TL;DR — L'essentiel en 30 secondes
- L'Article 6 du Règlement (UE) 2024/1689 définit les systèmes d'IA à haut risque soumis à des obligations renforcées.
- L'Article 9 impose un système de gestion des risques continu, documenté et mis à jour tout au long du cycle de vie.
- L'Article 10 exige une gouvernance des données et une atténuation systématique des biais.
- Les sanctions atteignent 35 M€ ou 7 % du chiffre d'affaires mondial (Article 99, ex-Article 63 du projet).
- Le service desk européen (ai-act-service-desk.ec.europa.eu) accompagne les PME dans la mise en conformité.
- Pour le contexte global : consultez notre guide pillar AI Act et PME françaises.
1. Comprendre l'obligation légale
L'EU AI Act (Règlement (UE) 2024/1689) classe les systèmes d'IA en quatre catégories de risque : inacceptable, élevé, limité, minimal. La modélisation des risques concerne principalement la catégorie « haut risque », définie à l'Article 6 du Règlement (UE) 2024/1689.
1.1 Systèmes d'IA à haut risque : périmètre exact
L'Article 6 distingue deux sources de qualification « haut risque » :
- Les systèmes d'IA intégrés comme composants de sécurité dans les produits couverts par les législations harmonisées listées à l'Annexe I (dispositifs médicaux, machines, jouets, ascenseurs, etc.).
- Les systèmes d'IA listés à l'Annexe III du Règlement : biométrie, infrastructures critiques, éducation, emploi (notamment recrutement), accès aux services essentiels, application de la loi, migration, administration de la justice et processus démocratiques.
Une PME française qui déploie un logiciel de tri de CV, un outil d'évaluation des candidats, ou un système de scoring de crédit tombe directement dans l'Annexe III.
1.2 Exigence d'évaluation des risques
L'Art. 9 impose aux fournisseurs « un système de gestion des risques » qui doit être « un processus itératif continu planifié et exécuté pendant tout le cycle de vie d'un système d'IA à haut risque ». Ce n'est pas une formalité ponctuelle.
1.3 Conséquences en cas de non-conformité
L'Article 99 du Règlement prévoit trois plafonds de sanctions :
| Type d'infraction | Plafond | Base légale |
|---|---|---|
| Pratiques interdites (Article 5) | 35 M€ ou 7 % du CA mondial | Art. 99 §3 |
| Non-respect des obligations (Articles 9, 10, etc.) | 15 M€ ou 3 % du CA mondial | Art. 99 §4 |
| Informations fausses ou trompeuses aux autorités | 7,5 M€ ou 1 % du CA mondial | Art. 99 §5 |
Pour une PME, l'Article 99 §6 précise que c'est le montant le plus bas entre la somme fixe et le pourcentage qui s'applique. Ce détail change l'exposition financière réelle. Pour le détail complet, voir notre article dédié aux sanctions AI Act pour PME.
Votre système d'IA est-il classé à haut risque ?
regulia propose un diagnostic structuré pour qualifier votre système au sens de l'Article 6 et de l'Annexe III, et identifier vos obligations exactes.
Demander un diagnostic2. Étape 1 : Identifier les risques
L'identification est la première brique du système exigé par l'Art. 9 §2. Elle doit couvrir trois dimensions distinctes.
2.1 Risques pour les droits fondamentaux
Le considérant 27 du Règlement (UE) 2024/1689 rappelle que l'IA peut porter atteinte à : dignité humaine, vie privée, protection des données, non-discrimination, égalité hommes-femmes, liberté d'expression. L'analyse doit être documentée par cas d'usage.
Pour les déployeurs d'IA à haut risque listés à l'Annexe III utilisant des autorités publiques ou agissant en leur nom, l'Article 27 impose une analyse d'impact sur les droits fondamentaux (FRIA — Fundamental Rights Impact Assessment) avant le premier usage.
