L'essentiel en 30 secondes - Le Règlement (UE) 2024/1689 (AI Act) impose des obligations de transparence renforcées dès qu'un système d'IA traite des données personnelles, notamment via l'Article 50 (transparence) et l'articulation avec l'Article 26 pour les déployeurs. - Les PME déployant des systèmes d'IA à haut risque doivent réaliser une analyse d'impact sur les droits fondamentaux (FRIA, Art. 27) en complément de l'AIPD prévue par le RGPD (Art. 35). - Les sanctions de l'AI Act peuvent atteindre 35 M€ ou 7 % du chiffre d'affaires mondial pour les pratiques interdites, et 15 M€ ou 3 % pour les manquements aux obligations à haut risque (Art. 99). - La CNIL a publié 13 fiches pratiques sur le développement responsable des systèmes d'IA, accessibles depuis cnil.fr. - Le service desk de l'AI Office EU répond aux questions techniques des PME via ai-act-service-desk.ec.europa.eu. - Les obligations à haut risque entrent en application le 2 août 2026 ; les PME doivent cartographier dès aujourd'hui leurs usages d'IA pour anticiper.
1. Contexte de l'AI Act et son impact sur les PME
Le Règlement (UE) 2024/1689, dit AI Act, est entré en vigueur le 1er août 2024. Son application s'étale jusqu'en août 2027 selon une calendrier graduel. Les pratiques interdites (Art. 5) s'appliquent depuis le 2 février 2025. Les obligations sur l'IA à usage général (GPAI) sont entrées en vigueur le 2 août 2025. Les obligations sur les systèmes à haut risque (Annexe III) deviennent contraignantes le 2 août 2026.
Pour une PME française de 10 à 250 salariés, l'AI Act change la donne dès qu'un système d'IA traite des données personnelles. Le règlement complète le RGPD sans le remplacer. Il ajoute des exigences techniques, organisationnelles et documentaires qui s'imbriquent avec celles déjà connues du DPO.
Le législateur européen a prévu des mesures spécifiques pour les PME. L'Article 62 du Règlement (UE) 2024/1689 impose aux États membres de fournir un accès prioritaire aux bacs à sable réglementaires (regulatory sandboxes) pour les PME et les start-ups. Les frais administratifs sont également réduits proportionnellement à la taille de l'entreprise.
Pour bien comprendre l'écosystème global de conformité, consultez notre guide pillar AI Act pour PME françaises qui détaille les six étapes de mise en conformité.
| Échéance | Obligation | Impact PME |
|---|---|---|
| 2 février 2025 | Pratiques interdites (Art. 5) | Vérifier qu'aucun usage IA ne relève des pratiques prohibées |
| 2 août 2025 | GPAI (modèles de fondation) | Documenter l'usage de ChatGPT, Claude, Mistral en interne |
| 2 août 2026 | Haut risque + transparence (Art. 50) | Cartographier les systèmes à haut risque, FRIA, AIPD |
| 2 août 2027 | Haut risque sous législation harmonisée | Conformité étendue aux produits soumis à marquage CE |
Pourquoi les PME sont en première ligne
Les PME utilisent massivement des outils d'IA pour le recrutement, le marketing, la relation client et la conformité. Beaucoup intègrent des modules d'IA achetés à des fournisseurs sans en mesurer les implications juridiques. La PME devient alors "déployeur" au sens de l'Article 3, point 4 du Règlement. Ce statut entraîne des obligations propres, distinctes de celles du fournisseur.
2. Obligations de transparence (Article 50)
L'Article 50 du Règlement (UE) 2024/1689 porte sur la transparence vis-à-vis des personnes physiques. Il s'applique à tous les opérateurs, indépendamment du niveau de risque du système. Quatre situations principales sont couvertes.
- Interaction directe avec une IA : les utilisateurs doivent être informés qu'ils interagissent avec un système d'IA, sauf si cela est évident.
- Contenu synthétique : les sorties générées (texte, image, audio, vidéo) doivent être marquées comme artificielles dans un format lisible par machine.
- Reconnaissance d'émotions ou catégorisation biométrique : information explicite des personnes concernées.
- Deepfakes : étiquetage obligatoire du contenu manipulé.
