Quels sont les délais pour la mise en conformité des systèmes existants ?

Les PME ont 6 mois à compter du 16 avril 2024 pour mettre en conformité leurs systèmes d'IA existants. Pour les nouveaux systèmes, le délai est de 3 mois après leur mise en service. Il est fortement recommandé de commencer dès maintenant pour éviter les sanctions.

Quelles sont les sanctions pour non-conformité ?

Les sanctions peuvent atteindre 7% du chiffre d'affaires annuel (Article 63 AI Act). En plus des amendes, les PME risquent des pénalités pour non-respect des délais et des risques réputationsnels. La CNIL et le service desk européen offrent des ressources pour éviter ces sanctions.

Quels sont les coûts estimés pour la mise en conformité ?

Les coûts varient entre 15 000€ et 50 000€ par système d'IA, selon la taille de l'équipe, la complexité du système et les ressources internes. La CNIL et le service desk européen proposent des guides gratuits et des audits pour optimiser ces coûts.

Où trouver des ressources pour la mise en conformité ?

Les PME peuvent consulter le guide pratique de la CNIL sur /glossaire.html, le service desk européen sur ai-act-service-desk.ec.europa.eu, et les articles dédiés sur /ai-act-pme-france/ et /ai-act-sanctions-pme-amendes/. Des partenaires de confiance offrent également des audits gratuits.

Quels sont les 14 éléments obligatoires de la documentation ?

La documentation technique doit inclure : description du système, données d'entraînement, architecture technique, évaluation des risques, tests et résultats, maintenance, surveillance, gestion des incidents, gestion des données, gestion des droits, conformités, audits, rapports et gestion des incidents. Chaque élément est détaillé dans l'Annexe IV du règlement.

Article 11 AI Act : documentation technique Annexe IV pour les PME

L'essentiel en 30 secondes

L'Article 11 du Règlement (UE) 2024/1689 impose une documentation technique structurée pour tout système d'IA classé à haut risque.
Le contenu obligatoire suit les neuf rubriques de l'Annexe IV : description du système, conception, surveillance, métriques, gestion des risques, modifications, normes harmonisées, déclaration de conformité, suivi post-commercialisation.
Les obligations applicables aux systèmes à haut risque entrent en application le 2 août 2026 (Art. 113 du Règlement).
Les sanctions financières atteignent 15 millions d'euros ou 3 % du chiffre d'affaires mondial annuel pour manquement à l'Article 11 (Art. 99, §4) — le montant le plus faible étant retenu pour les PME (Art. 99, §6).
Aucune exemption générale pour les PME, mais l'Article 11, §1, alinéa 2 prévoit une forme simplifiée pour les microentreprises et petites entreprises.
La CNIL et le service desk de la Commission européenne publient des ressources gratuites pour préparer le dossier.

1. Qu'est-ce que l'Article 11 de l'AI Act ?

L'Article 11 du Règlement (UE) 2024/1689, dit « AI Act », encadre la documentation technique des systèmes d'IA classés à haut risque au sens de l'Article 6. Il oblige le fournisseur à rédiger cette documentation avant la mise sur le marché ou la mise en service du système, puis à la maintenir à jour pendant toute la durée d'exploitation.

Le périmètre est précis. Sont concernés les systèmes listés à l'Annexe I (composants de sécurité de produits déjà régulés) et ceux de l'Annexe III (recrutement, scoring crédit, éducation, accès aux services essentiels, application de la loi, etc.). Pour comprendre la classification, consultez notre pillar AI Act pour les PME françaises et le glossaire des termes-clés.

L'objectif poursuivi est triple :

démontrer aux autorités nationales compétentes la conformité du système ;
permettre l'évaluation de la conformité par un organisme notifié quand elle est requise (Art. 43) ;
assurer la traçabilité technique au long du cycle de vie.

Pour une PME, ce dispositif documentaire n'est pas un simple exercice formel. C'est la pièce maîtresse exigée en cas de contrôle par la CNIL, la DGCCRF ou l'autorité sectorielle compétente.

2. Le contenu de la documentation technique (Annexe IV)

L'Annexe IV du Règlement énumère neuf rubriques principales. Chaque rubrique doit être traitée même si la PME exploite un système développé par un tiers et le déploie sous sa propre marque.

