TL;DR
L'essentiel en 30 secondes - Le Comité IA structure la gouvernance interne des systèmes d'IA, en particulier pour les usages à haut risque visés par le Règlement (UE) 2024/1689. - Composition minimale recommandée : DPO, représentant du personnel, responsable technique, référent juridique. La taille s'adapte à l'effectif de la PME. - Prérogatives : cartographier les systèmes d'IA, évaluer les risques, valider les déploiements, suivre les incidents, documenter les décisions. - Fréquence : réunions trimestrielles a minima, plus convocation immédiate en cas d'incident grave ou de changement substantiel. - Sanctions associées à un défaut de gouvernance : jusqu'à 35 M€ ou 7 % du CA mondial (Article 99 du Règlement (UE) 2024/1689). - Ressources utiles : AI Office EU (service desk), CNIL, et le glossaire regulia pour aligner le vocabulaire interne.
1. Introduction : le Comité IA, pilier de gouvernance pour les PME
Le Comité IA est l'organe interne qui pilote la conformité d'une organisation à l'EU AI Act. Il n'est pas nommément imposé par un article unique du Règlement (UE) 2024/1689. Sa nécessité découle de plusieurs obligations cumulatives : gestion des risques (Art. 9), gouvernance des données (Art. 10), supervision humaine (Art. 14), système de management de la qualité (Art. 17) et obligations de littératie en IA (Art. 4).
Pour une PME française de 10 à 250 salariés, la mise en place d'un tel comité formalise la prise de décision. Elle évite que la conformité repose sur une seule personne. Elle crée la traçabilité demandée par les autorités de surveillance du marché.
Ce comité concerne en priorité les PME utilisant ou fournissant des systèmes d'IA à haut risque listés à l'Annexe III du Règlement : recrutement, scoring de crédit, accès à des services essentiels, biométrie autorisée, gestion des travailleurs. Les PME utilisant uniquement des IA à risque limité (chatbot client, génération de contenu marketing) peuvent adopter une version allégée du comité, mais la logique reste utile pour anticiper les évolutions réglementaires.
Le cadre général applicable aux PME est détaillé dans notre guide AI Act pour PME françaises.
2. Composition du Comité IA : qui doit y participer ?
La composition dépend de l'effectif, du secteur et du portefeuille de systèmes d'IA. Aucun texte n'impose un nombre précis. Le principe directeur est la couverture des compétences nécessaires à l'évaluation des risques techniques, juridiques et éthiques.
2.1 Membres recommandés
| Rôle | Compétence apportée | Obligatoire / Recommandé |
|---|---|---|
| Délégué à la protection des données (DPO) | Conformité RGPD, articulation avec l'IA Act | Obligatoire si DPO désigné |
| Représentant du personnel (CSE) | Impact sur les conditions de travail | Recommandé (consultation CSE prévue par Code du travail) |
| Responsable technique / IT / Data | Architecture des systèmes, qualité des données | Obligatoire en pratique |
| Référent juridique ou conseil externe | Lecture du Règlement (UE) 2024/1689 | Obligatoire en pratique |
| Métier utilisateur (RH, finance, opérations) | Connaissance du cas d'usage | Recommandé |
| RSSI | Sécurité, cyber-résilience (Art. 15) | Recommandé |
| Direction générale | Arbitrage et décision finale | Obligatoire |
2.2 Compétences attendues
L'Art. 4 du Règlement (UE) 2024/1689 impose un niveau suffisant de « littératie en IA » pour le personnel impliqué dans la mise en œuvre des systèmes. Les membres du Comité IA doivent donc :
- Comprendre le fonctionnement général d'un système d'IA et ses limites.
- Identifier la classification d'un système (interdit, haut risque, risque limité, risque minimal) selon les Art. 5, 6 et 50.
- Lire une fiche technique fournisseur et une déclaration de conformité UE.
- Savoir activer la supervision humaine (Art. 14) et documenter une décision.
2.3 Cas des très petites PME
Pour une PME de moins de 25 salariés, le comité peut se réduire à trois personnes : dirigeant, référent technique, référent juridique (interne ou externe). Le DPO peut être mutualisé. La taille n'est pas un critère d'exemption : l'Art. 62 du Règlement prévoit un soutien adapté aux PME (sandbox réglementaire, frais d'évaluation réduits), pas une dispense de gouvernance.
