L'essentiel en 30 secondes - Le Digital Omnibus, paquet de simplification numérique annoncé par la Commission européenne fin 2025, vise à articuler l'AI Act, le RGPD et le Data Act pour réduire la charge administrative des PME [à vérifier — texte définitif attendu courant 2026]. - L'AI Act (Règlement (UE) 2024/1689) prévoit déjà des sanctions atteignant 35 M€ ou 7 % du chiffre d'affaires mondial pour les pratiques interdites (Art. 99). - Les obligations pour les systèmes à haut risque s'appliquent à compter du 2 août 2026, celles relatives aux systèmes à haut risque listés à l'Annexe I à compter du 2 août 2027 (Art. 113). - Une base de données européenne des systèmes d'IA à haut risque est instituée par l'Article 71 du Règlement (UE) 2024/1689. - Les PME et start-up bénéficient de mesures de soutien spécifiques : bacs à sable réglementaires (Art. 57) et réductions de frais administratifs (Art. 62). - Une feuille de route opérationnelle 2026-2027 reste indispensable, indépendamment du calendrier final du Digital Omnibus.
1. Contexte : AI Act et Digital Omnibus
L'AI Act, formellement le Règlement (UE) 2024/1689, est entré en vigueur le 1er août 2024. Il établit le premier cadre horizontal au monde pour les systèmes d'intelligence artificielle commercialisés dans l'Union européenne. Son application s'échelonne sur plusieurs phases jusqu'en 2027.
Le Digital Omnibus désigne le paquet de simplification numérique présenté par la Commission von der Leyen II. Son objectif officiel : rationaliser l'articulation entre l'AI Act, le Règlement général sur la protection des données (RGPD), le Data Act et le Digital Services Act. Le calendrier législatif définitif et le contenu précis des amendements restent en cours de négociation au moment de la rédaction [à vérifier].
Pour une PME française, deux questions concrètes se posent. Premièrement : que dois-je faire avant le 2 août 2026 et avant le 2 août 2027 au titre de l'AI Act ? Deuxièmement : quelles modifications potentielles le Digital Omnibus apportera-t-il à ce calendrier ?
Cet article répond aux deux questions en distinguant systématiquement le droit applicable aujourd'hui des évolutions annoncées. Pour une vue d'ensemble de l'AI Act appliqué aux PME, consultez notre pillar dédié.
| Texte | Statut au 2 juin 2026 | Entrée en application |
|---|---|---|
| AI Act — Règlement (UE) 2024/1689 | En vigueur | Échelonnée 2025-2027 |
| Digital Omnibus | Proposition / négociation [à vérifier] | Non confirmée |
| RGPD — Règlement (UE) 2016/679 | En vigueur | Mai 2018 |
2. Les principales modifications attendues du Digital Omnibus
Le Digital Omnibus n'abroge pas l'AI Act. Il vise à en simplifier certaines obligations procédurales, en particulier pour les acteurs intermédiaires et les PME. Trois axes structurants ressortent des communications officielles de la Commission.
Premier axe : harmonisation documentaire. L'objectif annoncé est de mutualiser les exigences de documentation entre l'AI Act (Annexe IV) et le RGPD (Art. 30 — registre des traitements). Une PME qui tient déjà un registre RGPD pourrait y intégrer les éléments AI Act sans dupliquer la démarche [à vérifier — formulation définitive attendue].
Deuxième axe : guichet unique de déclaration. La base de données européenne de l'Article 71 du Règlement (UE) 2024/1689 servirait de point d'entrée unique pour les systèmes à haut risque. Le Digital Omnibus pourrait étendre ce principe à d'autres déclarations sectorielles.
Troisième axe : seuils PME. Les mesures de soutien aux PME prévues à l'Article 62 du Règlement (UE) 2024/1689 — réduction des frais d'évaluation de conformité, priorité d'accès aux bacs à sable réglementaires — pourraient être renforcées. La définition retenue est celle de la Recommandation 2003/361/CE : moins de 250 salariés, chiffre d'affaires inférieur à 50 M€ ou bilan inférieur à 43 M€.
Le calendrier final dépendra du trilogue entre Parlement, Conseil et Commission. Une PME ne peut donc pas attendre le Digital Omnibus pour se mettre en conformité : les obligations AI Act 2026-2027 restent juridiquement applicables.
3. Impacts pour les PME en 2027
Le 2 août 2027 marque la deuxième vague d'application de l'AI Act. Trois catégories d'obligations entrent en vigueur à cette date.
