TL;DR — L'essentiel en 30 secondes
- Le marquage CE est obligatoire pour tout système IA haut-risque mis sur le marché européen (Article 48 du Règlement (UE) 2024/1689).
- Trois étapes structurent la démarche : évaluation de conformité interne, audit par organisme notifié (si applicable), apposition matérielle ou numérique du marquage.
- La documentation technique (Annexe IV) doit être tenue à jour pendant 10 ans après la mise sur le marché.
- Les sanctions atteignent jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial pour non-conformité du marquage (Art. 99).
- La liste des organismes notifiés est publiée sur la base NANDO de la Commission européenne [à vérifier — base en cours de constitution].
- Coût indicatif d'un audit externe : entre 15 000 € et 80 000 € selon la complexité du système [à vérifier — fourchette de marché].
1. Introduction : le marquage CE appliqué aux systèmes IA
Le marquage CE n'est plus réservé aux machines, jouets ou dispositifs médicaux. Depuis l'entrée en vigueur du Règlement (UE) 2024/1689 (« EU AI Act »), il s'impose à une nouvelle catégorie de produits : les systèmes d'intelligence artificielle qualifiés de haut-risque.
Pour une PME française qui développe, intègre ou distribue un tel système, cette obligation change la donne. Le marquage CE devient la condition d'accès au marché unique européen. Sans lui, la commercialisation est interdite.
1.1 Définition du marquage CE dans le contexte IA
Le marquage CE est une déclaration du fournisseur. Il atteste que le système IA respecte l'ensemble des exigences essentielles fixées par l'AI Act. L'Article 48 du Règlement (UE) 2024/1689 précise ses modalités d'apposition, sa forme et les responsabilités associées.
Le marquage peut être physique (sur le produit ou son emballage) ou numérique (intégré au logiciel, accessible via interface). Dans tous les cas, il doit rester visible, lisible et indélébile.
1.2 Pourquoi le marquage CE est stratégique pour les PME
Au-delà de l'obligation légale, le marquage CE répond à trois enjeux concrets pour une PME :
- Accès au marché : sans CE, pas de commercialisation possible dans les 27 États membres.
- Crédibilité commerciale : les acheteurs publics et grands comptes exigent désormais cette preuve de conformité dans leurs cahiers des charges.
- Réduction du risque juridique : la documentation technique constitue la première ligne de défense en cas de contrôle ou de litige.
Pour une vue d'ensemble du cadre applicable aux PME, consultez notre guide complet AI Act pour PME françaises.
1.3 Référence légale principale
L'apposition du marquage CE pour les systèmes IA haut-risque est encadrée par :
- Article 48 du Règlement (UE) 2024/1689 — modalités du marquage CE.
- Article 47 — déclaration UE de conformité.
- Article 43 — procédures d'évaluation de conformité.
- Annexe IV — contenu de la documentation technique.
2. Identifier les systèmes IA haut-risque
Avant toute démarche de marquage, la première question est de qualifier le système. Tous les systèmes IA ne sont pas soumis au CE. Seuls les systèmes haut-risque le sont.
2.1 Les deux voies de qualification (Article 6)
L'Article 6 du Règlement définit deux mécanismes de qualification haut-risque :
| Voie | Critère | Référence |
|---|---|---|
| Voie 1 | Le système IA est un composant de sécurité d'un produit déjà couvert par une législation d'harmonisation UE (Annexe I) | Art. 6(1) |
| Voie 2 | Le système IA relève d'un des 8 domaines listés à l'Annexe III | Art. 6(2) |
2.2 Les huit domaines de l'Annexe III
L'Annexe III liste les cas d'usage considérés haut-risque par nature :
- Biométrie (identification à distance, catégorisation, reconnaissance d'émotions hors interdictions).
- Infrastructures critiques (gestion du trafic, énergie, eau).
- Éducation et formation professionnelle (admission, évaluation, détection de fraude).
- Emploi et gestion des travailleurs (recrutement, évaluation, décisions de promotion).
- Accès aux services privés et publics essentiels (crédit, prestations sociales, urgences).
- Application de la loi (évaluation de la fiabilité d'une preuve, profilage).
- Migration, asile, contrôle aux frontières.
- Administration de la justice et processus démocratiques.
