L'essentiel en 30 secondes - Le Règlement (UE) 2024/1689 (« AI Act ») entre en application progressive depuis le 2 février 2025 et déploie ses obligations principales jusqu'en 2027. - Les sanctions atteignent jusqu'à 35 M€ ou 7 % du chiffre d'affaires mondial pour les pratiques interdites (Article 99 du Règlement (UE) 2024/1689). - Tout système d'IA doit être qualifié selon une grille de risque : interdit, haut risque, risque limité, risque minimal (Article 6). - Les PME utilisatrices (déployeurs) ont des obligations propres, distinctes de celles des fournisseurs (Article 26). - La CNIL a publié 13 fiches pratiques opérationnelles et un référentiel d'auto-évaluation. - Un pack documentaire couvre cinq blocs : inventaire, classification, documentation technique, gouvernance, formation.
1. Audit de conformité : identifier les systèmes d'IA
La conformité commence par un inventaire exhaustif. Sans cartographie, aucune obligation ne peut être tracée. Les PME françaises sous-estiment fréquemment le nombre d'outils utilisés en interne qui embarquent une couche d'IA.
L'inventaire couvre trois familles :
| Famille | Exemples concrets | Risque typique |
|---|---|---|
| Outils achetés sur étagère | CRM avec scoring, RH avec tri de CV, antispam ML | Limité à haut risque |
| Modèles fondationnels intégrés | Copilotes IA générative, assistants documentaires | Limité à haut risque |
| Développements internes | Scripts de scoring client, prédictions de stock | Variable selon usage |
Chaque entrée du registre précise le fournisseur, la finalité, les données traitées, le périmètre d'usage et la personne responsable. Cet inventaire constitue la pierre angulaire du registre exigé par l'Article 26 pour les déployeurs. Pour aller plus loin sur le périmètre PME, consultez le guide pillar AI Act PME France.
L'évaluation des risques associés s'appuie sur la grille de l'Article 6 et l'Annexe III du Règlement. Les usages en ressources humaines (recrutement, évaluation), en accès au crédit, en infrastructures critiques ou en biométrie basculent presque toujours en haut risque.
La priorisation suit une règle simple : traiter d'abord les systèmes à haut risque, puis les systèmes générant des interactions avec des personnes physiques (Art. 50 sur la transparence), enfin les usages internes à faible enjeu.
2. Catégorisation des systèmes d'IA
La classification définit le régime juridique applicable. Une erreur de qualification expose à la fois à des sanctions et à une charge documentaire mal calibrée.
L'Article 6 du Règlement (UE) 2024/1689 distingue quatre niveaux. Le tableau ci-dessous synthétise les obligations principales pour le déployeur PME.
| Niveau de risque | Exemples | Obligations clés du déployeur |
|---|---|---|
| Interdit (Art. 5) | Notation sociale, manipulation comportementale | Cessation immédiate |
| Haut risque (Art. 6 + Annexe III) | Tri de CV, scoring crédit, dispositifs médicaux IA | Registre, surveillance humaine, instructions du fournisseur, AIPD si données personnelles |
| Risque limité (Art. 50) | Chatbots, contenus générés, deepfakes | Information explicite des utilisateurs |
| Risque minimal | Antispam, recommandation simple | Bonnes pratiques recommandées |
Les critères de classification reposent sur la finalité d'usage et le secteur d'activité, et non sur la technologie sous-jacente. Un même modèle de langage peut être à haut risque dans le recrutement et à risque limité pour la rédaction marketing.
La CNIL met à disposition des outils d'auto-évaluation pour aider à la qualification. Pour les notions techniques (déployeur, fournisseur, GPAI), reportez-vous au glossaire regulia.
3. Mise en place des mesures de sécurité
Pour les systèmes à haut risque, le déployeur s'appuie sur les mesures techniques mises en place par le fournisseur, mais doit ajouter ses propres contrôles opérationnels.
L'identification des biais s'inscrit dans la gouvernance des données prévue par l'Article 10 du Règlement. Le déployeur vérifie que les données qu'il fournit au système (par exemple, des CV historiques) ne reproduisent pas de discriminations prohibées.
Trois mesures structurent la sécurité opérationnelle :
- Surveillance humaine effective (Article 14) — désignation de personnes formées, capables d'interpréter et de contester une décision algorithmique.
- Suivi des performances en exploitation — tableau de bord des taux d'erreur, des dérives, des incidents remontés par les utilisateurs.
- Documentation des validations — procès-verbaux de tests, recettes périodiques, journaux des mises à jour.
Le déployeur conserve les logs générés par le système, dans la mesure où ils sont sous son contrôle (Article 26, paragraphe 6). Cette obligation s'articule avec les durées de conservation RGPD : un arbitrage est souvent nécessaire pour éviter une conservation excessive.
