Quelles sont les sanctions pour non-conformité à l'Article 13 ?

Les sanctions peuvent atteindre 7% du chiffre d'affaires annuel pour les infractions répétées (cnil.fr). Les PME doivent donc vérifier la conformité de leurs fournisseurs d'IA avant 30 juin 2024.

Comment documenter la conformité de l'Article 13 ?

Les PME doivent maintenir un registre détaillé des systèmes d'IA utilisés, incluant les fournisseurs, les instructions reçues et les vérifications de conformité. Cela doit être conforme à ISO 42001:2023.

Article 13 AI Act : transparence et instructions d'utilisation pour les PME

Q: Quelles informations doivent contenir les instructions d'utilisation ?

Les instructions doivent inclure : les risques identifiés, les limites du système, les prérequis techniques, les données nécessaires et les procédures d'urgence (ai-act-service-desk.ec.europa.eu).

Q: Dois-je modifier mon système d'IA pour respecter l'Article 13 ?

Non, les fournisseurs d'IA doivent fournir les instructions. Les PME doivent simplement vérifier la conformité de leurs fournisseurs et documenter la conformité via un registre (ISO 42001:2023).

Q: Quelle est la date limite d'application de l'Article 13 ?

La date limite est le 30 juin 2024 pour les systèmes d'IA de risque élevé et intermédiaire. Les PME doivent donc agir rapidement pour vérifier la conformité de leurs fournisseurs (eur-lex.europa.eu).

TL;DR

L'essentiel en 30 secondes

L'Article 13 du Règlement (UE) 2024/1689 impose aux fournisseurs de systèmes d'IA à haut risque de joindre des instructions d'utilisation claires, complètes et accessibles aux déployeurs.

Les PME françaises qui déploient un système d'IA à haut risque doivent obtenir, conserver et appliquer ces instructions avant la mise en service.

Les obligations relatives aux systèmes à haut risque (chapitre III du Règlement) deviennent pleinement applicables le 2 août 2026 [à vérifier].

Les sanctions liées aux manquements aux obligations applicables aux fournisseurs et déployeurs peuvent atteindre 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial selon l'Article 99 du Règlement.

Les instructions doivent couvrir : identité du fournisseur, caractéristiques, capacités, limites de performance, risques résiduels, mesures de surveillance humaine et exigences techniques.

La traçabilité des instructions reçues et des vérifications opérées peut s'inscrire dans un système de management de l'IA conforme à ISO/IEC 42001:2023.

1. Contexte réglementaire : l'Article 13 de l'AI Act

L'Article 13 du Règlement (UE) 2024/1689, dit « AI Act », encadre la transparence des systèmes d'IA à haut risque. Il s'adresse en priorité aux fournisseurs, mais touche directement les déployeurs — donc les PME utilisatrices.

L'objectif du législateur européen est explicite. Permettre au déployeur de comprendre le fonctionnement du système, d'en interpréter les sorties et d'en faire un usage approprié.

L'Article 13 s'applique uniquement aux systèmes d'IA classés à haut risque selon l'Article 6 et l'Annexe III du Règlement. Les systèmes à risque limité relèvent quant à eux de l'Article 50, qui prévoit des obligations de transparence distinctes (mention de l'interaction avec une IA, marquage des contenus générés).

Pour les PME, la portée pratique est claire. Si vous déployez un logiciel de tri de CV automatisé, un outil de scoring crédit, un système de surveillance d'accès biométrique ou une IA d'aide au diagnostic médical, vous êtes dans le périmètre de l'Article 13.

Catégorie de risque	Article applicable	Obligation principale
Risque inacceptable	Art. 5	Interdiction
Haut risque	Art. 13 + Chap. III	Instructions d'utilisation complètes
Risque limité	Art. 50	Information de l'utilisateur final
Risque minimal	—	Encouragement de codes de conduite

Vous trouverez le contexte général dans notre guide AI Act pour PME françaises.