2.2 Risques pour la santé et la sécurité
L'Art. 9 §2(a) demande une « identification et analyse des risques connus et raisonnablement prévisibles ». Pour une PME, cela signifie cartographier :
- Les utilisateurs finaux exposés (clients, salariés, tiers).
- Les scénarios d'usage normal et de mauvaise utilisation raisonnablement prévisible (Art. 9 §2(b)).
- Les conséquences corporelles, psychologiques ou matérielles possibles.
2.3 Vulnérabilités techniques
Les risques techniques relèvent principalement de :
- Biais dans les données d'entraînement (Art. 10 §2).
- Robustesse face aux attaques adversariales (Article 15).
- Cybersécurité et intégrité (Art. 15 §5).
- Précision et reproductibilité des sorties.
3. Étape 2 : Évaluer les risques
L'évaluation transforme les risques identifiés en grandeurs comparables. La méthode n'est pas imposée par le Règlement, mais la norme ISO/IEC 23894:2023 (Risk management for AI) est la référence sectorielle. Elle s'articule avec ISO/IEC 42001:2023 (système de management de l'IA) et ISO 31000 (gestion des risques générique).
3.1 Quantification probabilité × gravité
La matrice 5×5 est l'approche la plus utilisée :
| Gravité \ Probabilité | Très improbable | Improbable | Possible | Probable | Quasi-certain |
|---|---|---|---|---|---|
| Catastrophique | Modéré | Élevé | Critique | Critique | Critique |
| Majeur | Faible | Modéré | Élevé | Critique | Critique |
| Modéré | Faible | Modéré | Modéré | Élevé | Élevé |
| Mineur | Très faible | Faible | Modéré | Modéré | Élevé |
| Négligeable | Très faible | Très faible | Faible | Faible | Modéré |
3.2 Comparaison avec les exigences de l'Art. 10
L'Art. 10 §2 demande spécifiquement de vérifier les données d'entraînement, validation et test pour : pertinence, représentativité, absence d'erreurs, complétude, propriétés statistiques appropriées. Tout écart constitue un risque à formaliser dans l'évaluation.
3.3 Traçabilité et documentation
L'Annexe IV §2(g) du Règlement exige une documentation technique détaillant « les mesures de gestion des risques prises et leur justification ». Sans documentation, l'évaluation est juridiquement inopposable lors d'un audit.
4. Étape 3 : Atténuer les risques
L'Art. 9 §3 impose des mesures de gestion qui « tiennent compte des effets et de l'interaction possibles » entre les exigences applicables.
4.1 Mesures techniques
| Mesure | Référence légale | Bénéfice attendu |
|---|---|---|
| Tests de biais sur jeux de données | Art. 10 §2(f) | Réduction discrimination |
| Chiffrement des données sensibles | Art. 15 §5 | Cybersécurité renforcée |
| Journalisation automatique | Article 12 | Traçabilité ex-post |
| Mécanismes de contrôle humain | Article 14 | Réversibilité des décisions |
| Validation croisée des modèles | Art. 15 §1 | Précision et robustesse |
4.2 Mesures organisationnelles
L'Art. 9 §5 exige que les risques résiduels soient « jugés acceptables ». Cela implique des décisions humaines documentées :
- Formation des opérateurs (Art. 14 §4).
- Procédures de signalement d'incident (Article 73).
- Désignation d'un référent IA interne.
- Revue annuelle minimale du système de gestion des risques.
- Définition d'indicateurs de surveillance post-commercialisation (Article 72).
4.3 Vérification d'efficacité
L'Art. 9 §6 impose que « les mesures de gestion des risques soient telles que tout risque résiduel pertinent associé à chaque danger ainsi que le risque résiduel global […] sont jugés acceptables ». La vérification s'appuie sur des tests itératifs avant mise sur le marché (Art. 9 §8).
Construire un système de gestion des risques conforme
Le pack regulia « Risk Management AI Act » fournit registre des risques, matrices d'évaluation, et procédures alignées sur ISO/IEC 23894:2023 et ISO/IEC 42001:2023.
