TL;DR
L'essentiel en 30 secondes
- L'AI Act (Règlement (UE) 2024/1689) est entré en vigueur le 1er août 2024, avec un calendrier d'application progressif.
- À partir du 2 août 2026, les obligations principales pour les systèmes d'IA à haut risque (Annexe III) s'appliquent à toutes les entreprises, y compris les PME.
- Les sanctions vont jusqu'à 35 M€ ou 7 % du chiffre d'affaires mondial pour les pratiques interdites (Art. 99 du Règlement (UE) 2024/1689).
- Les obligations clés en 2026 : documentation technique, surveillance humaine, transparence, gestion des risques, journalisation.
- Les PME bénéficient d'un accompagnement renforcé (Art. 62 et 63), mais pas d'exonération.
- Un audit de conformité dès maintenant évite les sanctions et sécurise les contrats clients.
1. Contexte : un AI Act en vigueur depuis le 1er août 2024
Le Règlement (UE) 2024/1689, dit AI Act, a été publié au Journal officiel de l'Union européenne le 12 juillet 2024. Il est entré en vigueur le 1er août 2024. Son application complète s'étale sur 36 mois.
Ce règlement encadre la mise sur le marché, la mise en service et l'utilisation des systèmes d'intelligence artificielle dans l'Union européenne. Il distingue quatre niveaux de risque : risque inacceptable (interdit), haut risque, risque limité (obligations de transparence), et risque minimal (libre).
1.1 Calendrier d'application
| Date | Obligation activée | Base juridique |
|---|---|---|
| 2 février 2025 | Pratiques interdites (Art. 5) + culture IA des équipes (Art. 4) | Art. 113 |
| 2 août 2025 | Modèles d'IA à usage général (GPAI), gouvernance, sanctions | Art. 113 |
| 2 août 2026 | Systèmes à haut risque Annexe III (RH, crédit, éducation, etc.) | Art. 113 |
| 2 août 2027 | Systèmes à haut risque intégrés à des produits réglementés (Annexe I) | Art. 113 |
1.2 Ce que cela change pour une PME française
L'AI Act ne distingue pas la taille de l'entreprise pour les obligations matérielles. Une PME de 30 salariés qui déploie un outil de scoring de candidats est soumise aux mêmes exigences qu'un grand groupe. Le règlement prévoit cependant un accompagnement renforcé pour les PME et start-ups (Art. 62 et 63) : accès prioritaire aux bacs à sable réglementaires, documentation simplifiée, points de contact dédiés.
Pour une vue d'ensemble adaptée aux PME françaises, consultez notre guide complet AI Act PME.
2. Obligations clés à mettre en œuvre d'ici août 2026
Le 2 août 2026 est la date pivot pour la grande majorité des PME. À cette échéance, tout système d'IA classé à haut risque selon l'Annexe III du règlement doit être pleinement conforme.
2.1 Documentation technique (Art. 11 et Annexe IV)
Chaque système à haut risque doit disposer d'une documentation technique tenue à jour. Elle décrit le système, ses finalités, son architecture, ses données d'entraînement, ses indicateurs de performance et ses limites connues.
Cette documentation doit être disponible avant la mise sur le marché et conservée pendant 10 ans après la mise en service (Art. 18).
2.2 Système de gestion des risques (Art. 9)
Un processus continu, documenté, qui identifie les risques prévisibles, les évalue, les atténue et les surveille tout au long du cycle de vie du système. Ce processus n'est pas une formalité ponctuelle : il doit être itératif.
2.3 Gouvernance des données (Art. 10)
Les jeux d'entraînement, de validation et de test doivent répondre à des critères de qualité : pertinence, représentativité, absence d'erreurs, prise en compte des biais. Les pratiques de collecte doivent être documentées.
2.4 Surveillance humaine (Art. 14)
Le système doit être conçu pour permettre à un humain de comprendre, superviser et, si nécessaire, interrompre son fonctionnement. La supervision n'est pas symbolique : l'opérateur humain doit disposer des moyens techniques et de la formation pour exercer un contrôle effectif.