2.3 L'exemption Article 6(3)
Un système relevant de l'Annexe III peut être exempté du régime haut-risque s'il ne pose pas de risque significatif. Quatre conditions cumulatives sont requises :
- Il accomplit une tâche procédurale étroite.
- Il améliore le résultat d'une activité humaine déjà réalisée.
- Il détecte des schémas décisionnels sans remplacer l'évaluation humaine.
- Il prépare une évaluation pour les cas mentionnés à l'Annexe III.
Le fournisseur qui invoque l'exemption doit documenter son analyse avant la mise sur le marché. La documentation est tenue à disposition des autorités pendant 10 ans.
3. Les trois étapes pour apposer le marquage CE
Le processus suit une séquence stricte. Sauter une étape expose à la nullité du marquage et à des sanctions.
3.1 Étape 1 — Évaluation de conformité interne
Le fournisseur vérifie que le système respecte les exigences du Chapitre III, Section 2 du Règlement :
- Système de gestion des risques (Art. 9).
- Gouvernance des données (Art. 10).
- Documentation technique (Art. 11, Annexe IV).
- Tenue des journaux (Art. 12).
- Transparence et information des déployeurs (Art. 13).
- Contrôle humain (Art. 14).
- Exactitude, robustesse, cybersécurité (Art. 15).
3.2 Étape 2 — Audit par organisme notifié (le cas échéant)
L'Article 43 distingue deux procédures d'évaluation :
| Procédure | Cas d'application | Intervention organisme notifié |
|---|---|---|
| Annexe VI — contrôle interne | Systèmes Annexe III (sauf biométrie) si normes harmonisées appliquées | Non |
| Annexe VII — évaluation par tiers | Systèmes biométriques + cas où normes harmonisées non suivies | Oui |
Pour la majorité des systèmes Annexe III, l'évaluation reste interne. Cela vaut tant que le fournisseur applique intégralement les normes harmonisées publiées au Journal officiel de l'UE.
3.3 Étape 3 — Apposition du marquage CE
Une fois la conformité établie, le fournisseur :
- Rédige et signe la déclaration UE de conformité (Art. 47).
- Enregistre le système dans la base de données UE prévue à l'Article 71.
- Appose le marquage CE selon les modalités de l'Article 48.
- Si évaluation par tiers : ajoute le numéro d'identification de l'organisme notifié à côté du CE.
Besoin d'un pack documentaire conforme Annexe IV ?
regulia met à disposition des modèles de documentation technique, de déclaration UE de conformité et de système de gestion des risques alignés sur l'AI Act. Gain de temps estimé : 4 à 6 semaines de rédaction.
Demander le pack documentation technique4. La documentation requise — contenu de l'Annexe IV
La documentation technique est le pivot du marquage CE. Elle doit être complète, exacte et tenue à jour. L'Annexe IV en fixe le contenu minimal.
4.1 Structure obligatoire
| Section | Contenu attendu |
|---|---|
| 1. Description générale | Finalité, version, fournisseur, interactions matérielles/logicielles |
| 2. Description détaillée | Méthodes de développement, données d'entraînement, architecture, ressources de calcul |
| 3. Suivi, fonctionnement, contrôle | Capacités, limites, supervision humaine, mesures de cybersécurité |
| 4. Mesures de gestion des risques | Application de l'Art. 9, méthodologie, résultats |
| 5. Modifications | Journal des changements significatifs apportés au système |
| 6. Normes harmonisées | Liste des normes appliquées (ISO/IEC 42001, normes futures CEN-CENELEC) |
| 7. Déclaration UE de conformité | Copie signée |
| 8. Plan de surveillance post-marché | Article 72 — modalités de remontée des incidents |
4.2 Le système de gestion des risques (Art. 9)
C'est un processus continu, pas un document figé. Il couvre l'ensemble du cycle de vie du système et inclut :
- Identification et analyse des risques connus et raisonnablement prévisibles.
- Estimation des risques en usage normal et en usage abusif raisonnablement prévisible.
- Adoption de mesures appropriées et ciblées de gestion des risques.
- Tests réguliers, y compris en conditions réelles le cas échéant.
4.3 La gouvernance des données (Art. 10)
Les jeux de données d'entraînement, de validation et de test doivent respecter des critères de qualité :
- Pertinence, représentativité, exactitude.