Recevoir le pack documentaire5. Documentation et traçabilité
La documentation technique est l'élément central exigé par l'Article 11 et détaillé à l'Annexe IV du Règlement.
5.1 Registre des risques
Le registre n'est pas nommé explicitement dans le texte, mais découle de l'obligation de tenue d'une documentation technique « tenue à jour » (Art. 11 §1). Un registre minimal comporte :
| Champ | Contenu attendu |
|---|---|
| Identifiant risque | Code unique traçable |
| Source | Données, modèle, déploiement, utilisation |
| Description | Scénario factuel |
| Probabilité × gravité | Score initial |
| Mesure d'atténuation | Technique + organisationnelle |
| Risque résiduel | Score post-mesure |
| Propriétaire | Nom + fonction |
| Date de revue | Cycle annuel minimum |
5.2 Mise à jour régulière
L'Art. 9 §2 qualifie le processus de « itératif continu ». En pratique, une PME doit réviser :
- À chaque changement substantiel du système (Article 43 §4).
- À chaque incident grave (obligation de notification sous 15 jours, Art. 73 §2).
- A minima annuellement.
5.3 Préparation aux audits
Les autorités nationales (en France, la CNIL et les autorités sectorielles désignées) peuvent demander accès à la documentation technique au titre de l'Article 21. Le délai de réponse est généralement court — la documentation doit être prête, pas reconstituée a posteriori.
6. Outils et ressources
| Ressource | Usage | Lien |
|---|---|---|
| Service desk européen | Questions techniques sur l'AI Act | ai-act-service-desk.ec.europa.eu |
| Fiches pratiques CNIL | Recommandations RGPD-IA | cnil.fr |
| Texte consolidé | Lecture intégrale du Règlement | eur-lex.europa.eu |
| Guide pillar regulia | Vue d'ensemble PME | /ai-act-pme-france/ |
| Glossaire regulia | Définitions juridiques | /glossaire.html |
| Sources regulia | Bibliographie officielle | /sources.html |
7. Exemples concrets pour les PME
7.1 Logiciel de recrutement IA
Une PME de 80 salariés utilise un outil de tri automatique de CV. L'Annexe III §4(a) qualifie ces outils de haut risque (« systèmes destinés à être utilisés pour le recrutement ou la sélection »).
| Risque identifié | Probabilité | Gravité | Mesure d'atténuation |
|---|---|---|---|
| Biais de genre dans le tri | Probable | Majeur | Audit du jeu d'entraînement + test de parité |
| Décision opaque pour le candidat | Quasi-certain | Modéré | Information préalable (RGPD Art. 13) + recours humain |
| Discrimination indirecte par adresse | Possible | Majeur | Suppression des variables proxy |
7.2 Système de surveillance vidéo
Un système d'identification biométrique à distance dans un espace accessible au public relève de l'Article 5 §1(h) — pratique interdite sauf exception strictement encadrée. Avant tout déploiement, vérifier que l'usage ne tombe pas dans le périmètre prohibé.
7.3 Algorithme de prédiction de crédit
Annexe III §5(b) : les systèmes d'évaluation de la solvabilité des personnes physiques sont à haut risque. Une PME fintech doit documenter :
- Le scoring exact appliqué et ses pondérations.
- L'absence de discrimination (Art. 10 §2(f) + (g)).
- Le droit du sujet à obtenir une intervention humaine (Art. 14).
- La supervision continue post-commercialisation (Art. 72).
8. Étape finale : Vérification et suivi
8.1 Tests réguliers
L'Art. 9 §8 exige des essais « préalablement à sa mise sur le marché ou à sa mise en service ». L'Art. 9 §7 ajoute que les essais doivent confirmer que le système fonctionne « conformément à sa destination ».
8.2 Audit interne ou externe
L'Article 43 décrit la procédure d'évaluation de la conformité. Selon la catégorie de l'Annexe III, l'évaluation est soit interne (auto-évaluation), soit avec intervention d'un organisme notifié. Le marquage CE et la déclaration UE de conformité (Article 47) clôturent la procédure.
