L'essentiel en 30 secondes - L'Article 47 du Règlement (UE) 2024/1689 impose au fournisseur d'un système d'IA à haut risque de rédiger une déclaration UE de conformité avant la mise sur le marché ou la mise en service. - Le contenu obligatoire est fixé par l'Annexe V du règlement : identité du fournisseur, identification du système, références aux normes harmonisées, signature engageante. - Conservation pendant 10 ans à compter de la mise sur le marché, à disposition des autorités nationales compétentes. - Application au 2 août 2026 pour la majorité des systèmes à haut risque listés à l'Annexe III. - Sanctions de l'Article 99 : jusqu'à 15 M€ ou 3 % du chiffre d'affaires mondial pour manquement aux obligations de fournisseur, avec plafond proportionné pour les PME (Art. 99(6)). - Une PME française qui ne déploie qu'un système IA tiers (chatbot SaaS, OCR sous licence) n'est pas fournisseur au sens de l'Art. 47 — elle est déployeur, soumise à d'autres obligations.
1. Contexte réglementaire : l'AI Act et son Article 47
Le Règlement (UE) 2024/1689, dit « AI Act », a été adopté le 13 juin 2024 et est entré en vigueur le 1er août 2024. Il s'applique par paliers, le palier le plus structurant pour les systèmes à haut risque étant fixé au 2 août 2026.
L'AI Act classe les systèmes d'IA en quatre catégories : pratiques interdites (Art. 5), systèmes à haut risque (Art. 6 et Annexes I et III), systèmes à risque limité soumis à transparence (Art. 50), et autres systèmes non régulés en tant que tels.
L'Article 47 du Règlement (UE) 2024/1689 figure au Chapitre III, Section 5 du texte. Il concerne exclusivement les systèmes d'IA à haut risque. Une déclaration UE de conformité ne se rédige pas pour un simple chatbot conversationnel non classé à haut risque : pour ces cas, ce sont les obligations de transparence de l'Article 50 qui s'appliquent.
Pour situer le champ d'application, voici ce qui distingue les obligations applicables selon la catégorie :
| Catégorie de système IA | Obligation principale | Référence |
|---|---|---|
| Pratiques interdites | Interdiction totale | Art. 5 |
| Haut risque (Annexes I et III) | Évaluation de conformité + déclaration UE de conformité + marquage CE | Art. 16, 43, 47, 48 |
| Risque limité (chatbot, deepfake) | Transparence vis-à-vis de l'utilisateur | Art. 50 |
| GPAI (modèles à usage général) | Documentation technique + politique de respect du droit d'auteur | Art. 53 |
Pour aller plus loin sur le périmètre général de l'AI Act et les obligations transverses, consulter notre guide pillar AI Act pour les PME françaises.
2. Qu'est-ce que la déclaration UE de conformité ?
La déclaration UE de conformité est un document écrit par lequel le fournisseur atteste sous sa propre responsabilité que le système d'IA à haut risque respecte l'ensemble des exigences fixées par la Section 2 du Chapitre III du règlement (Articles 8 à 15).
L'Article 47, paragraphe 1, dispose que le fournisseur établit une déclaration « écrite, lisible par machine, signée à la main ou de façon électronique ». Le paragraphe 4 ajoute que la déclaration doit être tenue à disposition des autorités nationales compétentes pendant 10 ans après la mise sur le marché ou la mise en service.
Elle ne se confond pas avec d'autres documents souvent évoqués dans le même contexte :
| Document | Finalité | Qui le produit |
|---|---|---|
| Déclaration UE de conformité (Art. 47) | Attester la conformité aux Art. 8 à 15 | Fournisseur |
| Documentation technique (Art. 11, Annexe IV) | Démontrer techniquement la conformité | Fournisseur |
| Marquage CE (Art. 48) | Signal visuel de conformité sur le produit | Fournisseur |
| Évaluation de conformité (Art. 43) | Procédure préalable à la déclaration | Fournisseur, parfois avec organisme notifié |
La déclaration UE de conformité est donc le point d'aboutissement d'un processus plus large : on ne « dépose » pas la déclaration auprès d'un guichet, on la rédige et on la conserve. Cette nuance change radicalement la lecture du dispositif.
3. Obligations spécifiques pour les PME : fournisseur ou déployeur ?
Avant de s'interroger sur la déclaration UE de conformité, une PME doit qualifier précisément son rôle. L'AI Act distingue plusieurs acteurs :
- Fournisseur (Art. 3, point 3) : personne qui développe ou fait développer un système d'IA et le met sur le marché ou en service sous son nom.
