Quelles sont les conséquences d'une évaluation de conformité incomplète pour une PME ?

Une PME risque des amendes pouvant atteindre 7% de son chiffre d'affaires annuel (art. 83 AI Act), des sanctions alternatives comme l'interdiction de commercialiser l'IA, et une perte de confiance des clients. L'évaluation incomplète peut aussi entraîner des litiges avec les utilisateurs finaux et des dommages réputationnels.

Comment identifier si mon système d'IA est de haut risque ?

Un système est de haut risque s'il a un impact significatif sur la santé, la sécurité, les droits fondamentaux ou l'environnement (art. 6 AI Act). Exemples : systèmes de recrutement automatisé, algorithmes de crédit, systèmes de surveillance. La CNIL (cnil.fr/fr/ai-act) propose un guide pour identifier ces systèmes.

Quelles sont les étapes clés pour réaliser une évaluation de conformité ?

1. Identifier les exigences de l'AI Act pour votre système. 2. Élaborer un plan d'évaluation documenté. 3. Effectuer des tests et audits techniques. 4. Vérifier la conformité RGPD. 5. Documenter les résultats et les améliorations. 6. Mettre à jour régulièrement l'évaluation.

Où puis-je trouver des ressources gratuites pour m'aider à m'adapter ?

Le service desk européen (ai-act-service-desk.ec.europa.eu) offre des conseils gratuits. La CNIL (cnil.fr/fr/ai-act) publie des guides pratiques. Le site artificialintelligenceact.eu fournit des informations officielles. Le glossaire régulia.fr/glossaire.html définit les termes clés.

Article 43 AI Act : évaluation de conformité avant marché pour les PME

Q: Dois-je faire appel à un organisme notifié pour tous mes systèmes d'IA ?

Non. Seuls les systèmes d'IA de haut risque (définis à l'article 6 de l'AI Act) nécessitent une évaluation par un organisme notifié. Pour les autres systèmes, une évaluation interne documentée suffit, mais doit respecter les principes de l'AI Act (sécurité, transparence, non-discrimination).

L'essentiel en 30 secondes

L'Article 43 du Règlement (UE) 2024/1689 impose aux fournisseurs de systèmes d'IA à haut risque une procédure d'évaluation de la conformité avant toute mise sur le marché européen.
Selon le type de système, l'évaluation se fait par contrôle interne (Annexe VI) ou via un organisme notifié (Annexe VII), conformément à l'Art. 43.
Une mise sur le marché sans évaluation valide expose à des amendes jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires mondial annuel (Art. 99, §4).
L'évaluation couvre le système de gestion des risques, la qualité des données, la documentation technique, la cybersécurité et la surveillance humaine.
Le marquage CE et la déclaration UE de conformité (Art. 47 et 48) sont les livrables finaux de la procédure.
Le service desk européen et la CNIL publient des ressources gratuites pour accompagner les PME françaises.

1. Contexte réglementaire : ce qu'impose l'Article 43

L'Article 43 du Règlement (UE) 2024/1689 — l'EU AI Act — définit la procédure d'évaluation de la conformité applicable aux systèmes d'IA classés à haut risque au titre de l'Annexe III ou intégrés à des produits soumis à la législation d'harmonisation de l'Union (Annexe I).

Pour une PME française qui développe, fournit ou met son nom sur un système d'IA à haut risque, cette évaluation n'est pas optionnelle. Elle conditionne le droit de commercialiser ou de mettre en service le système sur le marché européen.

Trois principes structurent l'Article 43 :

Antériorité : l'évaluation précède la mise sur le marché ou la mise en service.
Traçabilité : chaque étape doit être documentée et conservée pendant 10 ans (Art. 18).
Réévaluation : toute modification substantielle déclenche une nouvelle procédure (Art. 43, §4).

Élément	Référence	Implication PME
Champ d'application	Art. 6 + Annexe III	Identifier ses systèmes à haut risque
Procédures applicables	Art. 43, §1 et §2	Choisir contrôle interne ou organisme notifié
Modifications substantielles	Art. 43, §4	Réévaluer après changement majeur
Conservation des preuves	Art. 18	Archiver 10 ans après mise sur le marché

La procédure se distingue d'une simple revue technique. Elle vérifie la conformité aux exigences essentielles des Articles 8 à 15 : gestion des risques, gouvernance des données, documentation, journalisation, transparence, supervision humaine, robustesse et cybersécurité.