- Absence d'erreurs autant que possible.
- Prise en compte des spécificités géographiques, comportementales ou fonctionnelles.
Pour les définitions précises de chaque terme technique, consultez notre glossaire AI Act.
5. Choix de l'organisme notifié
Lorsque l'évaluation par tiers est obligatoire (biométrie, normes harmonisées non suivies), le fournisseur sélectionne un organisme notifié.
5.1 Critères de sélection
| Critère | À vérifier |
|---|---|
| Désignation | Notification valide auprès de la Commission EU, publiée sur NANDO |
| Périmètre | Couverture du type de système IA concerné |
| Compétence sectorielle | Expérience dans le domaine (santé, finance, RH, etc.) |
| Implantation | Présence en France ou capacité d'audit à distance |
| Délais annoncés | Calendrier compatible avec le projet de mise sur le marché |
| Coût | Devis détaillé incluant audit initial, surveillance, recertification |
5.2 Coûts et délais indicatifs
Les coûts varient fortement selon la complexité technique et le niveau de maturité de la documentation.
| Phase | Délai indicatif | Coût indicatif [à vérifier] |
|---|---|---|
| Pré-audit / gap analysis | 2 à 4 semaines | 3 000 € — 10 000 € |
| Audit initial complet | 2 à 6 mois | 15 000 € — 80 000 € |
| Surveillance annuelle | Récurrent | 5 000 € — 20 000 € / an |
5.3 Liste officielle
La liste consolidée des organismes notifiés au titre de l'AI Act est en cours de constitution au niveau européen. Elle sera publiée sur la base NANDO (New Approach Notified and Designated Organisations) de la Commission. Voir aussi artificialintelligenceact.eu pour un suivi des désignations.
6. Les sanctions en cas de non-conformité
L'Article 99 du Règlement organise un régime gradué de sanctions financières. Le marquage CE relève des « autres infractions » de l'Article 99(4).
6.1 Le barème de l'Article 99
| Type d'infraction | Plafond | Pourcentage CA |
|---|---|---|
| Pratiques interdites (Art. 5) | 35 M€ | 7 % |
| Non-respect des obligations (dont marquage CE) | 15 M€ | 3 % |
| Information inexacte aux autorités | 7,5 M€ | 1,5 % |
Pour les PME et les start-ups, l'Article 99(6) prévoit que le montant retenu est le plus bas des deux plafonds. La proportionnalité est appliquée.
6.2 Impact opérationnel des sanctions
Au-delà de l'amende, la non-conformité du marquage entraîne :
- Le retrait du système du marché européen.
- L'interdiction de réponse aux marchés publics européens.
- L'obligation de rappel des unités déjà déployées.
- Une atteinte réputationnelle durable.
Pour le détail du calcul d'exposition et un simulateur d'amende, consultez notre analyse des sanctions AI Act pour PME.
6.3 Le marquage CE indu
Apposer un marquage CE sans avoir réalisé l'évaluation de conformité est qualifié de marquage indu. Cette pratique relève de l'Article 99(4)(g) et entraîne les sanctions maximales pour cette catégorie.
7. Avantages stratégiques du marquage CE pour les PME
Au-delà de l'obligation, le marquage CE crée de la valeur pour les PME qui s'y conforment tôt.
7.1 Accès renforcé aux marchés publics
Les acheteurs publics français et européens intègrent désormais des clauses de conformité AI Act dans leurs cahiers des charges. Disposer du marquage CE devient un critère discriminant face à des concurrents non conformes.
7.2 Confiance commerciale et différenciation
Pour les grands comptes (banques, assurances, santé, industrie), la conformité documentée du fournisseur IA est exigée dès la phase d'achat. Le marquage CE simplifie les revues d'achat et raccourcit les cycles de vente.
7.3 Maîtrise des risques opérationnels
La démarche de marquage impose une discipline interne : cartographie des risques, gouvernance des données, supervision humaine, journalisation. Ces pratiques améliorent la robustesse du produit et réduisent les incidents en production.
7.4 Préparation à ISO/IEC 42001
Le système de gestion des risques exigé par l'AI Act recoupe largement les exigences d'ISO/IEC 42001:2023 (Système de management de l'IA). Investir dans le marquage CE prépare une éventuelle certification ISO future.
