurer de respecter les exigences de l'AI Act, notamment en matière de transparence et de sécurité. La CNIL recommande cette approche pour les PME.

Q: Quel est le rôle du DPO dans la conformité à l'AI Act ?

Le DPO est responsable de veiller à la conformité avec l'AI Act et le RGPD. Il doit s'assurer que les systèmes d'IA respectent les droits des personnes concernées et les exigences de transparence. Il collabore avec le RSSI pour évaluer les risques et mettre en place des mesures de protection des données.

Q: Quelles sont les étapes pour mettre en œuvre ISO 42001 en 2026 ?

Les étapes clés incluent : 1) une évaluation initiale et l'évaluation des risques, 2) la mise en place d'un système de management de l'IA, 3) la formation du personnel et la documentation, et 4) la mise en œuvre et le suivi. Les PME peuvent utiliser des outils de gestion de projet et consulter les guides de la CNIL pour faciliter cette démarche.

Q: Où puis-je trouver des ressources pour aider ma PME à se conformer ?

Vous pouvez consulter le site de la CNIL (cnil.fr) pour des guides et des checklists. Le service desk de l'AI Act (ai-act-service-desk.ec.europa.eu) offre également des ressources. De plus, notre article sur l'AI Act pour les PME (ai-act-pme-france/) et les sanctions (ai-act-sanctions-pme-amendes/) vous fournissent des informations détaillées.

L'essentiel en 30 secondes

- L'Article 99 du Règlement (UE) 2024/1689 prévoit des amendes administratives pouvant atteindre 35 millions d'euros ou 7 % du chiffre d'affaires mondial annuel pour les violations les plus graves. - La norme ISO/IEC 42001:2023 est le premier référentiel international certifiable pour un système de management de l'intelligence artificielle (AIMS), publié en décembre 2023. - Le DPO et le RSSI doivent désormais coopérer sur un objet commun : l'évaluation conjointe des risques IA, des risques RGPD et des risques de sécurité. - Le 2 août 2026 marque l'entrée en application des obligations majeures sur les systèmes à haut risque listés à l'Annexe III de l'AI Act. - La CNIL recommande d'articuler la gouvernance IA avec les référentiels ISO existants (27001, 27701, 42001) pour rationaliser les efforts.

1. Contexte réglementaire : AI Act et ISO 42001 en 2026

Le Règlement (UE) 2024/1689, dit AI Act, est entré en vigueur le 1er août 2024. Son application se déploie par paliers jusqu'en 2027. Pour les PME françaises, deux dates structurent l'année 2026.

Le 2 février 2026 marque l'application des dispositions sur les pratiques interdites (Article 5) et les obligations de littératie IA (Article 4). Le 2 août 2026 déclenche l'application des règles sur les systèmes d'IA à haut risque listés à l'Annexe III du Règlement.

La norme ISO/IEC 42001:2023 a été publiée le 18 décembre 2023. Elle définit les exigences pour établir, mettre en œuvre et améliorer un AI Management System (AIMS). Sa structure suit le modèle des normes ISO de management — annexes A et B incluses — et facilite l'intégration avec ISO/IEC 27001:2022.

Cadre	Nature	Date clé 2026	Portée
AI Act (UE 2024/1689)	Règlement contraignant	2 août 2026 (haut risque Annexe III)	Tous fournisseurs/déployeurs IA sur le marché UE
ISO/IEC 42001:2023	Norme certifiable volontaire	Disponible depuis 2023	Toute organisation gérant des systèmes IA
ISO/IEC 23894:2023	Lignes directrices	Référentiel risques	Méthodologie risques IA
ISO/IEC 27001:2022	Norme certifiable	Référentiel SMSI	Sécurité de l'information

L'AI Act fixe ce qu'il faut faire. ISO 42001 explique comment l'organiser. Cette complémentarité justifie une approche conjointe DPO–RSSI.

2. Les enjeux pour les DPO et RSSI

Pour le DPO, l'AI Act élargit le périmètre de la gouvernance des données. L'Article 26 du Règlement impose au déployeur d'un système à haut risque de réaliser une analyse d'impact relative à la protection des données (AIPD) lorsqu'elle est requise par l'Article 35 du RGPD. L'AIPD reste l'outil pivot, mais elle s'enrichit d'éléments propres à l'IA — données d'entraînement, biais, surveillance humaine.

