Quels sont les délais pour déclarer un système IA haut risque ?

Les PME disposent de 6 mois après la mise en service effective du système pour effectuer la déclaration obligatoire. Cette période peut être allongée si le système est en phase de développement (art. 44 AI Act). Il est fortement conseillé de commencer les préparatifs dès la conception.

Quelles sont les conséquences d'une déclaration incomplète ?

Une déclaration incomplète ou erronée expose les entreprises à des sanctions financières pouvant atteindre 4% du chiffre d'affaires annuel (art. 83 AI Act). En cas de récidive, les amendes peuvent monter jusqu'à 7% du CA. Les autorités peuvent également interdire la mise en service du système jusqu'à régularisation.

Puis-je utiliser le service desk européen pour m'aider ?

Oui, le service desk européen (ai-act-service-desk.ec.europa.eu) offre une assistance technique et juridique aux entreprises. Il est particulièrement utile pour les PME confrontées à des systèmes complexes. L'accès est gratuit et disponible en plusieurs langues.

Quelle documentation dois-je fournir avec ma déclaration ?

La documentation requise inclut : l'analyse d'impact sur les droits fondamentaux, le plan de gestion des risques, la description des données utilisées, et le certificat de conformité si applicable. Le portail européen détaille les exigences spécifiques pour chaque catégorie de système.

Déclaration UE de conformité : procédure pour IA haut risque

Q: Existe-t-il des exemptions pour les systèmes en développement ?

Oui, les systèmes en phase de développement bénéficient d'une exemption temporaire (art. 44 AI Act). Cependant, les entreprises doivent déclarer dès que le système est mis en service. Il est recommandé de préparer les documents dès la conception pour faciliter la transition.

L'essentiel en 30 secondes - La déclaration UE de conformité est obligatoire avant toute mise sur le marché d'un système d'IA haut risque (Article 47 du Règlement (UE) 2024/1689). - Le fournisseur — y compris une PME — assume la responsabilité juridique du contenu de la déclaration et la conserve 10 ans. - Les obligations haut risque s'appliquent à compter du 2 août 2026 (Art. 113 §c). - Sanctions jusqu'à 15 M€ ou 3 % du chiffre d'affaires mondial annuel en cas de manquement (Art. 99 §4). - La documentation technique de l'Annexe IV est le socle indispensable de la déclaration. - Les PME bénéficient de mesures de soutien spécifiques (Art. 62) — soutien, pas exemption.

1. Contexte réglementaire : la place de la déclaration de conformité dans l'AI Act

Le Règlement (UE) 2024/1689 — l'EU AI Act — a été publié au Journal officiel de l'Union européenne le 12 juillet 2024. L'entrée en vigueur a démarré le 1ᵉʳ août 2024, mais l'application s'échelonne jusqu'en 2027.

Pour les systèmes classés haut risque, les obligations principales deviennent applicables le 2 août 2026 (Art. 113 §c). La déclaration UE de conformité figure parmi ces obligations clés. Sans elle, aucun système haut risque ne peut être légalement mis sur le marché européen ni mis en service.

Le texte poursuit deux finalités. D'une part, garantir un niveau élevé de protection des droits fondamentaux, de la santé et de la sécurité. D'autre part, harmoniser les règles du marché intérieur pour éviter la fragmentation nationale.

Pour une PME française, la conséquence pratique est simple. La déclaration de conformité est l'aboutissement d'un processus, pas une formalité de dernière minute. Elle suppose en amont une évaluation de conformité conforme à l'Article 43.

Tableau 1 — Calendrier d'application de l'AI Act

Date	Disposition	Impact PME
1ᵉʳ août 2024	Entrée en vigueur du règlement	Aucun effet immédiat
2 février 2025	Interdictions (Art. 5) + littératie IA (Art. 4)	Formation du personnel obligatoire
2 août 2025	Modèles à usage général + gouvernance + sanctions	Régime de sanctions actif
2 août 2026	Obligations haut risque dont déclaration de conformité	Échéance principale PME
2 août 2027	Systèmes haut risque relevant de l'Annexe I	Secteurs régulés (médical, machines, etc.)

Au 15 juin 2026 — date de rédaction de cet article — il reste moins de deux mois aux PME exposées pour finaliser leur dispositif. Le pilier AI Act pour PME françaises détaille la trajectoire complète.

2. Identifier les systèmes d'IA haut risque concernés

L'Article 6 du Règlement définit deux voies de classification :

Voie 1 (Art. 6 §1) — le système est un composant de sécurité d'un produit déjà couvert par la législation harmonisée listée à l'Annexe I : dispositifs médicaux, jouets, ascenseurs, machines, équipements radio, véhicules.
Voie 2 (Art. 6 §2) — le système relève d'une des huit catégories de l'Annexe III : biométrie, infrastructures critiques, éducation, emploi, services essentiels, application de la loi, migration, justice et processus démocratiques.

