AI Act Digital Omnibus : vote 7 mai 2026 et conséquences pour les PME françaises

Q: Quels systèmes d'IA sont concernés par l'AI Act pour les PME ?

Les PME doivent s'intéresser aux systèmes d'IA présentant un risque élevé (ex : décision juridique, diagnostic médical) ou à risque limité (ex : chatbots, analyse de CV). Les systèmes à risque faible (ex : recommandations de produits) sont exemptés. L'AI Act définit 4 niveaux de risque, et les PME doivent évaluer leur système pour déterminer le niveau applicable.

Q: Quelles sont les étapes pour s'inscrire au registre européen de l'IA ?

Les PME doivent d'abord évaluer leur système d'IA pour confirmer qu'il présente un risque élevé. Ensuite, elles doivent préparer un dossier incluant la documentation technique, l'évaluation d'impact et la preuve de conformité aux exigences de sécurité. Le dossier est soumis au service desk européen de l'AI Act ( https://ai-act-service-desk.ec.europa.eu/ ) pour validation avant l'inscription au registre public.

Q: Quelles sont les aides financières disponibles pour les PME ?

La France propose des aides via l'Agence Nationale de la Recherche (ANR) et le Fonds européen pour les PME. Exemples : subventions pour l'acquisition de logiciels d'évaluation d'impact IA, crédits d'impôt pour la formation du personnel, et prêts à taux zéro pour la mise en conformité. Les PME doivent consulter /ai-act-pme-france/ pour les démarches spécifiques.

Q: Comment gérer les données personnelles dans mes systèmes d'IA ?

L'AI Act renforce le RGPD-IA. Les PME doivent : 1) Identifier toutes les données personnelles utilisées dans leurs systèmes d'IA, 2) Mettre en place des mesures techniques et organisationnelles pour la protection (ex : pseudonymisation), 3) Informer les utilisateurs sur l'utilisation de l'IA (ex : mention dans les CGV), 4) Évaluer les impacts sur la vie privée. La CNIL propose un guide dédié : https://www.cnil.fr/fr/ai-act

Q: Quelles sont les conséquences d'une non-conformité pour une PME ?

Les sanctions peuvent atteindre 7% du CA annuel (jusqu'à 35 millions € pour les PME de 250 salariés). En plus des amendes, les PME risquent des poursuites pénales, une interdiction d'exploitation de leur système d'IA, et des dommages réputationsnels. Les sanctions sont proportionnelles à la gravité de la violation et à la taille de l'entreprise.

L'essentiel en 30 secondes

Le vote du 7 mai 2026 [à vérifier] marque l'adoption du paquet Digital Omnibus, complément opérationnel au Règlement (UE) 2024/1689.
Les systèmes d'IA à risque élevé (décision de crédit, tri de CV, diagnostic médical) imposent une évaluation d'impact documentée.
Les sanctions atteignent 35 millions d'euros ou 7 % du chiffre d'affaires mondial — montant le plus élevé retenu (Art. 99).
Les PME bénéficient d'un délai d'environ 24 mois pour se mettre en conformité après publication au Journal officiel.
L'AI Act complète le RGPD : toute donnée personnelle alimentant un système d'IA reste soumise au Règlement 2016/679.
Inscription obligatoire à la base de données européenne (Art. 71) pour les systèmes à haut risque avant mise sur le marché.

1. Contexte du vote et calendrier clé

Le Règlement (UE) 2024/1689 sur l'intelligence artificielle est entré en vigueur le 1ᵉʳ août 2024. Son application se déploie par paliers jusqu'en 2027. Le paquet « Digital Omnibus », soumis au vote du Parlement européen le 7 mai 2026 [à vérifier], vise à harmoniser l'AI Act avec le RGPD, le Data Act et le DSA.

Trois jalons structurent le calendrier réglementaire pour les PME françaises.

Date	Échéance	Impact PME
2 février 2025	Application des interdictions (Art. 5) et obligation de littératie IA (Art. 4)	Formation des équipes manipulant l'IA
2 août 2026	Application générale du Règlement	Conformité des systèmes à risque limité
2 août 2027	Application aux systèmes à haut risque listés à l'Annexe I	Documentation technique et marquage CE

Le Digital Omnibus, s'il est adopté, précisera les obligations transversales pour les fournisseurs et déployeurs établis dans l'Union. Les PME françaises (10-250 salariés au sens de la recommandation 2003/361/CE) restent pleinement concernées, malgré les aménagements prévus à l'Article 62.

