TL;DR
L'essentiel en 30 secondes - Le Règlement (UE) 2024/1689 (« AI Act ») s'applique par paliers entre février 2025 et août 2027, y compris pour les PME françaises de 10 à 250 salariés. - Les sanctions atteignent jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial pour les pratiques interdites (Article 99 du Règlement (UE) 2024/1689). - Les systèmes d'IA à haut risque (Art. 6) doivent satisfaire la documentation technique, la gestion des risques et l'évaluation de conformité avant le 2 août 2027. - Les obligations de littératie en IA (Art. 4) s'appliquent dès le 2 février 2025 à tous les fournisseurs et déployeurs. - Le service desk européen (ai-act-service-desk.ec.europa.eu) répond aux questions de mise en œuvre. - Une feuille de route échelonnée, démarrée en 2025, reste la stratégie la plus économique pour absorber la charge documentaire.
1. Introduction : l'AI Act et son impact sur les PME
Le Règlement (UE) 2024/1689 du 13 juin 2024, dit « AI Act », est entré en vigueur le 1er août 2024. Son application s'étale jusqu'au 2 août 2027. Aucune dérogation générale n'existe pour les PME. Seuls quelques allègements documentaires sont prévus à l'Article 11 §1 pour les fournisseurs « PME et start-up ».
Une PME française de 10 à 250 salariés est concernée si elle développe, met sur le marché, déploie, importe ou distribue un système d'IA dans l'Union. Le statut juridique applicable (fournisseur, déployeur, importateur, distributeur) est défini à l'Article 3 du Règlement et conditionne l'ensemble des obligations.
Trois catégories d'usage déclenchent les obligations les plus lourdes pour une PME :
- les algorithmes de tri de CV ou d'évaluation des salariés (Annexe III §4),
- les outils de scoring de crédit et de tarification d'assurance vie/santé (Annexe III §5),
- les systèmes utilisés dans l'éducation, l'accès aux services publics ou la migration (Annexe III §3, §5, §7).
Les ressources opérationnelles regulia adaptées aux PME sont regroupées dans le pillar AI Act PME France.
Cadre normatif applicable
| Texte | Portée | Date d'effet PME |
|---|---|---|
| Règlement (UE) 2024/1689 (AI Act) | Tous secteurs, tous usages IA | 02/02/2025 → 02/08/2027 |
| RGPD (Règlement (UE) 2016/679) | Traitements de données personnelles | En vigueur |
| ISO/IEC 42001:2023 | Système de management de l'IA | Volontaire, présomption de conformité partielle |
| ISO/IEC 23894:2023 | Gestion des risques IA | Volontaire |
| Loi Informatique et Libertés modifiée | Articulation CNIL | En vigueur |
2. 2025 : évaluation et classification des systèmes d'IA
Le premier semestre 2025 est consacré au cadrage. Deux échéances structurantes tombent cette année :
- 2 février 2025 — entrée en application du Chapitre I (dispositions générales) et du Chapitre II (pratiques interdites). Les systèmes interdits par l'Article 5 doivent avoir disparu de l'entreprise.
- 2 août 2025 — entrée en application des règles applicables aux modèles d'IA à usage général (GPAI, Chapitre V) et de la gouvernance.
Inventaire des systèmes d'IA
L'inventaire est la fondation de toute conformité. Sans cartographie, l'évaluation de conformité au sens de l'Article 43 est impossible. Pour chaque système, il faut documenter :
- le fournisseur initial et la version du modèle,
- la finalité d'usage telle que prévue par l'éditeur,
- la finalité d'usage réelle dans l'entreprise (un usage hors finalité requalifie le déployeur en fournisseur — Art. 25 §1.c),
- les jeux de données d'entraînement et d'évaluation utilisés,
- les utilisateurs internes et catégories de personnes concernées.