Pour le RSSI, l'Article 15 de l'AI Act exige un niveau approprié de cybersécurité, de robustesse et d'exactitude pour les systèmes à haut risque. Le RSSI doit traduire ces exigences en mesures techniques : durcissement des modèles, contrôles d'accès, journalisation, gestion des vulnérabilités spécifiques (data poisoning, model evasion, prompt injection).

La collaboration DPO–RSSI devient une obligation pratique. Les deux fonctions partagent la responsabilité de :

L'inventaire des systèmes d'IA déployés
L'évaluation des risques croisés (vie privée, sécurité, droits fondamentaux)
La documentation technique exigée par l'Article 11
La surveillance post-déploiement prévue à l'Article 72

Domaine	Responsable principal	Co-responsable	Référence AI Act
AIPD données IA	DPO	RSSI	Art. 26 §9
Cybersécurité IA	RSSI	DPO	Art. 15
Logs et traçabilité	RSSI	DPO	Art. 12
Information utilisateurs	DPO	Métier	Art. 13, 26 §11
Surveillance humaine	Métier	DPO	Art. 14
Reporting incidents	RSSI	DPO	Art. 73

Cette répartition n'est pas figée. Dans une PME de 50 salariés, le DPO et le RSSI peuvent être la même personne ou opérer en mode mutualisé. ISO 42001 formalise les responsabilités au sein du rôle AI Lead, ce qui clarifie la gouvernance.

3. Points de convergence entre AI Act et ISO 42001

L'AI Act ne mentionne pas explicitement ISO 42001. Mais l'Article 40 prévoit que les normes harmonisées publiées au JOUE confèrent une présomption de conformité. Le CEN-CENELEC JTC 21 travaille sur des normes harmonisées en cours de finalisation pour 2026.

ISO 42001 sert d'ossature opérationnelle pour répondre aux exigences du Règlement. Trois points de convergence structurent cette articulation.

3.1 Gestion des risques

L'Article 9 de l'AI Act exige un système de gestion des risques pour les systèmes à haut risque. ISO 42001 §6.1.2 et l'Annexe A.5 décrivent un processus d'identification, d'analyse et de traitement des risques IA. ISO/IEC 23894:2023 fournit la méthodologie détaillée.

3.2 Transparence et documentation

L'Article 11 et l'Annexe IV de l'AI Act listent la documentation technique obligatoire : description du système, conception, processus de développement, données utilisées, mesures de surveillance humaine. ISO 42001 §7.5 et Annexe A.4 organisent cette documentation dans le cadre d'un AIMS.

3.3 Surveillance et amélioration continue

L'Article 72 impose un plan de surveillance post-commercialisation. ISO 42001 §9 et §10 reprennent la logique PDCA : audit interne, revue de direction, actions correctives. La boucle est compatible avec ISO 27001 existante.

Exigence AI Act	Article	Chapitre ISO 42001	Annexe ISO 42001
Système gestion des risques	Art. 9	§6.1.2	A.5
Données et gouvernance	Art. 10	§8.3	A.7
Documentation technique	Art. 11	§7.5	A.4
Enregistrement (logs)	Art. 12	§8.4	A.6.2.8
Transparence utilisateur	Art. 13	§7.4	A.8
Surveillance humaine	Art. 14	§8.2	A.9
Exactitude et robustesse	Art. 15	§8.3	A.6.2
Surveillance post-marché	Art. 72	§9.1	A.10

Ce mapping reste indicatif tant que les normes harmonisées européennes ne sont pas publiées. Les guides Cigref (janvier 2025) et Numeum (mars 2025) confirment cette logique d'alignement.

Vous démarrez votre conformité AI Act ?

regulia fournit un pack documentaire qui aligne les exigences de l'AI Act avec la structure ISO 42001 : registre des systèmes IA, modèles d'AIPD spécifiques IA, matrice risques croisés DPO–RSSI.

Découvrir le pack documentaire regulia

4. Étapes clés pour la mise en conformité ISO 42001

La mise en conformité ne se fait pas en une semaine. Comptez 6 à 12 mois pour une PME, selon le nombre de systèmes d'IA déployés. Quatre étapes structurent la démarche.

