L'ISO 42001:2023 m'aide-t-elle pour l'AI Act ?

Oui, l'ISO 42001:2023 facilite l'intégration des exigences AI Act (notamment Articles 13-15). Elle couvre la gouvernance, l'évaluation des risques et la certification. La CNIL recommande son adoption pour les PME.

AI Act : obligations pour les systèmes à haut risque en 2026

Q: Quels sont les délais pour se conformer en 2026 ?

Les systèmes à haut risque doivent être conformes dès 2024 (Article 67 AI Act). Les PME disposent de 24 mois après notification pour obtenir la certification (Article 15). L'AI Act Service Desk (ai-act-service-desk.ec.europa.eu) propose des calendriers sectoriels.

Q: Quelles sont les sanctions pour les PME non conformes ?

Les sanctions peuvent atteindre 7% du chiffre d'affaires mondial (Article 67, 1er alinéa AI Act). Pour non-certification, l'amende peut être jusqu'à 3,5% du CA (Article 67, 2e alinéa). La CNIL détaille les procédures sur cnil.fr.

Q: Comment identifier mes systèmes à haut risque ?

Utilisez la liste officielle des cas d'usage (artificialintelligenceact.eu) et le guide de la CNIL. Analysez les domaines d'application : santé, emploi, crédit, justice, sécurité. L'AI Act Service Desk propose un outil d'auto-évaluation.

Q: Où trouver des organismes de certification pour les PME ?

Consultez la liste officielle sur eur-lex.europa.eu. L'AI Act Service Desk (ai-act-service-desk.ec.europa.eu) propose un comparateur d'organismes. Les PME peuvent aussi solliciter des organismes accrédités par le COFRAC.

L'essentiel en 30 secondes

Les systèmes d'IA à haut risque listés à l'Annexe III du Règlement (UE) 2024/1689 doivent être conformes à partir du 2 août 2026.
Les PME fournisseurs doivent organiser un système de gestion des risques (Article 9), une documentation technique (Article 11) et une supervision humaine (Article 14).
Les déployeurs réalisent une analyse d'impact sur les droits fondamentaux (Article 27) pour certains cas d'usage.
Les sanctions atteignent 15 M€ ou 3 % du chiffre d'affaires mondial pour les manquements aux obligations « haut risque » (Article 99, §4).
Cas concrets : recrutement, scoring de crédit, dispositifs médicaux, surveillance biométrique, accès aux services essentiels.
La CNIL, l'AI Office et l'ISO/IEC 42001:2023 fournissent des cadres d'accompagnement directement exploitables par les PME.

1. Qu'est-ce qu'un système d'IA à haut risque ?

Le Règlement (UE) 2024/1689 — communément appelé EU AI Act — classe les systèmes d'IA selon leur niveau de risque. L'Article 6 distingue deux catégories de systèmes à haut risque :

Article 6, §1 : systèmes intégrés à un produit déjà encadré par la législation d'harmonisation listée à l'Annexe I (dispositifs médicaux, machines, jouets, ascenseurs, équipements radio).
Article 6, §2 : systèmes autonomes utilisés dans les domaines listés à l'Annexe III du Règlement.

L'Annexe III couvre huit domaines à fort impact :

Domaine	Exemples concrets pour une PME
Biométrie	Identification à distance, catégorisation biométrique
Infrastructures critiques	Gestion d'eau, d'électricité, de gaz
Éducation et formation	Évaluation automatisée de candidats ou d'étudiants
Emploi et RH	Tri de CV, évaluation de performance, attribution de tâches
Services essentiels	Scoring de crédit, attribution de prestations sociales, tarification d'assurance vie ou santé
Police	Évaluation du risque de récidive, profilage
Migration et asile	Analyse documentaire, évaluation de risques
Justice et processus démocratiques	Aide à la décision juridictionnelle, recommandations électorales

L'Article 6, §3 introduit une dérogation conditionnelle : un système listé à l'Annexe III peut être déclassé si le fournisseur démontre qu'il ne présente pas de risque significatif d'atteinte aux droits fondamentaux. Cette analyse doit être documentée et soumise à l'autorité de surveillance.

Pour une cartographie détaillée du périmètre, consultez notre guide pillar AI Act PME France et le glossaire regulia.

2. Obligations légales pour les PME en 2026

Le Règlement distingue clairement les rôles. Une PME peut être fournisseur (Article 16), déployeur (Article 26), importateur ou distributeur. Les obligations diffèrent selon ce statut.

