Quelles sont les sanctions pour non-conformité avec l'AI Act ?

Les sanctions peuvent atteindre 7% du chiffre d'affaires mondial (art. 83 du règlement). Pour les systèmes à risque élevé, les sanctions sont plus sévères. Les PME doivent se conformer avant le 2 mai 2025 pour éviter des amendes importantes.

Comment classer les systèmes d'IA par niveau de risque ?

La classification se fait en fonction de l'impact sur les droits fondamentaux et la sécurité. Les systèmes à risque élevé incluent ceux utilisés dans le recrutement, les prêts, ou la santé. Utilisez le guide de la Commission européenne pour évaluer correctement le niveau de risque.

Où trouver de l'aide pour la mise en conformité ?

Consultez le service desk européen de l'AI Act (ai-act-service-desk.ec.europa.eu) pour des conseils techniques. Les PME peuvent également s'appuyer sur des consultants spécialisés en conformité IA. Le site regulia.fr propose des ressources dédiées aux PME.

Quels sont les délais pour se conformer ?

Les systèmes à risque élevé doivent être conformes d'ici le 2 mai 2025. Les systèmes à risque moyen et faible ont un délai plus long, mais doivent être conformes avant le 2 mai 2026. Les PME doivent commencer dès maintenant pour ne pas rater les échéances.

Comment gérer les données personnelles dans les systèmes d'IA ?

Vérifiez la conformité avec le RGPD pour toutes les données personnelles utilisées. Documentez les transferts internationaux et mettez en place des mécanismes de protection. Le CNIL (cnil.fr) propose des guides spécifiques pour les PME utilisant l'IA.

Checklist conformité AI Act Excel : 50 obligations à cocher pour les PME

L'essentiel en 30 secondes - 50 obligations opérationnelles réparties en 8 étapes pour cadrer la conformité au Règlement (UE) 2024/1689. - Sanctions financières graduées jusqu'à 35 M€ ou 7 % du chiffre d'affaires mondial (Article 99 du Règlement (UE) 2024/1689). - Les pratiques interdites s'appliquent depuis le 2 février 2025 ; les obligations pour systèmes à haut risque s'appliquent au 2 août 2026 (régime général) et au 2 août 2027 pour les systèmes intégrés à des produits réglementés. - Documentation technique obligatoire pour tout système à haut risque (Article 11 et Annexe IV). - Modèle de checklist Excel proposé par regulia, aligné sur les 8 étapes décrites ci-dessous. - Service desk européen (ai-act-service-desk.ec.europa.eu) ouvert pour les questions d'application.

L'EU AI Act s'impose à toute PME qui développe, déploie ou intègre un système d'IA sur le marché européen. La conformité ne se négocie pas : elle se documente. Cet article propose une méthode en 50 contrôles concrets, structurés en 8 étapes, pour transformer un texte de 459 pages en une routine de gouvernance maîtrisée. Pour le contexte général, consultez le pillar AI Act et PME françaises.

1. Étape 1 — Inventorier les systèmes d'IA utilisés

Aucune conformité possible sans inventaire exhaustif. Le périmètre couvre les logiciels achetés, développés en interne, intégrés via API, ou embarqués dans des SaaS métier. Une PME sous-estime généralement son parc IA d'un facteur 3 à 5.

Contrôles 1 à 7 — inventaire initial

#	Obligation	Référence	Livrable
1	Recenser tous les systèmes d'IA en usage	Art. 3(1) Règlement (UE) 2024/1689	Registre IA
2	Identifier le rôle (fournisseur, déployeur, importateur)	Art. 3(3) à 3(7)	Fiche par système
3	Cartographier les API tierces (ChatGPT, Mistral, Claude, etc.)	Art. 3(63) GPAI	Tableau d'intégrations
4	Documenter les données d'entraînement et leurs sources	Art. 10	Fiche dataset
5	Vérifier l'inclusion dans le champ d'application de l'AI Act	Art. 2	Note de portée
6	Identifier les usages interdits (Article 5)	Art. 5	Note d'exclusion
7	Noter le statut « modifié substantiellement »	Art. 25	Journal des modifications

Le service desk européen précise que le déployeur d'un système intégré reste responsable des contrôles dès lors qu'il personnalise l'usage. Une PME qui déploie un chatbot RH générique devient ainsi responsable de la documentation d'usage si elle l'entraîne sur ses propres CV.

