Méta : Guide pratique pour les PME françaises sur l'obligation d'information des personnes concernées par des décisions automatisées selon l'Article 86 du Règlement (UE) 2024/1689.
TL;DR — L'essentiel en 30 secondes
- L'Article 86 du Règlement (UE) 2024/1689 instaure un droit à l'explication pour toute personne soumise à une décision prise par un système d'IA à haut risque.
- Sont concernés les systèmes d'IA listés à l'Annexe III (embauche, crédit, accès aux services essentiels, justice) et certains systèmes interdits par l'Article 5.
- L'information doit être claire, pertinente et compréhensible pour un non-expert, et fournie sur demande de la personne concernée.
- Contenu minimal : rôle du système dans la décision, principaux éléments pris en compte, possibilité de recours.
- Les sanctions pour manquement aux obligations de transparence peuvent atteindre 15 millions d'euros ou 3 % du chiffre d'affaires mondial (Article 99 du Règlement).
- L'Article 86 se combine avec l'Article 22 du RGPD (décisions automatisées) sans s'y substituer.
Vous utilisez une IA pour décider d'un recrutement, d'un crédit ou d'un accès à un service ?
regulia met à disposition un pack documentaire complet pour cadrer vos obligations d'information selon l'Article 86, validé par des juristes spécialisés en droit du numérique.
Demander un audit de conformité Article 861. Portée de l'Article 86 : qui est concerné ?
L'Article 86 du Règlement (UE) 2024/1689 cible une situation précise : une personne physique fait l'objet d'une décision produite ou substantiellement assistée par un système d'IA à haut risque. Cette personne peut alors demander des explications sur le rôle du système dans la décision et sur les principaux éléments qui ont conduit à ce résultat.
Toutes les PME ne sont pas concernées. Le périmètre dépend de la classification du système d'IA déployé, telle que définie par les Articles 6 à 8 et l'Annexe III du Règlement.
1.1 Systèmes d'IA à haut risque relevant de l'Annexe III
L'Annexe III liste huit domaines où les systèmes d'IA sont automatiquement qualifiés à haut risque :
| Domaine | Cas typiques pour une PME |
|---|---|
| Emploi et gestion des travailleurs | Tri de CV, scoring d'entretien, évaluation de performance |
| Accès aux services essentiels privés | Scoring de crédit, tarification d'assurance |
| Accès aux services essentiels publics | Attribution de prestations sociales |
| Éducation et formation | Notation automatisée, orientation scolaire |
| Application de la loi | Évaluation de risque pénal |
| Migration et contrôle aux frontières | Vérification documentaire |
| Administration de la justice | Aide à la décision juridictionnelle |
| Processus démocratiques | Influence du comportement électoral |
Pour une PME française de 10 à 250 salariés, les usages les plus fréquents tombent dans les deux premières catégories : ressources humaines et services financiers ou assurantiels.
1.2 Systèmes interdits par l'Article 5
Les pratiques interdites (notation sociale, manipulation cognitive, reconnaissance des émotions sur le lieu de travail, catégorisation biométrique sensible) ne relèvent pas du régime d'information : elles doivent simplement cesser. L'Article 86 ne légitime pas leur usage.
1.3 Systèmes exclus
Les systèmes d'IA à risque limité (chatbots transactionnels, générateurs de contenu non décisionnels) et à risque minimal (filtres anti-spam, IA de jeu) ne déclenchent pas l'obligation de l'Article 86. Ils peuvent toutefois être soumis à d'autres obligations de transparence (Article 50).
2. Obligations légales minimales
L'Article 86 du Règlement (UE) 2024/1689 énonce que toute personne concernée par une décision fondée sur la sortie d'un système d'IA à haut risque, et produisant des effets juridiques ou affectant significativement sa santé, sa sécurité ou ses droits fondamentaux, a le droit d'obtenir du déployeur des explications claires et utiles.
Quatre exigences se dégagent du texte.
- Une information préalable disponible. Le déployeur doit pouvoir répondre à la demande sans préparation excessive. Cela implique de documenter en amont le fonctionnement du système.
- Une clarté adaptée au profil du demandeur. Le langage doit être compréhensible par un non-spécialiste — ni jargon technique, ni renvoi général à la documentation du fournisseur.
- Une mention des droits. La personne doit savoir qu'elle peut contester la décision, demander une révision humaine, et saisir l'autorité de contrôle compétente (CNIL en France).
- Une référence au cadre juridique. L'explication doit citer l'Article 86 et, le cas échéant, l'Article 22 du RGPD lorsque la décision est entièrement automatisée.
