AI Act : obligations spécifiques pour les systèmes haut risque des PME

📅 Publié le 09/06/2026 🔄 Mis à jour le 09/06/2026 ✍️ Par Mohamed Meguedmi, fondateur regulia ⏱️ 17 min de lecture
## L'essentiel en 30 secondes - Les systèmes d'IA haut risque relèvent d'un régime renforcé défini aux Articles 8 à 27 du Règlement (UE) 2024/1689 (AI Act). - Toute PME fournisseur ou déployeur d'un système haut risque doit l'enregistrer dans la base de données européenne prévue à l'Art. 71 AI Act. - Les manquements aux obligations des systèmes haut risque exposent à des amendes jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires mondial (Art. 99 AI Act). - Le RGPD continue de s'appliquer : une AIPD au sens de l'Article 35 RGPD reste obligatoire dès qu'il y a traitement de données personnelles à risque élevé. - Les systèmes haut risque listés à l'Annexe III bénéficient d'une mise en application différée au 2 août 2026, étendue au 2 août 2027 pour ceux relevant de l'Annexe I [à vérifier selon la date de mise sur le marché]. - Un système de gestion de la qualité documenté (Art. 17 AI Act) et un registre interne (Art. 12 AI Act) sont exigés dès la conception.

L'EU AI Act est entré en vigueur le 1er août 2024. Pour les systèmes d'IA classés haut risque, le calendrier d'application s'étale jusqu'en août 2027. Cette période de transition n'est pas un répit : c'est le temps nécessaire pour bâtir une conformité solide. Les PME françaises de 10 à 250 salariés sont concernées dès qu'elles fournissent, importent, distribuent ou déploient un système entrant dans le périmètre haut risque.

Cet article détaille les douze obligations concrètes qui pèsent sur ces structures, les démarches d'enregistrement, les sanctions encourues et la feuille de route opérationnelle pour s'y conformer.

1. Contexte réglementaire : le régime haut risque de l'AI Act

Le Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 (publié au JOUE le 12 juillet 2024) instaure une approche par les risques. Il classe les systèmes d'IA en quatre catégories : risque inacceptable (interdit), haut risque, risque limité, risque minimal.

Le régime haut risque est défini à l'Article 6 du Règlement (UE) 2024/1689. Il vise deux ensembles de systèmes :

  • Les systèmes d'IA constituant un composant de sécurité de produits déjà couverts par la législation européenne d'harmonisation (Annexe I).
  • Les systèmes d'IA listés à l'Annexe III, jugés sensibles par nature : biométrie, infrastructures critiques, éducation, emploi, accès aux services essentiels, application de la loi, migration, justice et processus démocratiques.

Le calendrier d'application est progressif :

Étape Date Portée
Entrée en vigueur du Règlement 1er août 2024 Texte applicable
Interdictions (Art. 5) 2 février 2025 Pratiques inacceptables
Obligations IA à usage général (GPAI) 2 août 2025 Modèles de fondation
Haut risque Annexe III 2 août 2026 Application complète
Haut risque Annexe I 2 août 2027 Produits régulés

Une PME qui développe ou intègre un système relevant de l'Annexe III dispose donc jusqu'au 2 août 2026 pour se mettre en conformité. Pour les composants de sécurité (Annexe I), l'échéance est repoussée à 2027. Pour le détail des sanctions associées, voir notre article dédié AI Act : sanctions et amendes pour les PME.

2. Définition des systèmes haut risque applicables aux PME

L'Article 6 et l'Annexe III du Règlement (UE) 2024/1689 fixent huit domaines pour lesquels un système d'IA est présumé haut risque. Les PME françaises sont particulièrement exposées sur trois d'entre eux.