2. Étape 2 — Classer les systèmes par niveau de risque

Le Règlement (UE) 2024/1689 organise quatre niveaux de risque : inacceptable (interdit, Art. 5), élevé (Art. 6 et Annexe III), risque limité (Art. 50, obligations de transparence) et risque minimal. La classification conditionne 80 % des obligations applicables.

Contrôles 8 à 14 — classification

Niveau	Exemples sectoriels PME	Obligations principales
Inacceptable	Notation sociale, manipulation cognitive	Interdiction totale (Art. 5)
Élevé	Tri de CV, scoring crédit, dispositifs médicaux	Système de gestion des risques (Art. 9), documentation (Art. 11), supervision humaine (Art. 14)
Limité	Chatbots, deepfakes, IA générative	Information de l'utilisateur (Art. 50)
Minimal	Filtres anti-spam, IA de jeu vidéo	Volontaire — codes de conduite (Art. 95)

L'Annexe III liste huit domaines à haut risque : biométrie, infrastructures critiques, éducation, emploi, accès aux services essentiels, application de la loi, migration et administration de la justice. Une PME qui filtre ses candidatures avec un logiciel de tri tombe systématiquement dans cette catégorie. Pour le détail des amendes, voir AI Act sanctions PME.

Contrôle 14 spécifique : appliquer le filtre dérogatoire de l'Article 6.3 (« le système n'a pas d'incidence significative sur la prise de décision »). Cette dérogation se documente, elle ne s'auto-déclare pas.

3. Étape 3 — Documenter les processus d'IA

La documentation technique de l'Annexe IV est le pivot opérationnel. Elle doit pouvoir être présentée à l'autorité de surveillance dans un délai contraint, en français pour les autorités françaises.

Contrôles 15 à 22 — documentation Annexe IV

Description générale du système : finalité, version, fournisseur.
Description détaillée des éléments du système et processus de développement.
Informations sur les données : origine, traitement, étiquetage, biais détectés.
Métriques de performance : précision, robustesse, cybersécurité (Art. 15).
Système de gestion des risques (Art. 9) — itératif, documenté, mis à jour.
Mesures de supervision humaine (Art. 14) — interfaces, alertes, droits d'arrêt.
Logs et journalisation automatique (Art. 12) — durée de conservation minimale.
Manuel d'utilisation à destination du déployeur (Art. 13) — clair, complet.

La Commission européenne a publié en juillet 2025 un modèle de documentation technique simplifié pour PME, accessible via le service desk. Il ne dispense pas de l'exhaustivité, il propose une trame.

Téléchargez le modèle Excel regulia

50 obligations cochables, alignées sur les Articles 9 à 27 du Règlement (UE) 2024/1689. Format compatible Microsoft 365 et LibreOffice. Exemples sectoriels intégrés (RH, fintech, e-commerce, santé).

Recevoir la checklist Excel

4. Étape 4 — Mettre en place les mesures de sécurité et de robustesse

L'Article 15 impose un niveau approprié de précision, de robustesse et de cybersécurité tout au long du cycle de vie. Les mesures doivent être proportionnées au risque, mais leur absence est constitutive d'une non-conformité directement sanctionnable.

Contrôles 23 à 30 — sécurité technique

Contrôle	Article	Cadre de référence
23. Politique de cybersécurité écrite	Art. 15	ISO/IEC 27001:2022
24. Tests de robustesse face aux entrées adversariales	Art. 15.5	NIST AI RMF
25. Plan de réponse aux incidents IA	Art. 73	ISO/IEC 27035
26. Notification des incidents graves sous 15 jours	Art. 73.2	Procédure interne
27. Audit annuel des contrôles techniques	Art. 9.2(d)	ISO/IEC 42001:2023
28. Système de gestion de la qualité (fournisseur)	Art. 17	ISO/IEC 42001:2023
29. Logs cybersécurité conservés ≥ 6 mois	Art. 12 + Art. 19	RGPD Art. 32
30. Plan de continuité IA	Art. 15.4	ISO 22301

Le Cigref recommande dans son guide AI Act de janvier 2025 d'aligner ces contrôles sur la norme ISO/IEC 42001:2023 (système de management de l'IA). Cette approche transforme une obligation ponctuelle en routine de gouvernance.

