AI Act : quels sont les risques des systèmes GPAI pour les PME?

Q: Quelles sont les sanctions pour non-conformité de l'AI Act pour une PME?

Les PME peuvent être sanctionnées jusqu'à 7% de leur chiffre d'affaires annuel (ou 35 millions €, Article 83 EU AI Act). Les responsables peuvent également faire l'objet de sanctions pénales (Article 84). Les sous-traitants sont également responsables (Article 26).

Q: Comment une PME peut-elle évaluer les risques de ses systèmes GPAI?

Une PME doit réaliser une évaluation des risques (Article 46 EU AI Act) couvrant : classification des systèmes (haut/élevé/moyen/bas risque), analyse des impacts sur les droits fondamentaux, vérification de la conformité RGPD et mise en place de mesures de sécurité. Le guide CNIL 2024 propose des méthodologies.

Q: Quels sont les coûts estimés pour se conformer à l'AI Act pour une PME?

Les coûts varient selon la taille et la complexité des systèmes GPAI. Une étude de 2025 estime un coût moyen de 15 000-50 000 € pour une PME de 50 salariés, couvrant l'audit, la documentation, la mise en place de processus et la formation. Le service desk européen propose des outils de calcul.

Q: Comment une PME peut-elle s'assurer de la conformité de ses sous-traitants?

Une PME doit inclure des clauses spécifiques dans les contrats avec ses sous-traitants : obligation de conformité à l'AI Act, responsabilité en cas de non-respect, droit d'accès aux documents de conformité et vérification régulière des processus. Le modèle de contrat proposé par l'AI Act Service Desk est recommandé.

Q: Quelles sont les étapes pour documenter un système GPAI selon l'AI Act?

La documentation doit inclure : description du système, analyse des risques, processus de prise de décision, mesures de sécurité, processus de surveillance et de mise à jour, et formation des utilisateurs. Le guide CNIL 2024 détaille ces exigences avec des exemples concrets pour les PME.

L'essentiel en 30 secondes - Le Règlement (UE) 2024/1689 impose des obligations strictes pour les systèmes d'IA à haut risque (Article 6 du Règlement (UE) 2024/1689). - Les PME s'exposent à des sanctions financières pouvant atteindre 7 % du chiffre d'affaires mondial ou 35 millions d'euros (Art. 99). - Les risques majeurs comprennent les erreurs de classification, les biais algorithmiques et les violations de données personnelles. - La CNIL recommande une documentation technique structurée pour tout système d'IA à haut risque (fiches pratiques IA, 2024) [à vérifier sur le format minimal exact]. - Les déployeurs (utilisateurs professionnels) restent responsables, même lorsque le système provient d'un fournisseur tiers (Art. 26). - Le service desk européen de l'AI Act fournit un point d'entrée gratuit pour les PME : ai-act-service-desk.ec.europa.eu.

Les systèmes d'intelligence artificielle à usage général, dits GPAI (General Purpose AI), occupent une place croissante dans les PME françaises. Outils de génération de texte, assistants de tri de CV, copilotes de code, agents conversationnels client : ces modèles polyvalents accélèrent l'activité, mais multiplient les zones d'exposition juridique. Le Règlement (UE) 2024/1689, dit EU AI Act, est entré en vigueur le 1er août 2024. Ses obligations s'appliquent par paliers entre février 2025 et août 2027.

Pour une PME, l'enjeu est double : comprendre quels risques pèsent sur l'organisation et identifier les actions concrètes à engager avant chaque échéance. Cet article cartographie les huit catégories de risques majeurs et propose une lecture opérationnelle adaptée aux structures de 10 à 250 salariés.

Pour le cadre général d'application de l'AI Act aux PME, voir notre pillar dédié. Pour le détail des sanctions financières, consultez notre dossier sanctions et amendes.

1. Risques juridiques : sanctions et responsabilité

Les obligations issues de l'AI Act sont assorties d'un régime de sanctions parmi les plus lourds du droit européen. L'Article 99 du Règlement (UE) 2024/1689 fixe trois plafonds distincts selon la nature du manquement.

