AI Act : obligations des fournisseurs de systèmes IA, comment se conformer ?

📅 Publié le 10/06/2026 🔄 Mis à jour le 10/06/2026 ✍️ Par Mohamed Meguedmi, fondateur regulia ⏱️ 11 min de lecture

L'essentiel en 30 secondes

  • Le Règlement (UE) 2024/1689 (« AI Act ») impose aux fournisseurs de systèmes d'IA à haut risque une série d'obligations détaillées aux Articles 16 à 22.
  • Sept exigences essentielles encadrent la conception : gestion des risques, gouvernance des données, documentation technique, journalisation, transparence, supervision humaine, robustesse (Art. 9 à 15).
  • Les sanctions atteignent jusqu'à 15 M€ ou 3 % du chiffre d'affaires mondial pour la majorité des manquements (Art. 99). Pour les pratiques interdites de l'Art. 5, le plafond monte à 35 M€ ou 7 %.
  • L'application générale du Règlement débute le 2 août 2026. Les obligations spécifiques aux systèmes à haut risque listés à l'Annexe I s'appliquent au 2 août 2027.
  • Le Service Desk de l'AI Office accompagne gratuitement les PME : ai-act-service-desk.ec.europa.eu.

1. Contexte réglementaire : l'AI Act en vigueur

Le Règlement (UE) 2024/1689 du 13 juin 2024 (« AI Act ») est entré en vigueur le 1er août 2024. Son application est échelonnée. L'interdiction des pratiques prohibées vise le 2 février 2025. Le régime général s'applique au 2 août 2026. Les systèmes à haut risque relevant de l'Annexe I (machines, jouets, dispositifs médicaux) bénéficient d'un délai supplémentaire jusqu'au 2 août 2027.

Le texte définit le « fournisseur » à l'Article 3(3) du Règlement (UE) 2024/1689 : toute personne physique ou morale qui « développe ou fait développer » un système d'IA et le met sur le marché ou en service sous son nom ou sa marque, à titre onéreux ou gratuit.

Cette qualification est large. Une PME française qui crée un outil IA et le commercialise sous sa marque devient fournisseur. Une entreprise qui personnalise un modèle open source et le revend sous son nom devient fournisseur. La frontière avec le « déployeur » (Art. 3(4)) tient à la responsabilité commerciale du nom apposé sur le système.

Acteur Définition (Art. 3) Obligations principales
Fournisseur Met sur le marché sous son nom Art. 16 à 22
Déployeur Utilise un système sous son autorité Art. 26 et 27
Importateur Importe un système hors UE Art. 23
Distributeur Met à disposition sur le marché UE Art. 24

Pour comprendre les critères de classification haut risque, consultez le pillar général AI Act pour les PME françaises.

2. Obligations principales des fournisseurs de systèmes IA

L'Article 16 du Règlement (UE) 2024/1689 énumère treize obligations cumulatives pour le fournisseur d'un système d'IA à haut risque. Ces obligations s'appuient sur sept exigences essentielles de conception, détaillées aux Art. 9 à 15.

Les sept exigences essentielles (Art. 9 à 15) :

  1. Système de gestion des risques (Art. 9) — itératif, sur tout le cycle de vie.
  2. Gouvernance des données (Art. 10) — jeux d'entraînement, validation et test représentatifs, pertinents et exempts de biais identifiables.
  3. Documentation technique (Art. 11) — exhaustive, à jour, conforme à l'Annexe IV.
  4. Journalisation automatique (Art. 12) — traçabilité des évènements pendant le fonctionnement.
  5. Transparence et information du déployeur (Art. 13) — notice d'utilisation claire et complète.
  6. Supervision humaine (Art. 14) — mesures techniques et organisationnelles.
  7. Exactitude, robustesse et cybersécurité (Art. 15) — adaptées à la finalité du système.