Rubrique Annexe IV	Contenu attendu	Niveau de détail
1. Description générale	Finalité, version, fournisseur, interactions matériel/logiciel	Élevé
2. Description détaillée des éléments du système	Architecture, ressources de calcul, données d'entraînement, méthodes de validation	Très élevé
3. Surveillance, fonctionnement et contrôle	Capacités, limites de précision, robustesse, cybersécurité	Élevé
4. Pertinence des indicateurs de performance	Métriques choisies et justification	Moyen
5. Système de gestion des risques (Art. 9)	Identification, évaluation, mesures de mitigation	Très élevé
6. Modifications au cours du cycle de vie	Journal des versions et mises à jour	Moyen
7. Normes harmonisées appliquées	Liste des normes ISO/IEC et CEN-CENELEC suivies	Moyen
8. Déclaration UE de conformité	Copie signée (Art. 47, Annexe V)	Obligatoire
9. Surveillance post-commercialisation	Procédure de suivi des incidents et de la performance	Élevé

Les PME bénéficient d'un aménagement explicite. L'Article 11, §1, alinéa 2 prévoit que les microentreprises et petites entreprises peuvent fournir certains éléments « sous une forme simplifiée ». La Commission européenne doit publier un formulaire-type via acte d'exécution [à vérifier — calendrier non encore confirmé]. En attendant, le contenu reste exigible : seule la mise en forme est allégée.

3. Calendrier d'application pour les PME

L'AI Act est entré en vigueur le 1er août 2024 (Art. 113), vingt jours après sa publication au Journal officiel de l'Union européenne le 12 juillet 2024. Les obligations s'appliquent par paliers successifs :

Date d'application	Obligation déclenchée
2 février 2025	Interdictions de l'Article 5 (systèmes prohibés)
2 août 2025	Obligations relatives aux modèles d'IA à usage général (GPAI)
2 août 2026	Article 11 et autres obligations des systèmes à haut risque (Annexe III)
2 août 2027	Systèmes à haut risque relevant de l'Annexe I (produits soumis à harmonisation)

Pour les PME, le délai effectif de mise en conformité documentaire court donc jusqu'au 2 août 2026. Les systèmes mis en service après cette date doivent disposer de la documentation Annexe IV dès leur lancement.

L'idée reçue d'un « délai de six mois après publication » ne figure pas dans le texte. Le calendrier réel laisse environ vingt-quatre mois — ce qui reste court compte tenu de la volumétrie documentaire attendue, surtout si la PME n'a pas de système qualité préexistant.

4. Coûts estimés pour les PME

Il n'existe pas, à ce jour, d'évaluation officielle publiée par la Commission ou la CNIL sur le coût de mise en conformité Article 11 pour les PME [à vérifier]. Les estimations disponibles dans la littérature professionnelle varient sensiblement selon trois facteurs :

Maturité documentaire interne : une PME déjà certifiée ISO 9001 ou ISO/IEC 27001 réutilise une part significative de ses procédures.
Complexité du système d'IA : un système basé sur un modèle pré-entraîné externe demande moins de travail qu'un développement interne complet.
Recours à un conseil externe : DPO externalisé, cabinet d'avocats, consultant IA.

L'étude d'impact accompagnant la proposition initiale de la Commission européenne en 2021 évaluait le coût moyen de conformité par système à haut risque entre 6 000 € et 7 000 € [à vérifier — référence : Impact Assessment SWD(2021) 84]. Les guides publiés par Cigref en janvier 2025 et Numeum en mars 2025 retiennent un ordre de grandeur supérieur lorsque la PME ne dispose d'aucun système qualité préexistant.

Le coût total dépend aussi du nombre de systèmes concernés. Une PME peut exploiter un seul outil de recrutement classé haut risque, ou plusieurs systèmes répartis sur des fonctions différentes (RH, scoring, marketing, conformité).

Vérifier si vos systèmes d'IA sont concernés

Notre formulaire d'auto-évaluation gratuit identifie en cinq minutes les systèmes d'IA de votre PME soumis à l'Article 11 et estime la documentation à produire.

Lancer le diagnostic gratuit

5. Sanctions pour non-conformité

L'Article 99 du Règlement (UE) 2024/1689 organise le régime de sanctions. Pour un manquement à l'Article 11, le plafond applicable relève de l'Article 99, paragraphe 4.

