La Commission nationale de l'informatique et des libertés (CNIL) a publié en 2024 et 2025 treize fiches pratiques destinées à clarifier l'application du Règlement général sur la protection des données (RGPD) aux systèmes d'intelligence artificielle. En 2026, ces recommandations deviennent un repère opérationnel pour les PME françaises confrontées à l'entrée en application progressive du Règlement (UE) 2024/1689, dit AI Act. Cet article décrit, secteur par secteur, les obligations applicables, les étapes pratiques de mise en conformité et les ressources publiques disponibles.
L'essentiel en 30 secondes
- La CNIL publie depuis 2024 treize fiches pratiques applicables aux systèmes d'IA, utilisables comme base de conformité par les PME.
- Les PME doivent cartographier leurs systèmes d'IA, évaluer leurs risques et documenter chaque traitement de données personnelles associé.
- Le RGPD et l'AI Act imposent des obligations cumulatives de transparence, de documentation technique et d'analyse d'impact.
- Les sanctions pour non-conformité à l'AI Act peuvent atteindre 35 M€ ou 7 % du chiffre d'affaires mondial annuel (Article 99 du Règlement (UE) 2024/1689).
- La CNIL recommande une approche progressive : audit initial, plan d'action priorisé, audits réguliers et veille réglementaire.
- Les obligations de l'AI Act sur les systèmes à haut risque s'appliquent à partir du 2 août 2026.
1. Contexte législatif : AI Act et RGPD en 2026
1.1 L'AI Act, un règlement à entrée en application progressive
Le Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établit des règles harmonisées concernant l'intelligence artificielle. Publié au Journal officiel de l'Union européenne le 12 juillet 2024, il est entré en vigueur le 1ᵉʳ août 2024. Son application se déploie par étapes successives, jusqu'au 2 août 2027.
Les PME françaises sont concernées dès lors qu'elles déploient, fournissent ou importent un système d'IA sur le marché de l'Union. Le règlement repose sur une logique de classification par niveau de risque : pratiques interdites, systèmes à haut risque, systèmes à risque limité et systèmes à risque minimal.
| Étape | Date d'entrée en application | Périmètre |
|---|---|---|
| Interdictions (Art. 5) | 2 février 2025 | Pratiques d'IA prohibées |
| Modèles à usage général (Art. 53-55) | 2 août 2025 | Fournisseurs de GPAI |
| Gouvernance et sanctions (Art. 99-101) | 2 août 2025 | Régime de sanctions |
| Systèmes à haut risque (Annexe III) | 2 août 2026 | Recrutement, biométrie, scoring crédit |
| Systèmes à haut risque (Annexe I) | 2 août 2027 | Produits soumis à harmonisation UE |
1.2 L'articulation avec le RGPD
L'AI Act ne remplace pas le Règlement (UE) 2016/679 (RGPD). Les deux textes s'appliquent en parallèle dès lors qu'un système d'IA traite des données personnelles. La CNIL est désignée par la France comme autorité nationale compétente pour les questions de protection des données, et l'État français doit désigner une autorité de surveillance du marché au sens de l'Article 70 du Règlement (UE) 2024/1689.
Pour une PME, cette articulation signifie deux régimes documentaires : une analyse d'impact relative à la protection des données (AIPD) au titre de l'Article 35 du RGPD, et une évaluation des risques au titre de l'AI Act lorsque le système est classé à haut risque.
1.3 Le régime de sanctions
L'Article 99 du Règlement (UE) 2024/1689 prévoit trois paliers d'amendes administratives :
- jusqu'à 35 M€ ou 7 % du chiffre d'affaires mondial annuel pour violation des pratiques interdites (Art. 5) ;
- jusqu'à 15 M€ ou 3 % du chiffre d'affaires mondial annuel pour la plupart des autres obligations ;
- jusqu'à 7,5 M€ ou 1 % du chiffre d'affaires mondial annuel pour fourniture d'informations inexactes.
Pour les PME et les jeunes entreprises, le règlement prévoit que le montant retenu correspond au plus bas des deux plafonds (Art. 99 § 6), ce qui constitue une protection spécifique.
2. Recommandations clés de la CNIL pour les PME
La CNIL a publié ses recommandations sous forme de treize fiches pratiques, accessibles sur cnil.fr/fr/les-fiches-pratiques-ia. Elles couvrent l'ensemble du cycle de vie d'un système d'IA, depuis la phase de développement jusqu'à son déploiement opérationnel.
