Article 48 AI Act : marquage CE pour systèmes IA haut-risque

Q: Quels systèmes IA sont concernés par le marquage CE pour les PME ?

Les systèmes IA haut-risque couvrent des domaines comme la santé, la sécurité, le transport et les décisions juridiques. Pour les PME, cela inclut souvent des logiciels de recrutement, de surveillance industrielle ou de diagnostic médical. La CNIL (cnil.fr) propose des guides spécifiques pour identifier ces systèmes.

Q: Quelle est la procédure pour obtenir le marquage CE ?

Les PME doivent réaliser une évaluation de conformité interne, puis faire appel à un organisme notifié (liste sur eur-lex.europa.eu) pour une vérification. Le processus inclut la documentation technique, l'analyse des risques et la mise en place de mesures de sécurité. Le résultat est une déclaration de conformité et le marquage CE.

Q: Quelles sont les sanctions pour non-conformité ?

Les sanctions peuvent inclure des amendes jusqu'à 7% du chiffre d'affaires annuel (art. 83 AI Act), l'interdiction de commercialisation, et des poursuites pénales. La CNIL (cnil.fr) conseille aux PME de se conformer pour éviter ces risques financiers et réputationnels.

Q: Comment les PME peuvent-elles bénéficier du marquage CE ?

Le marquage CE permet aux PME d'accéder aux marchés européens, renforce la confiance des clients et optimise les processus internes. Il prévient également les sanctions financières et améliore la gestion des risques liés à l'IA. Le service desk européen (ai-act-service-desk.ec.europa.eu) offre des conseils pratiques.

Q: Où trouver de l'aide pour la mise en conformité ?

Les PME peuvent consulter le service desk européen AI Act (ai-act-service-desk.ec.europa.eu), le guide CNIL (cnil.fr), et les organismes notifiés listés sur eur-lex.europa.eu. Le glossaire AI Act (/glossaire.html) et l'article sur les sanctions (/ai-act-sanctions-pme-amendes/) fournissent des informations complémentaires.

TL;DR — L'essentiel en 30 secondes

L'Article 48 du Règlement (UE) 2024/1689 impose le marquage CE sur tout système d'IA haut-risque listé à l'Article 6, avant mise sur le marché européen.
Le marquage CE atteste que le fournisseur a mené une évaluation de conformité (Art. 43) et signé une déclaration UE de conformité (Art. 47).
Les PME doivent inscrire leur système haut-risque dans la base de données européenne prévue à l'Article 71, avant commercialisation.
Une infraction au marquage CE expose à des amendes pouvant atteindre 15 millions d'euros ou 3 % du chiffre d'affaires mondial annuel (Art. 99, paragraphe 4).
Les organismes notifiés interviennent uniquement pour les systèmes haut-risque relevant de l'annexe I, section A — la majorité des systèmes IA passent par une auto-évaluation.
La CNIL et l'AI Office EU publient des guides dédiés aux PME pour structurer la démarche.

1. Contexte réglementaire : l'AI Act et le marquage CE

Le Règlement (UE) 2024/1689, dit AI Act, est entré en vigueur le 1er août 2024. Ses obligations relatives aux systèmes d'IA haut-risque s'appliquent à partir du 2 août 2026, à l'exception de ceux régis par des législations sectorielles d'harmonisation, dont l'échéance est portée au 2 août 2027 (Art. 113).

L'Article 48 du Règlement (UE) 2024/1689 impose une règle simple : aucun système d'IA classé haut-risque au sens de l'Article 6 ne peut être mis sur le marché de l'Union européenne sans marquage CE physique ou numérique. Cette obligation reprend la logique du « nouveau cadre législatif » applicable depuis 2008 aux produits industriels, jouets, dispositifs médicaux ou équipements électriques.

Pour une PME française qui développe ou intègre un système d'IA, deux conséquences pratiques en découlent. D'abord, le marquage CE devient une condition juridique d'accès au marché unique. Ensuite, il engage la responsabilité directe du fournisseur — c'est-à-dire la personne morale qui met le système sur le marché sous son nom ou sa marque (Art. 3, point 3).

