TL;DR — L'essentiel en 30 secondes
- L'Article 26 du Règlement (UE) 2024/1689 impose onze obligations distinctes au déployeur d'un système d'IA à haut risque.
- Les sanctions peuvent atteindre 15 millions d'euros ou 3 % du chiffre d'affaires mondial annuel selon l'Article 99 [à vérifier pour le plafond exact applicable au déployeur].
- Le déployeur n'est pas le fournisseur : la PME qui utilise un système d'IA à haut risque dans le cadre de son activité professionnelle est concernée.
- L'application des obligations Article 26 a démarré le 2 août 2026 pour les systèmes haut risque Annexe III.
- Le respect du RGPD reste prioritaire et complémentaire : l'AIPD reste obligatoire pour les traitements à risque élevé.
- Documentation, surveillance humaine, journalisation, information des personnes et coopération avec les autorités forment le socle opérationnel.
1. Introduction à l'article 26 de l'AI Act
L'Article 26 du Règlement (UE) 2024/1689 (« AI Act ») fixe le cadre opérationnel du déployeur d'un système d'IA à haut risque. Le déployeur — appelé deployer en anglais — est défini à l'Article 3 (4) comme toute personne physique ou morale qui utilise un système d'IA sous sa propre autorité, sauf usage strictement personnel non professionnel.
Pourquoi cet article concerne directement les PME
Une PME française qui achète un logiciel de scoring crédit, un outil de tri de CV ou une solution de reconnaissance biométrique devient déployeur dès la mise en service. Elle n'est pas concepteur du modèle. Elle reste pleinement responsable de son usage.
Le législateur européen a voulu équilibrer la chaîne de responsabilité. Le fournisseur conçoit. Le déployeur intègre, supervise, documente. Aucun maillon ne peut se défausser sur l'autre.
Calendrier d'application
| Étape | Date | Portée |
|---|---|---|
| Entrée en vigueur | 1ᵉʳ août 2024 | Règlement publié |
| Interdictions Article 5 | 2 février 2025 | Pratiques prohibées |
| Obligations GPAI | 2 août 2025 | Modèles d'IA à usage général |
| Obligations Article 26 (haut risque Annexe III) | 2 août 2026 | Déployeurs concernés |
| Haut risque Annexe I (produits réglementés) | 2 août 2027 | Extension complète |
Pour qui s'applique l'Article 26
L'Article 26 s'applique à tout déployeur établi dans l'Union ou dont la sortie produite par le système d'IA est utilisée dans l'Union. La taille de l'entreprise n'exonère pas, mais l'Article 62 prévoit un soutien spécifique aux PME et startups.
Voir notre pillar Article 26 AI Act PME France pour le cadre général et le guide des sanctions pour le détail financier.
2. Obligation 1 : Mise en œuvre conforme aux instructions d'utilisation
L'Article 26 (1) impose au déployeur de prendre « les mesures techniques et organisationnelles appropriées » pour garantir l'usage du système conformément à la notice du fournisseur.
Ce que cela implique concrètement
- Conserver la notice technique fournie par le fournisseur (Article 13 AI Act).
- Tracer les paramètres de configuration choisis lors de la mise en service.
- Identifier qui, dans l'organisation, peut modifier ces paramètres.
- Vérifier que les conditions d'utilisation (langues, données d'entrée, contexte) restent conformes à la spécification du fournisseur.
Exemple concret : fiche technique reconnaissance faciale
Une PME de sécurité physique déploie un système de reconnaissance faciale pour contrôle d'accès. Elle doit documenter :
| Élément | Contenu |
|---|---|
| Système déployé | Marque, version, identifiant CE |
| Finalité validée | Contrôle d'accès salariés site Paris |
| Données d'entrée | Photos d'identité internes uniquement |
| Seuil de confiance | Configuré à 98 % (cf. notice fournisseur) |
| Responsable mise en service | Nom du RSSI |
| Date d'activation | Horodatage |
Cette fiche est la première brique de la conformité Article 26. Elle se relit en audit en moins de cinq minutes.
3. Obligation 2 : Surveillance humaine effective
L'Article 26 (2) reprend l'exigence de l'Article 14 : la supervision humaine doit être assurée par des personnes physiques disposant de la compétence, de la formation et de l'autorité nécessaires.
Trois conditions cumulatives
- Compétence : le superviseur comprend le fonctionnement du système et ses limites.
- Formation : il a suivi une formation documentée — voir aussi Article 4 sur la AI literacy.
- Autorité : il peut suspendre ou arrêter le système sans procédure d'escalade bloquante.