Domaine Annexe III Cas d'usage PME typique Référence
Emploi et gestion des travailleurs Logiciel de tri de CV, scoring de candidats, évaluation de performance Annexe III §4
Accès aux services essentiels privés Scoring crédit, tarification assurance, services de santé Annexe III §5
Éducation et formation professionnelle Évaluation automatisée d'apprenants, surveillance d'examens Annexe III §3
Biométrie Identification à distance, catégorisation biométrique Annexe III §1
Infrastructures critiques Gestion réseau électrique, eau, trafic routier Annexe III §2

Un logiciel SaaS de recrutement automatisé vendu par une PME tech de 40 salariés relève sans ambiguïté du §4. Un module de scoring crédit intégré par une fintech de 80 personnes tombe dans le §5. Une plateforme de e-learning qui note automatiquement des copies entre dans le §3.

L'Article 6(3) du Règlement (UE) 2024/1689 prévoit une dérogation : un système listé à l'Annexe III peut sortir du périmètre haut risque s'il n'a pas d'incidence significative sur la décision finale ou s'il accomplit une tâche procédurale étroite. Cette dérogation doit être documentée et justifiée par le fournisseur. Ce n'est pas une porte de sortie automatique.

Pour la terminologie technique, consultez notre glossaire AI Act.

3. Les douze obligations cœur des Articles 8 à 17

Le Chapitre III, Section 2 du Règlement (UE) 2024/1689 (Articles 8 à 17) liste les obligations applicables à tout système haut risque. Ces exigences pèsent en premier lieu sur le fournisseur, mais le déployeur (utilisateur professionnel) en supporte aussi une partie.

Article Obligation Responsable principal
Art. 8 Conformité aux exigences essentielles Fournisseur
Art. 9 Système de gestion des risques Fournisseur
Art. 10 Gouvernance des données et jeux d'entraînement Fournisseur
Art. 11 Documentation technique Fournisseur
Art. 12 Tenue de journaux (logging) Fournisseur
Art. 13 Transparence et information du déployeur Fournisseur
Art. 14 Contrôle humain Fournisseur / Déployeur
Art. 15 Exactitude, robustesse, cybersécurité Fournisseur
Art. 16 Obligations générales du fournisseur Fournisseur
Art. 17 Système de gestion de la qualité Fournisseur
Art. 26 Obligations des déployeurs Déployeur
Art. 27 Analyse d'impact sur les droits fondamentaux (FRIA) Déployeur public ou désigné

Pour une PME fournisseur, l'obligation centrale est l'Article 17 : mettre en place un système de gestion de la qualité (SGQ) documenté, couvrant stratégie de conformité, procédures de conception, contrôle, vérification et validation, gestion des risques, suivi post-commercialisation.

Pour une PME déployeur, l'obligation phare est l'Article 26 : utiliser le système conformément à sa notice, assurer une supervision humaine compétente, surveiller le fonctionnement et signaler tout incident grave au fournisseur et à l'autorité de surveillance.

4. Documentation technique et transparence (Articles 11, 13 et Annexe IV)

L'Article 11 du Règlement (UE) 2024/1689 impose une documentation technique « préalablement à la mise sur le marché ou à la mise en service » du système. Le contenu minimal est défini à l'Annexe IV du Règlement.

Cette documentation couvre dix blocs :

  1. Description générale du système et de sa finalité prévue
  2. Description détaillée des éléments du système et du processus de développement
  3. Informations sur la surveillance, le fonctionnement et le contrôle du système
  4. Description du système de gestion des risques (Art. 9)
  5. Description des modifications apportées au système au cours de son cycle de vie
  6. Liste des normes harmonisées appliquées
  7. Copie de la déclaration UE de conformité (Art. 47)
  8. Description du système de suivi post-commercialisation (Art. 72)
  9. Plan détaillé de suivi post-commercialisation
  10. Information sur les données utilisées (Art. 10)

La documentation doit être conservée dix ans après la mise sur le marché (Art. 18 AI Act).

L'Article 13 ajoute une obligation de transparence vis-à-vis du déployeur : notice d'utilisation claire, concise, complète, indiquant l'identité du fournisseur, les caractéristiques de performance, les limitations connues, les mesures de contrôle humain prévues, la durée de vie attendue et les opérations de maintenance.