2.1 Évaluation des risques
La CNIL recommande de cartographier chaque système d'IA en service ou en projet. Pour chaque système, l'évaluation porte sur la finalité poursuivie, la nature des données traitées, la base légale du traitement et l'impact potentiel sur les personnes concernées.
L'évaluation des risques au titre du RGPD doit être conduite avant la mise en service du système. Elle est obligatoire lorsque le traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques.
2.2 Documentation technique et juridique
La documentation constitue le socle de la conformité. L'Article 11 du Règlement (UE) 2024/1689 impose une documentation technique pour tout système à haut risque, dont le contenu est précisé à l'Annexe IV. Cette documentation comprend une description du système, de ses composants, de ses données d'entraînement et de ses performances.
En parallèle, le RGPD exige un registre des activités de traitement (Article 30) et, le cas échéant, une AIPD (Article 35). La CNIL recommande de fusionner ces exercices documentaires lorsque cela est possible, pour éviter les redondances.
2.3 Formation du personnel
L'Article 4 du Règlement (UE) 2024/1689, applicable depuis le 2 février 2025, impose aux fournisseurs et aux déployeurs de systèmes d'IA de garantir un niveau suffisant de maîtrise de l'IA (« AI literacy ») au sein de leur personnel. Cette obligation concerne toutes les organisations, indépendamment de la classification de risque de leurs systèmes.
Préparer la conformité AI Act et RGPD-IA
Notre pack documentaire regulia regroupe les modèles de registre, d'AIPD et d'évaluation des risques alignés sur les recommandations CNIL et les exigences de l'AI Act.
Demander un audit gratuit de conformité3. Étapes pratiques pour la mise en conformité
3.1 Audit des systèmes d'IA en place
La première étape consiste à recenser tous les systèmes d'IA utilisés dans l'entreprise. Cela inclut les outils internes développés par l'entreprise, les solutions SaaS intégrant des fonctions d'IA et les modèles à usage général tels que les assistants conversationnels.
Pour chaque système identifié, l'audit relève :
- La finalité métier du système.
- Les données utilisées en entrée et en sortie.
- Le fournisseur du système et son rôle au sens de l'AI Act.
- La classification de risque applicable (interdit, haut risque, risque limité, risque minimal).
- Le statut de conformité actuel et les écarts constatés.
3.2 Définition des processus de gouvernance
La gouvernance de l'IA s'appuie sur un comité interne, généralement composé de la direction, du DPO, du RSSI et d'un référent métier. La norme ISO/IEC 42001:2023 fournit un cadre de management des systèmes d'IA utilisable comme référence par les PME, même en l'absence de certification formelle.
Le comité valide les nouveaux projets d'IA, suit les indicateurs de risque et révise périodiquement la cartographie des systèmes.
3.3 Mise à jour des politiques de protection des données
Les politiques internes existantes (politique de confidentialité, charte informatique, contrats avec les sous-traitants) doivent être adaptées pour intégrer les spécificités des traitements par IA. Pour les sous-traitants fournissant des solutions d'IA, une clause spécifique précise les responsabilités respectives au titre de l'Article 28 du RGPD et des Articles 16 à 27 du Règlement (UE) 2024/1689.
4. Outils et ressources disponibles
4.1 Le service desk européen de l'AI Act
La Commission européenne met à disposition un service desk dédié à l'AI Act, accessible à l'adresse ai-act-service-desk.ec.europa.eu. Ce service répond aux questions des fournisseurs et déployeurs, y compris des PME, sur l'interprétation du règlement.
4.2 Les fiches pratiques de la CNIL
Les treize fiches pratiques de la CNIL couvrent les sujets suivants : détermination du régime applicable, base légale, AIPD, sécurité, exercice des droits, traitements de données sensibles, mesures contre les biais et information des personnes concernées.
4.3 Les outils d'auto-évaluation
Plusieurs outils gratuits permettent une première évaluation. Le questionnaire d'auto-évaluation EU AI Act Compliance Checker, publié par la Future of Life Institute, est utilisé comme outil de cadrage. La CNIL propose un outil PIA (Privacy Impact Assessment) téléchargeable pour la conduite d'AIPD.
| Outil | Source | Usage |
|---|---|---|
| Service desk AI Act | Commission européenne | Questions d'interprétation |
| Fiches pratiques IA | CNIL | Conformité RGPD-IA |
| Outil PIA | CNIL | Conduite d'AIPD |
| Guide AI Act | Cigref (janvier 2025) | Cartographie usages |
| Guide AI Act | Numeum (mars 2025) | Pratiques sectorielles |
5. Exemples concrets de mise en œuvre
5.1 PME utilisant l'IA pour le recrutement
Le tri automatisé de CV par un système d'IA est classé à haut risque au titre du point 4 a) de l'Annexe III du Règlement (UE) 2024/1689. La PME déployeuse est soumise aux obligations de l'Article 26 : conservation des journaux automatiquement générés, surveillance humaine effective, information des candidats et coopération avec les autorités.