Pour une PME, cela se traduit concrètement par la mise à jour des mentions légales, de la politique de confidentialité et des interfaces utilisateurs. Un chatbot client doit afficher dès le premier message qu'il s'agit d'une IA. Un outil de tri de CV doit informer les candidats que leur dossier passe par un système automatisé.
Articulation avec le RGPD
Le RGPD (Articles 13 et 14) impose déjà une information sur les traitements automatisés. L'AI Act ajoute une couche : l'information ne porte plus seulement sur le traitement de données, mais sur la nature même du système (IA versus humain). La PME doit donc réviser ses notices d'information pour intégrer cette double dimension.
| Texte | Information requise | Moment |
|---|---|---|
| RGPD Art. 13 | Identité du responsable, finalité, base légale, durée | Au moment de la collecte |
| RGPD Art. 22 | Existence d'une décision automatisée + logique sous-jacente | Au moment de la collecte |
| AI Act Art. 50 | Nature artificielle du système ou du contenu | Avant interaction ou diffusion |
3. Évaluation d'impact sur la protection des données (DPIA) et FRIA
Deux analyses d'impact distinctes peuvent s'appliquer à un système d'IA traitant des données personnelles.
L'AIPD (RGPD, Art. 35)
L'analyse d'impact relative à la protection des données est obligatoire dès qu'un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes. La CNIL a publié une liste de traitements concernés. Elle couvre notamment le profilage à grande échelle, la surveillance systématique de zones accessibles au public et le traitement de données sensibles.
La FRIA (AI Act, Art. 27)
L'Article 27 du Règlement (UE) 2024/1689 introduit l'analyse d'impact sur les droits fondamentaux (Fundamental Rights Impact Assessment). Elle concerne les déployeurs publics et certains déployeurs privés (services bancaires, assurance vie et santé) utilisant des systèmes à haut risque listés à l'Annexe III.
Le contenu requis par la FRIA inclut : - la description des processus dans lesquels le système sera utilisé ; - la période et la fréquence d'utilisation ; - les catégories de personnes susceptibles d'être affectées ; - les risques spécifiques de préjudice pour ces personnes ; - les mesures de supervision humaine ; - les mesures à prendre en cas de matérialisation du risque.
| Critère | AIPD (RGPD) | FRIA (AI Act) |
|---|---|---|
| Base juridique | Art. 35 RGPD | Art. 27 Règlement 2024/1689 |
| Périmètre | Traitement à risque élevé | Système IA à haut risque (Annexe III) |
| Déployeurs visés | Tout responsable de traitement | Organismes publics + certains acteurs privés |
| Autorité de contrôle | CNIL | Autorité nationale + AI Office EU |
| Articulation | Peut être intégrée dans la FRIA | Complète l'AIPD si données personnelles |
Besoin d'un modèle FRIA + AIPD intégré ?
regulia propose un pack documentaire avec template FRIA, AIPD et registre de traitement IA, prêt à adapter à votre activité.
Demander le pack documentaire4. Conformité RGPD et AI Act : une lecture combinée
Le considérant 10 du Règlement (UE) 2024/1689 rappelle que l'AI Act est sans préjudice du RGPD. Les deux textes coexistent. La PME doit donc tenir deux registres : un registre RGPD des traitements (Art. 30 RGPD) et une documentation technique IA (Art. 11 + Annexe IV AI Act).
Principes RGPD à appliquer aux systèmes d'IA
Le principe de minimisation (Art. 5.1.c RGPD) impose de ne collecter que les données strictement nécessaires. Pour un modèle d'IA, cela signifie limiter les variables d'entraînement et éviter les données surabondantes. La CNIL a précisé dans ses fiches pratiques de 2024-2025 qu'un fournisseur peut utiliser des données personnelles pour entraîner un modèle, à condition d'avoir une base légale et de respecter le principe de finalité.
Le consentement (Art. 6.1.a RGPD) reste une base légale parmi d'autres. Pour les traitements à haut risque, l'intérêt légitime (Art. 6.1.f) peut être mobilisé, mais nécessite un test de mise en balance documenté. Notre glossaire juridique détaille ces notions.