Pour comprendre le cadre général applicable, consultez notre guide AI Act pour les PME françaises.

2. Les 4 niveaux de risque pour les PME

L'AI Act repose sur une approche par les risques. Chaque système d'IA est classé selon son potentiel d'atteinte aux droits fondamentaux. Cette classification conditionne l'intégralité des obligations.

Niveau	Définition (AI Act)	Exemples PME	Obligations principales
Risque inacceptable	Art. 5 — pratiques interdites	Notation sociale, manipulation comportementale, reconnaissance émotionnelle au travail	Interdiction absolue
Haut risque	Art. 6 et Annexes I, III	Tri automatisé de CV, scoring de crédit, biométrie	Évaluation conformité + marquage CE
Risque limité	Art. 50 — obligations de transparence	Chatbots clients, génération de contenu, deepfakes	Information explicite des utilisateurs
Risque minimal	Reste des cas	Filtres anti-spam, recommandations produits	Bonnes pratiques volontaires (Art. 95)

La classification n'est jamais évidente. Un même outil (par exemple, un module d'analyse de CV) peut basculer du risque limité au haut risque selon son usage réel. L'analyse fonctionnelle doit être documentée et révisée.

Le glossaire regulia détaille chaque catégorie avec les références d'articles précis.

3. Obligations légales pour les PME

Les PME endossent souvent un double rôle : déployeur (Art. 26) lorsqu'elles utilisent un système d'IA tiers, et fournisseur (Art. 16) lorsqu'elles développent ou intègrent leur propre système sous leur marque.

Les obligations diffèrent selon ce statut.

Pour les déployeurs PME d'un système à haut risque :

Vérifier que le système porte un marquage CE valide
Utiliser le système conformément à la notice du fournisseur (Art. 26.1)
Assurer une surveillance humaine (Art. 14) par du personnel formé
Conserver les journaux d'activité pendant au moins 6 mois (Art. 26.6)
Réaliser une analyse d'impact sur les droits fondamentaux (AIDF, Art. 27) si applicable
Informer les personnes concernées par une décision automatisée (Art. 26.11)

Pour les fournisseurs PME :

Mettre en place un système de gestion de la qualité (Art. 17)
Établir la documentation technique complète (Annexe IV)
Concevoir des registres de logs automatiques (Art. 12)
Garantir la transparence vis-à-vis des déployeurs (Art. 13)
Soumettre le système à une évaluation de conformité (Art. 43)
Apposer le marquage CE et enregistrer le système dans la base européenne (Art. 49 et 71)

L'analyse d'impact sur les droits fondamentaux, prévue à l'Art. 27, est obligatoire pour les déployeurs publics et les opérateurs privés fournissant des services essentiels. La CNIL recommande l'extension volontaire de cette pratique aux autres déployeurs.

Auditez la conformité de vos systèmes d'IA

Notre pack documentaire regulia couvre la classification de risque, le registre des systèmes d'IA, l'analyse d'impact AIDF et les notices de transparence Art. 50. Conçu spécifiquement pour les PME françaises de 10 à 250 salariés.

Recevoir le pack documentaire

4. Sanctions et coûts pour les PME

L'Article 99 du Règlement (UE) 2024/1689 fixe les sanctions administratives. Le montant retenu est le plus élevé entre la valeur absolue et le pourcentage du chiffre d'affaires mondial.

Manquement	Plafond absolu	Plafond CA mondial
Pratiques interdites (Art. 5)	35 M€	7 %
Violation des obligations applicables aux systèmes à haut risque	15 M€	3 %
Information inexacte fournie aux autorités	7,5 M€	1 %

L'Art. 99.6 prévoit un aménagement pour les PME et start-up : le montant le plus faible entre la valeur absolue et le pourcentage du chiffre d'affaires est appliqué. Pour une PME de 5 M€ de chiffre d'affaires, une sanction maximale pour pratique interdite s'élèverait donc à 350 000 € (7 % du CA), et non à 35 M€.

