1. Contexte : Pourquoi cette distinction est cruciale en 2026
En 2026, les dirigeants de PME françaises font face à deux régimes juridiques européens distincts. L'AI Act et le Digital Omnibus structurent désormais l'usage des technologies dans l'Union. Les confondre coûte cher.
Une PME de 50 salariés qui exploite un chatbot client est concernée par l'AI Act. La même PME, si elle vend en ligne, relève aussi du Digital Omnibus. Les deux régimes peuvent s'appliquer simultanément, sans s'annuler.
L'enjeu financier est concret. Une mauvaise qualification expose à des sanctions cumulatives. Une PME peut être sanctionnée au titre de l'AI Act pour défaut d'évaluation de conformité, et au titre du Digital Omnibus pour défaut de transparence algorithmique.
L'enjeu opérationnel est aussi lourd. Les processus internes diffèrent. Documentation technique, gouvernance des données, désignation d'un responsable : les obligations se chevauchent sans se superposer parfaitement. Pour aller plus loin sur le cadre français, consultez notre guide AI Act dédié aux PME.
2. Définition de l'AI Act : l'acte européen sur l'intelligence artificielle
L'AI Act est le Règlement (UE) 2024/1689 du Parlement européen et du Conseil. Il a été publié au Journal officiel de l'Union européenne le 12 juillet 2024. Son objet est défini à l'Article 1 du Règlement (UE) 2024/1689.
Le texte établit un cadre harmonisé pour les systèmes d'intelligence artificielle dans l'Union. Il poursuit deux objectifs : protéger les droits fondamentaux et favoriser l'innovation.
L'AI Act repose sur une classification par niveau de risque :
- Risque inacceptable : pratiques interdites listées à l'Article 5 (notation sociale, manipulation cognitive).
- Haut risque : systèmes énumérés à l'Annexe III (recrutement, crédit, biométrie).
- Risque limité : systèmes soumis à obligations de transparence (Art. 50).
- Risque minimal : usage libre, sans obligation spécifique.
Pour les systèmes à haut risque, l'enregistrement dans la base européenne est exigé (Art. 49). Cette base est gérée par la Commission européenne et accessible aux autorités nationales. Pour une PME française, l'autorité de référence est la CNIL pour les volets données et l'ARCOM pour les volets contenus.
Le calendrier d'application est progressif. Les pratiques interdites s'appliquent depuis février 2025. Les obligations sur les modèles d'IA à usage général s'appliquent depuis août 2025. L'essentiel des obligations sur les systèmes à haut risque s'applique à partir d'août 2026.
3. Définition du Digital Omnibus : le règlement sur les services numériques
Le Digital Omnibus désigne le paquet européen consolidé sur les services numériques [à vérifier selon dénomination officielle finale]. Il agrège plusieurs initiatives autour du Digital Services Act (DSA), du Digital Markets Act (DMA) et de la régulation des données.
Son périmètre couvre les services numériques offerts à des utilisateurs européens. Cela inclut :
- Les places de marché en ligne.
- Les hébergeurs de contenus.
- Les moteurs de recherche.
- Les plateformes de communication.
Pour les PME françaises, l'enjeu central est la transparence. Le Digital Omnibus impose de documenter les algorithmes de recommandation, de modération et de personnalisation. Les utilisateurs doivent comprendre comment leurs données sont traitées.
Le texte s'articule avec le RGPD. Aucune disposition du Digital Omnibus ne déroge à la protection des données personnelles. Les responsables de traitement gardent leurs obligations classiques : registre, analyse d'impact, désignation d'un DPO si applicable.
L'entrée en vigueur effective des principales obligations pour les services à diffusion large est intervenue en 2024. Les volets touchant les PME et les obligations renforcées de transparence prennent leur plein effet en 2026 [à vérifier selon calendrier officiel].
Cartographiez votre exposition réglementaire
Vous hésitez entre AI Act, Digital Omnibus, ou les deux ? Recevez gratuitement notre matrice de qualification et nos modèles documentaires regulia.
Demander la matrice de qualification4. Comparaison des domaines d'application
Les deux textes ne couvrent pas le même périmètre matériel. Cette section précise les frontières.
| Critère | AI Act | Digital Omnibus |
|---|---|---|
| Objet principal | Systèmes d'IA | Services numériques |
| Texte de référence | Règlement (UE) 2024/1689 | Paquet DSA/DMA consolidé |
| Cas typiques | Chatbot, scoring crédit, biométrie | Marketplace, hébergeur, moteur de recherche |
| Critère de risque | Échelle à 4 niveaux | Taille du service et impact systémique |
| Application aux PME | Oui, si système à haut risque | Oui, dès activité sur le marché UE |
| Autorité française de contrôle | CNIL, ARCOM, ANSM selon secteur | ARCOM, DGCCRF, CNIL |
Les chevauchements sont fréquents. Un site e-commerce qui utilise un moteur de recommandation entraîné par IA relève des deux régimes. Le moteur lui-même est un système d'IA. La diffusion auprès des utilisateurs est un service numérique.