2. Définitions clés : transparence et instructions d'utilisation

Le Règlement définit la transparence comme l'accessibilité des informations nécessaires à un usage éclairé. L'Article 13 paragraphe 1 précise que les systèmes à haut risque sont conçus de manière à ce que leur fonctionnement soit « suffisamment transparent pour permettre aux déployeurs d'interpréter les sorties du système et de les utiliser de manière appropriée ».

Les instructions d'utilisation sont, elles, un document écrit. Elles accompagnent le système et engagent la responsabilité du fournisseur. Le paragraphe 2 de l'Article 13 impose un format numérique ou autre, lisible, concis, complet, correct et clair.

Trois notions à ne pas confondre.

Notice technique — destinée aux développeurs internes du fournisseur.
Documentation technique (Art. 11 + Annexe IV) — remise aux autorités de surveillance.
Instructions d'utilisation (Art. 13) — destinées au déployeur, dont la PME.

La PME reçoit donc les instructions d'utilisation et doit les conserver pendant toute la durée d'exploitation du système. Pour les définitions élargies, consultez notre glossaire AI Act.

3. Obligations spécifiques des fournisseurs d'IA

L'Article 13 paragraphe 3 énumère le contenu minimal des instructions d'utilisation. Voici la liste des éléments que tout fournisseur doit fournir au déployeur PME.

Identité et coordonnées du fournisseur ainsi que, le cas échéant, de son mandataire.
Caractéristiques, capacités et limites de performance du système, dont : - sa finalité prévue ; - le niveau d'exactitude, de robustesse et de cybersécurité ; - les circonstances connues susceptibles de conduire à un risque pour la santé, la sécurité ou les droits fondamentaux ; - les performances pour les personnes ou groupes de personnes sur lesquels le système est destiné à être utilisé.
Modifications préétablies du système et de ses performances.
Mesures de surveillance humaine prévues à l'Article 14, y compris les mesures techniques mises en place pour faciliter l'interprétation des sorties.
Ressources informatiques et matérielles nécessaires, durée de vie attendue et mesures de maintenance.
Mécanismes intégrés permettant de collecter, stocker et interpréter les journaux (logs), conformément à l'Article 12.

Élément requis	Référence Règlement	Utilité opérationnelle PME
Finalité prévue	Art. 13(3)(b)(i)	Cadrage des cas d'usage autorisés
Niveau d'exactitude	Art. 13(3)(b)(ii)	Calibrage du seuil d'alerte
Risques résiduels	Art. 13(3)(b)(iii)	Évaluation et atténuation côté déployeur
Surveillance humaine	Art. 13(3)(d)	Définition des rôles internes
Maintenance	Art. 13(3)(e)	Plan de cycle de vie et budget
Journalisation	Art. 13(3)(f)	Conservation des logs et auditabilité

Si l'un de ces points manque dans la documentation du fournisseur, la PME doit le demander par écrit. L'absence d'éléments engage la responsabilité du fournisseur, mais peut affecter la PME en cas de contrôle.

4. Impact sur les PME : obligations et responsabilités

La PME qui déploie un système d'IA à haut risque est un « déployeur » au sens de l'Article 3 paragraphe 4 du Règlement. Elle n'est pas soumise directement à l'Article 13, qui vise les fournisseurs. Mais l'Article 26 impose au déployeur d'utiliser le système « conformément aux instructions d'utilisation accompagnant le système ».

Quatre responsabilités concrètes pour les PME.

Obtenir les instructions d'utilisation avant la mise en service.
Conserver ces instructions de manière accessible pendant toute la durée d'exploitation.
Former les opérateurs internes aux usages autorisés, limites et procédures de signalement.
Documenter la conformité dans un registre interne, idéalement aligné sur ISO/IEC 42001:2023.

Besoin d'un registre de conformité prêt à l'emploi ?

regulia met à disposition un pack documentaire incluant le modèle de registre de déploiement, la grille d'audit fournisseur et le guide de revue des instructions d'utilisation.

Demander le pack documentaire

La PME doit également surveiller le fonctionnement du système (Art. 26 paragraphe 5) et notifier au fournisseur tout incident grave ou défaillance (Art. 73). Ces obligations s'articulent avec les exigences RGPD relatives au traitement de données à caractère personnel.