Type de manquement	Plafond financier	Base juridique
Mise sur le marché d'un système d'IA interdit (Art. 5)	35 M€ ou 7 % du CA mondial	Art. 99 §3
Non-respect des obligations applicables aux systèmes à haut risque	15 M€ ou 3 % du CA mondial	Art. 99 §4
Information inexacte fournie aux autorités	7,5 M€ ou 1 % du CA mondial	Art. 99 §5

Le texte prévoit que pour les PME et les start-ups, le montant retenu est le plus bas des deux plafonds applicables (Art. 99 §6). Ce plafond ajusté ne supprime pas le risque : un manquement structurel reste susceptible de menacer la viabilité d'une PME de 50 salariés.

La responsabilité dépasse l'amende administrative. L'Article 26 du Règlement (UE) 2024/1689 impose au déployeur — la PME qui utilise le système — des obligations propres : surveillance humaine, journalisation, information des personnes concernées, analyse d'impact sur les droits fondamentaux dans certains cas. Le déployeur ne peut pas se retrancher derrière le fournisseur du modèle GPAI.

À ce risque administratif s'ajoute le risque civil : un client lésé par une décision automatisée défaillante peut engager la responsabilité contractuelle ou délictuelle de la PME. La directive révisée sur la responsabilité du fait des produits défectueux (Directive (UE) 2024/2853) couvre désormais explicitement les logiciels d'IA.

2. Risques opérationnels : pertes et dysfonctionnements

Au-delà du juridique, l'utilisation d'un système GPAI expose la PME à des défaillances opérationnelles concrètes. Les erreurs de classification d'un modèle de scoring client peuvent générer des facturations erronées, des refus injustifiés ou des relances inappropriées.

Les principaux risques opérationnels à anticiper :

Pertes financières directes liées aux erreurs de sortie du modèle (facturation, comptabilité, gestion de stock).
Interruptions de service en cas de dépendance forte à un fournisseur GPAI externe (API indisponible, changement de tarification, retrait commercial du modèle).
Coûts de remédiation pour corriger un biais algorithmique détecté après mise en production.
Dette technique liée au maintien de versions obsolètes d'un modèle, lorsqu'une mise à jour modifie le comportement attendu sans préavis.

Scénario opérationnel	Impact estimé PME 50 salariés	Mesure préventive
Indisponibilité API GPAI 48h	Perte de productivité 2-8 k€	Plan de continuité, modèle de secours
Erreur systématique de classification	5-30 k€ + remboursements	Tests d'acceptation, monitoring
Changement de tarification fournisseur	+20 % à +200 % budget IA annuel	Clause contractuelle d'évolution tarifaire
Dérive du modèle après mise à jour	Reprise manuelle dossiers	Versioning, suivi performance

La dépendance à un fournisseur unique constitue une vulnérabilité structurelle. L'Article 25 du Règlement (UE) 2024/1689 prévoit d'ailleurs un mécanisme de bascule : un déployeur qui modifie substantiellement un système peut être requalifié en fournisseur, avec un transfert d'obligations associé.

3. Risques éthiques et réputationnels

Un système GPAI mal configuré produit des effets visibles : réponses biaisées, contenu inapproprié, décisions discriminatoires. La gestion de ces incidents pèse autant sur la marque que sur la conformité.

Les biais algorithmiques restent l'angle mort le plus fréquent. Un outil de tri de CV entraîné sur des données historiques tend à reproduire les déséquilibres existants. Un assistant conversationnel mal cadré peut adopter un ton inapproprié face à un client vulnérable. Un générateur d'images peut diffuser des stéréotypes.

Quatre vecteurs réputationnels à surveiller :

Discriminations indirectes dans l'accès à un service, à un crédit ou à un emploi.
Manque de transparence : un client qui découvre a posteriori qu'une décision le concernant a été automatisée perd confiance durablement.
Atteinte à la marque employeur lorsque les outils RH automatisés sont perçus comme déshumanisés.
Diffamation accidentelle par hallucination d'un modèle génératif citant nommément une personne.