Le Cigref a documenté ces zones de superposition dans son guide AI Act de janvier 2025. La clé : ne pas raisonner par texte, mais par usage. Chaque cas d'usage est qualifié séparément.
5. Comparaison des obligations de conformité
Les deux régimes imposent une documentation rigoureuse. Mais leur logique diffère.
L'AI Act impose une logique produit. Le système d'IA doit être conforme avant mise sur le marché. La documentation technique doit décrire le modèle, les données d'entraînement, les performances et les limites. L'évaluation de conformité précède le déploiement.
Le Digital Omnibus impose une logique service. Le service doit rester transparent en continu. Les rapports de transparence sont publics et périodiques. Les utilisateurs disposent de mécanismes de recours.
| Obligation | AI Act | Digital Omnibus |
|---|---|---|
| Documentation technique | Oui, avant mise sur le marché | Oui, en continu |
| Évaluation des risques | Évaluation de conformité (Art. 43) | Évaluation systémique pour services à diffusion large |
| Transparence utilisateur | Art. 50 pour risque limité | Politique de modération publique |
| Gouvernance des données | Art. 10 sur les jeux de données | Articulation avec RGPD |
| Désignation d'un référent | Représentant autorisé (Art. 22) si fournisseur hors UE | Point de contact unique |
| Rapport public | Non, sauf modèles GPAI | Oui, transparence périodique |
Une PME française peut s'appuyer sur la norme ISO/IEC 42001:2023 pour structurer sa gouvernance IA. Cette norme propose un système de management spécifique à l'intelligence artificielle. Elle constitue un référentiel utile pour démontrer la conformité à l'AI Act, sans s'y substituer.
Pour le volet données, la CNIL a publié 13 fiches pratiques sur l'IA. Ces fiches précisent les bonnes pratiques RGPD applicables aux systèmes d'IA. Consultez aussi notre glossaire réglementaire pour les définitions clés.
6. Comparaison des sanctions
Les sanctions encadrent les deux régimes. Leur calcul varie. Les PME doivent en mesurer l'impact.
L'AI Act prévoit trois paliers de sanctions à l'Article 99 du Règlement (UE) 2024/1689 :
- Jusqu'à 35 M€ ou 7 % du chiffre d'affaires mondial annuel pour les pratiques interdites.
- Jusqu'à 15 M€ ou 3 % du chiffre d'affaires mondial annuel pour la plupart des autres violations.
- Jusqu'à 7,5 M€ ou 1 % du chiffre d'affaires mondial annuel pour la fourniture d'informations inexactes.
Pour les PME et start-ups, le montant retenu est le plus faible des deux. Cette modulation atténue l'impact des seuils mondiaux sur les petites structures.
Le Digital Omnibus prévoit des sanctions distinctes :
| Type de manquement | Plafond financier | Référence indicative |
|---|---|---|
| Violation grave (DSA) | Jusqu'à 6 % du CA mondial | DSA, articles sur les sanctions |
| Manquement procédural | Jusqu'à 1 % du CA mondial | DSA |
| Astreintes | Jusqu'à 5 % du CA journalier moyen | DSA |
| Pratiques DMA | Jusqu'à 10 % du CA mondial pour gatekeepers | DMA |
Les sanctions sont cumulables. Une PME peut être poursuivie au titre de l'AI Act pour défaut de documentation technique et au titre du Digital Omnibus pour défaut de transparence sur le même cas d'usage. Pour un panorama complet des sanctions AI Act, consultez notre analyse dédiée aux amendes PME.
7. Impact sur les PME : les défis spécifiques
Les PME françaises subissent une double contrainte : ressources limitées et obligations cumulatives. Trois défis dominent.
Premier défi : le coût. La mise en conformité varie selon le périmètre. Une PME qui exploite un seul système à haut risque peut investir entre 50 000 € et 200 000 € sur 18 mois [estimation à vérifier selon les retours sectoriels publiés par Numeum et Cigref]. Ce montant couvre l'audit initial, la documentation technique, la formation et les outils de gouvernance.
Deuxième défi : les compétences. La conformité IA exige des profils mixtes. Juriste familier de l'AI Act, ingénieur capable de documenter un modèle, DPO maîtrisant le RGPD. Peu de PME disposent en interne de ce triptyque. Le recours à des prestataires spécialisés est la règle.
Troisième défi : la formation. L'Article 4 du Règlement (UE) 2024/1689 impose une obligation de littératie en IA. Les dirigeants, les utilisateurs internes et les opérateurs doivent comprendre les systèmes qu'ils utilisent. La CNIL recommande un plan de formation documenté.
Pour structurer cette montée en compétences, plusieurs leviers existent :
- Désigner un IA Lead, distinct du DPO mais en lien direct avec lui.