Les obligations spécifiques du fournisseur (Art. 16 à 22) :

  • Mettre en place un système de gestion de la qualité (Art. 17).
  • Conserver la documentation pendant dix ans après la mise sur le marché (Art. 18).
  • Conserver automatiquement les journaux générés par le système (Art. 19).
  • Engager des actions correctives et informer les autorités en cas de non-conformité (Art. 20).
  • Coopérer avec les autorités compétentes (Art. 21).
  • Désigner un représentant autorisé dans l'UE si le fournisseur est établi hors UE (Art. 22).
  • Réaliser l'évaluation de la conformité prévue à l'Art. 43.
  • Établir une déclaration UE de conformité (Art. 47) et apposer le marquage CE (Art. 48).
  • Enregistrer le système dans la base de données européenne (Art. 49).

Le fournisseur reste responsable même lorsque la mise en conformité repose sur un sous-traitant. Cette responsabilité ne se transfère pas contractuellement.

3. Étapes pour se conformer : guide pratique

Une démarche en six étapes structure la mise en conformité d'une PME française fournisseur de systèmes IA.

  1. Cartographier le portefeuille IA. Recenser tous les systèmes développés, commercialisés ou destinés à l'être. Identifier le statut (fournisseur, déployeur, ou les deux).
  2. Classer chaque système par niveau de risque. Quatre catégories : pratiques interdites (Art. 5), haut risque (Art. 6 et Annexes I et III), risque limité avec obligations de transparence (Art. 50), risque minimal.
  3. Construire le système de gestion des risques (Art. 9) — itératif, documenté, intégré au cycle de développement.
  4. Préparer la documentation technique conforme à l'Annexe IV (Art. 11) — description du système, données d'entraînement, métriques de performance, supervision humaine.
  5. Engager la procédure d'évaluation de la conformité (Art. 43) — contrôle interne (Annexe VI) ou organisme notifié (Annexe VII) selon le système.
  6. Apposer le marquage CE, signer la déclaration UE de conformité et enregistrer le système (Art. 47, 48, 49).
Étape Référence légale Livrable attendu
Cartographie Art. 3 Inventaire IA
Classification risque Art. 5, 6, 50 Registre de classification
Gestion des risques Art. 9 Politique et registre des risques
Documentation technique Art. 11, Annexe IV Dossier technique
Évaluation conformité Art. 43, 47, 48 Déclaration UE + marquage CE
Enregistrement Art. 49 Identifiant base UE

Pour le vocabulaire de référence utilisé tout au long du Règlement, consultez le glossaire regulia.

Besoin d'un cadre clé en main pour votre conformité AI Act ?

Le pack documentaire regulia couvre les sept exigences essentielles, la gestion des risques et l'évaluation de la conformité, prêts à adapter à votre PME.

Demander le pack documentaire

4. Sanctions en cas de non-conformité

L'Article 99 du Règlement (UE) 2024/1689 fixe trois plafonds de sanctions selon la nature du manquement.

Manquement Plafond Référence
Pratiques interdites (Art. 5) 35 M€ ou 7 % du CA mondial Art. 99(3)
Non-respect des obligations principales (Art. 16, etc.) 15 M€ ou 3 % du CA mondial Art. 99(4)
Information incorrecte ou trompeuse aux autorités 7,5 M€ ou 1 % du CA mondial Art. 99(5)

Une protection spécifique existe pour les PME et les start-up. L'Art. 99(6) précise que le plafond applicable retient le montant le plus faible des deux (en valeur absolue ou en pourcentage du chiffre d'affaires), ce qui limite l'exposition financière des structures à chiffre d'affaires modeste.

Au-delà des amendes administratives, l'Art. 99 prévoit des sanctions complémentaires : retrait du système du marché, interdiction de mise en service. Pour le détail des barèmes et des cas d'application, consultez notre article dédié sur les sanctions AI Act pour les PME françaises.

5. Outils et ressources pour les PME

Trois familles de ressources accompagnent les fournisseurs de systèmes IA.