Ce mécanisme protectif ne supprime pas le risque financier. Une non-conformité prolongée expose en outre à :

L'interdiction de mise sur le marché du système concerné (Art. 82)
Le rappel obligatoire des systèmes déjà déployés (Art. 79)
Des actions civiles fondées sur la Directive 2024/2853 sur la responsabilité du fait des produits défectueux
Une perte de référencement auprès des donneurs d'ordre publics

Pour le calcul détaillé selon votre profil, voyez notre analyse des sanctions AI Act pour PME avec calculateur intégré.

5. Avantages de la conformité pour les PME

La conformité représente un coût initial. Elle ouvre cependant un avantage concurrentiel mesurable, particulièrement vis-à-vis des grands donneurs d'ordre.

Accès aux marchés publics européens. La Directive 2014/24/UE permet aux acheteurs publics d'exiger des garanties de conformité réglementaire. Plusieurs cahiers des charges français incluent déjà des clauses AI Act depuis 2025.

Confiance des partenaires B2B. Les grandes entreprises sous-traitantes répercutent leurs obligations sur leur chaîne fournisseurs. Une PME démontrant son alignement AI Act et ISO/IEC 42001:2023 réduit significativement la friction commerciale.

Qualité technique des systèmes. Les exigences de gestion des risques (Art. 9), de gouvernance des données (Art. 10) et de surveillance post-commercialisation (Art. 72) imposent des pratiques d'ingénierie qui réduisent les incidents en production.

Différenciation marketing. L'AI Act ne prévoit pas de label officiel grand public à ce stade [à vérifier]. La communication sur la conformité reste néanmoins un signal apprécié, sous réserve de ne pas verser dans le greenwashing algorithmique.

6. Étapes de préparation pour les PME

La trajectoire de mise en conformité s'organise en six étapes opérationnelles. Cette séquence reprend la méthodologie proposée par le Cigref (guide AI Act janvier 2025) et Numeum (guide mars 2025), adaptée aux contraintes PME.

Cartographier les systèmes d'IA déjà en usage ou en projet, y compris les fonctionnalités d'IA intégrées à des logiciels métier
Classifier chaque système selon les quatre niveaux de risque définis à l'Art. 6 et aux Annexes I et III
Désigner un référent IA interne — fonction qui peut être cumulée avec celle de DPO ou de RSSI dans les structures de petite taille
Établir le registre des systèmes d'IA, document central exigé par l'Art. 12 pour les fournisseurs et recommandé pour tous les déployeurs
Conduire l'AIDF (analyse d'impact sur les droits fondamentaux, Art. 27) pour chaque système à haut risque déployé
Former les équipes conformément à l'obligation de littératie IA de l'Art. 4, applicable depuis le 2 février 2025

Cette feuille de route s'inscrit en complément du registre RGPD existant. La CNIL recommande une articulation explicite entre les deux registres pour éviter les redondances documentaires.

7. Outils et ressources disponibles

Plusieurs ressources publiques accompagnent les PME dans leur démarche. Toutes sont gratuites et officielles.

CNIL — 13 fiches pratiques IA : guide opérationnel pour les responsables de traitement utilisant l'IA, disponible sur cnil.fr
AI Office EU — Service Desk : portail de questions-réponses officiel de la Commission européenne (ai-act-service-desk.ec.europa.eu)
Texte consolidé AI Act : version annotée et structurée par article sur artificialintelligenceact.eu
ISO/IEC 42001:2023 : norme internationale relative au système de management de l'IA
ISO/IEC 23894:2023 : recommandations sur la gestion des risques liés à l'IA
AI Pact : engagement volontaire piloté par la Commission, ouvert aux PME

Pour la cartographie complète des sources officielles, consultez notre annuaire des sources regulia.

8. Les questions clés des PME

Cinq interrogations reviennent systématiquement dans les diagnostics que nous menons auprès des dirigeants de PME.

Quels systèmes d'IA sont concernés ? Tous les systèmes répondant à la définition de l'Art. 3.1 — système basé sur une machine, conçu pour fonctionner avec différents niveaux d'autonomie, qui produit des sorties influençant des environnements physiques ou virtuels. Un simple tableur Excel n'est pas concerné. Un module de scoring fondé sur du machine learning l'est.

Comment évaluer le niveau de risque ? Croisez l'usage du système avec la liste des cas à haut risque de l'Annexe III. En cas de doute, documentez l'analyse et conservez les éléments de raisonnement. Le service desk de l'AI Office fournit des avis interprétatifs.