Obligations principales du fournisseur d'un système à haut risque :

Système de gestion des risques (Article 9) — processus itératif couvrant tout le cycle de vie.
Gouvernance des données (Article 10) — jeux d'entraînement, validation et test pertinents, représentatifs et exempts d'erreurs autant que possible.
Documentation technique (Article 11) — éléments listés à l'Annexe IV, tenue à jour.
Journalisation automatique (Article 12) — traçabilité du fonctionnement.
Transparence et information du déployeur (Article 13) — instructions d'utilisation claires.
Supervision humaine (Article 14) — mesures techniques et organisationnelles.
Exactitude, robustesse et cybersécurité (Article 15).
Système de gestion de la qualité (Article 17).
Évaluation de la conformité (Article 43) avant mise sur le marché, avec marquage CE.
Enregistrement dans la base de données européenne (Article 49).

Obligations principales du déployeur :

Utiliser le système conformément aux instructions (Article 26, §1).
Assigner une supervision humaine compétente (Article 26, §2).
Surveiller le fonctionnement et signaler les incidents graves (Article 26, §5).
Réaliser une analyse d'impact sur les droits fondamentaux (FRIA, Article 27) lorsque le déployeur est une autorité publique ou opère dans les services essentiels privés (banque, assurance).
Informer les personnes concernées (Article 26, §11).

Important : la documentation regulia constitue un modèle de référence, pas un conseil juridique. Faites valider votre démarche par votre DPO ou conseil.

3. Échéances et sanctions

Le calendrier d'application est échelonné depuis l'entrée en vigueur du Règlement le 1ᵉʳ août 2024.

Date d'application	Périmètre
2 février 2025	Pratiques interdites (Article 5) et obligations de littératie IA (Article 4)
2 août 2025	Modèles d'IA à usage général (GPAI), gouvernance, autorités notifiantes
2 août 2026	Systèmes à haut risque de l'Annexe III + reste du Règlement
2 août 2027	Systèmes à haut risque de l'Annexe I (produits régulés)

Les sanctions prévues à l'Article 99 s'appliquent à compter du 2 août 2025 pour les manquements relevant des autorités nationales :

Manquement	Plafond le plus élevé entre
Pratiques interdites (Art. 5)	35 M€ ou 7 % du CA mondial annuel
Non-respect des obligations « haut risque » (Art. 16, 22, 23, 24, 26, 27, 50, etc.)	15 M€ ou 3 % du CA mondial
Informations incorrectes aux autorités	7,5 M€ ou 1,5 % du CA mondial

L'Article 99, §6 prévoit un ajustement pour les PME et start-ups : c'est le plafond le plus bas des deux montants qui s'applique, et non le plus élevé. Pour le détail des calculs et un simulateur de sanctions, voir notre article dédié : sanctions et amendes AI Act pour PME.

Cartographiez vos systèmes à haut risque avant août 2026

Le pack regulia inclut une grille de qualification Annexe III, un modèle de documentation technique Annexe IV et un canevas FRIA Article 27, prêts à compléter pour votre PME.

Recevoir le pack documentaire regulia

4. Étapes de mise en conformité pour les PME

Une trajectoire opérationnelle tient en six étapes. Comptez douze à dix-huit mois pour une PME de moins de 250 salariés, selon le nombre de systèmes concernés.

Inventaire des systèmes d'IA — recenser tous les outils intégrant de l'IA, internes ou tiers (SaaS RH, scoring, chatbots intégrés au CRM).
Qualification du risque — appliquer la grille Article 6 et Annexe III. Confirmer le statut (fournisseur ou déployeur).
Analyse d'écart — comparer l'existant aux obligations Articles 9 à 15. Identifier les actions correctives.
Construction du dossier technique (Annexe IV) — description du système, données d'entraînement, métriques de performance, mesures de cybersécurité.
Évaluation de conformité (Article 43) — interne pour la plupart des cas d'usage Annexe III, par organisme notifié pour la biométrie.
Enregistrement et marquage CE — déclaration UE de conformité (Article 47), enregistrement à la base européenne (Article 49).

Acteur	Rôle	Document principal
Direction générale	Sponsor, allocation budgétaire	Politique IA
IA Lead / DSI	Pilotage projet, gestion des risques	Cartographie + plan d'action
DPO	Articulation RGPD / AI Act	FRIA + AIPD
RSSI	Cybersécurité Article 15	Plan de tests
Métier	Spécification d'usage, supervision humaine	Procédure opérationnelle

Le guide CNIL « IA : comment être en conformité avec le RGPD » et le service desk de l'AI Office fournissent des points d'entrée gratuits. Pour structurer la démarche dans une PME, l'adoption de l'ISO/IEC 42001:2023 facilite la mise en place d'un système de management de l'IA conforme aux exigences de l'Article 17.