- Déployeur (Art. 3, point 4) : personne qui utilise un système d'IA sous sa propre autorité, sauf usage personnel non professionnel.
- Importateur et distributeur : opérateurs intermédiaires de la chaîne de valeur.
L'obligation de l'Article 47 ne pèse que sur le fournisseur. Une PME française qui se contente d'utiliser un outil tiers (par exemple un service de scoring CV sous licence éditeur) n'a pas à rédiger de déclaration UE de conformité pour ce système — c'est l'éditeur qui en a la charge.
Trois situations courantes en PME méritent d'être distinguées :
- PME éditrice de logiciel IA classé à haut risque (par exemple, une scale-up commercialisant un outil de tri biométrique ou un dispositif médical IA) : elle est fournisseur et soumise à l'Art. 47.
- PME intégratrice qui rebadge ou modifie substantiellement un système IA tiers et le met sur le marché sous son nom : l'Article 25 lui transfère le statut de fournisseur, et donc l'obligation de l'Art. 47.
- PME déployeuse qui utilise un outil tiers sans modification substantielle : pas d'obligation de déclaration UE de conformité, mais obligations de l'Art. 26 (déployeur) à respecter.
Une exemption générale figure à l'Article 2, paragraphe 6 : les systèmes d'IA développés et mis en service dans le seul but de la recherche et du développement scientifiques sont hors champ. Cette exonération ne vaut pas pour un produit commercialisé, même issu d'un projet de recherche.
4. Contenu de la déclaration de conformité (Annexe V)
L'Article 47, paragraphe 3, renvoie expressément à l'Annexe V du règlement pour fixer le contenu obligatoire. Toute déclaration UE de conformité doit comporter, a minima :
- Le nom et le type du système d'IA, ainsi que toute référence supplémentaire permettant l'identification et la traçabilité.
- Le nom et l'adresse du fournisseur et, le cas échéant, de son mandataire.
- Une mention indiquant que la déclaration est établie sous la seule responsabilité du fournisseur.
- Une déclaration indiquant que le système d'IA est conforme au règlement et, le cas échéant, à toute autre législation pertinente de l'Union prévoyant une déclaration UE de conformité.
- Lorsque le système traite des données à caractère personnel, une déclaration de conformité au RGPD, à la directive ePrivacy et à la directive « police-justice » 2016/680, le cas échéant.
- Les références aux normes harmonisées pertinentes utilisées ou aux autres spécifications communes par rapport auxquelles la conformité est déclarée.
- Le cas échéant, le nom et le numéro d'identification de l'organisme notifié, une description de la procédure d'évaluation de conformité suivie et l'identification du certificat délivré.
- Le lieu et la date d'établissement de la déclaration, le nom et la fonction du signataire, ainsi que sa signature.
À noter : l'Article 47, paragraphe 2, prévoit qu'en cas d'application d'autres législations sectorielles imposant elles aussi une déclaration UE de conformité (machines, dispositifs médicaux, jouets…), le fournisseur établit une déclaration unique couvrant l'ensemble. C'est un point important pour les PME du medtech ou de la sécurité industrielle.
Besoin d'un modèle de déclaration UE de conformité conforme à l'Annexe V ?
regulia propose un pack documentaire incluant un modèle de déclaration aligné Article 47 + Annexe V, prêt à adapter, avec checklist de vérification interne.
Demander le pack documentaire AI Act5. Processus d'évaluation, de signature et de conservation
Contrairement à ce qui circule parfois, la déclaration UE de conformité ne se dépose pas auprès d'un guichet centralisé. Le règlement n'institue pas de « registre des déclarations ». Il existe en revanche une base de données UE des systèmes d'IA à haut risque, prévue par l'Article 71 — c'est cette base, et non la déclaration elle-même, qui fait l'objet d'une notification active par le fournisseur.
Le processus opérationnel, pour une PME fournisseur, se déroule en cinq étapes :
- Qualification du système : vérifier qu'il relève bien d'un cas listé à l'Annexe III ou à l'Annexe I du règlement.
- Mise en conformité technique : satisfaire aux exigences des Art. 8 à 15 (gestion des risques, qualité des données, documentation technique, journalisation, transparence, supervision humaine, exactitude/robustesse/cybersécurité).
- Procédure d'évaluation de conformité : selon l'Article 43, soit contrôle interne (Annexe VI), soit évaluation par un organisme notifié (Annexe VII), suivant la catégorie de système.
- Rédaction de la déclaration UE de conformité conformément à l'Annexe V, signature par une personne habilitée.
- Apposition du marquage CE (Art. 48) et enregistrement du système dans la base de données UE (Art. 49 et 71).