Étape 1 : Audit initial et cartographie

Le préalable est l'inventaire exhaustif. Le DPO et le RSSI listent ensemble :

Tous les systèmes d'IA utilisés (achetés, développés, intégrés via API)
Les fournisseurs concernés (Microsoft, Google, OpenAI, éditeurs SaaS embarquant de l'IA)
Les cas d'usage métier (RH, marketing, support client, scoring crédit)
Les données traitées et leur sensibilité

Cette cartographie sert de base à la classification AI Act (interdit, haut risque, risque limité, risque minimal) selon les Articles 5, 6 et l'Annexe III.

Étape 2 : Mise en place de l'AIMS

Le système de management de l'IA repose sur les exigences ISO 42001 §4 à §10. Pour une PME, l'approche minimale viable comprend :

Une politique IA validée par la direction
Un comité IA réunissant DPO, RSSI, métier et direction
Un registre des systèmes d'IA (équivalent du registre RGPD)
Une procédure d'évaluation de risques avant tout déploiement
Des objectifs mesurables (KPI conformité, incidents, formation)

Étape 3 : Formation et littératie IA

L'Article 4 de l'AI Act, applicable depuis le 2 février 2025, impose aux fournisseurs et déployeurs de garantir un niveau suffisant de littératie en IA pour leur personnel. Le contenu type couvre :

Bases techniques de l'IA et limites
Cadre AI Act et obligations applicables
Risques spécifiques au métier
Procédures internes (signalement, escalade)

Étape 4 : Mise en œuvre, audit et amélioration continue

Le déploiement réel s'accompagne d'un audit interne ISO 42001 §9.2. Les écarts identifiés alimentent un plan d'actions correctives. La revue de direction §9.3 valide les arbitrages annuels.

Étape	Durée typique PME	Livrable	Responsable
Audit initial	4-6 semaines	Cartographie + classification AI Act	DPO + RSSI
Mise en place AIMS	8-12 semaines	Politique, procédures, registre	AI Lead
Formation	Continu	Plan de formation, attestations	RH + DPO
Audit interne	2-3 semaines	Rapport d'audit	Auditeur interne
Revue de direction	1 jour	PV de revue	Direction générale

Le glossaire regulia précise les termes techniques utilisés (AIMS, AIPD, déployeur, fournisseur, système à haut risque).

5. Rôles spécifiques du DPO et du RSSI

La répartition opérationnelle dépend de la taille et de l'organisation. Le schéma ci-dessous s'appuie sur les pratiques observées dans les PME de 50 à 250 salariés.

5.1 Rôle du DPO

Le DPO conserve son périmètre RGPD et l'étend aux dimensions IA. Ses missions clés :

Valider toute AIPD avant déploiement d'un système IA traitant des données personnelles
Assurer la cohérence entre registre RGPD (Article 30) et registre IA
Informer les personnes concernées conformément aux Articles 13-14 RGPD et Article 26 AI Act
Traiter les demandes d'exercice des droits, y compris décisions automatisées (Article 22 RGPD)
Conseiller la direction sur les risques de réputation et de sanction

5.2 Rôle du RSSI

Le RSSI traduit les exigences AI Act en architecture technique sécurisée. Ses missions clés :

Définir les exigences de cybersécurité spécifiques aux modèles IA
Mettre en place la journalisation prévue à l'Article 12 (durée de conservation, intégrité)
Tester la robustesse face aux attaques adversariales
Gérer les incidents de sécurité IA et leur reporting (Article 73)
Sécuriser les chaînes d'approvisionnement (modèles tiers, API externes)

5.3 Zones de coopération

Activité	DPO	RSSI	Modalité
AIPD IA	Pilote	Contribue (volet sécurité)	Atelier conjoint
Choix fournisseur IA	Valide données	Valide sécurité	Grille commune
Incident IA	Information personnes	Investigation technique	Cellule de crise
Audit annuel	Volet RGPD/AI Act	Volet ISO 27001/42001	Calendrier coordonné
Documentation Art. 11	Coordonne	Fournit volet technique	Espace partagé

Cette répartition formalise les bonnes pratiques. Elle figure dans une matrice RACI annexée à la politique IA.