8.3 Mise à jour en cas de changement
Une modification substantielle (Article 43 §4) — changement de finalité, de données d'entraînement, de performance — déclenche une nouvelle évaluation de conformité. La PME doit donc tracer chaque évolution majeure du système.
9. Calendrier de mise en conformité
| Échéance | Obligation | Base légale |
|---|---|---|
| 2 février 2025 | Interdictions (Article 5) applicables | Art. 113 §a |
| 2 août 2025 | Règles GPAI + gouvernance + sanctions | Art. 113 §b |
| 2 août 2026 | Pleine application aux systèmes haut risque Annexe III | Art. 113 |
| 2 août 2027 | Systèmes haut risque Annexe I (produits régulés) | Art. 113 §c |
Pour une PME, la fenêtre de mise en conformité « gestion des risques » doit être achevée avant le 2 août 2026 au plus tard pour les usages Annexe III.
FAQ
Quels sont les systèmes d'IA concernés par l'AI Act pour les PME ?
Les systèmes à haut risque définis à l'Art. 6 et listés à l'Annexe III du Règlement (UE) 2024/1689 : recrutement, scoring de crédit, accès à l'éducation, biométrie, gestion d'infrastructures critiques, services essentiels. Une PME peut être concernée à deux titres : comme fournisseur ou comme déployeur. Le catalogue officiel se trouve sur eur-lex.europa.eu.
Quelles sont les sanctions pour non-conformité ?
L'Article 99 prévoit trois niveaux : 35 M€ ou 7 % du CA mondial pour les pratiques interdites (Art. 5), 15 M€ ou 3 % pour les manquements aux obligations (dont Art. 9 et 10), 7,5 M€ ou 1 % pour les informations trompeuses. L'Art. 99 §6 prévoit que pour une PME, le montant le plus bas entre la somme fixe et le pourcentage s'applique. Pour le détail, voir notre article Sanctions AI Act pour PME.
Comment identifier les risques pour ma PME ?
Commencez par cartographier les systèmes d'IA en place ou en projet, puis appliquez la grille Art. 6 / Annexe III pour qualifier le niveau de risque. Pour les systèmes à haut risque, déclinez l'analyse selon trois axes : droits fondamentaux, santé/sécurité, vulnérabilités techniques. La méthodologie ISO/IEC 23894:2023 propose un cadre opérationnel. Le service desk européen (ai-act-service-desk.ec.europa.eu) répond aux questions ciblées.
Quelles sont les meilleures pratiques pour atténuer les risques ?
Combinez mesures techniques (tests de biais, journalisation, chiffrement, contrôle humain) et mesures organisationnelles (formation, procédures d'incident, référent IA). Toute mesure doit être documentée dans un registre des risques tenu à jour. La norme ISO/IEC 42001:2023 fournit un cadre de système de management adapté.
Où trouver des ressources pour m'aider ?
Le guide pillar regulia (/ai-act-pme-france/) donne la vue d'ensemble. Le glossaire regulia clarifie les termes juridiques. Les sources officielles renvoient à EUR-Lex, CNIL et au service desk européen. Pour la dimension RGPD, les 13 fiches pratiques CNIL sur l'IA sont incontournables.
Sources officielles
- Règlement (UE) 2024/1689 — texte consolidé EUR-Lex
- AI Act Service Desk — Commission européenne
- Texte intégral AI Act — artificialintelligenceact.eu
- Fiches pratiques IA — CNIL
- ISO/IEC 42001:2023 — Information technology — Artificial intelligence — Management system
- ISO/IEC 23894:2023 — Information technology — Artificial intelligence — Guidance on risk management
- ISO/IEC 27001:2022 — Information security management systems
Sécurisez votre conformité AI Act avant l'échéance d'août 2026
Pack documentaire regulia : registre des risques, matrices d'évaluation, procédures d'atténuation et modèles de documentation technique alignés Article 11 et Annexe IV.
Demander le pack documentaireCet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.