Classification par niveau de risque
L'AI Act distingue quatre niveaux. Une PME doit positionner chaque système exactement.
| Niveau | Base juridique | Exemples PME | Obligation principale |
|---|---|---|---|
| Risque inacceptable | Art. 5 | Notation sociale, manipulation cognitive, reconnaissance d'émotions au travail | Interdiction totale depuis le 02/02/2025 |
| Haut risque | Art. 6 + Annexe III | Tri de CV, scoring crédit, IA en éducation | Conformité complète avant le 02/08/2027 |
| Risque limité | Art. 50 | Chatbots, contenus générés (deepfakes) | Transparence vis-à-vis de l'utilisateur |
| Risque minimal | Implicite | Filtres anti-spam, IA des suites bureautiques | Aucune obligation spécifique |
Le doute se tranche via le service desk européen ou via la grille de la CNIL. Le glossaire regulia clarifie chaque terme du Règlement.
Identification des systèmes à haut risque
L'Annexe III liste huit domaines d'usage à haut risque. Pour une PME, les cas les plus fréquents sont :
- Recrutement et RH (Annexe III §4) : tri automatisé de candidatures, évaluation de la performance, attribution de tâches.
- Accès aux services essentiels (Annexe III §5) : scoring de solvabilité, tarification vie/santé, priorisation d'urgence.
- Application de la loi et migration (Annexe III §6 et §7) : peu fréquent en PME hors secteur sécurité privée.
Une dérogation existe à l'Article 6 §3 si le système exécute une tâche procédurale étroite, améliore un travail humain achevé, détecte des écarts de décision sans les remplacer, ou prépare une évaluation. La PME doit alors documenter cette analyse et l'enregistrer dans la base UE (Art. 49 §2).
Cartographier vos systèmes d'IA en 4 heures
Notre pack inventaire et classification fournit la grille d'analyse Art. 6 et Annexe III, prête à remplir, conforme aux exigences 2025.
Demander le pack inventaire3. 2025-2026 : mise en place des mesures de conformité
Une fois l'inventaire stabilisé, deux chantiers démarrent en parallèle : la documentation technique et le système de management de la qualité.
Documentation technique (Art. 11 et Annexe IV)
Pour chaque système à haut risque, le fournisseur tient à jour une documentation technique avant la mise sur le marché. L'Annexe IV impose neuf rubriques : description générale, conception détaillée, surveillance, performance, gestion des risques, modifications, normes appliquées, déclaration UE de conformité, post-market monitoring.
L'Article 11 §1 prévoit un format simplifié pour les PME et start-up. La Commission publiera ce formulaire — il convient de surveiller les mises à jour publiées sur ai-act-service-desk.ec.europa.eu.
Système de gestion des risques (Art. 9)
Le système de gestion des risques est un processus itératif documenté qui couvre tout le cycle de vie. Les étapes obligatoires sont :
- Identification et analyse des risques connus et raisonnablement prévisibles.
- Estimation des risques résiduels après mesures.
- Évaluation des risques émergents à partir du post-market monitoring.
- Adoption de mesures de gestion appropriées et test de leur efficacité.
Les PME peuvent s'appuyer sur ISO/IEC 23894:2023 pour structurer ce processus. La norme ne dispense pas du respect du Règlement, mais facilite l'audit.
Gouvernance des données (Art. 10)
Les jeux de données d'entraînement, de validation et de test doivent répondre à des critères de qualité : représentativité, exactitude, complétude, examen des biais. Pour une PME qui n'entraîne pas elle-même un modèle (cas le plus fréquent), l'obligation porte sur les données de réglage fin et d'évaluation propres.
Mesures techniques transverses
| Exigence | Article | Traduction PME |
|---|---|---|
| Transparence | Art. 13 | Notice d'utilisation claire pour le déployeur |
| Supervision humaine | Art. 14 | Procédure de revue humaine documentée |
| Robustesse, exactitude, cybersécurité | Art. 15 | Tests, métriques, durcissement |
| Journalisation | Art. 12 | Logs conservés ≥ 6 mois (sauf droit national plus long) |
| Système de gestion qualité | Art. 17 | Procédures écrites couvrant 13 domaines |
La période 2025-2026 sert à industrialiser ces mesures avant la fenêtre d'audit de 2027.