6. Outils et ressources pour les PME

Plusieurs ressources gratuites et officielles accompagnent les PME. Mobiliser l'existant évite de réinventer les modèles.

6.1 Ressources institutionnelles

La CNIL publie depuis avril 2024 des fiches pratiques IA. Elles couvrent la base légale, la minimisation, la durée de conservation et l'AIPD spécifique IA. Les fiches sont accessibles sur cnil.fr/fr/les-fiches-pratiques-ia.

L'AI Office de la Commission européenne maintient un service desk officiel (ai-act-service-desk.ec.europa.eu). Il publie des FAQ, des avis et des modèles. Les questions remontées peuvent générer des clarifications utiles.

Le portail artificialintelligenceact.eu propose le texte consolidé du Règlement avec moteur de recherche article par article. C'est une référence pratique pour les renvois croisés.

6.2 Référentiels professionnels

Cigref — Guide AI Act de janvier 2025, perspective grandes entreprises mais adaptable
Numeum — Guide AI Act de mars 2025, perspective fournisseurs et ESN
France Num — Ressources PME sur la transformation numérique

6.3 Outils pratiques

Besoin	Outil recommandé	Source
Classification système	Arbre de décision Art. 6 + Annexe III	AI Act
Registre des systèmes IA	Template inspiré du registre Art. 30 RGPD	CNIL
AIPD IA	Modèle CNIL + extension IA	cnil.fr
Matrice risques	ISO/IEC 23894:2023	ISO
Documentation technique	Annexe IV AI Act	EUR-Lex

Le pillar AI Act PME France propose une vue d'ensemble des obligations PME.

Gagner du temps sur la documentation

regulia propose un pack documentaire prêt à l'emploi : politique IA, registre des systèmes, modèles d'AIPD spécifiques, grille d'évaluation fournisseur, matrice RACI DPO–RSSI. Tous les modèles sont alignés AI Act et ISO 42001.

Demander une démonstration

7. Sanctions et opportunités

L'arbitrage économique justifie l'investissement. Les sanctions financières sont significatives, mais la conformité ouvre aussi des opportunités commerciales.

7.1 Régime des sanctions

L'Article 99 du Règlement (UE) 2024/1689 distingue trois plafonds. Les amendes sont prononcées par les autorités nationales (en France, la CNIL et l'ARCEP coordonnent leur compétence).

Infraction	Plafond entreprise	Plafond PME (moindre des deux)	Référence
Pratiques interdites (Art. 5)	35 M€ ou 7 % CA mondial	Le plus bas des deux	Art. 99 §3
Non-respect autres obligations	15 M€ ou 3 % CA mondial	Le plus bas des deux	Art. 99 §4
Information erronée aux autorités	7,5 M€ ou 1 % CA mondial	Le plus bas des deux	Art. 99 §5

Pour le détail des sanctions et un calculateur, consultez l'article dédié AI Act sanctions PME.

7.2 Opportunités

La conformité produit des bénéfices au-delà de l'évitement du risque :

Confiance clients — Les grands comptes intègrent l'AI Act dans leurs questionnaires fournisseurs
Accès marchés réglementés — Santé, finance, secteur public exigent une démonstration de conformité
Avantage concurrentiel — La certification ISO 42001 est un différenciateur
Réduction des incidents — La gouvernance structurée diminue les incidents opérationnels IA
Capacité d'innovation — Un cadre clair facilite l'expérimentation maîtrisée

L'Article 57 du Règlement prévoit des bacs à sable réglementaires opérationnels au plus tard le 2 août 2026 dans chaque État membre. Les PME y bénéficient d'un accès prioritaire gratuit. En France, le dispositif sera coordonné par la CNIL et la DGE.

8. Appel à l'action pour les DPO et RSSI

Le compte à rebours est lancé. Trois actions concrètes peuvent être engagées dès cette semaine.

Action 1 — Lancer l'inventaire. Réunir une équipe DPO–RSSI–DSI–métier pour cartographier les systèmes d'IA utilisés. L'exercice révèle souvent 3 à 5 fois plus de systèmes que prévu (IA embarquée dans des SaaS, copilotes bureautiques, scoring fournisseurs).