2.5 Transparence et information des utilisateurs (Art. 13 et 50)
Les utilisateurs doivent savoir qu'ils interagissent avec un système d'IA. Pour les systèmes à haut risque, une notice d'instructions claire doit accompagner le déploiement. Pour les chatbots et les systèmes génératifs, l'utilisateur final doit être informé.
2.6 Journalisation et traçabilité (Art. 12)
Les systèmes à haut risque doivent enregistrer automatiquement leurs événements (logs) pendant leur fonctionnement, afin de permettre une traçabilité et une enquête en cas d'incident.
2.7 Robustesse, précision, cybersécurité (Art. 15)
Niveau approprié de précision, de robustesse face aux erreurs et aux attaques, et de cybersécurité — démontré par des tests documentés.
2.8 Enregistrement dans la base de données européenne (Art. 49 et 71)
Les fournisseurs de systèmes à haut risque doivent enregistrer leurs systèmes dans la base de données publique de l'Union européenne avant leur mise sur le marché. Cette base est gérée par la Commission et accessible publiquement [à vérifier sur le calendrier exact de mise en service opérationnelle].
Évaluez votre exposition en 15 minutes
Un diagnostic structuré vous permet de savoir si vos outils d'IA sont concernés par les obligations 2026. Recevez une analyse personnalisée de vos systèmes et de votre calendrier de mise en conformité.
Demander un diagnostic AI Act3. Exemples concrets de systèmes concernés dans une PME
Voici les usages les plus fréquents dans une PME française qui basculent en haut risque selon l'Annexe III du règlement.
| Cas d'usage PME | Catégorisation AI Act | Annexe III, point |
|---|---|---|
| Tri automatisé de CV, scoring de candidats | Haut risque — emploi | Point 4 (a) |
| Évaluation de performance, décisions de promotion | Haut risque — emploi | Point 4 (b) |
| Scoring de crédit client, octroi de financement BtoB/BtoC | Haut risque — accès aux services essentiels | Point 5 (b) |
| Tarification dynamique d'assurance santé/vie | Haut risque — accès aux services essentiels | Point 5 (c) |
| Surveillance émotionnelle au travail (analyse de tonalité) | Pratique interdite | Art. 5(1)(f) |
| Chatbot relation client (sans décision automatisée) | Risque limité — obligation de transparence | Art. 50 |
| Outil de recommandation produit e-commerce | Risque minimal | Aucune obligation matérielle |
3.1 Cas n°1 — Recrutement assisté par IA
Une PME industrielle qui utilise un logiciel de tri automatique de candidatures est déployeur d'un système à haut risque (Annexe III, point 4). Elle doit : conserver les journaux du système, suivre la notice du fournisseur, garantir une supervision humaine effective, informer les candidats concernés (Art. 26).
3.2 Cas n°2 — Scoring de crédit client
Une PME du secteur du financement spécialisé qui automatise l'évaluation de la solvabilité d'un client particulier déploie un système à haut risque. L'évaluation d'impact sur les droits fondamentaux (FRIA) prévue à l'Art. 27 lui est applicable si elle agit en tant qu'autorité publique ou pour le compte d'un service public.
3.3 Cas n°3 — CRM avec scoring commercial
Si le système se contente de prioriser des leads pour les commerciaux sans produire d'effet juridique ou comparable sur une personne physique, il sort généralement du périmètre à haut risque. Une analyse au cas par cas reste nécessaire.
3.4 Cas n°4 — Surveillance des salariés
L'analyse des émotions des salariés est désormais interdite par l'Art. 5(1)(f) depuis le 2 février 2025, sauf exceptions médicales ou de sécurité strictement définies. Aucun délai supplémentaire pour les PME.