Le déployeur, et non le fournisseur de l'IA, porte cette obligation. La PME qui achète une solution SaaS de scoring RH reste responsable de l'information vis-à-vis des candidats.
3. Contenu de l'information requise
Le texte de l'Article 86 reste volontairement général : « explications claires et utiles sur le rôle du système d'IA dans la procédure décisionnelle et les principaux éléments de la décision prise ». Pour opérationnaliser cette exigence, regulia recommande de structurer l'information selon six rubriques.
| Rubrique | Contenu attendu | Exemple secteur recrutement |
|---|---|---|
| Nature de la décision | Objet, portée, conséquences | « Présélection automatique des candidatures pour le poste X » |
| Rôle de l'IA | Décision automatisée totale ou aide à la décision humaine | « L'IA classe les CV ; la décision finale reste humaine » |
| Critères et facteurs | Variables principales prises en compte | « Années d'expérience, compétences techniques listées, formation » |
| Logique générale | Type d'algorithme, sans divulgation des secrets d'affaires | « Modèle de scoring entraîné sur 50 000 CV historiques » |
| Droits | Accès, rectification, opposition, recours | « Vous pouvez demander une révision humaine sous 14 jours » |
| Contact | Coordonnées pour exercer ses droits | « dpo@entreprise.fr, ou CNIL : 3 place de Fontenoy, 75007 Paris » |
L'information ne doit pas révéler les secrets d'affaires du fournisseur, conformément au considérant 171 du Règlement. Un équilibre est à trouver entre explicabilité et protection de la propriété intellectuelle.
Pour les notions techniques utilisées dans cette rubrique, consultez le glossaire regulia.
4. Modalités d'information
L'Article 86 n'impose pas un format unique. La modalité doit être adaptée au contexte de la décision et au profil de la personne concernée.
4.1 Formats acceptés
- Écrit : courrier, e-mail, notice intégrée à un compte client.
- Oral : entretien d'explication, particulièrement pertinent en cas de refus d'embauche ou de crédit.
- Interface utilisateur : encart explicatif intégré à un parcours numérique, avec lien vers une notice détaillée.
4.2 Langue
Pour une PME française servant un marché national, le français est obligatoire. Pour les activités transfrontalières, la langue de l'intéressé doit être disponible, conformément à la pratique de la CNIL en matière d'information préalable.
4.3 Délai et accessibilité
Le Règlement ne fixe pas de délai chiffré pour répondre à une demande d'explication. Par analogie avec l'Article 12 du RGPD, un délai d'un mois apparaît raisonnable, prolongeable de deux mois en cas de complexité particulière [à vérifier selon la pratique des autorités de contrôle].
4.4 Mise à jour
Toute modification substantielle du système d'IA (changement d'algorithme, ajout de nouvelles variables, recalibrage) doit déclencher une mise à jour de l'information communiquée. Cette obligation découle du principe de loyauté de l'information.
5. Exemples concrets pour PME
5.1 Cabinet de recrutement
Un cabinet de 15 salariés utilise un outil de tri automatique pour les candidatures reçues. À chaque candidat non retenu, l'outil envoie un courriel mentionnant : - l'utilisation d'un système d'IA pour le tri initial, - les trois critères principaux (adéquation poste-CV, années d'expérience, mobilité géographique), - le droit de demander une révision humaine sous 14 jours, - le contact du DPO interne.
5.2 Courtier en crédit
Un courtier en crédit consommation déploie un modèle de scoring tiers. En cas de refus, le client reçoit un document type « Notice d'information Article 86 » détaillant : - la pondération approximative des facteurs (revenus, charges, historique de remboursement), - l'absence d'utilisation de données sensibles (origine, opinion, santé), - la possibilité de fournir des justificatifs complémentaires pour une nouvelle évaluation humaine, - la procédure de saisine du médiateur bancaire.
5.3 Plateforme de téléconsultation
Une plateforme propose un pré-diagnostic assisté par IA. L'information à l'utilisateur précise : - que le pré-diagnostic n'a pas valeur médicale et n'est pas posé par un médecin, - la base de connaissances utilisée (classification CIM-11, données validées par la HAS), - l'obligation de consulter un professionnel pour toute décision thérapeutique, - les modalités de signalement d'erreur.
5.4 Outil RH interne
Une PME industrielle utilise un logiciel d'évaluation continue. Les salariés reçoivent annuellement une notice indiquant : - les paramètres mesurés (productivité, ponctualité, formation continue), - l'exclusion de toute mesure biométrique ou comportementale, - l'accès aux données les concernant via le portail RH, - le droit de rectification et d'opposition.
