L'essentiel en 30 secondes - Les amendes du Règlement (UE) 2024/1689 peuvent atteindre 35 M€ ou 7 % du chiffre d'affaires annuel mondial pour les pratiques interdites (Article 99). - Pour les PME et start-ups, le plafond appliqué est le montant le plus faible entre la somme fixe et le pourcentage du CA (Art. 99 §6). - Les sanctions liées aux systèmes d'IA à haut risque s'appliquent à partir du 2 août 2026. - Le Service Desk européen ai-act-service-desk.ec.europa.eu est le point de contact officiel pour clarifier les obligations. - La CNIL publie 13 fiches pratiques dédiées aux organisations déployant de l'IA (cnil.fr/fr/les-fiches-pratiques-ia). - La norme ISO/IEC 42001:2023 constitue le référentiel reconnu pour démontrer une gouvernance IA conforme.
Les dirigeants de PME françaises sous-estiment encore le calendrier de mise en application du Règlement (UE) 2024/1689, dit AI Act. Pourtant, les premiers contrôles approchent. Cet article détaille les sanctions, le calendrier, les acteurs compétents et les leviers concrets pour réduire votre exposition financière en 2026.
1. Contexte juridique de l'AI Act pour les PME
L'AI Act est entré en vigueur le 1er août 2024. Il s'agit du premier cadre horizontal au monde encadrant la mise sur le marché, la mise en service et l'utilisation des systèmes d'intelligence artificielle. Son périmètre est extraterritorial : il s'applique à tout opérateur dont le système d'IA est utilisé sur le territoire de l'Union européenne, peu importe le lieu d'établissement.
1.1 Périmètre et qualification des PME
Le texte distingue plusieurs catégories d'acteurs : fournisseurs, déployeurs, importateurs, distributeurs. Une PME française de 10 à 250 salariés peut cumuler plusieurs de ces rôles. Par exemple, un éditeur SaaS qui intègre un modèle GPT pour son outil RH agit à la fois comme fournisseur de système d'IA et comme déployeur d'un modèle de fondation.
Le Règlement reconnaît un statut spécifique aux PME et start-ups, défini par renvoi à la Recommandation 2003/361/CE de la Commission. Ce statut ouvre droit à des mesures d'allègement : accès prioritaire aux bacs à sable réglementaires (Article 62), tarification adaptée pour l'évaluation de conformité, et application du plafond d'amende le plus favorable.
1.2 Trois niveaux de risque, trois régimes
| Niveau de risque | Exemples | Obligations principales |
|---|---|---|
| Inacceptable | Notation sociale, manipulation cognitive, reconnaissance émotionnelle au travail | Interdiction totale (Article 5) |
| Haut risque | Recrutement, scoring de crédit, accès à l'éducation, gestion d'infrastructures critiques | Système de gestion des risques, documentation technique, surveillance humaine, marquage CE (Articles 8 à 27) |
| Risque limité / minimal | Chatbots, générateurs de contenu, filtres anti-spam | Transparence (Article 50), code de conduite volontaire |
Pour approfondir la qualification de votre cas d'usage, consultez notre guide AI Act pour les PME françaises.
2. Les sanctions et amendes prévues
L'article 99 du Règlement (UE) 2024/1689 fixe trois plafonds distincts selon la gravité de l'infraction.
2.1 Trois niveaux de sanction administrative
| Type d'infraction | Plafond grandes entreprises | Plafond PME / start-ups |
|---|---|---|
| Pratiques interdites (Art. 5) | 35 M€ ou 7 % du CA mondial (le plus élevé) | 35 M€ ou 7 % du CA mondial (le plus faible) |
| Non-respect des obligations haut risque, transparence, gouvernance des modèles | 15 M€ ou 3 % du CA mondial (le plus élevé) | 15 M€ ou 3 % du CA mondial (le plus faible) |
| Informations incorrectes, incomplètes ou trompeuses aux autorités | 7,5 M€ ou 1 % du CA mondial (le plus élevé) | 7,5 M€ ou 1 % du CA mondial (le plus faible) |
L'Article 99 §6 énonce : « Pour les PME, y compris les jeunes entreprises, chaque amende visée au présent article s'élève au maximum aux pourcentages ou aux montants visés aux paragraphes 3, 4 et 5, le chiffre le moins élevé étant retenu. » Cette règle distingue le régime PME de celui des grands groupes.
