TL;DR
L'essentiel en 30 secondes
- Amendes jusqu'à 7 % du chiffre d'affaires mondial annuel (Article 99 du Règlement (UE) 2024/1689)
- Une majorité de PME utilisent des systèmes d'IA sans cartographie ni documentation formalisée [à vérifier]
- Risque de rupture de contrats B2B avec des donneurs d'ordre exigeant la conformité
- Documentation technique obligatoire pour les systèmes à haut risque (Article 11)
- L'AI Act s'applique conjointement au RGPD : double exposition CNIL + AI Office
- ISO/IEC 42001:2023 fournit un cadre opérationnel pour structurer la conformité
La non-conformité au Règlement (UE) 2024/1689 (« AI Act ») n'est pas un risque théorique. Pour une PME française de 10 à 250 salariés, l'absence de cartographie, de classification des risques et de documentation expose à des sanctions financières lourdes, des ruptures commerciales et des contentieux. Cet article détaille les risques réels — chiffrés, sourcés, datés — auxquels une PME s'expose dès l'entrée en application complète du règlement, et donne les étapes concrètes pour s'y préparer.
1. Les sanctions financières : chiffres et exemples
L'AI Act fixe trois paliers d'amendes administratives à l'Article 99 du Règlement (UE) 2024/1689. Le plafond le plus élevé concerne la violation de l'Article 5 (pratiques interdites) : jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial annuel total de l'exercice précédent, le montant le plus élevé étant retenu.
Pour les autres violations (obligations des fournisseurs et déployeurs de systèmes à haut risque, Articles 16 à 27), le plafond est de 15 millions d'euros ou 3 % du chiffre d'affaires mondial. Pour la fourniture d'informations inexactes aux autorités, le plafond descend à 7,5 millions d'euros ou 1 % du chiffre d'affaires.
Le considérant 148 et l'Article 99 paragraphe 6 prévoient que pour les PME — y compris les jeunes entreprises — c'est le pourcentage ou le montant fixe le plus bas qui s'applique. Cette disposition modère le risque, mais ne le supprime pas.
| Violation | Plafond fixe | Plafond % CA | Article AI Act |
|---|---|---|---|
| Pratiques interdites (Article 5) | 35 M€ | 7 % CA mondial | Art. 99 §3 |
| Obligations haut risque, transparence GPAI | 15 M€ | 3 % CA mondial | Art. 99 §4 |
| Informations inexactes aux autorités | 7,5 M€ | 1 % CA mondial | Art. 99 §5 |
Exemple concret. Une PME française réalisant 5 millions d'euros de chiffre d'affaires annuel et déployant un système de scoring de candidats non conforme au régime haut risque s'expose, en application de l'Art. 99 §4 et §6, à une amende plafonnée au plus bas des deux montants, soit 3 % de 5 M€ = 150 000 euros. Si la même PME opérait un système relevant des pratiques interdites de l'Article 5, le plafond passerait à 7 % du CA mondial, soit 350 000 euros.
À cela s'ajoutent des astreintes en cas de non-respect des délais de rectification fixés par l'autorité de surveillance du marché — en France, la coordination est assurée par la DGCCRF, la CNIL pour les usages biométriques, et l'ANSSI pour la cybersécurité [à vérifier].
Pour le détail du barème et un calculateur, voir notre article dédié aux sanctions.
2. Impact sur les partenariats et clients
Le risque financier direct n'est pas le seul. La non-conformité érode la chaîne de valeur B2B.
Rupture de contrats. L'Article 25 de l'AI Act introduit la notion de chaîne de responsabilité : un déployeur (la grande entreprise cliente) doit s'assurer que les systèmes d'IA qu'il intègre dans ses processus sont conformes. Si une PME fournit une brique IA non conforme — chatbot, moteur de recommandation, outil de scoring — elle devient un risque pour son client, qui peut résilier ou refuser de renouveler.
Sélection des fournisseurs. Depuis 2024, les directions achats des grands comptes intègrent des clauses « AI Act compliance » dans leurs appels d'offres et due diligence. Une PME sans politique de gestion des risques IA, sans documentation technique (Article 11) et sans système de management ISO/IEC 42001 voit ses chances d'être retenue chuter.