Besoin d'un modèle de notice Article 86 adapté à votre activité ?
Le pack documentaire regulia inclut des notices types pour recrutement, crédit, santé et outils RH, prêtes à personnaliser et conformes aux exigences du Règlement (UE) 2024/1689.
Recevoir le pack documentaire regulia6. Outils et ressources pour se conformer
La conformité à l'Article 86 ne se construit pas en isolation. Plusieurs ressources publiques et professionnelles accompagnent les PME françaises.
| Ressource | Utilité | Format |
|---|---|---|
| Guide pratique regulia AI Act PME | Cadrage général des obligations applicables | Article pillar /ai-act-pme-france/ |
| Sanctions et amendes AI Act | Quantification du risque financier | Article dédié /ai-act-sanctions-pme-amendes/ |
| Fiches pratiques CNIL | Articulation Article 86 / RGPD Article 22 | 13 fiches en ligne sur cnil.fr |
| AI Act Service Desk | Questions techniques à la Commission européenne | Plateforme web ai-act-service-desk.ec.europa.eu |
| Glossaire regulia | Définitions précises des notions du Règlement | /glossaire.html |
| Sources officielles | Veille réglementaire centralisée | /sources.html |
La CNIL a publié en 2024-2025 plusieurs fiches articulant explicitement le RGPD et l'AI Act. Ces documents constituent la première référence opérationnelle pour les PME françaises.
7. Conséquences de non-conformité
Le régime de sanction de l'AI Act figure à l'Article 99 du Règlement (UE) 2024/1689. Les manquements aux obligations applicables aux déployeurs, dont fait partie l'Article 86, sont sanctionnés au niveau intermédiaire.
| Type de manquement | Plafond financier | Article du Règlement |
|---|---|---|
| Pratiques interdites (Art. 5) | 35 M€ ou 7 % du CA mondial | Art. 99 §3 |
| Autres obligations (dont Art. 86) | 15 M€ ou 3 % du CA mondial | Art. 99 §4 |
| Information inexacte aux autorités | 7,5 M€ ou 1 % du CA mondial | Art. 99 §5 |
Pour une PME, le plafond le plus élevé entre la valeur fixe et le pourcentage du chiffre d'affaires s'applique. L'Article 99 §6 prévoit toutefois que pour les PME, le montant le plus bas des deux s'applique — une atténuation spécifique introduite lors des trilogues.
Au-delà de l'amende, trois conséquences indirectes pèsent sur la PME défaillante :
- Retrait du marché. L'autorité de surveillance du marché peut ordonner le retrait du système d'IA non conforme, perturbant l'activité opérationnelle.
- Action en responsabilité civile. Les personnes lésées par une décision automatisée non expliquée peuvent agir en réparation devant les juridictions civiles françaises.
- Atteinte réputationnelle. Les sanctions de la CNIL et des autorités équivalentes sont publiées, avec un effet immédiat sur la confiance des clients et partenaires.
Pour le détail du régime de sanction, consultez l'analyse complète /ai-act-sanctions-pme-amendes/.
8. Étape par étape pour la mise en œuvre
regulia recommande une démarche en sept étapes pour mettre en conformité une PME avec l'Article 86.
- Inventaire des systèmes d'IA. Lister tous les outils utilisés en interne et en SaaS qui prennent ou assistent des décisions affectant des personnes.
- Classification de chaque système. Déterminer la qualification (haut risque, risque limité, minimal, interdit) en s'appuyant sur l'Annexe III et l'Article 6.
- Cartographie des décisions concernées. Identifier précisément quelles décisions produisent des effets juridiques ou affectent significativement les droits fondamentaux.
- Rédaction des notices d'information. Adapter un modèle par cas d'usage, en respectant les six rubriques du tableau de la section 3.
- Mise en place du canal de demande d'explication. Créer une adresse dédiée, un formulaire en ligne, ou une procédure documentée.
- Formation des équipes opérationnelles. RH, service client, conformité doivent savoir reconnaître une demande Article 86 et y répondre dans les délais.
- Audit annuel. Réviser annuellement les notices, vérifier les délais de réponse, mettre à jour en cas d'évolution du système d'IA.
Cette démarche s'articule avec le système de management défini par la norme ISO/IEC 42001:2023, qui constitue un cadre volontaire de gouvernance de l'IA. Une PME certifiée ISO 42001 disposera déjà d'une grande partie des éléments documentaires requis.