5. Échéances et sanctions

Les dates clés du Règlement (UE) 2024/1689.

Date	Événement
1er août 2024	Entrée en vigueur du Règlement
2 février 2025	Application des interdictions (Art. 5)
2 août 2025	Application des règles sur les modèles d'IA à usage général [à vérifier]
2 août 2026	Application générale, dont les obligations sur les systèmes à haut risque (Art. 13 inclus) [à vérifier]
2 août 2027	Application aux systèmes à haut risque intégrés à des produits régulés [à vérifier]

La date du 30 juin 2024 mentionnée dans certaines sources circulantes ne correspond pas au calendrier officiel d'application des obligations de l'Article 13. La PME doit se référer au calendrier consolidé sur eur-lex.europa.eu et au service desk AI Act de la Commission européenne.

Les sanctions sont définies à l'Article 99 du Règlement.

Type d'infraction	Plafond	Référence
Pratiques interdites (Art. 5)	35 M€ ou 7 % du CA mondial	Art. 99(3)
Manquement aux obligations fournisseurs / déployeurs (dont Art. 13 et 26)	15 M€ ou 3 % du CA mondial	Art. 99(4)
Informations incorrectes aux autorités	7,5 M€ ou 1 % du CA mondial	Art. 99(5)

Le plafond retenu est le montant le plus élevé entre la somme fixe et le pourcentage du chiffre d'affaires. Pour les PME, des règles d'atténuation sont prévues à l'Article 99 paragraphe 6 : le montant le plus faible des deux s'applique. Le détail figure dans notre article dédié sanctions AI Act et amendes PME.

6. Guide pratique pour les PME

Cinq étapes pour aligner votre PME avec l'Article 13 et l'Article 26.

Cartographier les systèmes d'IA déployés, sous-traités ou intégrés à vos outils SaaS.
Classer chaque système selon l'Article 6 et l'Annexe III du Règlement. Distinguez haut risque, risque limité et risque minimal.
Demander au fournisseur, par écrit, les instructions d'utilisation conformes à l'Article 13(3) pour chaque système à haut risque.
Auditer ces instructions : couvrent-elles bien les six rubriques listées au paragraphe 3 ? Si non, exigez un complément.
Documenter : tenez un registre des systèmes, fournisseurs, instructions reçues, formations dispensées et incidents éventuels.

Étape	Livrable	Responsable interne
1. Cartographier	Inventaire des systèmes d'IA	IA Lead / DSI
2. Classer	Matrice risques	DPO + IA Lead
3. Demander	Instructions reçues du fournisseur	Achats + IA Lead
4. Auditer	Grille d'audit complétée	RSSI + DPO
5. Documenter	Registre AI Act	DPO

Vous pouvez bâtir ce registre sur la base d'un système de management de l'intelligence artificielle conforme à ISO/IEC 42001:2023. Cette norme propose un cadre structurant pour la gouvernance, la gestion des risques et l'amélioration continue.

7. Exemples concrets : cas d'utilisation

Pour clarifier les attentes de l'Article 13, voici trois cas d'usage typiques rencontrés en PME.

Cas 1 — Logiciel de tri automatisé de CV

Système à haut risque au titre de l'Annexe III point 4 (emploi). Les instructions d'utilisation doivent préciser :

les biais résiduels documentés par le fournisseur ;
les catégories de données acceptées en entrée ;
la nécessité d'une revue humaine systématique des décisions ;
la liste des contre-indications (ex. recrutement de mineurs, postes à risque).

Cas 2 — Chatbot de service client avec composante d'aide à la décision

Selon le périmètre fonctionnel, le système peut relever soit de l'Article 50 (risque limité, transparence vis-à-vis de l'utilisateur final), soit de l'Article 13 si le chatbot prend ou influe sur des décisions à fort impact. Les instructions doivent indiquer :

les sujets que le chatbot peut traiter ;
les seuils de confiance à partir desquels un humain doit reprendre la main ;
la procédure d'escalade en cas d'incident.