L'Article 50 du Règlement (UE) 2024/1689 impose une obligation de transparence : les interactions avec un système d'IA et les contenus générés artificiellement (textes, images, deepfakes) doivent être identifiés comme tels. Cette obligation entre en application le 2 août 2026.

Cartographiez vos risques GPAI en moins d'une heure

regulia propose un pack documentaire prêt à l'emploi : registre des systèmes d'IA, grille d'analyse de risque, modèles de clauses fournisseurs. Conçu pour les PME françaises de 10 à 250 salariés.

Demander le pack documentaire

4. Risques de conformité : documentation et processus

L'AI Act consacre une exigence forte de documentation. L'Article 11 du Règlement (UE) 2024/1689 impose, pour tout système à haut risque, une documentation technique permettant de démontrer la conformité. L'Annexe IV en détaille le contenu attendu : description générale, conception, données d'entraînement, surveillance, gestion des risques.

Pour une PME, le défi tient moins au volume qu'à la traçabilité. Une autorité de surveillance peut exiger à tout moment la preuve qu'un système est conforme. L'absence de traçabilité crée une présomption défavorable.

Les principaux écarts observés dans les audits de conformité préliminaires :

Absence de registre des systèmes d'IA utilisés.
Pas d'identification claire du rôle joué (fournisseur, déployeur, importateur, distributeur — Art. 3).
Aucune analyse de classification de risque documentée par système.
Pas de procédure de signalement des incidents (Art. 73).
Absence de plan de surveillance post-déploiement (Art. 72).

La CNIL a publié en 2024 plusieurs fiches pratiques sur l'IA et le RGPD, qui constituent une référence opérationnelle utile. Ces fiches insistent sur la nécessité d'une analyse d'impact lorsque le système traite des données personnelles à grande échelle ou des données sensibles. Le contenu détaillé est disponible sur cnil.fr/fr/les-fiches-pratiques-ia.

Document attendu	Base juridique	Volume indicatif
Registre des systèmes d'IA	Art. 26 §6	1-3 pages par système
Documentation technique	Art. 11 + Annexe IV	10-30 pages par système
Analyse d'impact sur les droits fondamentaux	Art. 27	5-15 pages
Journal des incidents	Art. 73	Continu
Politique de surveillance humaine	Art. 14	3-5 pages

5. Risques spécifiques aux PME

Les PME affrontent un déséquilibre structurel : les obligations de l'AI Act sont en grande partie inspirées des grandes structures, mais les ressources internes sont rarement à l'échelle.

Quatre contraintes propres aux structures de 10 à 250 salariés :

Ressources limitées pour conduire un audit interne complet sans cabinet externe.
Absence de fonction conformité dédiée : le DPO cumule souvent IT, sécurité et IA.
Difficulté à suivre les évolutions réglementaires : actes délégués, guidelines de la Commission, codes de conduite sectoriels.
Coût relatif de la mise en conformité, parfois équivalent à plusieurs mois de marge nette.

L'Article 62 du Règlement (UE) 2024/1689 prévoit des mesures de soutien : accès prioritaire aux bacs à sable réglementaires, modèles standardisés, frais d'évaluation de conformité ajustés à la taille. Le règlement reconnaît explicitement les besoins des micro, petites et moyennes entreprises.

Le service desk européen (ai-act-service-desk.ec.europa.eu) constitue un point d'entrée gratuit. Il publie des FAQ régulièrement actualisées et oriente vers les autorités nationales. En France, la coordination est assurée par la DGE (Direction générale des entreprises), avec la CNIL pour le volet données personnelles.

Pour comprendre le détail des sanctions et des plafonds ajustés pour les PME, consultez notre analyse complète des amendes prévues par l'Article 99.

6. Risques liés aux sous-traitants

Un fournisseur GPAI tiers ne décharge pas la PME de ses obligations. L'Article 26 du Règlement (UE) 2024/1689 attribue au déployeur des responsabilités propres, indépendantes de celles du fournisseur. Une PME qui utilise un modèle commercial reste responsable de son usage opérationnel.