Le marquage CE n'est pas une certification de qualité. Il atteste que le fournisseur a respecté les exigences essentielles de la section 2 du chapitre III du Règlement : système de gestion des risques (Art. 9), gouvernance des données (Art. 10), documentation technique (Art. 11), tenue de registres (Art. 12), transparence (Art. 13), supervision humaine (Art. 14), exactitude et cybersécurité (Art. 15).

Pour en cadrer le périmètre PME, consultez le pillar /ai-act-pme-france/ qui détaille les seuils et obligations applicables aux entreprises de 10 à 250 salariés.

2. Définition des systèmes IA haut-risque

L'Article 6 distingue deux voies d'entrée dans la catégorie haut-risque. La première vise les systèmes intégrés à des produits déjà soumis à une législation d'harmonisation listée à l'annexe I (machines, jouets, dispositifs médicaux, ascenseurs, véhicules à moteur, équipements radio). La seconde vise les systèmes autonomes dont les cas d'usage figurent à l'annexe III.

2.1 Annexe I — systèmes intégrés à un produit régulé

Si votre PME produit un dispositif médical, un équipement industriel ou un jouet contenant une brique d'IA, la classification haut-risque est automatique dès lors que le produit final exige une évaluation de conformité par tiers selon la législation sectorielle.

2.2 Annexe III — domaines d'usage critiques

L'annexe III énumère huit domaines. Le tableau ci-dessous synthétise les cas d'usage les plus fréquents dans les PME françaises.

Domaine (annexe III)	Exemple d'usage PME	Évaluation de conformité
Biométrie	Identification à distance des collaborateurs	Tiers obligatoire si Art. 6 §1
Infrastructures critiques	Supervision IA d'un réseau d'eau	Auto-évaluation (Art. 43 §2)
Éducation et formation	Notation automatisée d'examens	Auto-évaluation
Emploi et RH	Tri de CV, scoring de candidats	Auto-évaluation
Services essentiels privés et publics	Scoring crédit, éligibilité aides	Auto-évaluation
Application de la loi	Profilage prédictif	Tiers obligatoire
Migration et asile	Analyse de risques de demandes	Tiers obligatoire
Justice et processus démocratiques	Aide à la décision judiciaire	Auto-évaluation

2.3 Exception de l'Article 6, paragraphe 3

L'Article 6, paragraphe 3 prévoit qu'un système relevant de l'annexe III peut échapper au statut haut-risque s'il ne présente pas de risque significatif pour la santé, la sécurité ou les droits fondamentaux. Cette exception suppose une analyse documentée et une notification à la base de données européenne. Le glossaire détaille les critères dans /glossaire.html.

3. Processus de marquage CE pour les PME

Le marquage CE n'est pas un acte isolé. Il clôture une chaîne d'obligations qui démarre dès la conception. La séquence ci-dessous reprend les étapes opérationnelles validées par la Commission européenne dans le AI Act Compliance Checker (août 2024).

Cartographier le système — décrire la finalité, les utilisateurs, les données traitées, les sorties produites.
Vérifier la classification — confirmer la qualification haut-risque selon l'Article 6 et l'annexe III.
Mettre en place le système de gestion de la qualité — exigé par l'Article 17, équivalent fonctionnel d'un système de management ISO/IEC 42001:2023.
Élaborer la documentation technique — selon l'annexe IV, qui liste 9 rubriques obligatoires.
Conduire l'évaluation de conformité — selon l'Article 43, par auto-évaluation ou par organisme notifié.
Signer la déclaration UE de conformité — un document unique par système (Art. 47).
Apposer le marquage CE — physique ou numérique selon le support (Art. 48, paragraphe 3).
Enregistrer le système — dans la base de données européenne (Art. 71) avant la mise sur le marché.
Surveillance post-commercialisation — système de suivi continu prévu à l'Article 72.