3. Prérogatives du Comité IA : responsabilités clés
Le Comité IA n'est pas un organe consultatif. Ses décisions doivent être tracées et opposables en cas de contrôle par la Direction Générale des Entreprises (autorité notifiée pressentie en France) ou par la CNIL pour le volet données.
3.1 Missions opérationnelles
- Inventaire des systèmes d'IA utilisés ou développés : nature, fournisseur, finalité, classification de risque.
- Évaluation des risques ex ante avant tout déploiement, conformément à l'Art. 9 (système de gestion des risques pour les IA à haut risque).
- Validation des cas d'usage : autoriser, conditionner ou rejeter un projet d'IA.
- Recommandations de mesures de mitigation : limitation des données traitées, supervision humaine renforcée, journalisation (Art. 12), tests préalables (Art. 15).
- Suivi des incidents graves : reporting à l'autorité compétente sous 15 jours conformément à l'Art. 73.
- Revue des fournisseurs : vérification du marquage CE, de la déclaration UE de conformité et de la documentation technique (Art. 11 et Annexe IV).
- Pilotage de la formation au sens de l'Art. 4.
3.2 Articulation avec la direction
Le Comité IA est un organe de préparation et de recommandation. La responsabilité juridique finale incombe au dirigeant en sa qualité de déployeur ou de fournisseur au sens des Art. 3 (4) et 3 (3) du Règlement. Les décisions du comité doivent donc remonter à la direction par compte rendu écrit signé.
Vous montez votre Comité IA et vous manquez de modèles ?
regulia met à disposition un pack documentaire complet : charte du Comité IA, ordre du jour type, registre des décisions, fiches d'évaluation des risques par cas d'usage. Conforme au Règlement (UE) 2024/1689 et aux recommandations CNIL.
Demander le pack Comité IA4. Fréquence des réunions : un calendrier à formaliser
Le Règlement (UE) 2024/1689 ne fixe pas de fréquence minimale pour la gouvernance interne. La fréquence se déduit des obligations de suivi continu (Art. 17 et 72) et de la dynamique des systèmes d'IA déployés.
4.1 Cadence de référence
| Type de PME | Réunions ordinaires | Réunions extraordinaires |
|---|---|---|
| PME sans système haut risque | Semestrielle | À l'introduction d'un nouveau système |
| PME avec 1 à 3 systèmes haut risque | Trimestrielle | Sur incident, changement substantiel, audit |
| PME fournisseur d'IA haut risque | Mensuelle | Sur incident grave (≤ 48 h) |
| PME du secteur santé, RH, finance | Trimestrielle minimum | Sur signalement utilisateur ou autorité |
4.2 Déclencheurs d'une réunion extraordinaire
- Incident grave au sens de l'Art. 3 (49) : atteinte à la santé, à la sécurité, aux droits fondamentaux.
- Notification d'une autorité de surveillance.
- Mise à jour majeure du modèle d'IA (changement substantiel, Art. 43 §4).
- Plainte d'un salarié, d'un client ou d'un partenaire.
- Évolution réglementaire (publication d'un acte délégué, lignes directrices de l'AI Office EU).
4.3 Documentation des décisions
Chaque réunion doit produire : - Un ordre du jour daté. - Une feuille de présence. - Un compte rendu listant les décisions, leurs motifs et les responsables d'exécution. - Un suivi des actions ouvertes et clôturées.
Cette documentation alimente le système de management de la qualité prévu à l'Art. 17 pour les fournisseurs d'IA à haut risque. Elle constitue la preuve principale en cas d'inspection.
5. Articulation avec le DPO, le CSE et le cadre RGPD
Le Comité IA ne se substitue à aucune instance existante. Il les complète. Sa valeur ajoutée réside dans la coordination.
5.1 Avec le DPO
Le DPO conserve ses missions au titre des articles 37 à 39 du RGPD. Au sein du Comité IA, il porte deux sujets : - L'analyse d'impact relative à la protection des données (AIPD) prévue à l'article 35 du RGPD, articulée avec l'évaluation d'impact sur les droits fondamentaux de l'Art. 27 du Règlement (UE) 2024/1689. - La licéité des traitements de données personnelles utilisés pour l'entraînement et l'exploitation des systèmes d'IA.
5.2 Avec le CSE
Le Code du travail français (article L. 2312-8) impose une consultation du CSE sur l'introduction de nouvelles technologies ayant des conséquences sur l'emploi, la qualification, la rémunération ou les conditions de travail. Un système d'IA RH (tri de CV, évaluation de performance) entre dans ce périmètre. Le Comité IA prépare le dossier ; le CSE rend l'avis.