Droits des personnes
Les droits RGPD s'exercent pleinement sur les systèmes d'IA. Le droit d'accès (Art. 15), de rectification (Art. 16), à l'effacement (Art. 17) et à la portabilité (Art. 20) s'appliquent. La PME doit prévoir un processus technique permettant d'extraire ou de supprimer les données personnelles d'un modèle. C'est un point souvent négligé lors de la conception.
L'Article 22 du RGPD encadre les décisions individuelles automatisées. Il interdit en principe une décision purement automatique produisant des effets juridiques, sauf exceptions. L'AI Act renforce cette protection en exigeant une supervision humaine (Art. 14) pour tous les systèmes à haut risque.
5. Sanctions pour non-conformité
L'Article 99 du Règlement (UE) 2024/1689 fixe les sanctions administratives pécuniaires. Le régime est étagé selon la gravité du manquement.
| Manquement | Plafond | Référence |
|---|---|---|
| Pratiques interdites (Art. 5) | 35 M€ ou 7 % du CA mondial annuel | Art. 99.3 |
| Non-respect obligations haut risque, transparence (Art. 50) | 15 M€ ou 3 % du CA mondial annuel | Art. 99.4 |
| Fourniture d'informations inexactes aux autorités | 7,5 M€ ou 1 % du CA mondial annuel | Art. 99.5 |
| Spécifique PME et start-ups | Plafond bas privilégié | Art. 99.6 |
L'Article 99.6 du Règlement précise que pour les PME et start-ups, le montant retenu est le plus bas entre le pourcentage du chiffre d'affaires et le plafond fixe. Cette modulation reconnaît la capacité contributive des petites structures.
Les sanctions RGPD restent applicables en parallèle. L'Article 83 du RGPD prévoit des amendes allant jusqu'à 20 M€ ou 4 % du chiffre d'affaires mondial annuel. Pour un même fait, une PME peut donc cumuler une sanction AI Act et une sanction RGPD si les manquements concernent des dispositions distinctes.
Pour une analyse détaillée du régime des sanctions et un calculateur, consultez notre article AI Act : sanctions et amendes pour les PME.
Au-delà des amendes
Les conséquences ne se limitent pas aux sanctions financières. Les autorités peuvent ordonner le retrait d'un système non conforme du marché. Pour une PME dont l'activité repose sur un produit IA, cela équivaut à un arrêt d'exploitation. Le risque réputationnel est également majeur : la liste des sanctions sera publiée par les autorités nationales.
6. Outils et ressources pour les PME
Plusieurs ressources officielles aident les PME à naviguer dans l'AI Act sans recourir systématiquement à un conseil externe.
Le guide CNIL
La CNIL a publié 13 fiches pratiques entre 2024 et 2025 sur le développement responsable des systèmes d'IA. Elles couvrent la base légale, l'AIPD, la sécurité, l'open data, l'annotation des données et la diffusion des modèles. Chaque fiche propose des exemples concrets pour les PME.
Le service desk européen
L'AI Office EU a mis en place un service desk technique accessible via ai-act-service-desk.ec.europa.eu. Les PME peuvent poser des questions techniques sur la classification des systèmes, les obligations documentaires et les exigences techniques. Les réponses sont publiées de manière anonymisée.
Les normes techniques
Trois normes ISO/IEC structurent la mise en conformité opérationnelle : - ISO/IEC 42001:2023 : système de management de l'IA (analogue à ISO 9001 pour la qualité) ; - ISO/IEC 23894:2023 : gestion des risques liés à l'IA ; - ISO/IEC 27001:2022 : sécurité de l'information, base pour tout système traitant des données.
L'adoption de ces normes ne dispense pas de la conformité AI Act, mais crée une présomption favorable lors des contrôles.
Les guides sectoriels
Le Cigref (janvier 2025) et Numeum (mars 2025) ont publié des guides pratiques destinés respectivement aux grandes entreprises et aux ETI/PME du numérique. Les guides sectoriels ACPR (banque), ANSM (santé) et ARCEP (télécoms) complètent le dispositif selon votre secteur d'activité. La liste complète figure dans notre page Sources.
Recevez le pack documentaire regulia
Modèles FRIA, AIPD, registre IA, procédure de supervision humaine et grilles de contrôle. Conçus pour les PME françaises de 10 à 250 salariés.