Vous souhaitez sécuriser votre démarche de conformité ?
regulia propose un pack documentaire prêt à l'emploi : registre, modèles d'AIPD, procédures de surveillance humaine, supports de formation. Tous les modèles sont alignés sur le Règlement (UE) 2024/1689 et les fiches CNIL.
Demander un devis pack PME4. Documentation et traçabilité
La documentation est l'élément le plus visible lors d'un contrôle. Un dossier incomplet déclenche presque mécaniquement des questions complémentaires de la part de l'autorité.
Le registre des systèmes d'IA tenu par le déployeur recense, pour chaque système à haut risque : la dénomination commerciale, le fournisseur, le numéro de version, la finalité, les catégories de personnes concernées, les mesures de surveillance humaine, la date de mise en service et la personne référente.
L'enregistrement des décisions algorithmiques répond à deux objectifs : - Permettre l'explication individuelle prévue à l'Article 86 pour les personnes affectées. - Documenter la conformité en cas de contrôle par l'autorité nationale.
L'archivage des données d'entraînement concerne en principe le fournisseur (Article 11 — documentation technique). Le déployeur n'archive pas ces données, sauf s'il fine-tune ou réentraîne un modèle, auquel cas il devient lui-même fournisseur au sens de l'Article 25.
Pour une vue d'ensemble du paysage normatif, l'index des sources juridiques officielles regroupe textes UE, doctrine CNIL et normes ISO applicables.
5. Formation du personnel
L'Article 4 du Règlement impose un niveau de littératie IA suffisant pour tout personnel exploitant ou supervisant un système d'IA. Cette obligation est entrée en application le 2 février 2025.
Trois publics doivent être couverts :
| Public cible | Contenu pédagogique | Durée indicative |
|---|---|---|
| Direction et management | Cadre juridique, sanctions, gouvernance | 2 à 4 heures |
| Responsables conformité, DPO, RSSI | Obligations détaillées, articulation RGPD, registre | 1 à 2 jours |
| Utilisateurs métier | Cas d'usage, limites, signalement d'incident, droits des personnes concernées | 1 à 3 heures |
La formation est tracée : feuilles de présence, supports utilisés, évaluations à chaud. Cette traçabilité conditionne la preuve de conformité à l'Article 4. Les contenus mentionnent explicitement les sanctions prévues à l'Article 99 et les voies de recours des utilisateurs.
La sensibilisation aux droits des personnes concernées intègre le droit à l'explication (Art. 86), le droit de déposer plainte auprès de l'autorité nationale (Art. 85) et l'articulation avec les droits RGPD préexistants.
6. Vérification par tiers (si nécessaire)
Tous les systèmes ne requièrent pas d'audit externe. La règle dépend du statut juridique et de la nature du système.
Pour le déployeur PME, l'évaluation de conformité externe est conduite par le fournisseur, pas par le déployeur lui-même. Le déployeur exige néanmoins du fournisseur la déclaration de conformité UE et le marquage CE prévus à l'Article 47.
Une certification ISO/IEC 42001:2023 (système de management de l'IA) ne se substitue pas à la conformité AI Act, mais constitue un signal fort vis-à-vis des clients et des autorités. Elle facilite l'articulation avec ISO/IEC 27001:2022 (sécurité de l'information) et ISO/IEC 23894:2023 (gestion des risques IA).
Le service desk européen (ai-act-service-desk.ec.europa.eu) répond gratuitement aux questions d'interprétation. Il n'a pas vocation à valider une démarche individuelle, mais ses réponses publiques constituent un repère utile pour aligner les pratiques internes.
Trois questions structurent la décision d'audit externe :
- Le système traite-t-il des données particulièrement sensibles ou opère-t-il dans un secteur régulé (santé, finance, énergie) ?
- Une exigence contractuelle d'un client grand compte impose-t-elle une certification ?
- Le coût d'un sinistre réputationnel dépasse-t-il celui d'un audit annuel ?
7. Suivi et mise à jour continue
La conformité n'est pas un état figé. Le Règlement organise un cycle de surveillance continue à la charge conjointe du fournisseur et du déployeur.
Le déployeur met en place un plan de surveillance qui couvre : - La revue mensuelle des incidents remontés par les utilisateurs. - La revue trimestrielle des performances et des dérives. - La revue annuelle complète du registre et des procédures.
La mise à jour des systèmes intègre les nouvelles versions logicielles, les correctifs de sécurité et les changements substantiels de finalité. Tout changement substantiel d'usage requalifie potentiellement le système et peut entraîner de nouvelles obligations.
La révision annuelle des processus s'articule avec la revue de direction des systèmes de management qualité existants (ISO 9001, ISO 27001). Cette mutualisation réduit la charge documentaire.
Un signal faible justifie une revue ad hoc : modification du périmètre des utilisateurs, ajout d'une nouvelle catégorie de données, alerte du fournisseur sur une vulnérabilité, contrôle d'une autorité voisine sur un cas analogue.