Pour situer le cadre général, consultez notre guide pillar AI Act pour les PME françaises.

2. Choisir la bonne procédure : Annexe VI ou Annexe VII

L'Article 43 prévoit deux voies d'évaluation, selon la catégorie du système.

Annexe VI — contrôle interne : le fournisseur procède lui-même à l'évaluation, sans intervention d'un organisme notifié. Cette voie s'applique à la majorité des systèmes listés à l'Annexe III (recrutement, crédit, éducation, services publics, application de la loi, etc.).

Annexe VII — évaluation par organisme notifié : un tiers indépendant accrédité vérifie le système de management de la qualité et la documentation technique. Cette voie s'applique principalement aux systèmes d'identification biométrique à distance (Annexe III, point 1) et aux systèmes intégrés dans des produits relevant de la législation d'harmonisation listée à l'Annexe I.

Critère	Annexe VI (contrôle interne)	Annexe VII (organisme notifié)
Acteur évaluateur	Fournisseur lui-même	Organisme tiers accrédité
Cas typiques	Recrutement, scoring, éducation	Biométrie à distance, dispositifs médicaux IA
Coût indicatif	Coûts internes uniquement	15 000 à 80 000 € [à vérifier selon prestataire]
Durée	3 à 6 mois	6 à 12 mois
Livrable	Déclaration UE de conformité (Art. 47)	Certificat + déclaration UE

Le choix n'est pas arbitraire : il découle directement de la catégorie du système et de la législation sectorielle applicable. Une erreur de qualification expose à un retrait du marché ordonné par les autorités de surveillance.

3. Identifier un système à haut risque

L'Article 6 et l'Annexe III définissent les systèmes d'IA à haut risque. Avant toute évaluation, la PME doit qualifier ses systèmes.

Catégories à haut risque (Annexe III) :

Biométrie et reconnaissance des émotions
Infrastructures critiques (eau, énergie, transports)
Éducation et formation professionnelle
Emploi, gestion des travailleurs, accès au travail indépendant
Accès aux services privés essentiels et publics (scoring crédit, aides sociales)
Application de la loi
Migration, asile, contrôle aux frontières
Administration de la justice et processus démocratiques

Pour une PME, les cas les plus fréquents concernent :

Les outils de tri de CV ou d'évaluation de candidats automatisée.
Les algorithmes de scoring de crédit ou d'éligibilité à des services financiers.
Les systèmes de surveillance des salariés ou d'aide à la décision RH.
Les outils éducatifs déterminant l'accès à une formation.

Une exception est prévue à l'Art. 6, §3 : un système listé à l'Annexe III peut échapper à la qualification haut risque s'il ne pose pas de risque significatif pour la santé, la sécurité ou les droits fondamentaux. Cette dérogation doit être documentée et notifiée à l'autorité compétente.

Besoin d'un diagnostic de qualification ?

regulia propose un pack documentaire incluant la grille d'évaluation Annexe III, le registre des systèmes IA et les modèles de déclaration UE conformes à l'Art. 47.

Demander le pack évaluation Article 43

4. Contenu détaillé de l'évaluation de conformité

L'évaluation au titre de l'Article 43 vérifie sept blocs d'exigences essentielles, définis aux Articles 8 à 15 du règlement.

Bloc 1 — Système de gestion des risques (Art. 9) Identification, analyse et atténuation des risques connus et raisonnablement prévisibles, sur l'ensemble du cycle de vie du système.

Bloc 2 — Gouvernance des données (Art. 10) Pertinence, représentativité, absence d'erreurs et de biais des jeux de données d'entraînement, de validation et de test.

Bloc 3 — Documentation technique (Art. 11 + Annexe IV) Description générale, conception, développement, surveillance, performances attendues, mesures d'atténuation.

Bloc 4 — Journalisation (Art. 12) Enregistrement automatique des événements pendant le fonctionnement, permettant la traçabilité.

Bloc 5 — Transparence et information (Art. 13) Instructions d'utilisation claires pour le déployeur, indication des capacités, limites et risques.

Bloc 6 — Supervision humaine (Art. 14) Mesures techniques et organisationnelles permettant à une personne physique de superviser efficacement le système.

Bloc 7 — Exactitude, robustesse, cybersécurité (Art. 15) Niveaux de précision, résilience aux erreurs, protection contre les tentatives de manipulation.