La déclaration UE doit être traduite dans une langue facilement compréhensible par les autorités des États membres où le système est mis sur le marché ou mis en service (Art. 47, par. 5). En pratique, pour une PME française commercialisant uniquement sur le territoire national, le français suffit ; pour une PME exportant dans l'UE, la traduction est à anticiper.
| Étape | Acteur | Délai recommandé |
|---|---|---|
| Qualification du système | Fournisseur (IA Lead / DPO) | 3 à 6 mois avant mise sur le marché |
| Évaluation de conformité | Fournisseur (+ organisme notifié si requis) | 2 à 4 mois |
| Rédaction de la déclaration | Direction juridique du fournisseur | 2 à 4 semaines |
| Enregistrement base UE | Fournisseur | Avant mise sur le marché |
| Conservation déclaration | Fournisseur | 10 ans |
6. Sanctions en cas de non-conformité
L'Article 99 du Règlement (UE) 2024/1689 organise les sanctions financières en trois niveaux. Pour les manquements liés à l'Article 47, c'est principalement le paragraphe 4 qui s'applique.
| Type de manquement | Plafond | Référence |
|---|---|---|
| Pratiques interdites (Art. 5) | 35 M€ ou 7 % du CA mondial | Art. 99(3) |
| Non-conformité aux obligations fournisseur, dont Art. 47 | 15 M€ ou 3 % du CA mondial | Art. 99(4) |
| Informations inexactes ou trompeuses aux autorités | 7,5 M€ ou 1 % du CA mondial | Art. 99(5) |
Pour les PME et start-up, l'Article 99, paragraphe 6, prévoit un plafonnement spécifique : c'est le montant le plus faible des deux (montant fixe ou pourcentage du chiffre d'affaires) qui s'applique, et non le plus élevé. Cette règle vise à éviter une asymétrie écrasante pour les structures à faible chiffre d'affaires.
Au-delà du financier, les conséquences réelles d'un manquement sont multiples :
- Retrait ordonné du marché par l'autorité de surveillance (en France, la DGCCRF coordonne avec la CNIL et l'ARCOM selon le secteur [à vérifier sur la cartographie finale des autorités compétentes]).
- Obligation de mise en conformité dans un délai imparti.
- Perte de référencement chez les clients grands comptes, qui exigent généralement la déclaration UE de conformité dans leurs procédures d'achat.
- Atteinte réputationnelle, en particulier sur des secteurs sensibles (RH, santé, éducation, services financiers).
Pour un panorama détaillé du régime de sanctions, voir notre dossier dédié Sanctions AI Act : amendes et calculateur pour PME.
7. Cas pratiques pour PME françaises
Cas 1 — Éditeur SaaS de tri de CV
Une PME francilienne de 40 salariés édite une solution SaaS de tri automatique de candidatures. L'Annexe III, point 4(a), classe les systèmes d'IA destinés au recrutement ou à la sélection de personnes physiques parmi les systèmes à haut risque.
L'entreprise est fournisseur au sens de l'Art. 3(3). Elle doit :
- Mettre en place un système de gestion des risques (Art. 9) et un système de gestion de la qualité (Art. 17).
- Constituer la documentation technique de l'Annexe IV.
- Suivre la procédure d'évaluation de conformité par contrôle interne de l'Annexe VI.
- Rédiger la déclaration UE de conformité conforme à l'Annexe V.
- Apposer le marquage CE et enregistrer le système dans la base UE.
Cas 2 — Cabinet RH déployant l'outil ci-dessus
Un cabinet RH de 25 salariés utilise sous licence l'outil de tri de CV. Il n'a pas modifié substantiellement le système et ne le rebadge pas. Il est déployeur au sens de l'Art. 3(4).
Il n'a pas à rédiger de déclaration UE de conformité. En revanche, il doit respecter les obligations de l'Art. 26 : surveillance humaine effective, journalisation, information des candidats (Art. 26(11)), analyse d'impact relative aux droits fondamentaux (Art. 27) pour les organismes publics et certains organismes privés.
Cas 3 — Start-up d'OCR pour facturation
Une start-up commercialise un OCR de factures destiné aux experts-comptables. À ce stade, cet outil n'est pas listé à l'Annexe III et n'est pas considéré à haut risque. L'Article 47 ne s'applique pas. L'entreprise relève des obligations de transparence si elle interagit directement avec des personnes physiques (Art. 50) — sinon, pas d'obligation spécifique au titre de l'AI Act.
| Cas | Statut AI Act | Art. 47 applicable ? |
|---|---|---|
| Éditeur SaaS tri CV | Fournisseur haut risque | Oui |
| Cabinet RH déployeur | Déployeur haut risque | Non (Art. 26 à la place) |
| Start-up OCR factures | Non classé haut risque | Non |
Cette qualification préalable est l'étape la plus importante : une PME mal qualifiée court le risque soit de surcharge documentaire inutile, soit de manquement à des obligations applicables.