5. Ressources et accompagnement

Les ressources officielles utiles pour une PME française :

AI Act Service Desk (ai-act-service-desk.ec.europa.eu) — guichet de la Commission européenne, FAQ, calendrier d'application, outils d'auto-évaluation [à vérifier selon les versions publiées].
CNIL — 13 fiches pratiques IA, recommandations sur l'AIPD, articulation avec le RGPD.
Guide Cigref AI Act (janvier 2025) — angle grand compte mais utile pour le vocabulaire.
Guide Numeum AI Act (mars 2025) — focus éditeurs et intégrateurs.
Normes ISO — ISO/IEC 42001:2023 (management de l'IA), ISO/IEC 23894:2023 (gestion des risques IA), ISO/IEC 27001:2022 (sécurité de l'information).
Autorités sectorielles — ACPR (banque, assurance), ANSM (santé), ARCEP, ARCOM, DGCCRF, HAS.

Pour un panorama exhaustif des sources et de leurs URLs, consultez la bibliothèque de sources regulia.

6. Exigences techniques spécifiques

Les Articles 9 à 15 fixent les exigences techniques minimales. Chaque exigence donne lieu à une section dédiée du dossier technique de l'Annexe IV.

Article 9 — Gestion des risques. Processus continu, documenté, couvrant la conception, le développement et la post-commercialisation. Identifier les risques raisonnablement prévisibles, estimer leur gravité, prévoir des mesures d'atténuation. Tester sur des conditions représentatives.

Article 10 — Gouvernance des données. Critères de qualité applicables aux jeux d'entraînement, de validation et de test. Le texte exige des données « pertinentes, suffisamment représentatives, et dans la mesure du possible, exemptes d'erreurs et complètes » (Art. 10, §3). Examiner les biais possibles susceptibles d'affecter santé, sécurité ou droits fondamentaux.

Article 14 — Supervision humaine. Le système doit être conçu pour permettre à une personne physique de comprendre les capacités et limites du système, surveiller son fonctionnement, intervenir, ou décider de ne pas l'utiliser. La supervision n'est pas un simple bouton d'arrêt.

Article 15 — Robustesse et cybersécurité. Niveau approprié d'exactitude, de robustesse et de cybersécurité tout au long du cycle de vie. Résilience face aux erreurs et aux tentatives malveillantes (data poisoning, model poisoning, adversarial examples). Mesures techniques et organisationnelles documentées.

Article	Exigence	Livrable type
9	Gestion des risques	Registre des risques + plan de traitement
10	Données	Data sheet + analyse de biais
11	Documentation	Dossier technique Annexe IV
12	Journaux	Spécification de logging
13	Transparence	Notice d'utilisation
14	Supervision	Procédure opérationnelle
15	Robustesse	Plan de tests + rapport

7. Cas d'usage typiques pour les PME

Quatre familles de cas concentrent l'essentiel des situations « haut risque » rencontrées par les PME françaises.

Recrutement et RH. Un outil de tri de CV, de scoring de candidats ou d'évaluation de performance entre dans l'Annexe III, point 4. Les risques principaux : discrimination indirecte, opacité du score, absence de recours. Recommandation : documenter les caractéristiques pondérées, prévoir une révision humaine systématique avant décision, informer les candidats (Art. 26, §11).

Crédit et assurance. Tout système qui « évalue la solvabilité de personnes physiques ou établit leur score de crédit » est haut risque (Annexe III, point 5b). Les microcrédits sont concernés. Les assureurs vie et santé sont visés par l'Annexe III, point 5c pour la tarification et l'évaluation du risque.

Santé. Les outils d'aide au diagnostic ou de tri de patients qui sont des dispositifs médicaux relèvent de l'Article 6, §1 (Annexe I). La double conformité MDR + AI Act est exigée. Les éditeurs santé doivent articuler la marque CE médicale avec les exigences IA.

Surveillance et biométrie. Les systèmes de reconnaissance d'émotions sur le lieu de travail sont interdits (Art. 5, §1f). La catégorisation biométrique et l'identification à distance sont à haut risque (Annexe III, point 1) et requièrent une évaluation par organisme notifié.

Cas d'usage	Annexe / Article	Acteur visé en priorité
Tri de CV	Annexe III, 4a	Fournisseur SaaS RH + employeur
Évaluation de performance	Annexe III, 4b	Employeur déployeur
Scoring de crédit	Annexe III, 5b	Établissement de crédit
Tarification assurance vie/santé	Annexe III, 5c	Assureur
Aide au diagnostic médical	Article 6, §1 + Annexe I	Éditeur santé
Identification biométrique à distance	Annexe III, 1a	Fournisseur + déployeur

8. Conformité RGPD et AI Act

L'AI Act ne se substitue pas au Règlement (UE) 2016/679 (RGPD). Les deux textes s'appliquent en parallèle dès qu'un système traite des données à caractère personnel.