Accéder au formulaire7. Cas d'usage concrets pour les PME
Cas 1 — Tri de CV automatisé (RH)
Un éditeur d'ATS (Applicant Tracking System) propose un module d'IA classant les CV. La PME utilisatrice devient déployeur d'un système à haut risque au sens de l'Annexe III, point 4.a du Règlement (UE) 2024/1689 (recrutement). Obligations cumulées :
- AIPD obligatoire (RGPD Art. 35) ;
- FRIA si la PME est un organisme public ou un employeur dans un secteur soumis à supervision étroite ;
- information des candidats (RGPD Art. 13 + AI Act Art. 50) ;
- supervision humaine (Art. 14 AI Act) ;
- documentation technique fournie par l'éditeur (Art. 11 + Annexe IV).
Cas 2 — Scoring client marketing
Une PME du e-commerce utilise un outil de scoring prédictif pour personnaliser ses campagnes. Le système traite des données comportementales et de profilage. Selon la sophistication de l'outil, il peut relever du haut risque (profilage massif). Le déploiement implique :
- analyse de la base légale (intérêt légitime ou consentement) ;
- mise à jour de la politique de confidentialité ;
- mention explicite du caractère automatisé dans le parcours utilisateur ;
- droit d'opposition garanti.
Cas 3 — Chatbot de support client
Un chatbot conversationnel propulsé par un LLM (GPT-4, Claude, Mistral) répond aux questions clients. Trois obligations principales :
- Transparence Art. 50 : indication claire qu'il s'agit d'une IA dès l'ouverture du dialogue.
- GPAI Art. 53 : si la PME est intégrateur, vérifier que le fournisseur du modèle fournit la documentation requise.
- Sécurité des données : conformité aux exigences RGPD sur les transferts hors UE si le modèle est hébergé aux États-Unis.
Cas 4 — Conformité réglementaire automatisée
Une PME utilise un outil d'IA pour analyser ses contrats commerciaux et détecter les clauses à risque. Le système ne traite pas de données personnelles sensibles mais des documents internes. Le risque n'est pas le haut risque mais la transparence Art. 50 et la documentation interne.
8. Recommandations opérationnelles pour les PME
La conformité AI Act se construit par étapes. Voici une feuille de route en huit actions priorisées sur six mois.
- Cartographier les systèmes d'IA en usage : recenser tous les outils intégrant de l'IA, y compris ceux embarqués dans des SaaS existants (CRM, ERP, ATS).
- Qualifier le rôle de la PME : déployeur, fournisseur, distributeur ou importateur (Art. 3 Règlement 2024/1689). Le statut détermine les obligations.
- Classifier le niveau de risque : interdit (Art. 5), haut risque (Annexe III), risque limité (Art. 50), risque minimal. Documenter le raisonnement.
- Réaliser ou mettre à jour l'AIPD pour chaque traitement de données personnelles via IA.
- Déclencher une FRIA si le système est à haut risque et que la PME entre dans le champ de l'Art. 27.
- Former le personnel : la littératie IA est exigée par l'Article 4 du Règlement depuis le 2 février 2025. Une formation interne documentée est nécessaire pour tous les utilisateurs professionnels.
- Mettre à jour les notices d'information : politique de confidentialité, mentions légales, interfaces utilisateurs.
- Conserver la documentation : conservation minimale de 10 ans pour les fournisseurs de haut risque (Art. 18), 6 mois pour les journaux de fonctionnement (Art. 19).
| Action | Délai recommandé | Responsable interne |
|---|---|---|
| Cartographie IA | M+1 | DSI ou IA Lead |
| Qualification rôle + risque | M+2 | DPO + juridique |
| AIPD / FRIA | M+3 à M+4 | DPO + métier |
| Formation personnel | M+4 à M+5 | RH + IA Lead |
| Mise à jour notices | M+5 | Juridique + communication |
| Audit final | M+6 | RSSI + DPO |
Anticiper les contrôles
L'autorité de surveillance française pour l'AI Act sera désignée par décret. La CNIL est compétente pour les questions liées aux données personnelles et a annoncé un programme de contrôle articulé avec le futur dispositif national. Une PME prête à présenter sa documentation technique, son AIPD et sa FRIA lors d'un contrôle réduit fortement son exposition.