8. Ressources et accompagnement
Plusieurs ressources institutionnelles sont mobilisables pour préparer une déclaration UE de conformité :
- Texte officiel consolidé : version EUR-Lex du Règlement (UE) 2024/1689, en français, faisant foi.
- AI Office (Commission européenne) : autorité chargée notamment de la supervision des modèles à usage général ; publie progressivement des lignes directrices.
- CNIL : 13 fiches pratiques IA, articulation RGPD/AI Act, recommandations de gouvernance.
- Cigref (janvier 2025) et Numeum (mars 2025) : guides sectoriels de mise en conformité orientés grandes entreprises et éditeurs.
- ISO/IEC 42001:2023 : norme de système de management de l'IA ; sa mise en œuvre soutient utilement la conformité aux Art. 9 et 17.
- ISO/IEC 23894:2023 : gestion des risques IA.
- ISO/IEC 27001:2022 : socle cybersécurité.
Pour une définition rigoureuse des termes techniques cités (« système d'IA », « mise sur le marché », « modification substantielle », « organisme notifié »), consulter notre glossaire AI Act. Pour l'ensemble des références primaires citées dans nos articles, voir la page Sources officielles.
Audit de positionnement AI Act
regulia accompagne les PME françaises sur la qualification fournisseur/déployeur, l'identification des systèmes à haut risque et la constitution du dossier documentaire de l'Article 47.
Demander un audit de positionnementFAQ
Quelle est la date limite pour établir la déclaration UE de conformité ?
Le règlement n'impose pas une date butoir unique mais un événement déclencheur : la déclaration doit être établie avant la mise sur le marché ou la mise en service du système d'IA à haut risque. Pour les systèmes listés à l'Annexe III, l'obligation devient pleinement applicable au 2 août 2026 (Art. 113). Les systèmes mis sur le marché avant cette date bénéficient de règles transitoires spécifiques (Art. 111).
Que faire si le système d'IA est modifié après l'établissement de la déclaration ?
L'Article 43, paragraphe 4, prévoit qu'en cas de modification substantielle d'un système d'IA à haut risque déjà mis sur le marché, une nouvelle procédure d'évaluation de conformité doit être menée. Une nouvelle déclaration UE de conformité est alors requise. La notion de modification substantielle est définie à l'Article 3(23) : changement non prévu par l'évaluation initiale, affectant la conformité aux exigences ou modifiant la destination du système.
Comment prouver la conformité technique ?
La preuve repose sur la documentation technique de l'Annexe IV : description générale du système, description détaillée des éléments et du processus de développement, données d'entraînement, monitoring, validation et tests, indicateurs de performance, mesures de surveillance humaine, journalisation, et le cas échéant rapport d'évaluation par organisme notifié. La déclaration UE de conformité renvoie à cette documentation et ne s'y substitue pas.
Quelles sont les langues acceptées pour la déclaration ?
L'Article 47, paragraphe 5, exige que la déclaration soit traduite « dans une langue facilement compréhensible par les autorités nationales compétentes des États membres dans lesquels le système d'IA à haut risque est mis sur le marché ou mis à disposition ». En France, cela suppose une version française. Pour une commercialisation paneuropéenne, prévoir une traduction par État membre concerné, conformément à la pratique CE pour les autres législations harmonisées.
Où trouver de l'aide pour la rédaction ?
Trois canaux principaux : l'AI Office de la Commission européenne (ai-act-service-desk.ec.europa.eu) qui publie progressivement des lignes directrices ; la CNIL pour l'articulation RGPD/AI Act ; les organismes notifiés dès qu'ils seront désignés par chaque État membre, pour les procédures de l'Annexe VII. Le recours à un conseil juridique reste recommandé pour la qualification initiale du système et la signature de la déclaration.
Sources officielles
- Texte consolidé du Règlement (UE) 2024/1689 sur EUR-Lex : eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32024R1689
- AI Act Service Desk de la Commission européenne : ai-act-service-desk.ec.europa.eu
- CNIL — dossier AI Act : cnil.fr/fr/ai-act
- Texte intégral et commenté (initiative privée d'archivage) : artificialintelligenceact.eu
- ISO/IEC 42001:2023 — Système de management de l'intelligence artificielle
- ISO/IEC 23894:2023 — Gestion des risques liés à l'IA
- ISO/IEC 27001:2022 — Sécurité de l'information
Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.