Téléchargez nos modèles de documentation technique AI Act

Pack documentaire conforme à l'Annexe IV du Règlement (UE) 2024/1689 : 14 modèles éditables, prêts à l'emploi pour une PME française. Notice d'utilisation, registre de risques, SGQ, plan de suivi.

Demander l'accès au pack haut risque

5. Gouvernance des données et gestion des risques (Articles 9 et 10)

L'Article 10 du Règlement (UE) 2024/1689 fixe des critères de qualité pour les jeux de données d'entraînement, de validation et de test. Ces jeux doivent être « pertinents, suffisamment représentatifs, exempts d'erreurs et complets eu égard à la finalité prévue ».

Le fournisseur doit examiner :

  • Les choix de conception du jeu de données
  • Les opérations de collecte et l'origine des données
  • Les opérations de préparation : annotation, étiquetage, nettoyage, enrichissement, agrégation
  • L'identification de biais possibles susceptibles de porter atteinte à la santé, à la sécurité ou aux droits fondamentaux
  • Les mesures appropriées pour détecter et corriger ces biais

L'Article 10(5) autorise, sous conditions strictes, le traitement de catégories particulières de données (Art. 9 RGPD) à seule fin de détecter et corriger les biais. Cette dérogation ne dispense pas de l'analyse d'impact relative à la protection des données (AIPD, Art. 35 RGPD).

L'Article 9 impose un système de gestion des risques itératif sur tout le cycle de vie du système. Il doit comprendre :

  1. L'identification et l'analyse des risques connus et raisonnablement prévisibles
  2. L'estimation et l'évaluation des risques susceptibles d'émerger lors de l'usage prévu
  3. L'évaluation des autres risques possibles à partir des données de suivi post-commercialisation
  4. L'adoption de mesures de gestion des risques ciblées

Les mesures de gestion doivent réduire les risques résiduels à un niveau jugé acceptable. Elles incluent l'élimination ou la réduction par conception, l'atténuation par contrôle, et l'information adéquate du déployeur.

6. Contrôle humain, robustesse et cybersécurité (Articles 14 et 15)

L'Article 14 du Règlement (UE) 2024/1689 exige que les systèmes haut risque soient conçus pour permettre un contrôle humain effectif pendant leur utilisation. La supervision humaine doit pouvoir :

  • Comprendre les capacités et les limites du système
  • Rester consciente du biais d'automatisation
  • Interpréter correctement les sorties
  • Décider de ne pas utiliser le système ou d'écarter sa sortie
  • Intervenir sur le fonctionnement ou interrompre le système (bouton d'arrêt)

Pour les systèmes d'identification biométrique à distance, l'Article 14(5) impose une vérification par au moins deux personnes physiques séparées avant toute action ou décision.

L'Article 15 fixe le triptyque technique : exactitude, robustesse, cybersécurité.

Exigence Art. 15 Mesure attendue PME
Exactitude Mesures de performance déclarées dans la notice
Robustesse Plans de redondance, tolérance aux erreurs
Cybersécurité Conformité ISO/IEC 27001:2022, gestion des vulnérabilités
Résilience aux attaques Protection contre empoisonnement de données, attaques adverses

Les niveaux d'exactitude et les métriques pertinentes (taux d'erreur, F1, AUC, etc.) doivent figurer dans la documentation technique. L'AI Office publie progressivement des spécifications techniques communes — leur respect crée une présomption de conformité (Art. 41 AI Act).

7. Enregistrement dans la base de données européenne (Article 71)

Contrairement à une idée reçue, l'AI Act ne prévoit pas d'autorisation préalable par une autorité. Mais l'Article 71 du Règlement (UE) 2024/1689 impose un enregistrement dans une base de données publique gérée par la Commission européenne.

Ce sont les fournisseurs qui enregistrent leurs systèmes haut risque listés à l'Annexe III avant mise sur le marché. Les déployeurs publics (administrations) enregistrent l'utilisation. Les déployeurs privés ne sont, en règle générale, pas tenus de s'enregistrer eux-mêmes — ils s'appuient sur l'enregistrement du fournisseur.