Type de manquement	Plafond
Pratiques interdites (Art. 5)	35 M€ ou 7 % du CA mondial annuel — montant le plus élevé retenu
Manquement aux obligations des fournisseurs et déployeurs (dont Art. 11)	15 M€ ou 3 % du CA mondial annuel
Communication d'informations inexactes aux autorités	7,5 M€ ou 1 % du CA mondial annuel

L'Article 99, paragraphe 6, prévoit un régime spécifique pour les PME et start-up : le plafond applicable est le montant le plus faible entre la somme fixe et le pourcentage du chiffre d'affaires. Cette disposition limite l'exposition financière des petites structures sans annuler le risque.

Au-delà de l'amende, le défaut de documentation peut entraîner le retrait du système du marché par l'autorité de surveillance compétente. Notre analyse détaillée du barème figure dans l'article sanctions de l'AI Act pour les PME.

6. Ressources disponibles pour les PME

Plusieurs ressources gratuites et officielles soutiennent les PME dans la rédaction de leur documentation technique :

AI Office (Commission européenne) : le service desk publie des FAQ, des modèles d'auto-évaluation et organise des webinaires sectoriels.
CNIL : ses 13 fiches pratiques sur l'IA couvrent la base légale RGPD, l'analyse d'impact (AIPD) et l'interaction avec l'AI Act.
Cigref : guide AI Act publié en janvier 2025, orienté grandes entreprises mais réutilisable par les PME mûres.
Numeum : guide AI Act de mars 2025, plus axé fournisseurs de solutions IA.
ISO/IEC 42001:2023 : norme de système de management de l'IA, mobilisable comme cadre structurant.
ISO/IEC 23894:2023 : norme de gestion des risques liés à l'IA, complémentaire à l'Article 9 de l'AI Act.

L'ensemble des liens officiels est consolidé dans notre page sources.

7. Étapes pratiques pour la mise en conformité

Une démarche structurée évite la dispersion. Voici une séquence opérationnelle adaptée aux PME de 10 à 250 salariés :

Cartographier les systèmes d'IA en exploitation. Inclure les outils SaaS intégrant de l'IA : recrutement, scoring, support client, modération de contenu, détection de fraude.
Qualifier le niveau de risque. Croiser avec l'Annexe III pour identifier les systèmes à haut risque. Documenter cette qualification — y compris pour les systèmes écartés.
Auditer la documentation existante. Beaucoup d'éléments de l'Annexe IV existent déjà sous forme dispersée : notices techniques, contrats fournisseurs, registres RGPD, procédures qualité.
Combler les lacunes par rubrique. Traiter en priorité les rubriques 1, 2, 5 et 9 de l'Annexe IV — les plus exigeantes en volume.
Mettre en place le système de gestion des risques (Art. 9). Il s'agit d'un processus itératif, pas d'un document figé. Le cadre ISO/IEC 23894:2023 fournit une trame opérationnelle.
Formaliser la déclaration UE de conformité. Le format est fixé à l'Annexe V du Règlement et signé par le fournisseur.
Préparer la surveillance post-commercialisation (Art. 72). Définir le canal de remontée des incidents et le journal d'audit conservé pendant la durée d'exploitation.
Former les équipes. L'Article 4 impose une « maîtrise suffisante de l'IA » (AI literacy) au personnel concerné — notion détaillée dans notre glossaire.

Une PME bien organisée peut viser six à neuf mois entre le lancement du projet de conformité et la production d'un dossier Annexe IV complet [à vérifier selon contexte sectoriel].

8. Exemples sectoriels pour les PME

Trois cas concrets illustrent l'application de l'Article 11 dans des contextes réels rencontrés en France.

Cas 1 — PME de 50 salariés exploitant un outil de tri de CV. Le système relève de l'Annexe III, point 4(a) sur le recrutement. La documentation doit décrire le modèle utilisé, les données d'apprentissage, les tests de biais (genre, origine, âge) et le mécanisme de supervision humaine. L'autorité compétente associe la DGEFP et la CNIL [à vérifier — répartition encore en cours de précision côté français].