2.2 Critères d'individualisation de la sanction
Les autorités nationales compétentes — en France, la CNIL pour la majorité des cas d'usage — prennent en compte plusieurs critères (Article 99 §7) :
- La nature, la gravité et la durée de l'infraction
- Les mesures prises pour atténuer le préjudice
- La taille et le chiffre d'affaires de l'opérateur
- Le caractère intentionnel ou négligent du manquement
- Le degré de coopération avec l'autorité
- Les antécédents et les précédentes sanctions
Pour une analyse détaillée des montants applicables à votre structure, notre article dédié au calcul des sanctions AI Act pour PME inclut un simulateur indicatif.
2.3 Sanctions complémentaires
Au-delà de l'amende, l'autorité peut imposer le retrait du système d'IA du marché, l'interdiction de mise en service, ou la suspension temporaire des activités. Pour un éditeur SaaS, ces mesures équivalent souvent à un arrêt de l'activité commerciale, parfois plus lourd financièrement que l'amende elle-même.
3. Calendrier des sanctions en 2026
Le calendrier d'entrée en application est échelonné. La distinction entre date d'entrée en vigueur du texte et date d'applicabilité des sanctions est essentielle pour anticiper.
| Date | Obligations applicables | Sanctions activées |
|---|---|---|
| 2 février 2025 | Interdictions de l'Article 5, exigence de littératie en IA (Art. 4) | Oui |
| 2 août 2025 | Modèles d'IA à usage général (GPAI), gouvernance, désignation des autorités nationales | Oui |
| 2 août 2026 | Systèmes d'IA à haut risque listés en Annexe III, transparence (Art. 50) | Oui — régime complet |
| 2 août 2027 | Systèmes d'IA à haut risque intégrés dans des produits réglementés (Annexe I) | Oui |
3.1 L'échéance critique du 2 août 2026
À cette date, la majorité des obligations devient opposable. Une PME qui déploie un outil de scoring RH ou un système de notation client à cette date doit pouvoir présenter une documentation technique conforme à l'Article 11 et à l'Annexe IV. L'absence de documentation constitue à elle seule un manquement sanctionnable.
3.2 Processus d'audit par les autorités
Le contrôle peut être déclenché par une plainte, un signalement, une enquête de marché ou une saisine d'office. Les autorités nationales disposent de pouvoirs d'investigation étendus : accès aux locaux, aux documents, au code source dans certains cas, et audition des dirigeants. La procédure suit le schéma classique du droit administratif français : notification de griefs, contradictoire, décision motivée, voies de recours devant le Conseil d'État.
Évaluez votre exposition au risque AI Act
Notre pack documentaire couvre l'analyse des risques, la documentation technique Annexe IV, les registres obligatoires et le plan de surveillance post-déploiement. Conforme aux exigences de l'Article 17.
Demander un audit gratuit de 30 minutes4. Impact sur les PME françaises
Les obligations de l'AI Act génèrent trois catégories de coûts pour une PME : mise en conformité initiale, maintien en condition opérationnelle, et coût d'opportunité lié au retard de déploiement.
4.1 Coûts de mise en conformité estimés
Les ordres de grandeur communiqués par le Cigref (guide AI Act janvier 2025) et Numeum (guide mars 2025) pour une PME déployant un seul système à haut risque se situent [à vérifier selon votre périmètre] entre 15 000 € et 80 000 € pour la première année. Ce montant couvre l'audit de qualification, la rédaction documentaire, la mise en place du système de management de l'IA, et la formation initiale.
| Poste de coût | Fourchette indicative | Récurrence |
|---|---|---|
| Audit de qualification des systèmes | 3 000 € – 8 000 € | Annuelle |
| Documentation technique Annexe IV | 8 000 € – 25 000 € | Initiale + mises à jour |
| Système de gestion des risques (Art. 9) | 5 000 € – 15 000 € | Initiale + révision |
| Formation littératie IA (Art. 4) | 1 500 € – 6 000 € | Annuelle |
| Audit ISO/IEC 42001 (optionnel) | 8 000 € – 25 000 € | Triennale |
4.2 Risques opérationnels et réputationnels
Au-delà du risque financier direct, une sanction publiée porte atteinte à la confiance des clients B2B. Dans les secteurs financier, santé et public, la conformité AI Act devient progressivement un critère de référencement fournisseur. Les grands donneurs d'ordre intègrent déjà des clauses de garantie de conformité dans leurs appels d'offres.
4.3 Avantages concurrentiels de la conformité anticipée
Les PME qui ont structuré leur gouvernance IA avant 2026 disposent d'un atout commercial différenciant. Le marquage CE de leur système, le rapport d'audit ISO 42001 et l'inscription à la base de données européenne (Art. 71) constituent des preuves de sérieux exploitables dans la relation client.
5. Comment se protéger des sanctions
La protection contre les sanctions repose sur trois piliers : identification du périmètre, structuration documentaire, formation continue.