Les informations à fournir sont listées à l'Annexe VIII du Règlement et incluent :

  • Identification du fournisseur (raison sociale, SIREN, représentant)
  • Identification du système (nom, version, description)
  • Finalité prévue, composants matériels et logiciels
  • Statut sur le marché européen
  • Notice d'utilisation au format électronique
  • URL d'accès aux informations complémentaires

La base de données est accessible publiquement, à l'exception des sections sensibles relatives à la sécurité ou aux services répressifs. Le portail opérationnel est annoncé par l'AI Office EU [à vérifier la date d'ouverture définitive].

8. Conformité avec le RGPD et le droit social français

L'AI Act se superpose au RGPD : il ne le remplace pas. L'Article 26(9) du Règlement (UE) 2024/1689 rappelle expressément que les déployeurs qui sont responsables de traitement au sens du RGPD restent tenus de réaliser une analyse d'impact relative à la protection des données (AIPD) au titre de l'Article 35 du Règlement (UE) 2016/679.

La CNIL a publié 13 fiches pratiques sur le développement de systèmes d'IA. Elles précisent les bases légales mobilisables, le statut juridique des prestataires et la conduite d'une AIPD pour un système d'IA.

Texte Article clé Obligation cumulative
AI Act (UE 2024/1689) Art. 9, 10, 27 Gestion des risques, gouvernance des données, FRIA
RGPD (UE 2016/679) Art. 35 AIPD pour traitement à risque élevé
Code du travail L. 1222-4 Information préalable des salariés sur les dispositifs
Code du travail L. 2312-38 Information-consultation du CSE

Pour un système haut risque utilisé en gestion RH (recrutement, évaluation, planification), trois obligations se cumulent :

  1. AIPD au titre de l'Art. 35 RGPD
  2. Documentation et notice au titre des Art. 11 et 13 AI Act
  3. Information-consultation du CSE au titre de l'Art. L. 2312-38 du Code du travail

L'autorité compétente en France pour la surveillance du marché AI Act sera désignée par le législateur national [à vérifier la loi de transposition]. La CNIL conserve sa compétence pleine sur les traitements de données personnelles.

9. Analyse d'impact sur les droits fondamentaux (Article 27)

L'Article 27 du Règlement (UE) 2024/1689 introduit une obligation nouvelle : la Fundamental Rights Impact Assessment (FRIA). Elle vise prioritairement les organismes de droit public et les opérateurs privés fournissant des services publics, ainsi que les déployeurs utilisant des systèmes haut risque visés à l'Annexe III §5 (b) et (c) — scoring crédit et tarification d'assurance vie/santé.

La FRIA doit décrire :

  1. Le processus de déploiement du système et sa finalité prévue
  2. La période et la fréquence d'utilisation
  3. Les catégories de personnes physiques et de groupes susceptibles d'être affectés
  4. Les risques spécifiques de préjudice pour ces personnes
  5. Les mesures de contrôle humain prévues
  6. Les mesures à prendre en cas de matérialisation de ces risques, y compris la gouvernance interne et les mécanismes de plainte

Le résultat de la FRIA est notifié à l'autorité de surveillance du marché. La FRIA et l'AIPD RGPD peuvent être conduites conjointement, mais elles répondent à des objectifs distincts : l'AIPD protège les données personnelles, la FRIA protège l'ensemble des droits fondamentaux (dignité, non-discrimination, liberté d'expression, etc.).

10. Sanctions et chaîne de responsabilités (Article 99)

L'Article 99 du Règlement (UE) 2024/1689 organise un régime d'amendes administratives à trois niveaux. Pour un manquement aux obligations applicables aux systèmes haut risque (Art. 8 à 27), le plafond est fixé à 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial total de l'exercice précédent — le montant le plus élevé étant retenu.