9. Articulation avec le RGPD
L'Article 86 du Règlement (UE) 2024/1689 ne remplace pas l'Article 22 du RGPD, qui encadre les décisions entièrement automatisées produisant des effets juridiques. Les deux dispositifs se cumulent.
| Critère | Article 22 RGPD | Article 86 AI Act |
|---|---|---|
| Champ d'application | Décision entièrement automatisée | Décision assistée ou prise par IA à haut risque |
| Effet visé | Juridique ou significatif | Juridique, santé, sécurité, droits fondamentaux |
| Droit principal | Ne pas faire l'objet d'une décision automatisée | Obtenir des explications |
| Intervention humaine | Droit d'obtenir une intervention humaine | Non explicitement prévu |
| Autorité de contrôle | CNIL | CNIL et autorité de surveillance du marché |
Une décision de refus de crédit entièrement automatisée déclenchera l'Article 22 RGPD (droit d'opposition, intervention humaine) et l'Article 86 AI Act (explication détaillée). La notice d'information doit couvrir les deux régimes.
La CNIL a souligné dans ses publications de 2024 que cette double information doit rester intelligible pour la personne concernée, sans multiplication de documents juridiques techniques.
FAQ
Quelles sont les sanctions pour non-conformité à l'Article 86 ?
Les sanctions peuvent atteindre 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial (Article 99 §4 du Règlement (UE) 2024/1689). Pour les PME, c'est le montant le plus bas des deux qui s'applique (Article 99 §6). Au-delà de l'amende, l'autorité peut ordonner le retrait du système d'IA et la PME s'expose à des actions en responsabilité civile. L'analyse complète figure dans notre article /ai-act-sanctions-pme-amendes/.
Comment savoir si mon système d'IA est concerné par l'Article 86 ?
Trois conditions cumulatives : (1) il s'agit d'un système d'IA à haut risque au sens de l'Article 6 et de l'Annexe III, (2) il produit ou assiste substantiellement une décision, (3) cette décision affecte une personne physique de manière significative (effet juridique, santé, sécurité, droits fondamentaux). Le AI Act Service Desk de la Commission européenne (ai-act-service-desk.ec.europa.eu) permet de soumettre des questions de qualification.
Puis-je utiliser un modèle IA tiers sans informer les personnes ?
Non. La responsabilité de l'information pèse sur le déployeur, c'est-à-dire la PME qui utilise le système, et non sur le fournisseur du modèle. Même si vous achetez une solution SaaS, vous restez tenu d'informer vos candidats, clients ou salariés. Le contrat avec le fournisseur doit prévoir la communication des informations techniques nécessaires à votre conformité. Consultez le glossaire regulia pour les définitions précises de « déployeur » et « fournisseur ».
Quels sont les droits des personnes concernées selon l'Article 86 ?
Quatre droits principaux : (1) obtenir des explications claires et utiles sur la décision, (2) demander une révision par un humain lorsque la décision était entièrement automatisée (au titre de l'Article 22 RGPD complémentaire), (3) contester la décision auprès du déployeur, (4) saisir l'autorité de contrôle (CNIL en France) en cas de désaccord. Ces droits doivent être mentionnés dans la notice d'information.
Comment tester ma conformité à l'Article 86 ?
Quatre tests pratiques : (1) un utilisateur non technique peut-il comprendre votre notice en moins de cinq minutes ? (2) votre équipe peut-elle répondre à une demande d'explication sous un mois ? (3) la notice cite-t-elle l'Article 86 du Règlement (UE) 2024/1689 et l'Article 22 du RGPD le cas échéant ? (4) les six rubriques de la section 3 sont-elles couvertes ? Le pillar /ai-act-pme-france/ propose une checklist complète d'auto-évaluation.
Faites valider votre conformité Article 86 par regulia
Notre équipe juridique audite vos notices d'information, vos procédures de réponse aux demandes d'explication, et votre articulation RGPD / AI Act. Pack documentaire personnalisé et opérationnel sous 10 jours ouvrés.
Lancer l'audit Article 86Sources officielles
- Texte consolidé du Règlement (UE) 2024/1689 — https://ai-act.eu/
- Version officielle EUR-Lex — https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52024PC0211
- Dossier AI Act CNIL — https://www.cnil.fr/fr/ai-act
- AI Act Service Desk de la Commission européenne — https://ai-act-service-desk.ec.europa.eu/
- Norme ISO/IEC 42001:2023 — système de management de l'intelligence artificielle, disponible auprès de l'AFNOR
- Articles regulia liés : /ai-act-pme-france/ — /ai-act-sanctions-pme-amendes/ — /glossaire.html — /sources.html
Avertissement — Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.