Auditer votre niveau de conformité AI Act
Un diagnostic en 48h pour identifier les écarts entre votre système IA et les exigences du marquage CE. Livrable : feuille de route priorisée et chiffrée.
Demander un diagnostic conformité8. Calendrier d'application et points de vigilance
8.1 Dates clés du Règlement
| Date | Événement |
|---|---|
| 1er août 2024 | Entrée en vigueur du Règlement (UE) 2024/1689 |
| 2 février 2025 | Application des pratiques interdites (Art. 5) |
| 2 août 2025 | Application des règles modèles GPAI + gouvernance |
| 2 août 2026 | Application générale, y compris obligations haut-risque Annexe III |
| 2 août 2027 | Application aux systèmes haut-risque relevant des produits Annexe I |
8.2 Erreurs fréquentes à éviter
- Confondre marquage CE générique (machines, jouets) et marquage CE AI Act : ce sont deux régimes distincts qui peuvent se cumuler.
- Apposer le marquage avant d'avoir signé la déclaration UE de conformité.
- Oublier d'enregistrer le système dans la base de données UE (Art. 71).
- Négliger la surveillance post-marché (Art. 72) après la mise sur le marché.
- Sous-estimer le délai de constitution de la documentation technique (souvent 3 à 6 mois pour une PME).
9. FAQ — Questions pratiques pour les PME
Qu'est-ce qu'un système IA haut-risque ?
Les systèmes IA haut-risque sont définis à l'Article 6 du Règlement (UE) 2024/1689. Ils relèvent soit d'un produit déjà couvert par une législation d'harmonisation UE (Annexe I), soit d'un des huit domaines de l'Annexe III : biométrie, infrastructures critiques, éducation, emploi, services essentiels, application de la loi, migration, justice. Une exemption restreinte est possible au titre de l'Article 6(3), sous quatre conditions cumulatives.
Quel est le coût d'un audit par un organisme notifié ?
Les coûts varient selon la complexité du système et le niveau de préparation. Une fourchette de marché [à vérifier] situe l'audit initial entre 15 000 € et 80 000 €, auxquels s'ajoute une surveillance annuelle de 5 000 € à 20 000 €. Demander au moins trois devis comparatifs reste la bonne pratique. Le pré-audit (gap analysis) à 3 000 € — 10 000 € permet de cadrer l'effort avant engagement.
Quelles sont les étapes pour apposer le marquage CE ?
Le processus comporte trois étapes successives : 1) évaluation de conformité interne couvrant les exigences du Chapitre III Section 2 ; 2) audit par organisme notifié si le système relève de la biométrie ou si les normes harmonisées ne sont pas appliquées intégralement ; 3) apposition du marquage CE après signature de la déclaration UE de conformité et enregistrement dans la base de données UE (Art. 71).
Quelles sont les sanctions en cas de non-conformité ?
L'Article 99 prévoit jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial pour la non-conformité du marquage CE, le plus élevé des deux montants étant retenu. Pour les PME, c'est le montant le plus bas qui s'applique (Art. 99(6)). S'ajoutent le retrait du marché, l'exclusion des marchés publics et l'obligation de rappel.
Où trouver la liste des organismes notifiés ?
La liste officielle sera publiée sur la base NANDO de la Commission européenne, dédiée aux organismes désignés au titre des législations d'harmonisation. Un suivi des désignations est disponible sur artificialintelligenceact.eu. Vérifier systématiquement que la notification couvre bien le type de système IA concerné avant tout engagement contractuel.
10. Sources officielles
- Règlement (UE) 2024/1689 — texte officiel
- Texte consolidé AI Act — artificialintelligenceact.eu
- AI Act Service Desk — Commission européenne
- CNIL — Fiches pratiques IA
- ISO/IEC 42001:2023 — Système de management de l'intelligence artificielle
- ISO/IEC 23894:2023 — Gestion des risques liés à l'IA
- ISO/IEC 27001:2022 — Sécurité de l'information
- Cigref — Guide AI Act pour grandes entreprises (janvier 2025)
- Numeum — Guide AI Act pour éditeurs et ESN (mars 2025)
Pour aller plus loin : consultez la page sources documentaires regulia qui recense l'ensemble des références officielles utilisées dans nos analyses.
Disclaimer — Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.