Cas 3 — Analyse prédictive d'attrition client

Souvent classé à risque limité, ce cas peut basculer à haut risque s'il influe sur l'accès à des services essentiels. Les instructions doivent préciser :

la fenêtre de prédiction (3, 6, 12 mois) ;
les données d'entrée minimales et leur qualité attendue ;
les performances mesurées par le fournisseur et la dérive attendue dans le temps.

Auditez vos fournisseurs d'IA en 48 heures

Le pack regulia inclut une grille d'audit des instructions d'utilisation, un courrier type de demande au fournisseur et un modèle de revue annuelle conforme ISO/IEC 42001:2023.

Recevoir le pack regulia

8. Ressources et accompagnement

Pour aller plus loin, plusieurs ressources externes et internes peuvent guider votre démarche.

Le portail AI Act pour PME françaises regroupe les obligations transversales du Règlement.
Le service desk de la Commission européenne répond aux questions opérationnelles des entreprises.
Les 13 fiches pratiques de la CNIL couvrent l'articulation entre RGPD et AI Act.
La norme ISO/IEC 42001:2023 propose un cadre de management certifiable.
Notre page sources et références liste les textes officiels et guides sectoriels.

Pour les secteurs régulés, les autorités compétentes (ACPR pour la banque, ANSM pour la santé, ARCEP pour les télécoms) ont commencé à publier des orientations spécifiques. Anticipez la cohérence entre exigences AI Act et exigences sectorielles.

FAQ

Quelles sont les sanctions liées à un manquement à l'Article 13 ?

L'Article 99 paragraphe 4 prévoit des sanctions pouvant atteindre 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial pour les manquements aux obligations applicables aux fournisseurs et déployeurs, dont l'Article 13. Pour les PME, le montant le plus faible des deux plafonds s'applique (Art. 99(6)).

Quelles informations doivent contenir les instructions d'utilisation ?

L'Article 13 paragraphe 3 du Règlement (UE) 2024/1689 impose six rubriques : identité du fournisseur, caractéristiques et limites du système, modifications préétablies, mesures de surveillance humaine, ressources techniques et maintenance, mécanismes de journalisation. Toute omission peut être contestée auprès du fournisseur.

Dois-je modifier mon système d'IA pour respecter l'Article 13 ?

Non. L'Article 13 vise le fournisseur. La PME, en tant que déployeur, doit vérifier la conformité du fournisseur, conserver les instructions reçues et les appliquer (Art. 26). Si vous adaptez substantiellement le système, vous pouvez toutefois changer de statut et devenir fournisseur au sens de l'Article 25.

Quelle est la date limite d'application de l'Article 13 ?

L'application générale des obligations sur les systèmes à haut risque, dont l'Article 13, intervient deux ans après l'entrée en vigueur du Règlement, soit le 2 août 2026 [à vérifier]. Certaines dispositions (interdictions, gouvernance des modèles à usage général) s'appliquent plus tôt. Le calendrier officiel est publié sur eur-lex.europa.eu.

Comment documenter la conformité à l'Article 13 ?

Tenez un registre des systèmes d'IA déployés. Pour chaque système, conservez : identité du fournisseur, classe de risque, instructions reçues, date de réception, audit interne, formation des utilisateurs et incidents éventuels. ISO/IEC 42001:2023 propose un cadre adapté.

Sources officielles

Règlement (UE) 2024/1689 du Parlement européen et du Conseil — eur-lex.europa.eu/eli/reg/2024/1689
Texte consolidé annoté — artificialintelligenceact.eu
AI Act Service Desk de la Commission européenne — ai-act-service-desk.ec.europa.eu
Fiches pratiques IA de la CNIL — cnil.fr
ISO/IEC 42001:2023 — Système de management de l'intelligence artificielle
ISO/IEC 23894:2023 — Gestion des risques liés à l'IA
Cigref, guide AI Act, janvier 2025
Numeum, guide AI Act, mars 2025

Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.