- Inscrire la conformité IA dans le plan de formation annuel.
- Adopter un référentiel reconnu (ISO 42001) pour piloter la démarche.
- Documenter chaque cas d'usage dans un registre interne.
- Préparer un budget pluriannuel de mise en conformité.
Le coût de l'inaction est supérieur au coût de la conformité. Une sanction à 3 % du chiffre d'affaires mondial dépasse largement les budgets de mise en conformité, même pour une PME de 30 salariés.
8. Outils et ressources pour la conformité
Plusieurs ressources publiques accompagnent les PME. Elles sont gratuites et officielles.
Le service desk européen de l'AI Act propose un point d'entrée unique pour les questions opérationnelles. La Commission y publie des FAQ, des notes interprétatives et un canal de contact direct. Adresse : ai-act-service-desk.ec.europa.eu.
La CNIL publie des fiches pratiques sur l'IA. Treize fiches couvrent les cas d'usage les plus fréquents : base légale, analyse d'impact, droits des personnes. Adresse : cnil.fr/fr/intelligence-artificielle.
Les normes ISO structurent la gouvernance. ISO/IEC 42001:2023 pour le système de management IA. ISO/IEC 23894:2023 pour la gestion des risques. ISO/IEC 27001:2022 pour la sécurité de l'information.
Les guides sectoriels complètent ces référentiels. Cigref a publié un guide AI Act en janvier 2025. Numeum a publié son propre guide en mars 2025. Ces deux documents donnent des grilles de lecture par secteur.
Pour les références complètes et à jour, consultez notre page sources officielles.
| Ressource | Usage principal | Coût |
|---|---|---|
| Service desk EU AI Act | Questions opérationnelles AI Act | Gratuit |
| Fiches CNIL | Articulation RGPD-IA | Gratuit |
| ISO 42001 | Référentiel de management | Norme payante |
| Guide Cigref | Vision DSI grandes structures | Gratuit |
| Guide Numeum | Vision éditeurs et intégrateurs | Gratuit |
| Templates regulia | Mise en œuvre opérationnelle PME | Pack documentaire |
FAQ
Quelle loi s'applique à mon système d'IA ?
L'AI Act s'applique aux systèmes d'IA, quel que soit leur domaine d'application. Si votre système traite des données personnelles, le RGPD s'applique aussi. Si vous diffusez ce système via un service numérique, le Digital Omnibus complète le cadre. L'AI Act est prioritaire pour les systèmes à haut risque, sans exclure les autres régimes.
Quelles sont les sanctions pour non-conformité ?
L'AI Act prévoit des sanctions jusqu'à 7 % du chiffre d'affaires mondial annuel pour les pratiques interdites (Art. 99 du Règlement (UE) 2024/1689). Le Digital Omnibus prévoit des plafonds jusqu'à 6 % du chiffre d'affaires mondial annuel pour les manquements graves. Les sanctions peuvent se cumuler en cas de violations multiples sur le même cas d'usage.
Comment savoir si mon service numérique est concerné par le Digital Omnibus ?
Tous les services numériques accessibles à des utilisateurs européens sont concernés. Cela inclut les sites web marchands, les applications mobiles, les places de marché et les hébergeurs de contenus. Les obligations varient selon la taille du service. Les PME bénéficient d'obligations allégées par rapport aux très grandes plateformes.
Où puis-je trouver de l'aide pour me conformer ?
Trois sources officielles : le service desk européen de l'AI Act, les fiches pratiques CNIL, et les normes ISO 42001 et 27001. Pour une approche structurée par cas d'usage, consultez notre guide AI Act pour PME ainsi que notre analyse des sanctions.
Quelles sont les étapes pour s'inscrire à l'AI Act ?
Pour les systèmes à haut risque, l'enregistrement dans la base européenne est obligatoire (Art. 49). La procédure commence par une évaluation de conformité (Art. 43). Vient ensuite l'établissement de la documentation technique (Annexe IV) puis l'enregistrement avant mise sur le marché. Un représentant autorisé doit être désigné si le fournisseur est établi hors Union.
Sources officielles
- Règlement (UE) 2024/1689 — ai-act.europa.eu
- Commission nationale de l'informatique et des libertés — cnil.fr
- Service desk AI Act de la Commission européenne — ai-act-service-desk.ec.europa.eu
- ISO/IEC 42001:2023 — norme officielle sur le système de management de l'IA
- ISO/IEC 23894:2023 — gestion des risques liés à l'IA
- ISO/IEC 27001:2022 — sécurité de l'information
- Guide Cigref AI Act, janvier 2025
- Guide Numeum AI Act, mars 2025
Sécurisez votre conformité AI Act et Digital Omnibus
Le pack documentaire regulia inclut les modèles de registre, d'évaluation de conformité et de politique de transparence adaptés aux PME françaises. Diagnostic offert pour cadrer votre périmètre.
Demander un diagnostic gratuitAvertissement. Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.