Systèmes à haut risque listés à l'Annexe I. Ces systèmes sont intégrés dans des produits déjà soumis à une législation d'harmonisation européenne (jouets, dispositifs médicaux, machines, équipements radio). L'Article 113, point c) du Règlement (UE) 2024/1689 fixe leur entrée en application au 2 août 2027. Une PME qui distribue un dispositif médical embarquant de l'IA est concernée à cette date.
Modèles d'IA à usage général déjà sur le marché. Les modèles GPAI mis sur le marché avant le 2 août 2025 doivent se conformer au chapitre V au plus tard le 2 août 2027 (Art. 111, paragraphe 3). Cette disposition concerne principalement les fournisseurs, mais les PME déployeuses doivent s'assurer que leurs prestataires sont à jour.
Documentation et traçabilité. Les obligations documentaires de l'Annexe IV — description du système, données d'entraînement, mesures de gestion des risques — doivent être tenues à disposition des autorités compétentes pendant 10 ans à compter de la mise sur le marché (Art. 18).
Pour les PME, l'enjeu opérationnel se résume en trois questions : quel niveau de risque pour chacun de mes systèmes IA ? Quelle documentation tenir ? Vers quel registre déclarer ?
| Échéance | Disposition AI Act | Concerne la PME ? |
|---|---|---|
| 2 février 2025 | Pratiques interdites (Art. 5) | Oui — pour tout déployeur |
| 2 août 2025 | Obligations GPAI + gouvernance | Indirectement (via fournisseurs) |
| 2 août 2026 | Régime général haut risque | Oui — déployeurs et fournisseurs |
| 2 août 2027 | Annexe I + GPAI antérieurs | Oui — secteurs réglementés |
Évaluez votre exposition AI Act en 10 minutes
Notre questionnaire diagnostique cartographie vos systèmes d'IA selon les catégories de risque du Règlement (UE) 2024/1689 et identifie vos obligations 2026-2027.
Demander un diagnostic gratuit4. Les sanctions pour non-conformité
L'Article 99 du Règlement (UE) 2024/1689 fixe trois paliers de sanctions. Ces montants s'entendent comme le plus élevé entre une somme forfaitaire et un pourcentage du chiffre d'affaires annuel mondial total de l'exercice précédent.
| Type d'infraction | Plafond | Base légale |
|---|---|---|
| Pratiques interdites (Art. 5) | 35 M€ ou 7 % du CA mondial | Art. 99 §3 |
| Non-respect obligations haut risque, GPAI, transparence | 15 M€ ou 3 % du CA mondial | Art. 99 §4 |
| Fourniture d'informations incorrectes aux autorités | 7,5 M€ ou 1 % du CA mondial | Art. 99 §5 |
L'Article 99, paragraphe 6 introduit une clause spécifique aux PME et start-up : les plafonds applicables sont le montant le plus bas entre la somme forfaitaire et le pourcentage du chiffre d'affaires. Pour une PME française, cela limite mécaniquement le risque maximal.
Exemple chiffré. Une PME réalisant 8 M€ de chiffre d'affaires et déployant un système classé pratique interdite encourt théoriquement 7 % × 8 M€ = 560 000 €. Le plafond forfaitaire de 35 M€ ne s'applique pas grâce à l'Art. 99 §6. Pour un calcul détaillé adapté à votre situation, utilisez notre calculateur de sanctions AI Act.
Le Digital Omnibus n'est pas annoncé comme modifiant ces plafonds. Toute communication évoquant un plafond unique de 7 % applicable à toute infraction est inexacte : les trois paliers de l'Article 99 restent distincts.
Risques opérationnels associés. Au-delà de l'amende, l'Article 79 prévoit le retrait ou le rappel des systèmes non conformes. Pour une PME B2B, l'interdiction de commercialisation peut s'avérer plus coûteuse que la sanction pécuniaire elle-même.
5. Les exemptions pour les PME
L'AI Act ne prévoit pas d'exemption générale fondée sur la taille de l'entreprise. Il instaure en revanche des mesures de soutien ciblées qu'il faut distinguer des exonérations.
Article 62 — soutien aux PME et start-up. Les États membres doivent fournir aux PME et start-up établies dans l'UE un accès prioritaire aux bacs à sable réglementaires de l'IA. Les frais d'évaluation de conformité prévus à l'Article 43 sont réduits proportionnellement à la taille de l'entreprise et à ses besoins de marché.