Risque réputationnel. Une publication par une autorité de surveillance d'une décision de sanction est publique. Dans les secteurs sensibles (santé, finance, RH), une simple mention dans un registre public ou un média spécialisé suffit à perdre la confiance de prospects et de partenaires.
| Acteur impacté | Conséquence directe | Probabilité |
|---|---|---|
| Grand compte client | Résiliation de contrat, exclusion d'appels d'offres | Élevée |
| Partenaire intégrateur | Refus de référencement marketplace | Moyenne |
| Investisseur, banque | Réévaluation du risque de financement | Moyenne |
| Salariés et candidats | Perte d'attractivité employeur | Faible à moyenne |
Cartographiez vos risques AI Act en 15 minutes
Demandez un audit gratuit de vos systèmes d'IA pour identifier votre niveau d'exposition et les actions prioritaires à mener avant l'entrée en application complète du règlement.
Demander mon audit gratuit3. Obligations de documentation et transparence
L'AI Act impose une charge documentaire structurée, notamment pour les systèmes classés à haut risque listés à l'Annexe III (recrutement, accès au crédit, services publics essentiels, etc.).
Documentation technique (Article 11 et Annexe IV). Avant la mise sur le marché, le fournisseur doit produire une documentation technique couvrant : description générale du système, conception, processus de développement, surveillance, mesures de gestion des risques, données d'entraînement, performance, et système de gestion de la qualité.
Tenue de journaux (Article 12). Les systèmes haut risque doivent enregistrer automatiquement des logs permettant la traçabilité des décisions sur toute leur durée de vie. Cette exigence va au-delà des durées de conservation RGPD habituelles.
Information des utilisateurs (Article 13). Le système doit être conçu pour que le déployeur comprenne ses sorties et puisse les utiliser de manière appropriée. Les notices d'utilisation deviennent un livrable réglementaire.
Transparence vis-à-vis des personnes (Article 50). Les systèmes interagissant avec des personnes physiques (chatbots), produisant du contenu synthétique (deepfakes) ou réalisant de la reconnaissance d'émotions doivent informer les personnes concernées. Cette obligation s'applique dès le 2 août 2026.
L'absence de documentation expose à un double risque : sanction administrative au titre de l'Article 99, et contentieux civils initiés par des utilisateurs finaux qui contesteraient une décision automatisée non explicable. Le glossaire complet des notions clés est disponible sur notre page dédiée.
4. Conformité avec le RGPD et ISO 42001
L'AI Act ne remplace pas le RGPD : les deux textes s'appliquent conjointement. Toute donnée personnelle traitée par un système d'IA reste soumise au Règlement (UE) 2016/679. La CNIL le rappelle dans ses 13 fiches pratiques IA publiées en 2024-2025.
Double base légale. Le déployeur doit identifier la base juridique RGPD (Article 6) et la conformité AI Act (classification de risque, obligations associées). Une analyse d'impact relative à la protection des données (AIPD, Article 35 RGPD) sera dans la majorité des cas exigée pour les systèmes à haut risque.
ISO/IEC 42001:2023 comme cadre opérationnel. Cette norme, publiée fin 2023, définit le premier système de management de l'IA (AIMS — AI Management System). Elle suit la structure HLS commune à ISO 27001 et ISO 9001, et couvre la gouvernance, la gestion des risques, le cycle de vie, et l'amélioration continue. L'Article 17 de l'AI Act exige un système de gestion de la qualité pour les fournisseurs haut risque : ISO/IEC 42001 est, à date, le référentiel le plus aligné.
| Texte / norme | Champ | Statut PME |
|---|---|---|
| RGPD (UE) 2016/679 | Données personnelles | Obligatoire depuis 2018 |
| AI Act (UE) 2024/1689 | Systèmes d'IA | Application progressive 2025-2027 |
| ISO/IEC 42001:2023 | Management de l'IA | Volontaire, fortement recommandé |
| ISO/IEC 27001:2022 | Sécurité de l'information | Volontaire, prérequis sectoriel fréquent |
| ISO/IEC 23894:2023 | Gestion des risques IA | Volontaire, complément technique |
Pour un parcours d'implémentation détaillé, voir notre guide ISO 42001 pour PME.
5. Stratégie de préparation : étapes clés
La conformité ne s'improvise pas. Les PME qui réussissent leur mise en conformité suivent une démarche en cinq temps.
- Cartographier tous les systèmes d'IA utilisés. Cela inclut les outils SaaS embarquant de l'IA (CRM, ATS, support client), les modèles internes, les API tierces, et les usages « shadow IT » (ChatGPT, Copilot utilisés par les salariés sans cadrage).