Risque concret : biais dans un algorithme de recrutement
Une PME utilise un outil de tri automatique de candidatures. Le superviseur RH doit pouvoir :
- Examiner les motifs de rejet automatique.
- Détecter une dérive (sur-représentation d'un genre ou d'une tranche d'âge).
- Désactiver le module de scoring sans appel au support fournisseur.
Sans cette autorité opérationnelle, l'obligation est formellement remplie mais matériellement violée.
4. Obligation 3 : Pertinence et représentativité des données d'entrée
L'Article 26 (4) impose au déployeur, lorsqu'il exerce un contrôle sur les données d'entrée, de veiller à ce que celles-ci soient pertinentes et suffisamment représentatives au regard de la finalité du système.
Périmètre exact
Cette obligation ne transfère pas la responsabilité du fournisseur sur la qualité des données d'entraînement. Elle vise les données alimentées en production par le déployeur lui-même.
| Type de données | Responsabilité |
|---|---|
| Données d'entraînement du modèle | Fournisseur (Article 10) |
| Données de fine-tuning interne | Déployeur si configuration |
| Données d'inférence (en production) | Déployeur (Article 26 §4) |
| Données de feedback / réentraînement | Déployeur si activé |
Méthode pour les PME : SWOT simplifiée
Pour évaluer la représentativité, une PME peut produire une analyse en quatre cases.
| Strengths | Weaknesses |
|---|---|
| Volume suffisant ? | Données obsolètes ? |
| Catégories couvertes ? | Sous-représentation ? |
| Opportunities | Threats |
| Sources complémentaires ? | Risque de biais systémique ? |
Cette grille remplace, pour une PME, des cadres lourds type AI Risk Management Framework du NIST. Elle ne s'y substitue pas en termes de rigueur juridique, mais constitue un point de départ documentable.
5. Obligation 4 : Journalisation (logs)
L'Article 26 (6) impose la conservation des journaux automatiquement générés par le système d'IA à haut risque, dans la mesure où ces journaux sont sous le contrôle du déployeur, pendant une durée appropriée à la finalité, et au moins six mois sauf disposition contraire du droit applicable.
Ce qu'un journal doit permettre
- Tracer chaque inférence (horodatage, version du modèle, entrée, sortie).
- Identifier l'utilisateur déclencheur si pertinent.
- Détecter une anomalie a posteriori en cas d'audit ou de réclamation.
Articulation avec le RGPD
Les logs constituent souvent un traitement de données personnelles. Ils doivent figurer au registre Article 30 RGPD, avec durée de conservation, base légale et destinataires.
Besoin d'un registre déployeur conforme Article 26 ?
Le pack documentaire regulia inclut le registre déployeur, la fiche technique par système IA et la matrice de supervision humaine — modèles éditables prêts à compléter pour votre PME.
Demander le pack documentaire6. Obligation 5 : Information des travailleurs et représentants
L'Article 26 (7) impose au déployeur, avant la mise en service d'un système d'IA à haut risque sur le lieu de travail, d'informer les travailleurs et leurs représentants.
Articulation avec le droit français
Cette obligation s'ajoute — sans s'y substituer — à :
- L'information-consultation du CSE (Code du travail, Article L. 2312-8).
- L'information individuelle des salariés (Article L. 1222-4 sur les dispositifs de collecte).
- L'obligation RGPD d'information (Article 13).
Exemple : système de scoring commercial
Une PME déploie un outil qui priorise les leads pour ses commerciaux. Elle doit informer :
| Public | Contenu minimum | Délai |
|---|---|---|
| CSE | Présentation du système, finalité, données traitées | Avant mise en service |
| Commerciaux | Notice individuelle (rôle, droits, recours) | Avant utilisation |
| DPO | Inscription au registre RGPD | Avant collecte |
L'absence d'information préalable peut suffire à invalider l'usage et à déclencher la sanction prévue à l'Article 99.
7. Obligation 6 : Information des personnes concernées
Lorsque le système d'IA à haut risque prend une décision ou contribue à une décision concernant une personne physique, l'Article 26 (11) impose au déployeur d'informer cette personne qu'elle est soumise à un tel système.
Cumul avec l'Article 22 RGPD
L'Article 22 RGPD interdit déjà la décision entièrement automatisée produisant des effets juridiques, sauf trois exceptions (contrat, loi, consentement explicite). L'Article 26 AI Act ajoute une obligation d'information même en cas de décision assistée par l'IA.