L'éditeur du logiciel reste responsable de la conformité du système au titre des Articles 16 à 22 : marquage CE, documentation technique, système de gestion des risques et système de gestion de la qualité.
5.2 PME utilisant l'IA pour la relation client
Un assistant conversationnel destiné à dialoguer avec les clients relève généralement du risque limité. L'Article 50 du Règlement (UE) 2024/1689 impose une obligation de transparence : les personnes physiques doivent être informées qu'elles interagissent avec un système d'IA, sauf si cela est manifeste.
Lorsque l'assistant traite des données personnelles, le RGPD s'applique pleinement. La PME identifie une base légale (Article 6 du RGPD), informe les personnes concernées (Article 13) et met en place les mesures de sécurité appropriées (Article 32).
5.3 PME utilisant l'IA pour l'analyse de données
L'utilisation d'outils d'analyse prédictive sur des données métier (prévisions de ventes, optimisation des stocks) relève en général du risque minimal lorsqu'aucune donnée personnelle n'est traitée. Les obligations restreintes restent : maîtrise de l'IA par le personnel (Article 4), documentation interne et gouvernance.
Si le système traite des données personnelles indirectes, par exemple via des données clients agrégées, la PME conduit une AIPD si le risque pour les personnes est élevé.
6. Les erreurs à éviter
6.1 Ignorer la classification de risque
L'erreur la plus fréquente consiste à appliquer un régime unique à tous les systèmes. La classification par risque conditionne les obligations applicables. Un système classé à risque limité supporte moins d'obligations qu'un système à haut risque, mais les obligations ne sont jamais nulles.
6.2 Confondre AI Act et RGPD
L'AI Act et le RGPD relèvent de deux logiques distinctes. L'un encadre la conformité du système d'IA en tant que produit, l'autre protège les personnes dont les données sont traitées. Une conformité RGPD ne suffit pas pour respecter l'AI Act, et inversement.
6.3 Sous-estimer la documentation
L'absence de documentation rend la démonstration de conformité impossible en cas de contrôle. La CNIL recommande une approche « documentaire vivante » : registres tenus à jour, AIPD révisées à chaque modification substantielle, comptes-rendus du comité IA.
6.4 Négliger la formation
La maîtrise de l'IA par le personnel n'est pas optionnelle. L'Article 4 du Règlement (UE) 2024/1689 s'applique à tous les déployeurs, indépendamment de leur taille. La formation porte sur les principes techniques, les risques et les obligations applicables.
7. Les avantages de la conformité
7.1 Renforcement de la confiance
Les clients, partenaires commerciaux et autorités exigent une démonstration de conformité. La documentation produite dans le cadre de la conformité AI Act et RGPD constitue un argument commercial vérifiable.
7.2 Maîtrise des risques
Une cartographie complète des systèmes d'IA permet d'identifier les usages non maîtrisés (« shadow AI ») et de réduire les risques de fuite de données, de biais discriminatoires ou de décisions automatisées non conformes.
7.3 Prévention des sanctions
Au-delà du régime de sanctions de l'AI Act, le RGPD prévoit des amendes pouvant atteindre 20 M€ ou 4 % du chiffre d'affaires mondial annuel (Article 83 § 5 du RGPD). La conformité documentaire réduit l'exposition à ces sanctions et facilite la coopération avec les autorités.
| Régime | Sanction maximale | Référence |
|---|---|---|
| AI Act — pratiques interdites | 35 M€ ou 7 % du CA mondial | Art. 99 § 3 du Règlement (UE) 2024/1689 |
| AI Act — autres obligations | 15 M€ ou 3 % du CA mondial | Art. 99 § 4 |
| AI Act — informations inexactes | 7,5 M€ ou 1 % du CA mondial | Art. 99 § 5 |
| RGPD — obligations principales | 20 M€ ou 4 % du CA mondial | Art. 83 § 5 du Règlement (UE) 2016/679 |
| RGPD — obligations procédurales | 10 M€ ou 2 % du CA mondial | Art. 83 § 4 |
Pour un panorama opérationnel du régime de sanctions AI Act spécifiquement applicable aux PME, voir notre article dédié Sanctions AI Act et amendes pour PME.