Bloc	Article	Preuve attendue
Gestion des risques	Art. 9	Plan SGR + journal des risques
Données	Art. 10	Data sheets + rapports de qualité
Documentation	Art. 11	Dossier technique Annexe IV
Journalisation	Art. 12	Logs horodatés + politique de conservation
Transparence	Art. 13	Notice utilisateur + fiche système
Supervision humaine	Art. 14	Procédure HITL + formation déployeur
Robustesse	Art. 15	Tests adversariaux + plan cybersécurité

Chaque bloc doit produire des preuves opposables. Un audit ne se limite pas à la déclaration : il vérifie l'effectivité des mesures.

5. Sanctions et risques en cas de non-conformité

L'Article 99 du Règlement (UE) 2024/1689 hiérarchise les sanctions selon la nature du manquement.

Infraction	Plafond amende	Référence
Pratiques d'IA interdites (Art. 5)	35 M€ ou 7 % du CA mondial	Art. 99, §3
Non-respect autres obligations (dont Art. 43)	15 M€ ou 3 % du CA mondial	Art. 99, §4
Informations inexactes aux autorités	7,5 M€ ou 1 % du CA mondial	Art. 99, §5

Pour les PME et start-ups, l'Art. 99, §6 prévoit que le plus faible des deux montants est appliqué, par opposition au plus élevé pour les grandes entreprises. Cette adaptation ne supprime pas la sanction mais en plafonne l'impact.

Au-delà de l'amende, le règlement prévoit :

Le retrait ou rappel du système (Art. 79)
L'interdiction de mise sur le marché
La publication de la décision de sanction (impact réputationnel)
Les actions civiles des personnes lésées

Pour une analyse détaillée du régime de sanctions, consultez notre article dédié sur les sanctions et amendes AI Act pour les PME.

6. Calendrier d'application et obligations transitoires

Le règlement entre en vigueur de manière échelonnée depuis le 1ᵉʳ août 2024. Les dispositions relatives aux systèmes à haut risque (donc à l'Article 43) s'appliquent à partir du 2 août 2026 pour les systèmes de l'Annexe III, et du 2 août 2027 pour ceux relevant de l'Annexe I (composants de sécurité de produits réglementés).

Échéance	Obligation activée	Référence
2 février 2025	Interdictions Art. 5 + obligations de littératie Art. 4	Art. 113
2 août 2025	Modèles à usage général + gouvernance	Art. 113
2 août 2026	Annexe III — évaluation Art. 43 applicable	Art. 113
2 août 2027	Annexe I — produits régulés	Art. 113

Une PME qui prévoit de commercialiser un système Annexe III en 2026 doit avoir achevé sa procédure d'évaluation avant la mise sur le marché. Compte tenu des délais de constitution du dossier technique et, le cas échéant, d'intervention d'un organisme notifié, le travail doit commencer dès aujourd'hui.

7. Mise en œuvre étape par étape pour une PME

La procédure d'évaluation peut sembler intimidante. Décomposée, elle suit une logique projet classique.

Étape 1 — Cartographier les systèmes d'IA Inventorier tous les systèmes développés, fournis ou utilisés sous votre nom. Pour chacun, qualifier au regard de l'Art. 6 et de l'Annexe III.

Étape 2 — Mettre en place le système de gestion de la qualité (Art. 17) Définir politiques, procédures, ressources et responsabilités. La norme ISO/IEC 42001:2023 fournit un cadre directement opérationnel — voir notre guide ISO 42001 pour les PME.

Étape 3 — Constituer le dossier technique (Annexe IV) Documenter conception, données, performances, mesures d'atténuation. Ce dossier est le cœur de l'évaluation.

Étape 4 — Exécuter les tests de conformité Tests fonctionnels, tests de robustesse, tests adversariaux, vérification des biais, audit cybersécurité.

Étape 5 — Choisir la procédure (Annexe VI ou VII) Sur la base de la qualification, sélectionner la voie applicable.

Étape 6 — Émettre la déclaration UE de conformité (Art. 47) Document unique, signé par le fournisseur, listant les exigences satisfaites.

Étape 7 — Apposer le marquage CE (Art. 48) Marquage visible, lisible, indélébile sur le système ou sa documentation d'accompagnement.