4. 2026 : formation et sensibilisation des employés
L'Article 4 (« AI literacy ») impose dès le 2 février 2025 que les fournisseurs et les déployeurs prennent des mesures « pour assurer, dans la mesure du possible, un niveau suffisant de littératie en IA de leur personnel ». L'année 2026 sert à déployer ces actions à grande échelle.
Trois publics cibles
- Direction générale et IA Lead : compréhension du Règlement, choix d'architecture, gouvernance.
- DPO et RSSI : articulation AI Act / RGPD / NIS 2 / ISO 27001, plan d'audit.
- Utilisateurs métier des systèmes à haut risque : règles d'usage, supervision humaine, signalement d'incidents.
Contenu minimal d'un programme de littératie
| Module | Durée indicative | Contenu |
|---|---|---|
| Cadre AI Act | 1 h | Champ d'application, niveaux de risque, sanctions |
| Risques de l'IA | 2 h | Biais, hallucinations, sécurité, atteintes aux droits fondamentaux |
| Procédures internes | 1 h | Supervision humaine, journalisation, escalade incident |
| Cas d'usage métier | 1-2 h | Adapté au système concret utilisé |
Le suivi des formations doit être tracé (feuille de présence, attestation, évaluation). Cette traçabilité fait partie des éléments examinés en cas de contrôle. Le glossaire regulia sert de support pédagogique aligné sur les définitions de l'Art. 3.
Gestion des incidents graves (Art. 73)
Tout incident grave lié à un système à haut risque doit être notifié à l'autorité de surveillance du marché dans un délai de 15 jours (réduit à 2 jours pour une atteinte généralisée et 10 jours pour le décès d'une personne). La procédure d'escalade interne est l'une des compétences à acquérir en 2026.
Préparer votre plan de littératie 2026
Trame de programme, supports utilisateurs, attestations conformes Art. 4 et procédure d'escalade incidents Art. 73 prête à déployer.
Recevoir le pack littératie5. 2027 : audit interne et préparation à l'audit externe
Le 2 août 2027 marque la pleine application des obligations applicables aux systèmes à haut risque listés à l'Annexe III. Avant cette date, deux étapes sont nécessaires : l'audit interne et la procédure d'évaluation de conformité.
Audit interne
L'audit interne vise à vérifier que les exigences du Chapitre III, Section 2 (Art. 8 à 17) sont effectivement respectées. Il porte sur :
- la complétude de la documentation technique (Annexe IV),
- l'effectivité du système de gestion des risques,
- la qualité des données d'entraînement et de test,
- la performance des journaux,
- la mise en place de la supervision humaine,
- le système de gestion de la qualité,
- la traçabilité des actions correctrices.
Procédure d'évaluation de conformité (Art. 43)
Pour la majorité des systèmes de l'Annexe III, l'évaluation de conformité repose sur le contrôle interne (Annexe VI). Aucune intervention d'organisme notifié n'est exigée, sauf pour les systèmes biométriques visés à l'Annexe III §1 si le fournisseur n'a pas appliqué les normes harmonisées.
Le tableau ci-dessous résume les voies d'évaluation.
| Catégorie | Voie d'évaluation | Organisme notifié ? |
|---|---|---|
| Annexe III §1 (biométrie) avec normes harmonisées | Contrôle interne (Annexe VI) | Non |
| Annexe III §1 sans normes harmonisées | Annexe VII | Oui |
| Annexe III §2 à §8 | Contrôle interne (Annexe VI) | Non |
| Produits de l'Annexe I (dispositifs médicaux, jouets, etc.) | Procédure sectorielle | Selon le règlement sectoriel |
Déclaration UE de conformité et marquage CE
À l'issue de l'évaluation, le fournisseur établit une déclaration UE de conformité (Art. 47), appose le marquage CE (Art. 48) et enregistre le système dans la base de données UE (Art. 49). Pour les déployeurs, l'obligation se limite à l'enregistrement de certains usages dans la base UE (Art. 49 §1bis).