5.3 Avec le cadre RGPD
La CNIL a publié 13 fiches pratiques sur le développement et l'usage des systèmes d'IA. Elles précisent notamment les bases légales mobilisables et les exigences applicables aux jeux de données d'entraînement. Le Comité IA s'appuie sur ces fiches pour aligner conformité RGPD et conformité AI Act.
Notre glossaire regulia précise les termes clés (déployeur, fournisseur, modèle GPAI, incident grave) pour aligner le vocabulaire utilisé par le comité.
6. Exigences spécifiques pour les PME
Le législateur européen a explicitement adapté plusieurs dispositions aux PME, notamment via les Art. 62 et 63 du Règlement (UE) 2024/1689.
6.1 Mesures de soutien prévues
| Mesure | Article | Bénéfice concret pour la PME |
|---|---|---|
| Accès prioritaire aux bacs à sable réglementaires | Art. 57 et 62 | Tests supervisés avant mise sur le marché |
| Réduction des frais d'évaluation de conformité | Art. 62 §3 | Coût d'évaluation par organisme notifié allégé |
| Documentation technique simplifiée | Art. 11 §1 + Art. 62 §3 (a) | Format adapté au profil micro/PME |
| Canaux d'information dédiés | Art. 62 §2 | Service desk AI Office EU |
| Sandbox national | Art. 57 | Espace de test encadré par l'autorité française |
6.2 Adaptation pratique du Comité IA en PME
- Mutualiser les rôles : un même cadre peut être référent technique et secrétaire du comité.
- Externaliser ce qui est non-récurrent : audit ponctuel, formation, AIPD complexe.
- Utiliser des modèles : charte, registre, fiche d'évaluation des risques.
- Limiter la durée des réunions à 60 minutes avec ordre du jour préparé 5 jours avant.
- Conserver un canal écrit (mail, espace partagé) entre deux réunions pour les décisions urgentes.
7. Sanctions en cas de défaillance de gouvernance
Le Comité IA n'est pas une fin en soi. Il prévient des manquements aux obligations matérielles du Règlement, dont les sanctions sont fixées à l'Art. 99.
7.1 Échelle des sanctions
| Manquement | Plafond d'amende (Art. 99) |
|---|---|
| Pratiques interdites (Art. 5) | 35 M€ ou 7 % du CA mondial |
| Obligations applicables aux opérateurs ou aux organismes notifiés | 15 M€ ou 3 % du CA mondial |
| Information inexacte aux autorités | 7,5 M€ ou 1 % du CA mondial |
Pour les PME et start-up, l'Art. 99 §6 prévoit que le plafond retenu est le plus bas des deux montants (le pourcentage ou la somme fixe), et tient compte des intérêts économiques de la PME. Le détail est expliqué dans notre article dédié sur les sanctions AI Act pour les PME.
7.2 Autres risques
- Suspension du système concerné par l'autorité de surveillance du marché (Art. 79).
- Obligation de retrait ou de rappel des produits intégrant l'IA (Art. 79 §5).
- Action de groupe ou recours individuel devant le juge civil.
- Perte de confiance commerciale, contentieux client, exclusion d'appels d'offres publics.
Un Comité IA actif et documenté constitue la première ligne de défense en cas d'audit. Il établit la diligence raisonnable de la PME.
Préparez votre dossier de conformité dès maintenant
regulia accompagne les PME françaises avec un pack documentaire prêt à l'emploi : statuts du Comité IA, registre des systèmes d'IA, modèles d'évaluation d'impact sur les droits fondamentaux (Art. 27), trames d'incident grave (Art. 73).
Recevoir une démonstration8. Outils et ressources pour se mettre en conformité
La conformité au Règlement (UE) 2024/1689 n'exige pas de réinventer les méthodes existantes. Elle demande de les structurer autour des cas d'usage IA.
8.1 Ressources officielles
- AI Office EU – Service desk : portail d'information de la Commission européenne sur l'AI Act, FAQ, lignes directrices.
- CNIL : 13 fiches pratiques sur le développement et l'usage des systèmes d'IA, recommandations sur l'AIPD.
- EUR-Lex : version consolidée du Règlement (UE) 2024/1689.
- ISO/IEC 42001:2023 : norme de système de management de l'IA, compatible avec l'AI Act.