Modèle de mention type
Vous interagissez avec un système d'aide à la décision automatisée. Ce système contribue à [finalité]. Vous pouvez demander une intervention humaine en contactant [adresse]. Conformément à l'Article 26 du Règlement (UE) 2024/1689 et au RGPD, vous disposez d'un droit d'accès, de rectification et d'opposition.
Cette mention figure dans la lettre d'information client, le bandeau d'interface ou la notification e-mail selon le contexte.
8. Obligation 7 : Coopération avec les autorités
L'Article 26 (12) impose au déployeur de coopérer avec les autorités compétentes nationales — en France, principalement la CNIL pour les aspects données et l'autorité de surveillance du marché désignée (à confirmer dans le décret d'application français [à vérifier]).
Ce que la coopération signifie
- Fournir, sur demande motivée, toute information utile à la conformité du système.
- Donner accès aux journaux conservés au titre de l'obligation 4.
- Communiquer la fiche d'analyse d'impact (FRIA, Article 27) le cas échéant.
Délai de réponse
Le règlement ne fixe pas de délai unique. La pratique CNIL retient en général un délai de 30 jours pour les demandes courantes, raccourci à 72 heures pour les incidents notifiables (cf. glossaire regulia).
9. Obligation 8 : Notification des incidents graves
L'Article 26 (5) impose au déployeur, lorsqu'il a connaissance d'un incident grave, de :
- Suspendre l'utilisation du système.
- Informer le fournisseur.
- Informer l'autorité de surveillance du marché.
Définition de l'incident grave
L'Article 3 (49) définit un incident grave comme un incident causant directement ou indirectement le décès, un préjudice grave à la santé, une perturbation grave d'infrastructure critique, une violation des droits fondamentaux ou un dommage grave aux biens ou à l'environnement.
Délais de notification
| Type d'incident | Délai maximum |
|---|---|
| Atteinte aux droits fondamentaux | 15 jours après prise de connaissance |
| Décès / préjudice grave santé | 10 jours |
| Infrastructure critique | 2 jours |
Ces délais figurent à l'Article 73 et s'appliquent en cascade : déployeur → fournisseur → autorité.
Cas d'usage : maintenance prédictive défaillante
Une PME industrielle utilise un système prédictif de maintenance. Le système n'alerte pas sur une dégradation critique → accident. Le déployeur déclenche le protocole :
- Arrêt immédiat du système.
- Information au fournisseur sous 24 h.
- Notification à l'autorité dans les 10 jours (préjudice santé).
- Archivage des logs pour l'enquête.
10. Obligation 9 : Analyse d'impact (FRIA)
L'Article 27 — étroitement lié à l'Article 26 — impose à certains déployeurs (organismes publics, fournisseurs de services essentiels privés) la réalisation d'une Fundamental Rights Impact Assessment (FRIA) avant la première utilisation.
Quelles PME sont concernées
| Catégorie de déployeur | FRIA obligatoire ? |
|---|---|
| PME prestataire d'un organisme public | Oui, si Annexe III |
| PME du secteur bancaire (scoring crédit, Annexe III §5) | Oui |
| PME assurance (tarification vie/santé, Annexe III §5) | Oui |
| PME commerciale standard (B2B SaaS) | Non sauf cas spécifique |
Articulation FRIA / AIPD RGPD
La FRIA Article 27 et l'AIPD Article 35 RGPD ne sont pas identiques mais se recouvrent largement. La pratique consolidée par la CNIL recommande une AIPD étendue intégrant les éléments FRIA, afin d'éviter le double exercice (cf. fiches pratiques CNIL).
11. Obligation 10 : Respect du RGPD et complémentarité
L'Article 26 (1) précise que les obligations du déployeur s'appliquent sans préjudice des obligations existantes au titre du RGPD. Le RGPD reste pleinement applicable.
Matrice de convergence
| Obligation | AI Act Article 26 | RGPD |
|---|---|---|
| Information personnes | §11 | Art. 13-14 |
| Droit d'opposition | Implicite via §11 | Art. 21 |
| Décision automatisée | §11 | Art. 22 |
| Analyse d'impact | Renvoi Art. 27 (FRIA) | Art. 35 (AIPD) |
| Registre | §6 (journaux) | Art. 30 (traitements) |
| Notification incident | §5 (incident grave) | Art. 33 (violation données) |
Piège fréquent
Une PME qui pense que sa conformité RGPD couvre automatiquement l'AI Act se trompe. L'inverse est tout aussi faux. Les deux régimes coexistent : violer l'AI Act tout en respectant le RGPD reste sanctionnable, et réciproquement.
Voir notre page sources pour le détail des textes applicables.