3.1 Choix entre auto-évaluation et organisme notifié

L'Article 43 réserve l'intervention d'un organisme notifié à deux situations : les systèmes biométriques de l'annexe III, point 1, et les systèmes intégrés à des produits déjà soumis à évaluation par tiers selon l'annexe I. Pour les autres cas, le fournisseur conduit lui-même l'évaluation interne décrite à l'annexe VI.

La liste officielle des organismes notifiés est publiée par la Commission via la base NANDO, accessible depuis eur-lex.europa.eu. À la date de rédaction, les premières désignations d'organismes notifiés AI Act sont en cours [à vérifier].

3.2 Forme du marquage CE

L'Article 48, paragraphe 3 précise que le marquage CE doit être apposé de manière visible, lisible et indélébile. Pour un système d'IA fourni en mode numérique (SaaS, API), le marquage est intégré dans l'interface ou la documentation accessible à l'utilisateur. Le numéro d'identification de l'organisme notifié doit figurer à proximité du marquage lorsqu'un tiers est intervenu.

Besoin d'un kit documentaire AI Act prêt à l'emploi ?

regulia propose un pack documentaire complet : modèles de documentation technique annexe IV, déclaration UE de conformité, registre Article 71, procédure SMQ Article 17. Conçu pour PME françaises.

Demander le pack documentaire AI Act

4. Obligations spécifiques pour les PME

L'AI Act prévoit des allègements ciblés pour les PME et microentreprises, sans dispenser du marquage CE lui-même. L'Article 62 oblige les États membres à mettre en place un accès prioritaire aux bacs à sable réglementaires (Art. 57). Il prévoit également un calcul plafonné des amendes (Art. 99, paragraphe 6).

4.1 Documentation technique allégée

L'Article 11, paragraphe 1, dernier alinéa, autorise les PME à fournir la documentation technique sous une forme simplifiée définie par la Commission. Le modèle simplifié n'a pas encore été publié au Journal officiel [à vérifier]. En attendant, la structure de l'annexe IV reste la référence.

4.2 Système de gestion de la qualité

L'Article 17 impose un système de gestion de la qualité documenté. La norme ISO/IEC 42001:2023 fournit le cadre le plus directement transposable. Pour une PME, l'enjeu est de calibrer la documentation au volume d'activité, sans dupliquer un système qualité ISO 9001 préexistant.

4.3 Formation des équipes

L'Article 4 du Règlement, applicable depuis le 2 février 2025, impose à tout fournisseur et déployeur de garantir un niveau suffisant de compétence en IA chez les personnes opérant le système. Pour les PME, cela signifie un plan de formation documenté couvrant les équipes produit, juridique et support.

4.4 Tableau récapitulatif des obligations PME

Obligation	Article	Charge documentaire	Échéance
Compétence IA des équipes	Art. 4	Plan de formation	Depuis 2025-02-02
Documentation technique	Art. 11 + Annexe IV	9 rubriques	Avant commercialisation
Système gestion qualité	Art. 17	Procédures écrites	Avant commercialisation
Évaluation de conformité	Art. 43	Rapport interne ou tiers	Avant marquage CE
Déclaration UE conformité	Art. 47	1 document signé	Avant marquage CE
Enregistrement base UE	Art. 71	Fiche système	Avant commercialisation
Surveillance post-marché	Art. 72	Plan + journal	Continu après mise sur marché

5. Avantages du marquage CE pour les PME

Le marquage CE conditionne l'accès aux 27 marchés de l'Union européenne, qui représentent plus de 449 millions de consommateurs [à vérifier]. Sans CE, un système haut-risque ne peut ni être vendu, ni être déployé, ni être intégré dans un produit tiers commercialisé dans l'UE.

Au-delà de l'accès au marché, la conformité produit plusieurs effets indirects. Elle structure la documentation interne, ce qui réduit les coûts de support et facilite les due diligences clients. Elle constitue un argument différenciant face à des concurrents non européens. Elle anticipe les exigences des appels d'offres publics, qui intègreront progressivement la conformité AI Act comme critère d'éligibilité.