Article 57 — bacs à sable réglementaires. Chaque État membre doit établir au moins un bac à sable national au plus tard le 2 août 2026. Ces espaces permettent de tester un système IA sous supervision d'une autorité compétente avant mise sur le marché. La CNIL et l'ARCEP sont positionnées comme autorités nationales en France [à vérifier — désignation finale en cours].
Mention « PME de moins de 10 employés ». L'AI Act distingue les PME des micro-entreprises au sens de la Recommandation 2003/361/CE (moins de 10 salariés et chiffre d'affaires inférieur à 2 M€). Aucune disposition de l'AI Act n'exonère totalement ces micro-entreprises des obligations sur les systèmes à haut risque. Elles bénéficient en revanche de modalités allégées de documentation, comme prévu par l'Article 11, paragraphe 1, second alinéa, pour la documentation technique des systèmes à haut risque.
| Mesure | Bénéficiaires | Effet |
|---|---|---|
| Accès prioritaire bacs à sable | PME et start-up UE | Test supervisé avant mise sur le marché |
| Frais d'évaluation réduits | PME et start-up UE | Proportionnel à la taille |
| Documentation simplifiée | Micro-entreprises | Format allégé (Art. 11 §1) |
| Plafond sanction réduit | PME et start-up | Montant le plus bas (Art. 99 §6) |
Conséquence pratique : aucune PME française ne peut considérer qu'elle est « hors champ » de l'AI Act. La bonne question n'est pas « suis-je exemptée ? » mais « quelles modalités allégées puis-je activer ? ».
6. Étapes de conformité pour les PME
Une démarche structurée 2026-2027 repose sur six étapes. Cette feuille de route s'applique indépendamment des évolutions du Digital Omnibus.
- Cartographier les systèmes d'IA utilisés ou développés. Inventorier chaque cas d'usage : LLM intégré dans le CRM, scoring RH, contrôle qualité par vision par ordinateur, chatbot client. Préciser pour chacun le rôle de la PME : fournisseur, déployeur, importateur, distributeur (Art. 3).
- Classer chaque système selon le niveau de risque. Quatre catégories : interdit (Art. 5), haut risque (Annexe III), risque limité avec obligations de transparence (Art. 50), risque minimal. Le glossaire regulia détaille chaque catégorie.
- Identifier les obligations applicables. Pour un haut risque : système de gestion des risques (Art. 9), gouvernance des données (Art. 10), documentation technique (Art. 11, Annexe IV), enregistrement (Art. 12), supervision humaine (Art. 14), exactitude et cybersécurité (Art. 15).
- Constituer la documentation technique. L'Annexe IV liste les éléments requis. Une PME peut utiliser un format allégé (Art. 11 §1, second alinéa) tout en couvrant l'ensemble des points.
- Déclarer dans la base de données européenne. L'Article 49 impose aux fournisseurs et déployeurs publics d'enregistrer leurs systèmes à haut risque avant mise sur le marché ou mise en service.
- Mettre en place la surveillance post-commercialisation. Le plan prévu à l'Article 72 documente la collecte, l'analyse et la réaction aux incidents survenus en exploitation.
Cette séquence se déroule typiquement sur 6 à 9 mois pour une PME de taille moyenne disposant de 2 à 5 systèmes IA en production.
7. Outils et ressources disponibles
Plusieurs ressources gratuites ou commerciales accompagnent la conformité PME.
Ressources officielles de la Commission européenne. Le Service Desk de l'AI Office répond aux questions des entreprises sur l'interprétation du Règlement. Les lignes directrices sectorielles sont publiées progressivement sur le site de l'AI Office.
Ressources CNIL. La CNIL a publié 13 fiches pratiques sur l'IA, articulant RGPD et AI Act. Ces fiches couvrent la base légale du traitement, la minimisation des données et les droits des personnes concernées. Elles sont disponibles sur cnil.fr.
Outils regulia. Notre pillar AI Act PME France compile les obligations par taille et par secteur. Le calculateur de sanctions chiffre l'exposition financière selon votre chiffre d'affaires et le type d'infraction. Notre page sources référence l'intégralité des textes opposables.
Guides professionnels. Le Cigref a publié en janvier 2025 un guide opérationnel AI Act destiné aux grandes entreprises mais applicable aux ETI. Numeum a publié en mars 2025 un guide spécifique aux éditeurs de logiciels [à vérifier — dates exactes].
| Ressource | Type | Coût | Public cible |
|---|---|---|---|
| AI Office Service Desk | Officiel UE | Gratuit | Tous |
| Fiches CNIL IA | Officiel FR | Gratuit | DPO, juristes |
| Calculateur regulia | Outil opérationnel | Gratuit | Dirigeants PME |
| Guide Cigref | Guide professionnel | Gratuit | DSI, IA Lead |
8. Les opportunités pour les PME
La conformité AI Act n'est pas qu'un coût. Trois leviers de valeur ressortent pour les PME françaises.