Étape 8 — Enregistrer dans la base UE (Art. 49 et 71) Inscription dans la base de données européenne avant mise sur le marché.

Étape 9 — Mettre en place la surveillance post-commercialisation (Art. 72) Collecte continue de données d'usage, déclaration des incidents graves (Art. 73).

Étape	Livrable	Durée indicative
Cartographie	Registre des systèmes IA	2-4 semaines
SGQ	Manuel qualité	4-8 semaines
Dossier technique	Annexe IV complète	8-12 semaines
Tests	Rapports d'essai	4-8 semaines
Déclaration UE	Document signé	1 semaine
Enregistrement UE	Inscription base	1-2 semaines

Pour les définitions juridiques précises (fournisseur, déployeur, mise sur le marché, modification substantielle), consultez le glossaire regulia.

8. Articulation avec le RGPD et l'ISO/IEC 42001:2023

L'évaluation de conformité Article 43 ne remplace pas les obligations préexistantes. Elle s'y ajoute et doit s'y articuler.

RGPD — Règlement (UE) 2016/679 Lorsque le système traite des données personnelles, une analyse d'impact relative à la protection des données (AIPD, Art. 35 RGPD) est exigée. L'Article 26, §9 de l'AI Act impose même au déployeur d'utiliser la documentation technique du fournisseur pour mener son AIPD. La CNIL a publié 13 fiches pratiques dédiées à l'IA, qui précisent comment articuler les deux régimes.

ISO/IEC 42001:2023 Cette norme internationale définit un système de management de l'IA. Elle ne crée pas de présomption de conformité à l'AI Act mais facilite la démonstration de l'Art. 17 (système de management de la qualité). Une PME certifiée ISO/IEC 42001 dispose d'une partie significative des preuves attendues.

ISO/IEC 23894:2023 — gestion des risques liés à l'IA, complémentaire à l'Art. 9.

ISO/IEC 27001:2022 — sécurité de l'information, complémentaire à l'Art. 15.

Norme / règlement	Périmètre	Articulation Art. 43
RGPD	Données personnelles	AIPD obligatoire si traitement
ISO 42001:2023	Management de l'IA	Facilite preuve Art. 17
ISO 23894:2023	Risques IA	Soutient Art. 9
ISO 27001:2022	Sécurité info	Soutient Art. 15

Une approche intégrée évite la duplication d'efforts et réduit le coût total de mise en conformité.

9. Ressources gratuites pour les PME françaises

L'Article 62 du règlement impose aux États membres de soutenir spécifiquement les PME et start-ups. Plusieurs dispositifs sont déjà accessibles.

AI Act Service Desk (Commission européenne) Portail officiel offrant FAQ, guidance documents et possibilité de poser des questions. Accessible gratuitement.

CNIL — fiches pratiques IA 13 fiches couvrant la base légale, l'AIPD, la minimisation, l'information des personnes, les droits, la sécurité, l'open data, le réemploi de données.

Bacs à sable réglementaires (Art. 57) Au moins un bac à sable national, opérationnel d'ici août 2026, permettra aux PME de tester leurs systèmes sous supervision de l'autorité compétente, avec un accès prioritaire et gratuit pour les PME (Art. 62, §1, a).

Pôles européens d'innovation numérique (EDIH) Réseau de soutien technique et réglementaire, financé par la Commission, avec antennes régionales en France.

Pour la liste exhaustive des sources officielles, consultez la page sources regulia.

Sécuriser sa procédure Article 43

Le pack regulia « Évaluation de conformité » couvre la cartographie des systèmes, le dossier technique Annexe IV, la matrice de tests et les modèles de déclaration UE de conformité.

Commander le pack documentaire

10. Erreurs fréquentes à éviter

L'expérience des premiers dossiers déposés auprès des organismes notifiés européens fait ressortir plusieurs écueils récurrents pour les PME.

Erreur 1 — Sous-qualifier le système Considérer qu'un outil de tri de CV n'est « pas vraiment » de l'IA à haut risque. L'Annexe III, point 4, est explicite : les systèmes destinés à être utilisés pour le recrutement ou la sélection de personnes physiques sont à haut risque.

Erreur 2 — Reporter la documentation à la fin Le dossier technique Annexe IV se construit en parallèle du développement, pas après. Le reconstituer rétrospectivement multiplie les coûts par trois à cinq [à vérifier selon source sectorielle].