Type de manquement Plafond Référence
Pratiques interdites (Art. 5) 35 M€ ou 7 % du CA mondial Art. 99(3)
Obligations haut risque (Art. 8-27, 53, etc.) 15 M€ ou 3 % du CA mondial Art. 99(4)
Fourniture d'informations inexactes 7,5 M€ ou 1 % du CA mondial Art. 99(5)

L'Article 99(6) prévoit une atténuation spécifique aux PME et start-up : pour ces structures, le plafond retenu est le plus faible des deux montants (et non le plus élevé). Cette atténuation ne signifie pas une exonération : une PME peut encore être condamnée à plusieurs millions d'euros.

À cela s'ajoutent :

  • L'engagement de la responsabilité civile en cas de préjudice causé par le système
  • La responsabilité pénale du dirigeant en cas de violation grave et intentionnelle
  • L'interdiction temporaire ou définitive de mise sur le marché du système

Pour le détail du calcul et un simulateur opérationnel, consultez notre article sanctions et amendes AI Act pour PME.

Évaluez votre exposition aux obligations haut risque

Diagnostic gratuit en 15 minutes : nous identifions vos systèmes potentiellement haut risque, les obligations applicables et la feuille de route adaptée à votre PME. Sortie : rapport personnalisé et plan d'action sur 12 mois.

Demander un diagnostic AI Act

11. Outils et ressources opérationnels pour les PME

Une PME française qui démarre sa mise en conformité haut risque dispose de plusieurs ressources publiques exploitables sans coût.

Ressource Émetteur Usage
Texte consolidé du Règlement EUR-Lex Base juridique officielle
AI Act Service Desk Commission européenne Questions opérationnelles, helpdesk
13 fiches pratiques IA CNIL AIPD, bases légales, prestataires
Guide AI Act PME Numeum (mars 2025) Cas d'usage tech B2B [à vérifier]
Guide gouvernance IA Cigref (janvier 2025) Grandes entreprises et ETI [à vérifier]
ISO/IEC 42001:2023 ISO Système de management de l'IA
ISO/IEC 23894:2023 ISO Gestion des risques IA
ISO/IEC 27001:2022 ISO Sécurité de l'information

La norme ISO/IEC 42001:2023 mérite une attention particulière : elle structure un système de management de l'IA (AIMS) compatible avec les exigences de l'Article 17 AI Act sur le SGQ. Pour une PME ayant déjà une certification ISO/IEC 27001:2022, l'effort d'intégration est mesuré.

Pour un panorama complet des ressources officielles, consultez notre page sources réglementaires.

12. Feuille de route opérationnelle : douze mois pour se mettre en conformité

Une PME visant la conformité au 2 août 2026 doit engager les chantiers maintenant. Voici une feuille de route en quatre phases.

Phase 1 — Cartographie (mois 1-2)

  1. Inventorier tous les systèmes d'IA utilisés ou commercialisés
  2. Classifier chacun selon Art. 6 et Annexes I et III
  3. Identifier le rôle endossé (fournisseur, déployeur, importateur, distributeur)
  4. Documenter le périmètre des données personnelles traitées

Phase 2 — Évaluation (mois 3-4)

  1. Conduire la gap analysis SGQ vs Art. 17
  2. Réaliser l'AIPD RGPD pour chaque système concerné
  3. Réaliser la FRIA pour les systèmes Annexe III §5 (b) et (c)
  4. Identifier les normes harmonisées applicables

Phase 3 — Mise en œuvre (mois 5-9)

  1. Bâtir la documentation technique Annexe IV
  2. Déployer le système de gestion des risques (Art. 9)
  3. Mettre en place la gouvernance des données (Art. 10)
  4. Concevoir les mécanismes de contrôle humain (Art. 14)
  5. Renforcer la cybersécurité (Art. 15)
  6. Former les équipes — l'Article 4 AI Act sur l'AI literacy s'applique depuis le 2 février 2025
  7. Informer et consulter le CSE pour les usages RH

Phase 4 — Conformité (mois 10-12)

  1. Évaluation de la conformité selon Art. 43 (interne ou via organisme notifié)
  2. Établissement de la déclaration UE de conformité (Art. 47)
  3. Apposition du marquage CE (Art. 48)
  4. Enregistrement dans la base de données européenne (Art. 71)
  5. Mise en place du suivi post-commercialisation (Art. 72)

Pour une vision d'ensemble du dispositif appliqué aux PME, consultez notre page pilier AI Act pour les PME françaises.