- Classer chaque système. Risque inacceptable (Art. 5) → arrêt immédiat. Haut risque (Annexe III) → plan de mise en conformité complet. Risque limité (Art. 50) → obligations de transparence. Risque minimal → bonnes pratiques recommandées.
- Évaluer les écarts. Pour chaque système haut risque, comparer l'existant aux exigences des Articles 8 à 17 : gestion des risques, qualité des données, documentation, journalisation, transparence, supervision humaine, robustesse, qualité.
- Prioriser les actions. Combler d'abord les écarts les plus exposants (sanctions, contrats, RGPD), puis les écarts ISO 42001, puis les bonnes pratiques.
- Désigner un référent IA interne. L'AI Act n'impose pas formellement un « DPO IA », mais l'Article 26 §7 exige que le déployeur confie la supervision humaine à des personnes formées et compétentes.
Cette démarche s'inscrit naturellement dans le pillar AI Act PME France.
6. Exemples de secteurs à risque
Tous les usages ne se valent pas. L'Annexe III liste huit domaines où les systèmes d'IA sont automatiquement classés haut risque. Voici les trois plus fréquents en PME.
Recrutement et ressources humaines. Les systèmes d'IA utilisés pour le tri de CV, le scoring de candidats, l'analyse vidéo d'entretiens, ou la décision de promotion relèvent de l'Annexe III, point 4. Une PME de 80 salariés utilisant un ATS avec scoring automatique est concernée — même si l'éditeur de l'ATS porte une part de la responsabilité en tant que fournisseur.
Relation client et chatbots. Un chatbot relève le plus souvent du risque limité (Article 50) et impose d'informer l'utilisateur qu'il dialogue avec une IA. Mais si le chatbot conditionne l'accès à un service essentiel (crédit, assurance, soins), il bascule en haut risque (Annexe III, points 5 et 6).
Profilage et analyse de données clients. Le scoring marketing pur ne relève pas systématiquement du haut risque AI Act, mais le RGPD impose son cadre : Article 22 (décision automatisée), Article 35 (AIPD), bases légales. La double conformité est la règle.
| Usage en PME | Classification AI Act | Obligations clés |
|---|---|---|
| Tri de CV automatisé | Haut risque (Annexe III §4) | Art. 9 à 17, supervision humaine |
| Chatbot SAV générique | Risque limité (Art. 50) | Information, marquage des contenus IA |
| Scoring de crédit interne | Haut risque (Annexe III §5) | Documentation, journalisation, AIPD |
| Reconnaissance d'émotions au travail | Interdit (Art. 5 §1 f) | Arrêt immédiat de l'usage |
| Génération de contenu marketing | Risque minimal | Bonnes pratiques, marquage selon Art. 50 |
Le tableau précédent ne dispense pas d'une qualification au cas par cas. La nuance dépend de la finalité, du contexte d'usage, et du caractère essentiel ou non du service rendu.
7. Ressources et support disponibles
Plusieurs ressources officielles aident les PME à se structurer.
- AI Act Service Desk de la Commission européenne : ai-act-service-desk.ec.europa.eu — point d'entrée pour les questions d'interprétation.
- CNIL : 13 fiches pratiques IA, recommandations sur l'articulation RGPD/AI Act, modèles de registres.
- artificialintelligenceact.eu : version consolidée du règlement avec navigation par article et considérant.
- EUR-Lex : version officielle multilingue du Règlement (UE) 2024/1689.
- Cigref : guide AI Act publié en janvier 2025 [à vérifier], orienté grandes entreprises mais utilisable comme référence par les PME.
- Numeum : guide AI Act mars 2025 [à vérifier], focalisé éditeurs de logiciels et ESN.
- Régulateurs sectoriels : ACPR (banque-assurance), ANSM (santé), ARCEP, ARCOM, DGCCRF — selon le secteur d'activité.
Notre page sources regroupe l'ensemble des références officielles à jour.
8. Délais et calendrier 2026
L'AI Act est entré en vigueur le 1er août 2024, mais son application est échelonnée.
| Date | Disposition applicable | Article |
|---|---|---|
| 2 février 2025 | Pratiques interdites (Article 5), obligations de littératie IA (Article 4) | Art. 113 a) |
| 2 août 2025 | GPAI, gouvernance, sanctions, autorités notifiées | Art. 113 b) |
| 2 août 2026 | Régime complet haut risque (Annexe III), transparence (Art. 50) | Art. 113 |
| 2 août 2027 | Haut risque produits réglementés (Annexe I) | Art. 113 c) |
Conséquence pratique. Une PME qui démarre sa mise en conformité au second semestre 2026 sera en retard sur les obligations entrées en vigueur en février et août 2025. Le calendrier réaliste de préparation se construit en remontant depuis le 2 août 2026 :
- 2024-2025 : cartographie, classification, audit des écarts.