Trois zones de friction contractuelle à anticiper :

Risque sous-traitant	Conséquence pour la PME	Clause contractuelle recommandée
Modèle non conforme	Co-responsabilité, sanctions	Garantie de conformité AI Act
Modification unilatérale du modèle	Dérive comportementale	Notification préalable + droit de retrait
Refus de fournir la documentation Art. 13	Impossibilité d'auditer	Engagement de coopération documentaire
Sous-traitance en cascade	Perte de traçabilité	Liste fermée des sous-sous-traitants
Localisation des données hors UE	Risque RGPD additionnel	Clauses contractuelles types

Le déployeur doit obtenir du fournisseur les informations nécessaires à l'exercice de ses propres obligations (Art. 13). Cette transparence couvre les capacités, les limites, les données d'entraînement et le niveau de précision attendu. Une PME qui contracte sans clause spécifique AI Act s'expose à un blocage en cas de contrôle.

Pour les modèles GPAI eux-mêmes, l'Article 53 impose aux fournisseurs des obligations de documentation et de coopération. Le Code de bonne pratique GPAI publié par l'AI Office en 2025 [à vérifier date exacte] précise les attentes opérationnelles. La PME déployeur peut s'appuyer sur l'engagement du fournisseur au Code pour étayer sa propre conformité.

7. Risques liés aux données personnelles

L'AI Act ne se substitue pas au RGPD ; il s'y articule. Tout traitement de données personnelles via un système GPAI doit respecter le Règlement (UE) 2016/679 en plus de l'AI Act.

Les principaux risques RGPD associés aux systèmes GPAI :

Base légale fragile pour l'entraînement ou l'utilisation : intérêt légitime contesté, consentement mal recueilli.
Traitement de données sensibles (santé, opinions, biométrie) sans condition de l'Article 9 RGPD.
Décision individuelle automatisée au sens de l'Article 22 RGPD, sans intervention humaine significative.
Difficulté à exercer les droits : accès, rectification, effacement, opposition, portabilité.
Transferts hors UE vers des fournisseurs de modèles sans garanties suffisantes.

Les sanctions RGPD se cumulent avec celles de l'AI Act. La CNIL peut prononcer une amende jusqu'à 4 % du CA mondial ou 20 millions d'euros (Art. 83 RGPD). Une PME défaillante peut être sanctionnée deux fois pour un même incident, sur deux fondements juridiques distincts.

L'analyse d'impact relative à la protection des données (AIPD) reste obligatoire pour tout traitement à risque élevé. Pour un système GPAI utilisé en RH ou en relation client, l'AIPD est presque toujours requise. Le glossaire complet des notions IA et données personnelles est disponible dans notre glossaire dédié.

Sécurisez votre articulation AI Act et RGPD

Le pack documentaire regulia couvre les deux régimes : registre des traitements IA, AIPD modèle, registre des systèmes d'IA, clauses contractuelles fournisseurs GPAI. Livraison sous format éditable.

Recevoir une démonstration

8. Risques liés aux systèmes GPAI

Les systèmes d'IA à usage général présentent un profil de risque spécifique. Leur polyvalence rend l'analyse de risque plus complexe : le même modèle peut être utilisé pour rédiger un courrier, analyser un contrat ou générer un visuel marketing.

Le Règlement (UE) 2024/1689 consacre un chapitre entier aux modèles GPAI (Chapitre V, Articles 51 à 56). Il distingue deux régimes :

Modèles GPAI standards : obligations de documentation, de coopération et de respect du droit d'auteur (Art. 53).
Modèles GPAI à risque systémique : obligations renforcées d'évaluation, de gestion des risques, de notification des incidents (Art. 55). Le seuil est fixé à 10²⁵ FLOPs cumulés d'entraînement (Art. 51 §2).

La PME utilise quasiment toujours des modèles GPAI standards. Mais les modèles à risque systémique (modèles de fondation des grands fournisseurs) sont souvent ceux que la PME intègre via une API. Les obligations renforcées du fournisseur n'exonèrent pas le déployeur.