Comment s'inscrire au registre européen ? Seuls les fournisseurs de systèmes à haut risque sont concernés par l'Art. 71. L'inscription s'effectue via la base de données EU établie par la Commission, accessible depuis le service desk.

Quelles aides financières ? Le programme France 2030 finance des projets IA conformes. Bpifrance accompagne les diagnostics. La Commission a lancé le programme « GenAI4EU » pour les PME [à vérifier]. Les modalités exactes évoluent rapidement.

Comment articuler AI Act et RGPD ? Les deux cadres se cumulent. Toute donnée personnelle traitée par un système d'IA reste sous le RGPD. L'AI Act ajoute des obligations spécifiques au système lui-même (gestion des risques, robustesse, surveillance humaine).

Démarrez votre mise en conformité dès aujourd'hui

regulia fournit aux PME françaises un pack documentaire complet : modèles de registre des systèmes d'IA, trames d'AIDF, notices Art. 50, politique de gouvernance IA et procédures de surveillance humaine. Livrable sous 72 heures.

Demander un devis

FAQ

Quels systèmes d'IA sont concernés par l'AI Act pour les PME ?

Les PME doivent recenser tous leurs systèmes répondant à la définition de l'Art. 3.1. Les systèmes à haut risque (décision de crédit, tri de CV, diagnostic médical) déclenchent les obligations les plus lourdes. Les systèmes à risque limité (chatbots, contenu généré) imposent une transparence vis-à-vis des utilisateurs. Les systèmes à risque minimal ne sont soumis qu'à des bonnes pratiques volontaires. La classification doit être documentée pour chaque système.

Quelles sont les étapes pour s'inscrire au registre européen de l'IA ?

L'enregistrement à la base de données européenne (Art. 71) concerne les fournisseurs de systèmes à haut risque listés à l'Annexe III. La PME doit d'abord réaliser l'évaluation de conformité de l'Art. 43, constituer la documentation technique de l'Annexe IV, puis transmettre les informations via le portail de la Commission accessible depuis le service desk officiel. L'inscription précède la mise sur le marché.

Quelles sont les aides financières disponibles pour les PME ?

Les dispositifs nationaux incluent les appels à projets France 2030 dédiés à l'IA, les diagnostics Bpifrance et les crédits d'impôt recherche pour les développements IA. Au niveau européen, le programme Digital Europe et l'initiative GenAI4EU [à vérifier] soutiennent l'adoption responsable. Notre guide AI Act PME France détaille les démarches par dispositif.

Comment gérer les données personnelles dans mes systèmes d'IA ?

L'AI Act et le RGPD se cumulent. Quatre étapes structurent la conformité : cartographier les données personnelles utilisées pour l'entraînement et l'inférence, mettre en place les mesures techniques et organisationnelles de l'Art. 32 RGPD (pseudonymisation, chiffrement, contrôle d'accès), informer les personnes concernées conformément aux Art. 13 et 14 RGPD, et conduire une analyse d'impact relative à la protection des données (AIPD) lorsque le traitement présente un risque élevé. La CNIL publie un guide dédié IA.

Quelles sont les conséquences d'une non-conformité pour une PME ?

Les sanctions financières atteignent 7 % du chiffre d'affaires mondial pour les pratiques interdites de l'Art. 5, et 3 % pour les manquements aux obligations applicables aux systèmes à haut risque. L'Art. 99.6 plafonne ce montant au pourcentage du CA pour les PME, mécanisme protecteur mais qui ne supprime pas le risque. S'y ajoutent l'interdiction de mise sur le marché, le rappel obligatoire des systèmes et les risques réputationnels. Notre analyse détaillée des sanctions propose un calculateur par profil d'entreprise.

Sources officielles

CNIL — fiches pratiques IA : cnil.fr/fr/les-fiches-pratiques-ia
AI Office EU — Service Desk : ai-act-service-desk.ec.europa.eu
Texte consolidé AI Act : artificialintelligenceact.eu
Proposition législative complémentaire : EUR-Lex CELEX:52024PC0120
Règlement (UE) 2024/1689 — version officielle : eur-lex.europa.eu/eli/reg/2024/1689

Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.