FAQ
Q : Quelles sont les sanctions pour non-conformité de l'AI Act pour une PME ?
L'Article 99 du Règlement (UE) 2024/1689 prévoit des sanctions étagées : jusqu'à 35 M€ ou 7 % du chiffre d'affaires mondial pour les pratiques interdites (Art. 5), jusqu'à 15 M€ ou 3 % pour les manquements aux obligations sur les systèmes à haut risque et à la transparence (Art. 50), et jusqu'à 7,5 M€ ou 1 % pour la fourniture d'informations inexactes. L'Article 99.6 prévoit pour les PME et start-ups le retenue du montant le plus bas entre le pourcentage et le plafond fixe. Les sanctions RGPD (Art. 83) restent applicables en parallèle.
Q : Comment une PME peut-elle réaliser une AIPD pour son système d'IA ?
La CNIL met à disposition un guide PIA téléchargeable et un logiciel open source. Pour les systèmes d'IA, les 13 fiches pratiques publiées en 2024-2025 apportent des précisions sectorielles. La méthode comprend : description du traitement, évaluation de la nécessité et de la proportionnalité, identification des risques pour les droits et libertés, mesures de protection prévues. Pour les systèmes à haut risque traitant des données sensibles à grande échelle, une consultation préalable de la CNIL (Art. 36 RGPD) peut être obligatoire avant la mise en œuvre.
Q : Quelles sont les obligations de transparence pour les systèmes d'IA traitant des données personnelles ?
L'Article 50 du Règlement (UE) 2024/1689 impose que les utilisateurs soient informés lorsqu'ils interagissent avec un système d'IA, sauf si cela est évident. Les contenus générés (texte, image, audio, vidéo) doivent être marqués comme artificiels dans un format lisible par machine. Les systèmes de reconnaissance d'émotions ou de catégorisation biométrique exigent une information explicite. Pour les déployeurs de deepfakes, l'étiquetage est obligatoire. Ces obligations s'ajoutent à celles déjà prévues par les Articles 13 et 14 du RGPD sur l'information préalable.
Q : Comment l'AI Act s'intègre-t-il avec le RGPD pour les PME ?
Le considérant 10 du Règlement (UE) 2024/1689 précise que l'AI Act s'applique sans préjudice du RGPD. Les deux textes se complètent. Le RGPD régit le traitement des données personnelles ; l'AI Act régit la mise sur le marché et l'utilisation des systèmes d'IA. Une PME doit donc tenir un registre RGPD (Art. 30) et une documentation technique IA (Art. 11 + Annexe IV AI Act). La FRIA (Art. 27 AI Act) peut intégrer l'AIPD pour éviter une double analyse. Les droits RGPD (accès, rectification, effacement) s'exercent pleinement sur les systèmes d'IA.
Q : Quels outils sont disponibles pour aider les PME à se conformer à l'AI Act ?
Trois ressources officielles principales : (1) les 13 fiches pratiques CNIL sur le développement responsable des systèmes d'IA, accessibles sur cnil.fr ; (2) le service desk de l'AI Office EU à ai-act-service-desk.ec.europa.eu qui répond aux questions techniques ; (3) les normes ISO/IEC 42001 (management de l'IA), 23894 (gestion des risques IA) et 27001 (sécurité de l'information). Les guides sectoriels Cigref (janvier 2025) et Numeum (mars 2025) complètent le dispositif. Les bacs à sable réglementaires prévus par l'Article 57 du Règlement offrent aux PME un environnement contrôlé pour tester leurs systèmes.
Sources officielles
- Règlement (UE) 2024/1689 — texte intégral sur EUR-Lex
- Texte consolidé AI Act — artificialintelligenceact.eu
- Service desk AI Office EU
- CNIL — 13 fiches pratiques IA
- Règlement (UE) 2016/679 — RGPD sur EUR-Lex
- ISO/IEC 42001:2023 — Systèmes de management de l'intelligence artificielle
- ISO/IEC 23894:2023 — Gestion des risques liée à l'intelligence artificielle
- ISO/IEC 27001:2022 — Systèmes de management de la sécurité de l'information
Disclaimer — Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.