FAQ — Questions fréquentes des PME sur le haut risque

Quels sont les délais pour les PME pour se conformer aux obligations de l'AI Act ?

Les obligations applicables aux systèmes haut risque listés à l'Annexe III deviennent pleinement opposables le 2 août 2026. Pour les systèmes relevant de l'Annexe I (composants de sécurité de produits régulés), l'échéance est reportée au 2 août 2027. Ces dates correspondent à la pleine application du régime. Les obligations relatives à l'AI literacy (Art. 4) et aux pratiques interdites (Art. 5) sont en vigueur depuis le 2 février 2025. L'AI Act Service Desk de la Commission européenne propose des outils d'auto-évaluation pour planifier cette transition.

Comment les PME peuvent-elles identifier leurs systèmes d'IA haut risque ?

La classification s'opère en deux temps. D'abord, vérifier si le système est un composant de sécurité d'un produit listé à l'Annexe I (machines, jouets, dispositifs médicaux, ascenseurs, etc.). Ensuite, vérifier s'il relève d'un des huit domaines de l'Annexe III : biométrie, infrastructures critiques, éducation, emploi, accès aux services essentiels, application de la loi, migration, justice et processus démocratiques. Notre glossaire AI Act détaille chaque catégorie. L'Article 6(3) prévoit une dérogation possible si le système n'a pas d'incidence significative sur la décision finale, mais cette dérogation doit être justifiée et documentée par le fournisseur.

Quelles sont les conséquences d'une non-conformité pour une PME ?

L'Article 99 du Règlement (UE) 2024/1689 prévoit pour les manquements aux obligations haut risque (Art. 8-27) une amende administrative jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial. L'Article 99(6) atténue ce régime pour les PME et start-up en retenant le plus faible des deux montants. Au-delà des amendes, la PME s'expose à une interdiction de mise sur le marché, à des actions civiles en réparation et, en cas de violations graves, à la mise en jeu de la responsabilité pénale du dirigeant. Les textes consolidés sont accessibles sur EUR-Lex.

Comment les PME peuvent-elles documenter correctement leurs systèmes d'IA ?

La documentation technique doit suivre la trame de l'Annexe IV du Règlement (UE) 2024/1689 : description générale du système, éléments techniques et processus de développement, surveillance et contrôle, gestion des risques, données utilisées, modifications, normes appliquées, déclaration UE de conformité, suivi post-commercialisation. Elle doit être conservée dix ans après mise sur le marché (Art. 18). Des modèles éditables sont disponibles via le formulaire de contact regulia. Pour des exemples concrets, l'AI Act Service Desk publie progressivement des templates de référence.

Quelles sont les obligations spécifiques pour les systèmes d'IA utilisés dans les ressources humaines ?

Les systèmes d'IA utilisés pour le recrutement, le filtrage de candidatures, l'attribution de tâches, le suivi ou l'évaluation des performances et la résiliation des relations contractuelles sont classés haut risque par l'Annexe III §4. Le déployeur doit en outre informer les travailleurs et leurs représentants avant la mise en service (Art. 26(7) AI Act), réaliser une AIPD au titre de l'Art. 35 RGPD, et engager l'information-consultation du CSE prévue à l'Art. L. 2312-38 du Code du travail. La CNIL a publié des lignes directrices spécifiques au recrutement automatisé.

Sources officielles

Disclaimer

Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.

Outil gratuit · 2 minutes · sans inscription

Êtes-vous concerné ? Faites le diagnostic AI Act.

Sachez en 2 minutes si vos systèmes sont à haut risque, vos obligations et les documents à produire.

Démarrer le diagnostic → Ou voir un échantillon de document →