5. Étape 5 — Gérer les données personnelles

L'AI Act et le RGPD sont complémentaires : le second régit la donnée, le premier régit le système qui la traite. Une PME doit articuler les deux corpus, sans choisir.

Contrôles 31 à 36 — articulation RGPD/AI Act

Vérifier la base légale RGPD du traitement IA (Art. 6 RGPD).
Réaliser l'AIPD/DPIA si traitement à risque (Art. 35 RGPD).
Documenter les transferts internationaux (Art. 44 à 49 RGPD).
Mettre en place les droits des personnes (information, rectification, opposition).
Évaluer l'impact sur les droits fondamentaux (FRIA, Art. 27 AI Act) pour systèmes à haut risque déployés par un organisme public ou un acteur privé délivrant un service public.
Tenir le registre des activités de traitement (Art. 30 RGPD) à jour avec les usages IA.

La CNIL a publié 13 fiches pratiques IA. La fiche n°2 « Définir une finalité » et la fiche n°7 « Mener une analyse d'impact » sont particulièrement pertinentes. Voir le glossaire regulia pour les définitions FRIA, AIPD, GPAI.

6. Étape 6 — Former les équipes (Article 4)

Depuis le 2 février 2025, l'Article 4 impose à tous les fournisseurs et déployeurs de garantir un niveau suffisant de maîtrise de l'IA (« AI literacy ») de leur personnel. Cette obligation s'applique à toutes les PME, sans seuil d'effectif.

Contrôles 37 à 42 — montée en compétence

#	Action	Public cible	Périodicité
37	Formation initiale AI Act	Tous les utilisateurs IA	Une fois
38	Formation approfondie pour systèmes à haut risque	Métiers concernés	Annuelle
39	Désignation d'un référent IA interne	Direction	Permanent
40	Procédure de signalement des non-conformités	Tout salarié	Permanent
41	Sensibilisation aux deepfakes et IA générative	Communication, RH	Semestrielle
42	Traçabilité des formations dispensées	DRH	Continue

Le niveau « suffisant » se détermine en fonction du contexte d'usage, des compétences techniques et de l'expérience des personnes concernées. Une PME e-commerce qui utilise uniquement de l'IA générative pour des descriptions produits n'a pas les mêmes obligations qu'un éditeur de scoring crédit.

7. Étape 7 — Préparer les déclarations et marquages

Pour les systèmes à haut risque, la conformité se matérialise par une déclaration UE de conformité (Art. 47), un marquage CE (Art. 48) et un enregistrement dans la base de données européenne (Art. 49 et 71).

Contrôles 43 à 47 — formalités obligatoires

Déclaration UE de conformité signée par le fournisseur (Art. 47).
Marquage CE apposé de manière visible et indélébile (Art. 48).
Enregistrement dans la base de données EU avant la mise sur le marché (Art. 49).
Désignation d'un mandataire UE pour les fournisseurs hors UE (Art. 22).
Conservation de la documentation technique pendant 10 ans après mise sur le marché (Art. 18).

Le déployeur, lui, conserve les logs au moins 6 mois (Art. 19) et notifie les autorités en cas de risque grave (Art. 26.5).

8. Étape 8 — Suivi continu et mise à jour

L'AI Act adopte une logique de cycle de vie : la conformité initiale ne suffit pas. L'Article 72 impose un système de surveillance post-commercialisation, articulé avec la gestion des risques de l'Article 9.

Contrôles 48 à 50 — gouvernance pérenne

#	Mesure	Fréquence
48	Revue annuelle du registre IA et des classifications	12 mois
49	Veille réglementaire (actes délégués, normes harmonisées)	Mensuelle
50	Audit interne aligné ISO/IEC 42001:2023	Annuelle

La Commission publiera progressivement des actes délégués précisant les obligations par secteur. Les autorités françaises compétentes (CNIL pour la donnée, ARCEP, ARCOM, ACPR, ANSM, HAS selon les secteurs) émettront des recommandations spécifiques. S'inscrire à leurs listes de diffusion fait partie de la veille minimale.