- ISO/IEC 23894:2023 : ligne directrice sur la gestion des risques liés à l'IA.
- ISO/IEC 27001:2022 : socle de sécurité de l'information, utile pour l'Art. 15.
8.2 Documents internes à constituer
- Charte du Comité IA (mandat, composition, fréquence, quorum).
- Registre des systèmes d'IA (inventaire, classification, fournisseur, statut).
- Fiche d'évaluation des risques par système (Art. 9).
- Procédure de gestion des incidents graves (Art. 73).
- Modèle d'évaluation d'impact sur les droits fondamentaux (Art. 27).
- Plan de formation à la littératie IA (Art. 4).
- Procédure de revue annuelle.
8.3 Calendrier de mise en conformité
| Échéance | Disposition applicable |
|---|---|
| 2 février 2025 | Interdictions de l'Art. 5 et obligation de littératie de l'Art. 4 entrées en application |
| 2 août 2025 | Règles relatives aux modèles d'IA à usage général (GPAI) |
| 2 août 2026 | Application générale du Règlement, y compris IA haut risque Annexe III |
| 2 août 2027 | Application aux IA haut risque intégrées dans des produits réglementés (Annexe I) |
Notre page sources officielles regulia recense les références à jour utilisées par notre rédaction.
9. Foire aux questions
Combien de membres doit avoir le Comité IA dans une PME ?
Aucun nombre n'est fixé par le Règlement (UE) 2024/1689. En pratique, trois à cinq membres suffisent pour une PME : DPO (s'il existe), responsable technique, référent juridique, représentant métier, et un représentant du personnel via le CSE si la taille de l'entreprise l'impose. Une PME de moins de 25 salariés peut fonctionner avec trois membres et faire appel à un conseil externe pour la partie juridique.
Quelles conséquences si une PME ne met pas en place de gouvernance IA ?
L'absence de Comité IA n'est pas sanctionnée en tant que telle. Mais les manquements matériels qu'elle favorise le sont : sanctions de l'Art. 99 du Règlement (UE) 2024/1689 jusqu'à 35 M€ ou 7 % du CA mondial pour les pratiques interdites, 15 M€ ou 3 % pour les autres obligations. Pour les PME, l'Art. 99 §6 prévoit que le plafond retenu est le plus bas des deux. S'ajoutent les risques de suspension du système, de retrait du marché et de contentieux civils.
Comment le Comité IA interagit-il avec le CSE ?
Le CSE conserve sa compétence sociale au titre du Code du travail. Le Comité IA prépare les dossiers d'introduction de nouvelles technologies (article L. 2312-8 du Code du travail) et fournit l'analyse technique et juridique. Le CSE rend ensuite son avis. Les deux instances doivent partager les comptes rendus pour assurer la traçabilité et la cohérence des décisions.
Quelle fréquence minimale pour les réunions du Comité IA ?
Pour une PME exploitant un ou plusieurs systèmes d'IA à haut risque, une cadence trimestrielle constitue le minimum opérationnel. Une réunion extraordinaire doit être convoquée en cas d'incident grave (Art. 73), de changement substantiel du système (Art. 43 §4), de demande d'une autorité ou de plainte. Le calendrier doit être documenté et justifié au regard du portefeuille d'IA déployé.
Où trouver des modèles de documents pour le Comité IA ?
Les sources officielles sont la CNIL (13 fiches pratiques IA) et le service desk de l'AI Office EU. Pour des modèles prêts à utiliser et adaptés au format PME française, regulia propose un pack documentaire complet. Le glossaire regulia accompagne ces modèles pour aligner le vocabulaire interne avec celui du Règlement.
10. Sources officielles
- AI Office EU – Service desk : ai-act-service-desk.ec.europa.eu
- EUR-Lex – Règlement (UE) 2024/1689 : eur-lex.europa.eu
- CNIL – Dossier AI Act : cnil.fr/fr/ai-act
- Texte consolidé du Règlement : artificialintelligenceact.eu
- ISO/IEC 42001:2023 — Système de management de l'intelligence artificielle
- ISO/IEC 23894:2023 — Lignes directrices sur la gestion des risques en IA
- ISO/IEC 27001:2022 — Sécurité de l'information
Pour approfondir, consultez notre pillar AI Act pour PME françaises, notre article sanctions et amendes AI Act, le glossaire regulia et la page sources officielles.
Disclaimer. Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.