8. Suivi et maintien de la conformité
8.1 Système de surveillance interne
L'Article 72 du Règlement (UE) 2024/1689 impose aux fournisseurs de systèmes à haut risque un système de surveillance après commercialisation. Pour les déployeurs, l'Article 26 § 5 impose un suivi du fonctionnement du système et le signalement des incidents graves.
La PME désigne un responsable interne pour le suivi de chaque système d'IA déployé. Ce responsable centralise les remontées, documente les incidents et alerte le comité IA en cas d'anomalie.
8.2 Audits réguliers
La CNIL recommande des audits annuels au minimum, complétés par des audits ponctuels après toute modification substantielle d'un système. L'audit vérifie la cohérence de la documentation, la conformité des pratiques opérationnelles et la pertinence des mesures de sécurité.
8.3 Veille réglementaire
L'AI Act est en cours de déploiement. Des actes d'exécution, des actes délégués et des lignes directrices de la Commission européenne et de l'AI Office précisent régulièrement son interprétation. La CNIL met à jour ses fiches pratiques en fonction des évolutions.
Pour la définition des termes utilisés dans l'AI Act, voir notre glossaire AI Act. Pour la liste complète des sources officielles utilisées, voir la page sources.
Sécuriser votre conformité AI Act 2026
Le pack documentaire regulia inclut le registre des systèmes d'IA, les modèles d'AIPD, les clauses contractuelles types et un guide pas-à-pas adapté aux PME françaises.
Recevoir le pack documentaire reguliaFAQ
Quelles sont les principales obligations légales pour les PME en matière d'IA en 2026 ?
Les PME doivent respecter à la fois l'AI Act et le RGPD. Cela implique d'évaluer les risques de leurs systèmes d'IA, de les documenter, de garantir la transparence et la sécurité des données. La CNIL recommande une approche progressive : cartographie initiale, plan d'action priorisé et audits réguliers. L'obligation de maîtrise de l'IA par le personnel (Art. 4 du Règlement (UE) 2024/1689) est applicable depuis le 2 février 2025.
Quelles sont les sanctions en cas de non-conformité ?
Les sanctions de l'AI Act peuvent atteindre 35 M€ ou 7 % du chiffre d'affaires mondial annuel pour la violation des pratiques interdites (Art. 99 § 3). Les autres obligations sont sanctionnées jusqu'à 15 M€ ou 3 % du chiffre d'affaires mondial annuel. Pour les PME, le règlement retient le montant le plus bas des deux plafonds (Art. 99 § 6). Les sanctions RGPD restent applicables en parallèle, jusqu'à 20 M€ ou 4 % du chiffre d'affaires mondial annuel.
Où trouver des ressources pour se conformer ?
La CNIL publie treize fiches pratiques sur cnil.fr/fr/les-fiches-pratiques-ia. La Commission européenne met à disposition un service desk à ai-act-service-desk.ec.europa.eu. Les guides Cigref (janvier 2025) et Numeum (mars 2025) complètent ces ressources. Pour une approche structurée, consulter notre pillar AI Act pour PME françaises.
Quels sont les avantages de la conformité ?
La conformité renforce la confiance des clients et partenaires, sécurise les usages internes de l'IA et prévient les sanctions administratives. Elle constitue également un avantage compétitif lors des appels d'offres, où la démonstration documentaire de conformité est de plus en plus exigée.
Comment mettre en place une évaluation des risques pour un système d'IA ?
Identifier d'abord tous les systèmes d'IA en service. Évaluer ensuite la classification de risque selon l'AI Act et l'impact sur les personnes au sens du RGPD. Utiliser l'outil PIA de la CNIL pour conduire l'AIPD lorsque les données personnelles sont traitées. Pour les systèmes à haut risque, conduire en parallèle l'évaluation requise au titre de l'Article 9 du Règlement (UE) 2024/1689 (système de gestion des risques).
Sources officielles
- Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 — EUR-Lex
- Service desk AI Act de la Commission européenne — ai-act-service-desk.ec.europa.eu
- Fiches pratiques IA de la CNIL — cnil.fr/fr/les-fiches-pratiques-ia
- Règlement (UE) 2016/679 (RGPD) — eur-lex.europa.eu
- ISO/IEC 42001:2023 — Système de management de l'intelligence artificielle
- ISO/IEC 23894:2023 — Gestion des risques liés à l'IA
- Guide AI Act, Cigref, janvier 2025
- Guide AI Act, Numeum, mars 2025
Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.