Cas 2 — PME de 100 salariés commercialisant un logiciel d'aide au diagnostic médical. Double régime applicable : AI Act et Règlement (UE) 2017/745 sur les dispositifs médicaux. La documentation Annexe IV s'articule avec la documentation MDR, et l'ANSM intervient comme autorité notifiée sectorielle. Le système de gestion des risques fusionne les exigences ISO 14971 (dispositifs médicaux) et l'Article 9 de l'AI Act.

Cas 3 — PME de 200 salariés fournissant un système de scoring crédit. Annexe III, point 5(b). La documentation doit inclure une analyse d'impact sur les droits fondamentaux (Art. 27 du Règlement), la justification des indicateurs de performance et les mesures de mitigation des biais. L'ACPR est l'autorité de tutelle sectorielle pertinente. Les exigences se cumulent avec celles du règlement RGPD et de la loi MURCEF [à vérifier].

Dans chaque cas, l'articulation entre Article 11 et obligations sectorielles préexistantes structure la charge documentaire réelle. Le travail n'est jamais isolé : il s'intègre dans un dispositif réglementaire plus large.

Recevoir un modèle de documentation Annexe IV adapté à votre secteur

regulia propose un pack documentaire structuré selon les neuf rubriques de l'Annexe IV, livré avec un guide de remplissage en français.

Demander le pack documentaire

FAQ

Quel est le délai effectif pour mettre en conformité les systèmes d'IA à haut risque ?

L'Article 11 devient pleinement applicable le 2 août 2026 (Art. 113). Les systèmes mis sur le marché avant cette date bénéficient d'un régime transitoire spécifique défini à l'Article 111, distinct selon qu'il s'agit de systèmes déjà couverts par une législation harmonisée ou non. Pour les systèmes lancés après le 2 août 2026, la documentation Annexe IV doit être complète dès la mise sur le marché ou la mise en service.

Quelles sont les sanctions financières pour défaut de documentation technique ?

L'Article 99, paragraphe 4, fixe le plafond à 15 millions d'euros ou 3 % du chiffre d'affaires mondial annuel pour manquement aux obligations applicables aux fournisseurs et déployeurs, dont l'Article 11. Pour les PME, c'est le montant le plus faible des deux qui s'applique (Art. 99, §6). Au-delà de l'amende, l'autorité compétente peut exiger le retrait du système du marché européen.

Existe-t-il un format obligatoire pour la documentation Annexe IV ?

Le Règlement n'impose pas un format unique. L'Article 11, §1, alinéa 2 prévoit toutefois une « forme simplifiée » pour les microentreprises et petites entreprises, dont le format-type doit être adopté par la Commission européenne par voie d'acte d'exécution [à vérifier]. En pratique, un dossier organisé selon les neuf rubriques de l'Annexe IV reste conforme.

Une PME peut-elle réutiliser la documentation de son fournisseur d'IA ?

Oui en partie, mais avec précaution. Si la PME se contente de déployer un système développé par un tiers, elle reste « fournisseur » au sens de l'AI Act dès qu'elle le commercialise sous sa propre marque, qu'elle modifie sa finalité de manière substantielle ou qu'elle y apporte des modifications substantielles (Art. 25). Dans ces cas, elle assume la responsabilité documentaire. À défaut, elle reste « déployeur » et exploite la documentation du fournisseur initial, dans la limite de ses obligations propres (Art. 26).

Quels sont les liens entre Article 11 et RGPD ?

Les deux régimes coexistent. La documentation Annexe IV intègre les éléments relatifs aux données d'entraînement et de validation, qui doivent être conformes au RGPD lorsqu'elles contiennent des données personnelles. L'analyse d'impact relative à la protection des données (AIPD, Art. 35 RGPD) reste exigible en parallèle. La CNIL précise cette articulation dans ses fiches pratiques publiées en 2024 et 2025.

Sources officielles

Texte consolidé du Règlement (UE) 2024/1689 : eur-lex.europa.eu/eli/reg/2024/1689
AI Act Service Desk de la Commission européenne : ai-act-service-desk.ec.europa.eu
Dossier AI Act de la CNIL : cnil.fr/fr/ai-act
Texte intégral commenté : artificialintelligenceact.eu
ISO/IEC 42001:2023 — Information technology — Artificial intelligence — Management system
ISO/IEC 23894:2023 — Information technology — Artificial intelligence — Guidance on risk management
ISO/IEC 27001:2022 — Information security management systems

Disclaimer

Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.