12. Obligation 11 : Maintien à jour et coopération continue
L'Article 26 (3) impose au déployeur de tenir compte des mesures correctives indiquées par le fournisseur (mises à jour, patchs, recommandations). Cette obligation traduit le caractère vivant du système d'IA à haut risque.
Plan de maintenance type pour PME
| Action | Fréquence recommandée | Responsable |
|---|---|---|
| Application des correctifs fournisseur | Sous 30 jours après publication | RSSI |
| Revue des journaux | Mensuelle | DPO + métier |
| Test de supervision humaine | Trimestrielle | IA Lead |
| Revue du registre déployeur | Semestrielle | Direction |
| Bilan annuel de conformité | Annuelle | Direction + DPO |
Bilan annuel : qu'y mettre
Le règlement n'impose pas formellement un « rapport annuel » général, mais l'usage professionnel — et le principe de redevabilité — conduit à produire un bilan annuel articulant :
- Inventaire des systèmes IA déployés.
- Synthèse des incidents (graves et non graves).
- Évolution des mesures de supervision humaine.
- Mises à jour techniques appliquées.
- Formations dispensées (lien Article 4 AI literacy).
- Prévisions de déploiements pour l'année suivante.
Ce document devient la pièce maîtresse en cas de contrôle.
Pack documentaire Article 26 prêt à l'emploi
Registre déployeur, fiche technique IA, matrice de supervision humaine, modèle de bilan annuel, procédure d'incident grave — l'ensemble des onze obligations couvertes par des modèles éditables, conformes au Règlement (UE) 2024/1689.
Recevoir le pack regulia13. FAQ — Article 26 AI Act pour les PME
Quelles sont les sanctions en cas de non-respect de l'article 26 ?
L'Article 99 du Règlement (UE) 2024/1689 fixe des amendes pouvant atteindre 15 millions d'euros ou 3 % du chiffre d'affaires mondial annuel pour le non-respect des obligations applicables aux déployeurs [à vérifier — le plafond de 7 % visé à l'Article 99 concerne principalement les pratiques interdites de l'Article 5]. Le détail figure dans notre guide des sanctions PME.
Comment les PME peuvent-elles identifier les risques d'IA ?
Les PME peuvent combiner trois ressources : la grille SWOT simplifiée présentée en section 4, les fiches pratiques CNIL sur l'IA, et un appui ponctuel auprès de l'AI Office EU via son service desk. Pour les déployeurs Annexe III obligatoirement soumis à une FRIA (organismes publics, banque, assurance), une méthode formalisée est requise.
Quel est le lien entre l'AI Act et le RGPD ?
L'Article 26 (1) précise expressément que l'AI Act s'applique sans préjudice du RGPD. Les deux régimes se cumulent. La matrice de convergence présentée en section 11 détaille les points d'articulation : information, droit d'opposition, décision automatisée, analyse d'impact, registre, notification d'incident.
Quels outils peuvent aider les PME à se conformer ?
Plusieurs ressources sont utiles : l'AI Act Service Desk de la Commission européenne, les fiches pratiques de la CNIL, la norme ISO/IEC 42001:2023 sur les systèmes de management de l'IA, la norme ISO/IEC 23894:2023 sur la gestion des risques IA, et les guides sectoriels du Cigref (janvier 2025) et de Numeum (mars 2025).
Quelle est la fréquence des mises à jour requises ?
L'Article 26 (3) impose la prise en compte des mesures correctives dès que le fournisseur les publie. Aucune fréquence stricte n'est fixée par le règlement, mais une fenêtre de 30 jours pour l'application des correctifs critiques constitue un standard pratique. Le bilan annuel reste la cadence minimale pour les revues de conformité.
14. Sources officielles
- Règlement (UE) 2024/1689 — texte officiel : eur-lex.europa.eu/eli/reg/2024/1689
- Texte consolidé annoté : artificialintelligenceact.eu
- AI Act Service Desk — Commission européenne : ai-act-service-desk.ec.europa.eu
- CNIL — fiches pratiques IA : cnil.fr/fr/les-fiches-pratiques-ia
- ISO/IEC 42001:2023 — Systèmes de management de l'IA
- ISO/IEC 23894:2023 — Gestion des risques IA
- ISO/IEC 27001:2022 — Sécurité de l'information
- Cigref — Guide AI Act janvier 2025
- Numeum — Guide AI Act mars 2025
Pour aller plus loin : pillar Article 26 AI Act PME France, calculateur de sanctions, glossaire, bibliothèque des sources.
Disclaimer. Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.