Le marquage CE facilite également la coexistence avec d'autres référentiels. Un système IA marqué CE et certifié ISO/IEC 42001:2023 répond conjointement aux exigences contractuelles, aux audits clients et aux contrôles d'autorités sectorielles (ACPR pour la finance, HAS pour la santé, ARCEP pour les communications électroniques).

6. Sanctions en cas de non-conformité

L'Article 99 du Règlement (UE) 2024/1689 distingue trois paliers d'amendes administratives, applicables à compter du 2 août 2025 pour la gouvernance et 2 août 2026 pour les obligations haut-risque.

Infraction	Plafond entreprise	Plafond PME (Art. 99 §6)	Base légale
Pratique interdite (Art. 5)	35 M€ ou 7 % du CA mondial	Le plus bas des deux	Art. 99 §3
Non-respect obligations haut-risque (dont Art. 48)	15 M€ ou 3 % du CA mondial	Le plus bas des deux	Art. 99 §4
Information inexacte aux autorités	7,5 M€ ou 1 % du CA mondial	Le plus bas des deux	Art. 99 §5

L'Article 99, paragraphe 6 prévoit explicitement que pour les PME et startups, le montant retenu est le plus bas des deux plafonds — et non le plus haut, comme c'est le cas pour les grandes entreprises. Cette règle réduit mécaniquement l'exposition, sans annuler le risque.

Au-delà des amendes, l'Article 79 ouvre la voie à des mesures correctives : retrait du marché, rappel, interdiction temporaire de mise à disposition. L'autorité de surveillance désignée par la France [à vérifier] pourra ordonner ces mesures. L'analyse détaillée du régime de sanctions figure dans l'article dédié /ai-act-sanctions-pme-amendes/.

Une condamnation peut également déclencher des conséquences indirectes : résiliation de contrats clients pour manquement, exclusion des marchés publics, action en responsabilité civile fondée sur la future directive sur la responsabilité du fait des produits IA.

7. Ressources pour les PME

Plusieurs ressources officielles permettent de structurer la démarche sans recourir immédiatement à un conseil externe.

AI Act Service Desk — guichet de la Commission européenne : ai-act-service-desk.ec.europa.eu
Texte consolidé du Règlement — disponible sur eur-lex.europa.eu sous la référence ELI 2024/1689
Fiches pratiques CNIL — 13 fiches publiées sur cnil.fr couvrant analyse d'impact, base légale, droits des personnes
Guide Cigref AI Act — publication de janvier 2025 destinée aux directions des systèmes d'information
Guide Numeum AI Act — publication de mars 2025 destinée aux éditeurs et intégrateurs
Normes ISO — ISO/IEC 42001:2023 (gestion IA), ISO/IEC 23894:2023 (gestion des risques IA), ISO/IEC 27001:2022 (sécurité de l'information)

Le glossaire /glossaire.html regroupe les définitions opérationnelles. La page /sources.html recense l'ensemble des références officielles utilisées par regulia.

Démarrer un audit AI Act sur votre système

regulia accompagne les PME françaises dans la qualification haut-risque, la rédaction de la documentation annexe IV et la mise en place du système de gestion de la qualité Article 17.

Demander un audit AI Act

8. Étapes d'action pour les PME

La feuille de route ci-dessous structure une mise en conformité réaliste sur 6 à 12 mois, sans mobiliser plus d'un équivalent temps plein. Elle s'aligne sur les échéances de l'Article 113.

Mois 1-2 — cartographie : inventaire des systèmes IA en développement, déploiement ou intégration. Classification au regard de l'Article 6.
Mois 2-3 — analyse d'écart : comparaison entre l'état actuel et les exigences des Articles 9 à 15.
Mois 3-5 — documentation : rédaction des 9 rubriques de l'annexe IV, formalisation du SMQ Article 17.
Mois 5-7 — évaluation de conformité : selon l'Article 43, par auto-évaluation ou avec organisme notifié.
Mois 7-8 — déclaration et enregistrement : signature de la déclaration UE de conformité, enregistrement dans la base Article 71.
Mois 8-9 — marquage CE : apposition physique ou numérique, mise à jour des supports commerciaux et techniques.
Mois 9-12 — surveillance : déploiement du système post-commercialisation prévu à l'Article 72.