Quatre risques spécifiques au déploiement de GPAI :

Hallucinations : production d'informations fausses présentées comme certaines.
Fuites par prompt injection : exfiltration de données confidentielles via une requête malveillante.
Contenus protégés par droit d'auteur réutilisés sans autorisation par le modèle.
Génération de contenus interdits non détectés par les filtres natifs.

Risque GPAI	Mesure d'atténuation côté PME
Hallucination	Validation humaine, sources vérifiables
Prompt injection	Filtrage entrées/sorties, isolation des contextes
Droit d'auteur	Politique d'usage, traçabilité prompts
Contenu interdit	Modération en sortie, filtres complémentaires
Dérive après mise à jour	Tests de non-régression réguliers

Pour la liste complète des sources réglementaires officielles, voir notre page sources.

FAQ

Quelles sont les sanctions pour non-conformité de l'AI Act pour une PME ?

Les PME s'exposent à des sanctions financières pouvant atteindre 7 % du chiffre d'affaires mondial ou 35 millions d'euros pour les manquements les plus graves (Article 99 du Règlement (UE) 2024/1689). Pour les PME, le plafond retenu est le plus bas des deux montants (Art. 99 §6). Les sanctions civiles et les actions en responsabilité contractuelle se cumulent avec ces sanctions administratives. Le déployeur reste responsable même lorsque le système provient d'un fournisseur tiers (Art. 26).

Comment une PME peut-elle évaluer les risques de ses systèmes GPAI ?

La démarche standard repose sur quatre étapes : recensement des systèmes utilisés, classification au regard de l'Article 6 du Règlement (UE) 2024/1689, analyse d'impact sur les droits fondamentaux pour les systèmes à haut risque (Art. 27), articulation avec l'AIPD RGPD si données personnelles. Les fiches pratiques IA de la CNIL (2024) proposent un cadre méthodologique adapté aux PME.

Quels sont les coûts estimés pour se conformer à l'AI Act pour une PME ?

Les coûts varient fortement selon le nombre de systèmes utilisés et leur classification. Pour une PME de 50 salariés utilisant 3 à 5 systèmes GPAI standards, l'enveloppe de mise en conformité initiale est généralement estimée entre 15 000 et 50 000 euros, couvrant audit, documentation, formation et adaptation des contrats fournisseurs [à vérifier — fourchette indicative, à ajuster selon le profil]. Le coût récurrent annuel de maintien est ensuite plus modéré. Le service desk européen propose des ressources gratuites.

Comment une PME peut-elle s'assurer de la conformité de ses sous-traitants ?

Trois leviers concrets : intégrer une clause de garantie de conformité AI Act dans le contrat, exiger la documentation prévue à l'Article 13 du Règlement (UE) 2024/1689, prévoir un droit d'audit ou de coopération en cas de contrôle. La PME doit également vérifier l'engagement du fournisseur GPAI au Code de bonne pratique publié par l'AI Office. Les clauses contractuelles types diffusées par les organisations sectorielles (Cigref, Numeum) constituent une base utile.

Quelles sont les étapes pour documenter un système GPAI selon l'AI Act ?

La documentation technique attendue est définie à l'Article 11 et précisée à l'Annexe IV du Règlement (UE) 2024/1689. Elle comprend une description générale du système, ses finalités, ses limites, la gestion des données, l'architecture logicielle, les performances attendues, la surveillance humaine prévue, le plan de gestion des risques et le plan de surveillance après mise sur le marché. Pour un déployeur PME, la priorité est de tenir un registre des systèmes utilisés et de conserver la documentation fournie par chaque fournisseur.

Sources officielles

Règlement (UE) 2024/1689 — version consolidée EUR-Lex
Texte intégral commenté — artificialintelligenceact.eu
AI Act Service Desk — Commission européenne
CNIL — Fiches pratiques IA
Règlement général sur la protection des données (RGPD)
ISO/IEC 42001:2023 — Systèmes de management de l'IA
ISO/IEC 23894:2023 — Gestion du risque IA
ISO/IEC 27001:2022 — Sécurité de l'information

Avertissement : Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.

AI Act : quels sont les risques des systèmes GPAI pour les PME ?