Confiance client renforcée. Une PME B2B documente sa conformité dans ses réponses à appels d'offres. Pour les marchés publics et les grands comptes, l'attestation de conformité AI Act devient un critère discriminant à partir de 2026.
Accès aux dispositifs européens. Le programme Horizon Europe et le Digital Europe Programme prévoient des enveloppes spécifiques pour les PME développant ou déployant de l'IA conforme. Les centres européens d'innovation numérique (EDIH) accompagnent gratuitement les PME [à vérifier — modalités 2026-2027].
Qualité technique des systèmes. Les exigences de l'Article 15 — exactitude, robustesse, cybersécurité — recouvrent les bonnes pratiques d'ingénierie logicielle. Documenter un système conformément à l'Annexe IV améliore mécaniquement sa maintenabilité.
Différenciation commerciale. Un système IA conforme AI Act vendu à un client soumis lui-même au Règlement réduit la charge de due diligence côté acheteur. Pour un éditeur SaaS, c'est un argument de vente direct.
Anticipez l'échéance du 2 août 2026
Notre pack documentaire couvre les 12 livrables exigés par l'Annexe IV pour un système à haut risque : politique de gestion des risques, registre des données, plan de supervision humaine, procédure d'incident.
Recevoir le pack documentaireFAQ
Quelles sont les sanctions pour les PME non conformes ?
L'Article 99 du Règlement (UE) 2024/1689 prévoit trois paliers : 35 M€ ou 7 % du chiffre d'affaires mondial pour les pratiques interdites, 15 M€ ou 3 % pour les manquements aux obligations haut risque et GPAI, 7,5 M€ ou 1 % pour les informations incorrectes aux autorités. L'Article 99, paragraphe 6 limite ces plafonds au montant le plus bas pour les PME et start-up. Le Digital Omnibus n'est pas annoncé comme modifiant ces seuils.
Quand doit-on s'inscrire à la base de données européenne ?
L'Article 49 impose l'enregistrement avant mise sur le marché ou mise en service pour les systèmes à haut risque listés à l'Annexe III. Cette obligation s'applique à compter du 2 août 2026 pour le régime général et du 2 août 2027 pour les systèmes de l'Annexe I. La base de données est opérée par la Commission européenne au titre de l'Article 71. Le calendrier opérationnel d'ouverture est publié par l'AI Office sur ai-act-service-desk.ec.europa.eu.
Les PME de moins de 10 employés sont-elles concernées ?
Oui. L'AI Act ne prévoit pas d'exemption fondée sur la taille. Les micro-entreprises au sens de la Recommandation 2003/361/CE bénéficient de modalités allégées de documentation technique (Art. 11 §1) et d'un plafond de sanction au montant le plus bas (Art. 99 §6). Elles restent soumises à l'interdiction des pratiques de l'Article 5 et aux obligations de transparence de l'Article 50 lorsqu'elles exploitent un système concerné.
Quels outils regulia propose-t-il pour la conformité ?
regulia met à disposition un pillar général AI Act PME, un calculateur de sanctions chiffrant l'exposition selon votre chiffre d'affaires, un glossaire juridique et une page sources référençant les textes opposables. Des packs documentaires couvrant l'Annexe IV sont disponibles via le formulaire de contact. Ces livrables sont des modèles de référence et ne constituent pas un conseil juridique personnalisé.
Où trouver des informations officielles sur l'AI Act ?
Le texte consolidé est disponible sur eur-lex.europa.eu et sur artificialintelligenceact.eu. Les questions d'interprétation sont traitées par le Service Desk de l'AI Office. En France, la CNIL publie des fiches pratiques articulant RGPD et AI Act. Pour les évolutions du Digital Omnibus, suivre les communications officielles de la Commission européenne.
Sources officielles
- Règlement (UE) 2024/1689 — texte consolidé EUR-Lex
- artificialintelligenceact.eu — texte intégral annoté
- AI Office EU — Service Desk
- CNIL — fiches pratiques IA
- ISO/IEC 42001:2023 — Système de management de l'IA
- ISO/IEC 23894:2023 — Gestion du risque IA
- Recommandation 2003/361/CE — définition des PME
Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.