4. Sanctions et responsabilités en 2026
L'AI Act prévoit trois plafonds de sanction selon la nature de l'infraction. Ces plafonds sont fixés à l'Article 99 du Règlement (UE) 2024/1689.
| Infraction | Plafond | Base juridique |
|---|---|---|
| Non-respect d'une pratique interdite (Art. 5) | 35 M€ ou 7 % du CA mondial annuel (montant le plus élevé) | Art. 99(3) |
| Non-respect des autres obligations (haut risque, transparence, GPAI) | 15 M€ ou 3 % du CA mondial annuel | Art. 99(4) |
| Communication d'informations incorrectes aux autorités | 7,5 M€ ou 1 % du CA mondial annuel | Art. 99(5) |
Pour les PME et start-ups, l'Art. 99(6) précise que le montant retenu est le plus bas des deux plafonds (montant fixe ou pourcentage), au lieu du plus élevé pour les grandes entreprises.
4.1 Qui porte la responsabilité ?
Le règlement distingue plusieurs rôles : fournisseur (qui développe), déployeur (qui utilise dans son activité professionnelle), importateur, distributeur, mandataire. La majorité des PME françaises est déployeur. Mais une PME qui modifie substantiellement un système d'IA existant ou qui le commercialise sous sa propre marque devient fournisseur au sens de l'Art. 25.
4.2 Autorités compétentes en France
L'autorité nationale compétente sera désignée d'ici le 2 août 2025 ([à vérifier sur la désignation officielle française]). La CNIL est candidate pour le volet protection des données, et plusieurs autorités sectorielles (ACPR, ANSM, DGCCRF, ARCEP) interviendront selon le domaine d'application.
Pour un calcul détaillé de votre exposition financière, consultez notre analyse complète des sanctions AI Act pour PME.
5. Guide pratique : préparer 2026 en six étapes
Voici la séquence d'actions que nous recommandons à une PME pour absorber l'échéance d'août 2026 sans surcoût.
5.1 Étape 1 — Cartographie des systèmes d'IA
Inventorier tous les systèmes d'IA utilisés dans l'entreprise : SaaS, modules intégrés dans des logiciels existants, scripts internes, prompts ChatGPT productifs. Pour chacun : finalité, données traitées, public concerné, fournisseur.
5.2 Étape 2 — Classification réglementaire
Pour chaque système : interdit, haut risque, risque limité, risque minimal. Cette classification s'appuie sur l'Annexe III du règlement et sur les exceptions de l'Art. 6(3). Documenter la décision et son raisonnement.
5.3 Étape 3 — Lecture des contrats fournisseurs
Vérifier si les contrats avec vos éditeurs SaaS prévoient déjà la conformité AI Act : transmission de la documentation technique (Art. 11), information sur les mises à jour substantielles (Art. 16), accès aux logs (Art. 12). À défaut, négocier des avenants.
5.4 Étape 4 — Formation interne (Art. 4)
Depuis le 2 février 2025, l'Art. 4 impose une obligation générale de culture IA (« AI literacy ») pour tout personnel qui utilise des systèmes d'IA. La formation doit être proportionnée au rôle, au contexte d'usage et au niveau de risque. Pas de standard imposé : la PME documente son programme.
5.5 Étape 5 — Registres et procédures
Tenir un registre interne des systèmes d'IA, similaire dans la logique au registre des traitements RGPD. Définir des procédures opérationnelles : remontée d'incidents, mise à jour de la documentation, supervision humaine.
5.6 Étape 6 — Audit annuel
Programmer une revue de conformité annuelle avant chaque échéance du règlement. Pour les systèmes à haut risque, prévoir un audit indépendant ou une revue par un référent interne formé.
| Étape | Effort estimé (PME 50 salariés) | Livrable |
|---|---|---|
| Cartographie | 2-3 jours-hommes | Tableau inventaire |
| Classification | 1-2 jours-hommes | Note de classification |
| Revue contrats | 2-5 jours-hommes | Synthèse + avenants demandés |
| Formation | 4-8 h / salarié concerné | Attestations + supports |
| Registres | 3-5 jours-hommes | Registre + procédures |
| Audit | 1-2 jours-hommes / an | Rapport d'audit |
6. Articulation avec le RGPD et ISO/IEC 42001
L'AI Act ne remplace pas le RGPD : les deux s'appliquent en parallèle dès qu'un système d'IA traite des données personnelles. Une PME qui dispose déjà d'un registre RGPD à jour et d'une démarche de privacy by design réutilise une partie significative de ses livrables pour l'AI Act.