Correction des non-conformités
Les non-conformités identifiées doivent faire l'objet d'un plan d'action écrit, daté et suivi. Le calendrier de correction doit rester compatible avec la mise sur le marché ou la poursuite de l'usage. À défaut, le système est retiré ou rappelé conformément à l'Art. 20.
6. 2027 : gestion des sanctions et amendes
L'Article 99 du Règlement fixe trois plafonds, retenu dans la version la plus élevée entre montant absolu et pourcentage du chiffre d'affaires annuel mondial.
| Manquement | Plafond | Base |
|---|---|---|
| Pratiques interdites (Art. 5) | 35 M€ ou 7 % du CA mondial | Art. 99 §3 |
| Manquement aux obligations fournisseur, déployeur, importateur, distributeur, organisme notifié | 15 M€ ou 3 % du CA mondial | Art. 99 §4 |
| Information inexacte, incomplète ou trompeuse aux autorités | 7,5 M€ ou 1 % du CA mondial | Art. 99 §5 |
L'Article 99 §6 prévoit explicitement, pour les PME et start-up, que le plafond appliqué est le plus bas des deux montants (absolu ou pourcentage), et non le plus élevé. Cette disposition reste une atténuation, pas une exonération.
L'analyse détaillée des sanctions, accompagnée d'un calculateur d'exposition, est disponible dans l'article dédié sanctions PME.
Mécanismes de défense
Trois niveaux de défense sont mobilisables :
- Recours administratif devant l'autorité nationale de surveillance (en France, l'autorité désignée par la loi de transposition est la CNIL pour la composante protection des données et fait l'objet d'une désignation précisée par décret).
- Recours juridictionnel devant la juridiction compétente.
- Question préjudicielle à la Cour de justice de l'Union européenne en cas de doute sur l'interprétation du Règlement.
Les facteurs d'atténuation listés à l'Art. 99 §7 (coopération, mesures correctives, taille de l'entreprise, bonne foi) sont décisifs. Une documentation rigoureuse pèse lourd dans la fixation du montant.
7. 2027 et au-delà : suivi et maintien de la conformité
L'AI Act n'est pas un projet ponctuel. Trois obligations continues survivent à la mise en conformité initiale.
Surveillance après mise sur le marché (Art. 72)
Le fournisseur d'un système à haut risque met en place et documente un plan de surveillance après commercialisation. Ce plan collecte les données de performance pendant toute la durée d'utilisation, identifie les évolutions de risque et alimente le système de gestion des risques (Art. 9).
Mises à jour et modifications substantielles
Toute modification substantielle d'un système à haut risque déclenche une nouvelle évaluation de conformité (Art. 43 §4). La définition de « modification substantielle » est donnée à l'Art. 3 §23 : modification non prévue par le fournisseur dans l'évaluation initiale et affectant la conformité ou la finalité.
Audit annuel et amélioration continue
Aucune obligation explicite d'« audit annuel » externe n'existe pour les systèmes à haut risque hors biométrie. En revanche, le système de gestion de la qualité (Art. 17) impose des audits internes périodiques. ISO/IEC 42001:2023 propose un cycle d'amélioration continue (PDCA) qui, sans être obligatoire, structure efficacement la maintenance.
Articulation avec les autres réglementations
| Texte | Lien avec l'AI Act |
|---|---|
| RGPD | Bases légales, AIPD obligatoire pour la plupart des systèmes haut risque |
| Directive NIS 2 | Sécurité des systèmes critiques, alignement sur l'Art. 15 |
| Data Act, Data Governance Act | Conditions d'accès aux données d'entraînement |
| Règlement Machines (UE) 2023/1230 | Composants IA dans des machines |
Le pillar AI Act PME France recense les guides regulia disponibles pour chaque articulation.