Étape 1 : Audit de conformité interne
L'audit initial vise à cartographier l'ensemble des systèmes d'IA utilisés ou commercialisés par l'entreprise. Cet inventaire doit inclure les modèles tiers (API OpenAI, Mistral, Anthropic, Google) ainsi que les outils SaaS intégrant de l'IA. Pour chaque système, qualifier le niveau de risque selon les Annexes I et III, identifier le rôle de l'entreprise (fournisseur, déployeur), et lister les obligations applicables.
Étape 2 : Mise en place de mesures correctives
Les mesures à déployer dépendent du résultat de l'audit. Pour un système à haut risque, la liste minimale est la suivante :
- Système de gestion des risques documenté (Art. 9)
- Gouvernance des données d'entraînement et de test (Art. 10)
- Documentation technique conforme à l'Annexe IV (Art. 11)
- Enregistrement automatique des journaux d'événements (Art. 12)
- Transparence et instructions d'utilisation (Art. 13)
- Contrôle humain effectif (Art. 14)
- Exactitude, robustesse, cybersécurité (Art. 15)
- Système de gestion de la qualité (Art. 17)
- Évaluation de conformité et marquage CE (Art. 43)
- Inscription à la base de données européenne (Art. 49)
Étape 3 : Formation du personnel
L'Article 4 du Règlement impose à tous les fournisseurs et déployeurs de garantir un niveau suffisant de littératie en IA pour leur personnel. Cette obligation est entrée en application le 2 février 2025. Une PME doit pouvoir démontrer un plan de formation documenté : modules, public cible, fréquence, évaluation des acquis.
Les définitions précises des termes techniques (fournisseur, déployeur, marquage CE, littératie) sont disponibles dans notre glossaire AI Act.
6. Rôles des autorités
La répartition des compétences entre acteurs européens et nationaux est définie aux chapitres VII et IX du Règlement.
6.1 La CNIL en France
La France a désigné la CNIL comme autorité de surveillance du marché pour la majorité des systèmes d'IA, en particulier ceux traitant des données à caractère personnel [à confirmer selon décret de désignation final]. La CNIL dispose des pouvoirs prévus à l'Article 74 : injonctions, sanctions pécuniaires, retrait de produits. Ses 13 fiches pratiques publiées sur cnil.fr/fr/les-fiches-pratiques-ia constituent la référence opérationnelle française.
6.2 Le Service Desk européen
Le portail ai-act-service-desk.ec.europa.eu géré par la Commission européenne et l'AI Office centralise les questions d'interprétation. Il fournit des réponses officielles publiées sous forme de Q&A. Toute PME confrontée à une ambiguïté réglementaire devrait y déposer sa question avant de prendre une décision opérationnelle.
6.3 Autres autorités sectorielles
Selon le secteur, d'autres régulateurs interviennent :
| Secteur | Autorité compétente en France |
|---|---|
| Banque, assurance | ACPR |
| Santé, dispositifs médicaux | ANSM, HAS |
| Télécommunications | ARCEP |
| Médias, contenus | ARCOM |
| Consommation, e-commerce | DGCCRF |
7. Outils et ressources pour les PME
Plusieurs ressources gratuites permettent de structurer la démarche sans engager immédiatement un budget conseil important.
7.1 Référentiels normatifs
- ISO/IEC 42001:2023 — système de management de l'intelligence artificielle. Cette norme certifiable est le pendant IA d'ISO 27001 et structure la gouvernance autour d'un cycle PDCA.
- ISO/IEC 23894:2023 — lignes directrices pour la gestion des risques liés à l'IA.
- ISO/IEC 27001:2022 — sécurité de l'information, prérequis utile pour les exigences cybersécurité de l'Article 15.
7.2 Guides professionnels français
Le Cigref et Numeum ont publié deux guides AI Act au premier trimestre 2025, complémentaires : le Cigref aborde la gouvernance d'entreprise, Numeum les obligations des éditeurs. Ces deux documents constituent un point d'entrée pertinent pour une PME du numérique.
7.3 Base de données européenne
L'Article 71 prévoit la création d'une base de données européenne pour les systèmes d'IA à haut risque. Les fournisseurs doivent y enregistrer leur système avant mise sur le marché. L'inscription est gratuite mais conditionne la légalité de la commercialisation.
L'inventaire complet des sources officielles est consultable dans notre page sources.
Sécurisez votre conformité avant le 2 août 2026
Le pack documentaire regulia inclut 47 modèles : politique de gouvernance IA, registre des systèmes, fiche d'analyse de risque, documentation technique Annexe IV, plan de surveillance, procédure d'incident. Aligné Article 17 et ISO/IEC 42001.