Mettez votre conformité sous contrôle dès 2026
Le pack regulia inclut un calendrier de revue annuelle, des modèles de procès-verbaux et un tableau de bord des indicateurs de surveillance. Vous gagnez en moyenne 80 % du temps de mise en place par rapport à une construction interne [à vérifier].
Recevoir le détail du pack8. Préparation aux audits et sanctions
Les sanctions financières prévues à l'Article 99 du Règlement (UE) 2024/1689 s'échelonnent selon la nature du manquement :
| Manquement | Plafond | Référence |
|---|---|---|
| Pratiques interdites (Art. 5) | 35 M€ ou 7 % du CA mondial | Art. 99 §3 |
| Non-conformité haut risque, transparence, gouvernance | 15 M€ ou 3 % du CA mondial | Art. 99 §4 |
| Information inexacte aux autorités | 7,5 M€ ou 1 % du CA mondial | Art. 99 §5 |
Pour les PME et start-up, le Règlement prévoit explicitement (Art. 99 §6) que le plafond applicable est le moindre des deux montants — pourcentage ou somme forfaitaire. Cette protection ne dispense pas de l'obligation : elle plafonne le risque. Le détail du barème est présenté dans le guide sanctions et amendes pour les PME.
La simulation d'audit interne reproduit la posture probable d'un contrôle : 1. Présentation du registre des systèmes à haut risque. 2. Justification de la classification de trois systèmes témoins. 3. Démonstration de la surveillance humaine effective. 4. Production des journaux et procédures. 5. Présentation des supports de formation et feuilles de présence.
Le plan d'action pour les non-conformités identifie chaque écart, le responsable, l'échéance et le critère de clôture. Un écart non corrigé après plusieurs revues constitue une circonstance aggravante en cas de contrôle.
L'autorité compétente nationale en France est désignée par la loi nationale d'application. La CNIL est positionnée comme autorité de surveillance pour les systèmes traitant des données personnelles [à vérifier — désignation complète attendue par décret].
FAQ
Quelles sont les sanctions pour non-conformité en 2026 ?
L'Article 99 du Règlement (UE) 2024/1689 prévoit jusqu'à 35 M€ ou 7 % du chiffre d'affaires annuel mondial pour les pratiques interdites de l'Article 5, jusqu'à 15 M€ ou 3 % pour les manquements aux obligations des systèmes à haut risque, et jusqu'à 7,5 M€ ou 1 % pour les informations inexactes. Pour les PME, le plafond retenu est le moindre des deux montants. Au-delà des amendes, l'autorité peut ordonner le retrait du marché ou la suspension d'usage.
Dois-je catégoriser tous mes systèmes d'IA ?
Oui. L'Article 6 et l'Annexe III du Règlement imposent une qualification de chaque système d'IA selon une grille de risque. Cette classification détermine les obligations applicables et conditionne la documentation à produire. Les outils d'auto-évaluation de la CNIL facilitent cette opération pour les PME qui n'ont pas de service juridique dédié.
Quel est le rôle du service desk européen ?
Le service desk de la Commission européenne (ai-act-service-desk.ec.europa.eu) répond gratuitement aux questions d'interprétation du Règlement. Il s'adresse en priorité aux PME et aux acteurs publics. Il ne délivre pas d'avis individuel contraignant, mais publie des notes interprétatives utiles pour calibrer une démarche interne.
Comment gérer les systèmes hébergés par des tiers ?
Lorsque le système est fourni par un prestataire, celui-ci porte les obligations de fournisseur prévues aux Articles 16 et suivants. Le déployeur (la PME utilisatrice) conserve ses propres obligations au titre de l'Article 26 : surveillance humaine, suivi, information des personnes concernées. Les contrats doivent expressément encadrer la fourniture des instructions d'usage, la déclaration de conformité UE et l'accès aux journaux. Une certification ISO/IEC 42001:2023 du fournisseur constitue un indice de sérieux.
Quel budget prévoir pour la conformité ?
Le coût varie selon le nombre et la criticité des systèmes. Pour une PME de 10 à 250 salariés exploitant deux à cinq systèmes dont un à haut risque, une fourchette de 15 à 30 k€ couvre l'audit initial, la documentation et la formation [à vérifier — fourchette indicative regulia]. Ce montant reste inférieur d'un ordre de grandeur au plafond d'amende minimal applicable.
Sources officielles
- Règlement (UE) 2024/1689 — texte consolidé EUR-Lex
- Texte intégral commenté — artificialintelligenceact.eu
- Service desk AI Act — Commission européenne
- Fiches pratiques IA — CNIL
- ISO/IEC 42001:2023 — Système de management de l'IA
- ISO/IEC 23894:2023 — Gestion des risques liés à l'IA
- ISO/IEC 27001:2022 — Sécurité de l'information
Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.