Action 2 — Classer les systèmes selon l'AI Act. Utiliser l'arbre de décision Article 6 et l'Annexe III. Identifier d'éventuelles pratiques relevant de l'Article 5 (interdites). Cette classification conditionne l'effort à fournir.

Action 3 — Bâtir une feuille de route 2026. Définir un calendrier réaliste avec jalons mensuels. Identifier les ressources internes et les compétences à acquérir ou sous-traiter.

Trimestre 2026	Jalon	Livrable
Q1	Inventaire et classification	Cartographie + classification AI Act
Q2	Politique IA et registre	Politique validée + registre opérationnel
Q3	Adaptation systèmes haut risque	Documentation Annexe IV pour systèmes critiques
Q4	Audit interne et revue	Rapport audit + plan 2027

La consultation des sources officielles regulia permet de suivre les évolutions réglementaires en continu.

FAQ

Quelles sont les sanctions pour non-conformité à l'AI Act pour les PME ?

L'Article 99 prévoit trois plafonds : jusqu'à 35 M€ ou 7 % du chiffre d'affaires mondial pour les pratiques interdites de l'Article 5, jusqu'à 15 M€ ou 3 % pour les autres manquements (notamment systèmes à haut risque), et jusqu'à 7,5 M€ ou 1 % pour les informations erronées aux autorités. Pour les PME, le Règlement précise que le montant retenu est le plus bas des deux. Les sanctions doivent rester effectives, proportionnées et dissuasives.

Comment ISO 42001 aide-t-il les PME à se conformer à l'AI Act ?

ISO 42001 fournit la structure de management (politique, rôles, procédures, audits) qui rend les exigences AI Act opérationnelles. Les chapitres §6 à §10 et les annexes A et B couvrent gestion des risques, gouvernance des données, documentation, surveillance humaine et amélioration continue. Cette norme n'est pas obligatoire, mais elle prépare efficacement la conformité réglementaire. Une présomption de conformité existera quand les normes européennes harmonisées seront publiées au JOUE.

Quel est le rôle du DPO dans la conformité à l'AI Act ?

Le DPO assure la cohérence entre RGPD et AI Act. Il valide les AIPD pour les systèmes IA traitant des données personnelles (Article 26 §9), conseille sur les bases légales, informe les personnes concernées et gère les demandes d'exercice de droits. Il n'est pas systématiquement le pilote AI Act, mais il contribue à la gouvernance des risques et au lien avec les autorités. Dans une PME, il peut cumuler le rôle d'AI Lead avec celui de DPO.

Quelles sont les étapes pour mettre en œuvre ISO 42001 en 2026 ?

Quatre étapes : (1) audit initial et cartographie des systèmes d'IA, (2) mise en place de l'AIMS (politique, comité, registre, procédures), (3) formation du personnel à la littératie IA (Article 4 AI Act), (4) audit interne et revue de direction. Comptez 6 à 12 mois pour une PME selon la maturité initiale et le nombre de systèmes concernés. Les guides Cigref et Numeum proposent des trames opérationnelles adaptables.

Où puis-je trouver des ressources pour aider ma PME à se conformer ?

Les fiches pratiques IA de la CNIL (cnil.fr/fr/les-fiches-pratiques-ia) couvrent les volets RGPD-IA. Le service desk de la Commission européenne (ai-act-service-desk.ec.europa.eu) répond aux questions d'interprétation. Le texte consolidé est disponible sur artificialintelligenceact.eu et la version officielle sur eur-lex.europa.eu. Les articles regulia sur l'AI Act pour les PME et les sanctions AI Act approfondissent les obligations spécifiques.

Sources officielles

Règlement (UE) 2024/1689 — version consolidée EUR-Lex
Texte consolidé annoté — AI Act Portal
Fiches pratiques IA — CNIL
AI Act Service Desk — Commission européenne
ISO/IEC 42001:2023 — Information technology — Artificial intelligence — Management system
ISO/IEC 23894:2023 — Information technology — Artificial intelligence — Guidance on risk management
ISO/IEC 27001:2022 — Information security management systems
Cigref — Guide AI Act, janvier 2025
Numeum — Guide AI Act, mars 2025

Disclaimer — Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.