La norme ISO/IEC 42001:2023 définit un système de management de l'IA (AIMS). Sa mise en œuvre n'est pas obligatoire au titre de l'AI Act, mais elle facilite la démonstration de conformité, notamment sur la gouvernance, l'évaluation des risques et l'amélioration continue. Elle se combine bien avec ISO/IEC 23894:2023 (gestion des risques liés à l'IA) et ISO/IEC 27001:2022 (sécurité de l'information).
Pour les définitions techniques précises, consultez notre glossaire AI Act.
FAQ
Quelles sont les sanctions pour non-conformité en 2026 ?
Les sanctions sont fixées à l'Art. 99 du Règlement (UE) 2024/1689. Elles vont jusqu'à 35 M€ ou 7 % du chiffre d'affaires mondial annuel pour le non-respect des pratiques interdites (Art. 5), jusqu'à 15 M€ ou 3 % pour les autres obligations (systèmes à haut risque, transparence, GPAI), et jusqu'à 7,5 M€ ou 1 % pour les informations incorrectes. Pour les PME, c'est le montant le plus bas des deux plafonds qui s'applique (Art. 99(6)).
Quels systèmes d'IA sont concernés en 2026 ?
À partir du 2 août 2026, tous les systèmes à haut risque listés à l'Annexe III doivent être conformes : recrutement, gestion des salariés, scoring de crédit, accès à l'éducation, services publics essentiels, application de la loi, certains systèmes biométriques. Les obligations de transparence pour les systèmes à risque limité (chatbots, contenus générés) s'appliquent également. Les pratiques interdites de l'Art. 5 sont en vigueur depuis le 2 février 2025.
Quels sont les délais pour les PME ?
Les PME suivent le même calendrier que les autres entreprises : interdictions au 2 février 2025, modèles d'IA à usage général au 2 août 2025, systèmes à haut risque Annexe III au 2 août 2026, systèmes à haut risque intégrés à des produits réglementés (Annexe I) au 2 août 2027. Les PME bénéficient d'un accompagnement (bacs à sable, documentation allégée) mais d'aucun délai supplémentaire. Un audit dès 2025 est recommandé.
Où trouver des ressources officielles pour la conformité ?
Le texte consolidé est sur eur-lex.europa.eu. La Commission européenne maintient un service desk dédié (ai-act-service-desk.ec.europa.eu). En France, la CNIL publie 13 fiches pratiques IA. Vous pouvez aussi consulter notre guide PME et notre page sources officielles qui réunissent les références à jour.
Quelles sont les obligations spécifiques pour les PME ?
Les PME et start-ups bénéficient des dispositions des Art. 62 et 63 du règlement : accès prioritaire aux bacs à sable réglementaires nationaux, points de contact dédiés, documentation simplifiée, sanctions calculées sur le plafond le plus bas (Art. 99(6)). Cela ne supprime aucune obligation matérielle : la documentation technique, la surveillance humaine, la transparence et la gestion des risques restent dues.
Sécurisez votre conformité 2026 dès maintenant
Notre pack documentaire AI Act PME couvre la cartographie, la classification, le registre des systèmes, les modèles de notice utilisateur et le plan de formation Art. 4. Prêt à déployer en moins de 2 semaines.
Demander le pack documentaireSources officielles
- Texte consolidé du Règlement (UE) 2024/1689 — eur-lex.europa.eu
- AI Act Service Desk (Commission européenne) — ai-act-service-desk.ec.europa.eu
- Texte intégral commenté — artificialintelligenceact.eu
- CNIL — fiches pratiques IA — cnil.fr/fr/les-fiches-pratiques-ia
- ISO/IEC 42001:2023 — norme officielle de management de l'IA
- ISO/IEC 23894:2023 — gestion des risques liés à l'IA
- Cigref — guide AI Act PME (janvier 2025)
- Numeum — guide AI Act (mars 2025)
Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.