- 2025-2026 : implémentation des mesures correctives, documentation technique, formation des équipes (Article 4 sur la littératie IA, applicable depuis février 2025).
- Avant 2 août 2026 : pour les systèmes haut risque, conclusion des évaluations de conformité (Article 43) et mise à jour de la déclaration UE de conformité (Article 47).
Sécurisez votre conformité avant le 2 août 2026
Le pack documentaire regulia couvre la cartographie, la classification, la documentation technique et les modèles ISO/IEC 42001. Téléchargez le sommaire et découvrez la structure adaptée aux PME.
Recevoir le pack documentaireFAQ
Quelles sont les sanctions pour une PME non conforme ?
Les sanctions sont prévues par l'Article 99 du Règlement (UE) 2024/1689. Elles atteignent 7 % du chiffre d'affaires mondial pour les pratiques interdites (Art. 5), 3 % pour les violations d'obligations haut risque, 1 % pour les informations inexactes. Pour une PME de 5 M€ de CA, le plafond peut atteindre 350 000 euros sur le palier le plus élevé. L'Article 99 §6 prévoit que pour les PME, c'est le montant le plus bas entre le plafond fixe et le pourcentage qui s'applique. Des astreintes pour non-respect des délais de rectification s'ajoutent, ainsi que d'éventuelles mesures de retrait du marché.
Comment savoir si mon système d'IA est concerné ?
Tout système répondant à la définition de l'Article 3 §1 (système basé sur une machine, autonome, qui infère à partir d'entrées) entre dans le champ. La classification dépend ensuite de l'usage : interdit (Art. 5), haut risque (Annexe III ou Annexe I), risque limité (Art. 50), ou risque minimal. Vérifiez si votre système traite des données personnelles, prend ou prépare des décisions affectant des personnes, ou interagit directement avec des utilisateurs. Consultez les fiches CNIL ou utilisez l'outil d'évaluation disponible sur /ai-act-pme-france/.
Puis-je utiliser des outils d'IA sans certification ?
Oui, dans la majorité des cas. La « certification » au sens d'évaluation par tiers (organisme notifié) ne concerne qu'une partie des systèmes haut risque listés à l'Annexe I. Pour les systèmes Annexe III, l'évaluation de conformité est généralement réalisée en interne par le fournisseur (Article 43). Les outils à risque limité (chatbots) doivent respecter la transparence (Art. 50). Les outils à risque minimal sont libres, sous réserve de bonnes pratiques. Le classement détaillé par usage est disponible sur artificialintelligenceact.eu.
Quel est le délai pour se conformer ?
Le calendrier est échelonné. Les pratiques interdites (Art. 5) et les obligations de littératie IA (Art. 4) s'appliquent depuis le 2 février 2025. Les obligations GPAI et la gouvernance s'appliquent depuis le 2 août 2025. Le régime complet haut risque (Annexe III) et la transparence (Art. 50) s'appliquent à partir du 2 août 2026. Les systèmes haut risque liés aux produits réglementés (Annexe I) sont concernés à compter du 2 août 2027. Une PME doit donc viser un audit complet d'ici fin 2025 et la mise en place des mesures correctives avant le 2 août 2026.
Où trouver de l'aide pour la mise en conformité ?
Plusieurs ressources sont mobilisables. L'AI Act Service Desk de la Commission européenne (ai-act-service-desk.ec.europa.eu) répond aux questions d'interprétation. La CNIL publie des fiches pratiques IA gratuites. Les guides Cigref et Numeum apportent un éclairage opérationnel. Pour une démarche structurée, ISO/IEC 42001:2023 fournit un cadre de management de l'IA aligné sur les exigences AI Act. regulia propose un audit gratuit en ligne et un pack documentaire sur /ai-act-pme-france/.
Sources officielles
- Règlement (UE) 2024/1689 — version officielle EUR-Lex
- AI Act consolidé — artificialintelligenceact.eu
- AI Act Service Desk — Commission européenne
- CNIL — Fiches pratiques IA
- ISO/IEC 42001:2023 — Information technology — Artificial intelligence — Management system
- ISO/IEC 23894:2023 — Artificial intelligence — Guidance on risk management
- ISO/IEC 27001:2022 — Information security management systems
Disclaimer. Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.