Calendrier d'application — récapitulatif

Date	Disposition applicable	Référence
2 février 2025	Pratiques interdites (Art. 5) + AI literacy (Art. 4)	Art. 113(a)
2 août 2025	GPAI, gouvernance, sanctions, autorités notifiantes	Art. 113(b)
2 août 2026	Régime général haut risque (Annexe III)	Art. 113
2 août 2027	Haut risque intégrés à produits réglementés (Annexe I)	Art. 113(c)

Source : Article 113 du Règlement (UE) 2024/1689, publié au JOUE le 12 juillet 2024.

Pack documentaire AI Act PME

Modèles de registre IA, AIPD, FRIA, déclaration UE de conformité, manuel d'utilisation, plan de gestion des risques. 28 documents conformes au Règlement (UE) 2024/1689 et à l'ISO/IEC 42001:2023.

Demander un devis pack PME

FAQ

Quelles sanctions s'appliquent en cas de non-conformité avec l'AI Act ?

L'Article 99 du Règlement (UE) 2024/1689 prévoit trois paliers : jusqu'à 35 M€ ou 7 % du chiffre d'affaires annuel mondial pour les pratiques interdites de l'Article 5, jusqu'à 15 M€ ou 3 % pour les autres manquements (haut risque, GPAI), et jusqu'à 7,5 M€ ou 1 % pour fourniture d'informations inexactes. Pour les PME, le considérant 148 prévoit une proportionnalité : c'est le montant le plus faible entre la somme fixe et le pourcentage qui s'applique.

Comment classer correctement un système d'IA par niveau de risque ?

La classification suit l'arbre de décision suivant : (1) le système relève-t-il d'une pratique interdite (Art. 5) ? (2) Est-il listé à l'Annexe III ou intégré à un produit de l'Annexe I ? (3) Le filtre dérogatoire de l'Article 6.3 s'applique-t-il ? (4) Relève-t-il des obligations de transparence de l'Article 50 ? La Commission européenne publie progressivement des lignes directrices sectorielles via le service desk.

Où trouver de l'aide officielle pour la mise en conformité ?

Le service desk de l'AI Office européen (ai-act-service-desk.ec.europa.eu) répond aux questions d'interprétation. La CNIL publie 13 fiches pratiques IA orientées RGPD/IA. Les fédérations professionnelles Cigref (janvier 2025) et Numeum (mars 2025) ont publié des guides détaillés. Pour les ressources regulia, voir la checklist AI Act PME et la page sources officielles.

Quels sont les délais réels de conformité ?

Les pratiques interdites sont applicables depuis le 2 février 2025. Les règles pour les modèles d'IA à usage général s'appliquent depuis le 2 août 2025. Le régime général des systèmes à haut risque entre en vigueur le 2 août 2026. Les systèmes à haut risque intégrés à des produits relevant de la législation d'harmonisation de l'Union (Annexe I, ex. dispositifs médicaux) bénéficient d'un délai supplémentaire jusqu'au 2 août 2027 (Article 113).

Comment articuler RGPD et AI Act pour les données personnelles ?

Les deux règlements coexistent. Le RGPD régit la licéité du traitement des données personnelles ; l'AI Act régit la conception, la documentation et le déploiement du système qui les traite. Une AIPD au titre de l'Article 35 RGPD reste obligatoire pour les traitements à risque, complétée par une FRIA (évaluation d'impact sur les droits fondamentaux, Art. 27 AI Act) lorsque le déployeur est un organisme public ou délivre un service public. La CNIL recommande de conduire les deux exercices en parallèle.

Sources officielles

Règlement (UE) 2024/1689 — version consolidée : eur-lex.europa.eu
Portail officiel AI Act Commission européenne : ai-act.europa.eu
Service desk européen AI Act : ai-act-service-desk.ec.europa.eu
CNIL — page dédiée AI Act : cnil.fr/fr/ai-act
CNIL — 13 fiches pratiques IA : cnil.fr/fr/les-fiches-pratiques-ia
ISO/IEC 42001:2023 — Système de management de l'IA
ISO/IEC 23894:2023 — Gestion du risque IA
ISO/IEC 27001:2022 — Sécurité de l'information
Cigref, Guide AI Act, janvier 2025
Numeum, Guide AI Act éditeurs et ESN, mars 2025

Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.