8. Ressources et outils pour les PME
Cinq ressources couvrent l'essentiel des besoins opérationnels d'une PME française.
| Ressource | Adresse | Usage prioritaire |
|---|---|---|
| AI Act Service Desk de la Commission | ai-act-service-desk.ec.europa.eu | Questions d'interprétation, formulaires officiels |
| EUR-Lex — texte consolidé | eur-lex.europa.eu | Référence juridique opposable |
| CNIL — fiches pratiques IA | cnil.fr/fr/les-fiches-pratiques-ia | Articulation RGPD/AI Act, 13 fiches |
| Bureau européen de l'IA (AI Office) | digital-strategy.ec.europa.eu | Codes de bonnes pratiques GPAI |
| Pages sources regulia | regulia.fr | Liste consolidée et mise à jour |
Les guides Cigref (janvier 2025) et Numeum (mars 2025) complètent utilement ces ressources, notamment sur la déclinaison contractuelle de l'AI Act dans les chaînes fournisseurs.
FAQ
Quelles sont les sanctions pour une PME non conforme à l'AI Act ?
Les sanctions atteignent jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial pour les pratiques interdites (Art. 99 §3 du Règlement (UE) 2024/1689). Le manquement aux obligations applicables aux systèmes à haut risque expose à 15 M€ ou 3 % du CA. Les PME bénéficient du plafond le plus bas entre les deux montants (Art. 99 §6). La conformité reste donc moins coûteuse que le risque d'amende.
Comment classer un système d'IA comme à haut risque ?
Un système est à haut risque s'il relève de l'Annexe I (composant de sécurité d'un produit régulé) ou de l'Annexe III (huit domaines listés : biométrie, infrastructures critiques, éducation, emploi, services essentiels, application de la loi, migration, justice). L'Article 6 §3 prévoit une dérogation pour les usages procéduraux étroits. La grille d'analyse de la CNIL (cnil.fr/fr/les-fiches-pratiques-ia) et le service desk européen (ai-act-service-desk.ec.europa.eu) permettent de trancher.
Quelles sont les étapes clés pour la mise en conformité ?
La feuille de route comprend six étapes : 1) inventaire des systèmes d'IA en 2025, 2) classification par niveau de risque en 2025, 3) mise en place des mesures techniques et documentaires en 2025-2026, 4) déploiement de la littératie en IA en 2026, 5) audit interne en 2027, 6) évaluation de conformité au sens de l'Art. 43 avant le 2 août 2027. Chaque étape doit être tracée par écrit pour résister à un contrôle.
Où trouver de l'aide pour la conformité ?
Les ressources officielles sont le service desk européen (ai-act-service-desk.ec.europa.eu), le portail EUR-Lex (eur-lex.europa.eu) pour le texte du Règlement, et les fiches pratiques de la CNIL (cnil.fr/fr/les-fiches-pratiques-ia). Sur regulia, les ressources spécifiques aux PME sont regroupées dans le pillar AI Act PME France et la liste consolidée des sources.
Quel est le coût estimé de la conformité pour une PME ?
Le coût varie selon le nombre de systèmes à haut risque, l'existence préalable d'un système qualité (ISO 9001, ISO 27001) et les compétences internes. Les postes principaux sont la documentation technique, la formation, les outils de monitoring et l'éventuel recours à un prestataire pour l'évaluation de conformité. Une estimation chiffrée précise nécessite l'inventaire de l'étape 2025. Aucun chiffre moyen fiable n'est publié à ce jour [à vérifier auprès des publications Cigref et Numeum 2025].
Sources officielles
- AI Act Service Desk — Commission européenne
- Règlement (UE) 2024/1689 sur EUR-Lex
- CNIL — page dédiée à l'AI Act
- artificialintelligenceact.eu — texte consolidé annoté
Avertissement. Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.