La cohérence entre cette feuille de route et le calendrier réglementaire conditionne la sécurité juridique. Pour les systèmes existants déjà sur le marché avant le 2 août 2026, l'Article 111 prévoit des règles transitoires spécifiques, à vérifier au cas par cas.

FAQ

Quels systèmes IA sont concernés par le marquage CE pour les PME ?

Les systèmes haut-risque définis à l'Article 6 du Règlement (UE) 2024/1689 sont soumis au marquage CE. Deux catégories existent : les systèmes intégrés à un produit régulé (annexe I) et les systèmes autonomes relevant des huit domaines de l'annexe III (biométrie, infrastructures critiques, éducation, emploi, services essentiels, application de la loi, migration, justice). Pour une PME, les cas typiques concernent les logiciels de tri de CV, les outils de scoring crédit, les systèmes de surveillance industrielle et les dispositifs médicaux contenant de l'IA. La CNIL publie des grilles d'analyse sur cnil.fr.

Quelle est la procédure pour obtenir le marquage CE ?

La procédure suit l'Article 43. Le fournisseur conduit d'abord une évaluation de conformité — par auto-évaluation interne (annexe VI) ou par organisme notifié (annexe VII) selon le type de système. Il rédige la documentation technique de l'annexe IV, met en place le système de gestion de la qualité de l'Article 17, signe la déclaration UE de conformité prévue à l'Article 47, puis appose le marquage CE selon l'Article 48. L'enregistrement dans la base de données européenne (Art. 71) précède la mise sur le marché.

Quelles sont les sanctions pour non-conformité ?

L'Article 99, paragraphe 4 prévoit, pour un manquement aux obligations applicables aux systèmes haut-risque dont l'Article 48, une amende administrative pouvant atteindre 15 millions d'euros ou 3 % du chiffre d'affaires mondial annuel total. Pour les PME, l'Article 99, paragraphe 6 retient le plus bas des deux plafonds. À cela s'ajoutent des mesures correctives possibles selon l'Article 79 : retrait du marché, rappel, interdiction temporaire. L'analyse complète figure sur /ai-act-sanctions-pme-amendes/.

Comment les PME peuvent-elles bénéficier du marquage CE ?

Le marquage CE conditionne l'accès au marché unique européen pour tout système IA haut-risque. Il sécurise les ventes intra-UE, facilite les appels d'offres publics et structure la documentation produit. Il sert également d'argument différenciant face à des concurrents non européens, et anticipe les audits clients dans les filières régulées (banque, santé, énergie). Le service desk européen (ai-act-service-desk.ec.europa.eu) fournit des fiches d'orientation gratuites.

Où trouver de l'aide pour la mise en conformité ?

Quatre ressources gratuites permettent de démarrer. Le AI Act Service Desk de la Commission (ai-act-service-desk.ec.europa.eu) répond aux questions de qualification. Les 13 fiches pratiques CNIL (cnil.fr) couvrent l'articulation RGPD et AI Act. La base NANDO sur eur-lex.europa.eu liste les organismes notifiés. Le glossaire regulia (/glossaire.html) et la page sources (/sources.html) regroupent les définitions et références.

Sources officielles

Règlement (UE) 2024/1689 — texte consolidé EUR-Lex
Texte intégral AI Act — artificialintelligenceact.eu
AI Act Service Desk — Commission européenne
Fiches pratiques IA — CNIL
ISO/IEC 42001:2023 — Information technology — Artificial intelligence — Management system
ISO/IEC 23894:2023 — Information technology — Artificial intelligence — Guidance on risk management
ISO/IEC 27001:2022 — Information security management systems
Cigref — Guide AI Act, janvier 2025
Numeum — Guide AI Act, mars 2025

Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.