Erreur 3 — Confondre tests internes et évaluation Art. 43 Une batterie de tests fonctionnels ne suffit pas. L'évaluation couvre la gouvernance, la documentation, la supervision humaine — éléments organisationnels et non purement techniques.

Erreur 4 — Ignorer la surveillance post-commercialisation (Art. 72) La conformité n'est pas un état mais un processus continu. Toute modification substantielle déclenche une nouvelle évaluation (Art. 43, §4).

Erreur 5 — Omettre l'enregistrement dans la base UE (Art. 49) Le système doit être enregistré avant mise sur le marché. L'oubli constitue un manquement autonome, sanctionnable au titre de l'Art. 99.

FAQ — Article 43 et évaluation de conformité

Quelles conséquences pour une PME en cas d'évaluation incomplète ?

Une évaluation incomplète ou absente expose à des amendes pouvant atteindre 15 millions d'euros ou 3 % du chiffre d'affaires mondial annuel — le plus faible des deux pour une PME (Art. 99, §4 et §6). S'y ajoutent le retrait du marché ordonné par l'autorité de surveillance (Art. 79), l'interdiction de commercialisation, la publication de la décision et l'exposition aux actions civiles. Le risque réputationnel auprès des clients B2B, sensibles à la conformité de leurs fournisseurs, est tout aussi significatif.

Dois-je faire appel à un organisme notifié pour tous mes systèmes d'IA ?

Non. L'Article 43 distingue deux voies. Pour la majorité des systèmes listés à l'Annexe III (recrutement, scoring, éducation, services publics), l'évaluation se fait par contrôle interne au titre de l'Annexe VI : la PME procède elle-même à l'évaluation. L'intervention d'un organisme notifié (Annexe VII) est réservée aux systèmes d'identification biométrique à distance et à certains systèmes intégrés à des produits réglementés. Une qualification précise au regard de l'Art. 6 conditionne le choix.

Comment savoir si mon système est à haut risque ?

Deux portes d'entrée existent. Soit le système est listé à l'Annexe III (huit domaines, dont emploi, crédit, éducation, services publics essentiels), soit il est un composant de sécurité d'un produit relevant de la législation d'harmonisation listée à l'Annexe I. L'Art. 6, §3 prévoit une dérogation si le système ne pose pas de risque significatif, mais cette qualification doit être documentée et peut être contestée par l'autorité. En cas de doute, la CNIL et le service desk européen offrent des consultations gratuites.

Quelles sont les étapes clés d'une évaluation de conformité ?

La séquence type comprend neuf étapes : cartographier les systèmes, mettre en place un système de gestion de la qualité conforme à l'Art. 17, constituer le dossier technique Annexe IV, exécuter les tests, choisir la procédure (Annexe VI ou VII), émettre la déclaration UE de conformité (Art. 47), apposer le marquage CE (Art. 48), enregistrer le système dans la base de données UE (Art. 49), instaurer la surveillance post-commercialisation (Art. 72). Le travail doit commencer plusieurs mois avant la mise sur le marché prévue.

Où trouver des ressources gratuites pour s'adapter ?

Quatre canaux principaux. Le service desk européen (ai-act-service-desk.ec.europa.eu) propose FAQ et guidance documents. La CNIL publie 13 fiches pratiques dédiées à l'IA. Les bacs à sable réglementaires de l'Art. 57 offrent un accès prioritaire et gratuit aux PME (Art. 62). Les pôles européens d'innovation numérique (EDIH) accompagnent techniquement les entreprises. Le texte consolidé du règlement est accessible sur artificialintelligenceact.eu et eur-lex.europa.eu.

Sources officielles

Règlement (UE) 2024/1689 — texte officiel consolidé : eur-lex.europa.eu
AI Act Service Desk — Commission européenne : ai-act-service-desk.ec.europa.eu
CNIL — guide AI Act et fiches pratiques IA : cnil.fr/fr/ai-act
Texte intégral commenté : artificialintelligenceact.eu
ISO/IEC 42001:2023 — Information technology — Artificial intelligence — Management system
ISO/IEC 23894:2023 — Information technology — Artificial intelligence — Guidance on risk management
ISO/IEC 27001:2022 — Information security management systems
Cigref — guide AI Act janvier 2025 [à vérifier publication]
Numeum — guide AI Act mars 2025 [à vérifier publication]

Avertissement — Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.