Recevoir le sommaire détaillé du pack8. Perspectives pour 2026
L'année 2026 marquera la bascule du régime AI Act du déclaratif vers le contrôle effectif. Trois tendances se dessinent.
8.1 Premières décisions de sanction
Les premières décisions des autorités nationales sont attendues dans les mois suivant le 2 août 2026. La jurisprudence administrative se construira par strates, à l'image de ce qui s'est produit avec le RGPD entre 2018 et 2020. Les premières sanctions cibleront probablement des cas pédagogiques : pratiques interdites manifestes, absence totale de documentation, refus de coopération.
8.2 Accompagnement renforcé des PME
L'Article 62 oblige les États membres à mettre en place des actions de sensibilisation et un accès prioritaire aux bacs à sable réglementaires pour les PME. La France développe actuellement un dispositif via la CNIL et le ministère de l'Économie [à vérifier — programmes en cours de structuration]. Ces dispositifs permettront de tester des cas d'usage sous supervision avant mise sur le marché.
8.3 Opportunités commerciales pour les PME conformes
Le marquage CE-IA et la certification ISO 42001 deviendront des éléments différenciants dans les appels d'offres publics et privés. Les PME conformes pourront afficher leur statut dans leurs propositions commerciales, contractualiser des garanties de conformité, et accéder aux marchés réglementés (santé, finance, secteur public).
9. FAQ
Quelles sont les amendes maximales pour les PME en cas de non-conformité ?
Les amendes peuvent atteindre 35 M€ ou 7 % du chiffre d'affaires annuel mondial pour les pratiques interdites de l'Article 5. Pour les PME, c'est le montant le plus faible des deux qui s'applique (Art. 99 §6). Pour une PME affichant 10 M€ de CA, le plafond pratique des sanctions les plus lourdes serait donc de 700 000 €. Les manquements aux obligations haut risque sont plafonnés à 3 % du CA.
Comment les PME peuvent-elles éviter les sanctions ?
La démarche repose sur quatre actions : réaliser un audit de qualification des systèmes IA utilisés, mettre en place les mesures correctives prévues aux Articles 8 à 27, former le personnel conformément à l'Article 4, et inscrire les systèmes à haut risque dans la base européenne (Art. 49). La CNIL et le Service Desk de l'AI Act fournissent des ressources gratuites pour structurer cette démarche.
Quel est le rôle du Service Desk de l'AI Act ?
Le Service Desk européen ai-act-service-desk.ec.europa.eu est géré par la Commission européenne et l'AI Office. Il centralise les questions d'interprétation du Règlement, publie des réponses officielles sous forme de Q&A, et oriente les opérateurs vers les bons textes. Toute question d'ambiguïté juridique devrait y être déposée avant prise de décision opérationnelle.
Quelles sont les obligations spécifiques pour les PME ?
Les obligations dépendent du rôle (fournisseur, déployeur) et du niveau de risque du système. Pour un système à haut risque, les principales obligations sont : système de gestion des risques (Art. 9), documentation technique Annexe IV (Art. 11), journalisation (Art. 12), transparence (Art. 13), contrôle humain (Art. 14), robustesse (Art. 15), inscription au registre européen (Art. 49), marquage CE (Art. 48). Les PME bénéficient d'un accès prioritaire aux bacs à sable réglementaires (Art. 62).
Quelles ressources la CNIL propose-t-elle aux PME ?
La CNIL publie 13 fiches pratiques IA disponibles sur cnil.fr/fr/les-fiches-pratiques-ia. Ces fiches couvrent l'analyse d'impact, la base légale du traitement de données pour l'entraînement, l'information des personnes concernées, l'exercice des droits, et l'articulation avec le RGPD. La CNIL anime également un programme d'accompagnement des PME et start-ups dans le cadre de son bac à sable IA.
10. Sources officielles
- Règlement (UE) 2024/1689 (AI Act) — texte officiel : eur-lex.europa.eu/eli/reg/2024/1689
- AI Act Service Desk — Commission européenne : ai-act-service-desk.ec.europa.eu
- CNIL — fiches pratiques IA : cnil.fr/fr/les-fiches-pratiques-ia
- Texte consolidé annoté : artificialintelligenceact.eu
- ISO/IEC 42001:2023 — Système de management de l'IA : iso.org/standard/81230.html
- ISO/IEC 23894:2023 — Gestion des risques IA : iso.org/standard/77304.html
- Recommandation 2003/361/CE — définition européenne des PME : eur-lex.europa.eu
Avertissement — Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.