  • Service Desk de l'AI Office — point de contact unique de la Commission européenne (ai-act-service-desk.ec.europa.eu). Réponses gratuites aux questions de qualification et d'interprétation.
  • CNIL — fiches pratiques IA — treize fiches couvrant les interactions RGPD-AI Act (cnil.fr).
  • Norme ISO/IEC 42001:2023 — système de management de l'IA. Cadre certifiable, aligné sur les exigences AI Act mais non équivalent.
Ressource Rôle Coût
Service Desk AI Office Conseil interprétatif Gratuit
CNIL — fiches IA Interface RGPD-AI Act Gratuit
ISO/IEC 42001:2023 Cadre SMIA certifiable Norme payante
ISO/IEC 23894:2023 Gestion des risques IA Norme payante

Pour une comparaison détaillée des référentiels et de leurs liens avec l'AI Act, consultez la page sources regulia.

6. Exemple concret : mise en conformité pour une PME

Une PME française développe un outil IA d'aide au tri de CV pour le secteur du recrutement. L'Annexe III, point 4(a) classe ces systèmes en haut risque (Art. 6(2)).

Étape 1 — Audit (mois 1). L'équipe technique cartographie le modèle, les jeux d'entraînement et les flux de données. L'équipe juridique vérifie la qualification fournisseur (Art. 3(3)).

Étape 2 — Classification (mois 2). Confirmation du caractère haut risque au regard de l'Annexe III. Mise à jour du registre de classification.

Étape 3 — Système de gestion des risques (mois 3 à 5). Identification des risques de biais (Art. 10), des défaillances de robustesse (Art. 15) et des risques d'usage par le déployeur. Mesures correctrices documentées.

Étape 4 — Documentation et formation (mois 4 à 6). Dossier technique aligné sur l'Annexe IV. Notice d'utilisation conforme à l'Art. 13. Formation des équipes techniques et commerciales.

Étape 5 — Évaluation de la conformité et marquage CE (mois 7). Procédure d'auto-évaluation (Annexe VI) ou organisme notifié selon le cas. Signature de la déclaration UE de conformité et enregistrement à l'Art. 49.

Ce calendrier indicatif suppose une équipe dédiée et un accompagnement externe. La phase d'audit initial s'étend lorsque le portefeuille IA dépasse cinq systèmes.

7. Bonnes pratiques pour maintenir la conformité

La conformité AI Act n'est pas un évènement ponctuel. L'Art. 9 impose un système de gestion des risques itératif, mis à jour tout au long du cycle de vie.

  • Tenir à jour le registre des systèmes IA et leur classification au moins une fois par an.
  • Conserver dix ans la documentation technique après la mise sur le marché (Art. 18).
  • Conserver automatiquement les journaux générés par le système (Art. 19).
  • Organiser un audit interne annuel, à minima sur les systèmes à haut risque.
  • Surveiller les évolutions des normes harmonisées et des actes d'exécution de la Commission.
  • Former chaque année les équipes techniques et juridiques.

L'Art. 4 du Règlement (UE) 2024/1689 impose explicitement un niveau suffisant de « culture en matière d'IA » pour le personnel des fournisseurs et des déployeurs. Cette obligation est entrée en application le 2 février 2025.

8. Erreurs à éviter

Quatre erreurs récurrentes apparaissent dans les audits de PME.

  1. Confondre fournisseur et déployeur. L'apposition de son nom ou de sa marque (Art. 25) transfère la qualité de fournisseur. Une PME qui personnalise un modèle de fondation et le commercialise sous son nom devient fournisseur, avec toutes les obligations de l'Art. 16.
  2. Sous-évaluer la classification haut risque. L'Annexe III est exhaustive. Un système RH d'évaluation de candidats relève du haut risque, même perçu comme un simple outil d'aide à la décision.
  3. Reporter la documentation technique. L'Annexe IV demande un dossier substantiel. Le construire après-coup est plus coûteux que de l'élaborer pendant la phase de développement.
  4. Traiter l'AI Act comme un sujet purement technique. L'Art. 17 (système de gestion de la qualité) et l'Art. 21 (coopération avec les autorités) impliquent une gouvernance transversale, juridique et opérationnelle.