Articulation pratique :

Base légale et finalité (RGPD, Art. 6) — préalable à toute exploitation. L'AI Act ne crée pas de base légale dérogatoire pour les PME.
Minimisation (RGPD, Art. 5, §1c) — à concilier avec l'exigence de représentativité des jeux d'entraînement (AI Act, Art. 10). La CNIL admet une lecture pragmatique de la minimisation au stade de l'entraînement.
AIPD (RGPD, Art. 35) et FRIA (AI Act, Art. 27) — exercices distincts mais complémentaires. La CNIL recommande un document intégré lorsque les deux sont requis.
Droits des personnes (RGPD, Art. 15 à 22) — accès, rectification, effacement, opposition, portabilité, décision individuelle automatisée. L'Art. 22 RGPD reste pleinement applicable.
Transparence — la combinaison Art. 13-14 RGPD + Art. 13 et 26, §11 AI Act impose une information renforcée.

L'AI Act, dans son considérant 10 et son Article 2, §7, rappelle explicitement que le RGPD continue de s'appliquer. Le règlement européen sur la protection des données (RGPD) prime sur les questions relatives aux données personnelles.

Exigence	RGPD	AI Act
Évaluation préalable	AIPD (Art. 35)	FRIA (Art. 27)
Information	Art. 13-14	Art. 13 + 26, §11
Décision automatisée	Art. 22	Art. 14 (supervision)
Sécurité	Art. 32	Art. 15
Documentation	Registre Art. 30	Dossier technique Annexe IV

Articuler RGPD et AI Act sans doublonner

Le pack regulia intègre un modèle AIPD-FRIA unifié, une matrice de droits des personnes et un registre des traitements IA conforme aux deux règlements.

Demander le pack regulia

FAQ

Q : Quels sont les délais pour se conformer en 2026 ?

Les obligations applicables aux systèmes à haut risque de l'Annexe III deviennent contraignantes le 2 août 2026 (Article 113 du Règlement 2024/1689). Les systèmes haut risque relevant de l'Annexe I disposent d'un délai supplémentaire jusqu'au 2 août 2027. Les pratiques interdites de l'Article 5 sont déjà applicables depuis le 2 février 2025. L'AI Act Service Desk publie des calendriers consolidés.

Q : Quelles sont les sanctions pour les PME non conformes ?

Pour les manquements aux obligations « haut risque » (Articles 16, 22 à 27, 50…), l'Article 99, §4 prévoit jusqu'à 15 M€ ou 3 % du chiffre d'affaires mondial annuel. L'Article 99, §6 module ce plafond pour les PME et jeunes entreprises : c'est le montant le plus bas des deux qui s'applique. Les pratiques interdites de l'Article 5 sont sanctionnées plus lourdement (35 M€ ou 7 %).

Q : Comment identifier mes systèmes à haut risque ?

Croisez vos usages avec l'Annexe III du Règlement 2024/1689 et la liste de l'Annexe I pour les produits régulés. Appliquez la grille de l'Article 6. Si vous estimez relever de la dérogation Article 6, §3, documentez-la avec des éléments objectifs. La CNIL et l'AI Office publient des arbres de décision. Notre glossaire regulia reprend les définitions clés.

Q : L'ISO/IEC 42001:2023 m'aide-t-elle pour l'AI Act ?

Oui. La norme structure un système de management de l'IA qui couvre la gouvernance, l'évaluation des risques, le contrôle des fournisseurs et l'amélioration continue. Elle facilite le respect des Articles 9 et 17. Elle ne remplace pas l'évaluation de conformité de l'Article 43, mais elle en simplifie considérablement la préparation. À combiner avec l'ISO/IEC 23894:2023 pour la gestion des risques IA et l'ISO/IEC 27001:2022 pour la sécurité de l'information.

Q : Où trouver des organismes de certification pour les PME ?

Pour les cas d'usage Annexe III autres que la biométrie, l'évaluation de conformité s'effectue en interne selon le module A décrit à l'Annexe VI. Aucun organisme externe n'est requis. Pour la biométrie (Annexe III, point 1), un organisme notifié est obligatoire (Annexe VII). La liste des organismes notifiés est publiée sur NANDO (base de données de la Commission européenne). En France, l'accréditation passe par le COFRAC [à vérifier selon notification française définitive].

Sources officielles

Règlement (UE) 2024/1689 — texte intégral sur EUR-Lex
Texte consolidé et explorateur — artificialintelligenceact.eu
AI Act Service Desk — Commission européenne
CNIL — fiches pratiques IA
ISO/IEC 42001:2023 — Système de management de l'intelligence artificielle
ISO/IEC 23894:2023 — Lignes directrices sur le management du risque IA
ISO/IEC 27001:2022 — Système de management de la sécurité de l'information

Pour aller plus loin, consultez notre pillar AI Act PME France, notre dossier sanctions et amendes, notre glossaire et notre bibliothèque de sources.

Avertissement. Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.