9. Questions fréquentes

Quelles sont les sanctions pour les PME en cas de non-conformité ?

L'Art. 99 du Règlement (UE) 2024/1689 prévoit trois plafonds : 35 M€ ou 7 % du CA mondial pour les pratiques interdites (Art. 5), 15 M€ ou 3 % pour les manquements aux obligations principales, 7,5 M€ ou 1 % pour l'information incorrecte aux autorités. L'Art. 99(6) retient le plafond le plus faible des deux pour les PME et les start-up.

Comment identifier les systèmes d'IA concernés par l'AI Act ?

Trois critères cumulatifs : le système répond à la définition de l'Art. 3(1), il est mis sur le marché ou en service dans l'UE, et il ne relève pas des exclusions de l'Art. 2 (recherche scientifique, finalités militaires, usage strictement personnel). Les obligations dépendent ensuite de la classification : interdit (Art. 5), haut risque (Art. 6 et Annexes I et III), risque limité (Art. 50), risque minimal.

Quel est le rôle du Service Desk européen ?

Le Service Desk de l'AI Office (ai-act-service-desk.ec.europa.eu) est le point de contact officiel de la Commission européenne. Il accompagne gratuitement les entreprises sur les questions de qualification, de classification et d'interprétation. Il ne se substitue pas à un conseil juridique propre à votre situation.

Dois-je me conformer si je n'ai pas de clients européens ?

L'Art. 2(1) précise que le Règlement s'applique aux fournisseurs établis dans l'UE et aux fournisseurs établis hors UE dont les sorties (« output ») du système sont utilisées dans l'UE. Si vos systèmes IA ne touchent jamais le marché européen, vous n'êtes pas concerné. La frontière mérite une analyse au cas par cas, idéalement validée par votre DPO ou conseil juridique.

Quelles sont les différences avec le RGPD ?

Le RGPD (Règlement (UE) 2016/679) protège les données personnelles. L'AI Act encadre les systèmes d'IA, qu'ils traitent ou non des données personnelles. Les deux textes s'appliquent simultanément lorsqu'un système IA traite des données personnelles. Les obligations sont distinctes mais complémentaires : analyse d'impact RGPD (Art. 35 RGPD) et évaluation de la conformité AI Act (Art. 43 AI Act).

10. Conclusion : l'urgence de la conformité

Le calendrier d'application est court. Le régime général du Règlement (UE) 2024/1689 s'applique au 2 août 2026. Les systèmes à haut risque relevant de l'Annexe I bénéficient d'un délai supplémentaire jusqu'au 2 août 2027, mais la majorité des systèmes haut risque relèvent de l'Annexe III et de la date de 2026.

Trois conséquences pratiques pour les PME françaises fournisseurs de systèmes IA :

  • La cartographie et la classification doivent être engagées dès maintenant pour respecter le calendrier.
  • La documentation technique se construit pendant le développement, pas après.
  • La conformité devient un argument commercial face aux donneurs d'ordre publics et grands comptes qui exigeront la déclaration UE de conformité et le marquage CE.

Les ressources publiques (Service Desk AI Office, CNIL) et privées (normes ISO, packs documentaires) permettent à une PME d'atteindre la conformité sans recruter une équipe juridique dédiée. Le coût d'inaction — sanctions, retrait du marché, perte de confiance — dépasse rapidement celui d'une démarche structurée.

Sources officielles

Passez à l'action avec un cadre opérationnel

Le pack regulia regroupe les registres, dossiers techniques, notices d'utilisation et déclarations UE de conformité alignés sur les Art. 9 à 49 du Règlement (UE) 2024/1689.

Recevoir le pack documentaire

Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.

Outil gratuit · 2 minutes · sans inscription

Êtes-vous concerné ? Faites le diagnostic AI Act.

Sachez en 2 minutes si vos systèmes sont à haut risque, vos obligations et les documents à produire.

Démarrer le diagnostic → Ou voir un échantillon de document →