Tableau 2 — Exemples concrets pour PME

Usage métier	Catégorie Annexe III	Statut
Tri automatisé de CV pour recrutement	Emploi (Annexe III §4)	Haut risque
Algorithme de notation crédit clients	Services essentiels (Annexe III §5)	Haut risque
Surveillance biométrique d'accès aux locaux	Biométrie (Annexe III §1)	Haut risque
Outil de génération de contenu marketing	Aucune	Hors haut risque (transparence Art. 50)
Chatbot service client sans décision automatisée	Aucune	Hors haut risque (transparence Art. 50)

Une exception mérite attention. L'Article 6 §3 prévoit qu'un système figurant à l'Annexe III n'est pas classé haut risque s'il ne présente pas de risque significatif pour les droits fondamentaux. Cette dérogation reste limitée à quatre cas étroits et exige une documentation justificative (Art. 6 §4). Le fournisseur enregistre alors son évaluation dans la base de données européenne.

Pour vérifier votre classification, le glossaire regulia précise les définitions opérationnelles. La liste consolidée et annotée figure sur artificialintelligenceact.eu.

3. Qui est tenu de rédiger la déclaration UE de conformité

L'Article 47 §1 désigne le fournisseur — la personne physique ou morale qui développe le système ou le fait développer en vue de sa mise sur le marché sous son nom ou sa marque (définition Art. 3 §3).

Trois cas pratiques concernent les PME :

Vous développez en interne un système d'IA et le commercialisez : vous êtes fournisseur, donc rédacteur de la déclaration.
Vous achetez un système et le revendez sous votre marque : vous devenez fournisseur (Art. 25 §1 b).
Vous modifiez substantiellement un système existant : vous devenez fournisseur du système modifié (Art. 25 §1 c).

La déclaration de conformité engage la responsabilité juridique du signataire. Elle ne peut pas être déléguée à un sous-traitant technique sans clauses contractuelles strictes prévoyant la transmission complète de la documentation Annexe IV.

Les déployeurs — utilisateurs professionnels — ne signent pas la déclaration mais doivent vérifier son existence avant utilisation (Art. 26 §1) et conserver les journaux générés par le système (Art. 26 §6).

Audit de classification : système haut risque ou non ?

regulia conduit un audit de classification documenté sous 10 jours ouvrés. Réponse argumentée, justificatifs Art. 6 §3 si applicable, recommandations opérationnelles.

Demander un audit de classification

4. Procédure pas à pas : sept étapes pour aboutir à la déclaration

La déclaration UE de conformité ne s'établit qu'après une évaluation de conformité réussie. Voici la séquence prescrite par les Articles 16, 17, 43 et 47 :

Mettre en place un système de gestion de la qualité conforme à l'Article 17 — politique, procédures, ressources, traçabilité.
Constituer la documentation technique selon l'Annexe IV : description du système, finalité, données d'entraînement, métriques de performance, surveillance après commercialisation.
Exécuter l'évaluation de conformité au titre de l'Article 43 — contrôle interne (Annexe VI) pour la plupart des cas Annexe III, ou intervention d'un organisme notifié pour la biométrie et la majorité des produits Annexe I.
Apposer le marquage CE (Art. 48) une fois l'évaluation validée.
Rédiger la déclaration UE de conformité selon le modèle de l'Annexe V (Art. 47 §2).
Enregistrer le système dans la base de données européenne avant mise sur le marché (Art. 49 et 71).
Conserver la déclaration et la documentation pendant 10 ans après la dernière mise sur le marché (Art. 18 §1).

La déclaration elle-même est un document court — généralement deux à trois pages — mais elle synthétise un dossier technique parfois volumineux. Son contenu obligatoire est fixé par l'Annexe V.

Tableau 3 — Mentions obligatoires de la déclaration (Annexe V)

N°	Mention	Détail
1	Nom et type du système	Identifiant unique permettant la traçabilité
2	Coordonnées du fournisseur	Raison sociale, adresse complète
3	Énoncé de responsabilité	« Sous notre seule responsabilité »
4	Conformité au Règlement	Référence explicite au Règlement (UE) 2024/1689
5	Identification précise	Numéro de série, version, lot
6	Autres législations applicables	RGPD, législation sectorielle, harmonisée Annexe I
7	Normes harmonisées appliquées	ISO/IEC 42001:2023 le cas échéant [à vérifier — publication harmonisée en cours]
8	Organisme notifié	Nom, numéro et certificat (si applicable)
9	Lieu, date, signature	Personne habilitée à engager le fournisseur

5. Documentation technique à constituer (Annexe IV)

La déclaration ne tient debout que si la documentation technique sous-jacente est solide. L'Annexe IV liste neuf rubriques minimales :

Description générale du système d'IA et de sa finalité prévue
Description détaillée des éléments du système et du processus de développement
Informations sur la surveillance, le fonctionnement et le contrôle
Description des dispositifs assurant la conformité (gestion des risques au titre de l'Art. 9)
Procédures de gestion des modifications
Liste des normes harmonisées appliquées en tout ou partie
Copie de la déclaration UE de conformité
Description du système de surveillance après commercialisation (Art. 72)
Liste des incidents graves et des dysfonctionnements

Une confusion fréquente mérite d'être levée. L'analyse d'impact sur les droits fondamentaux (AIIA) prévue à l'Article 27 incombe en principe au déployeur public ou à certains déployeurs privés exerçant des missions d'intérêt général. Elle n'est pas systématiquement à la charge du fournisseur. Ne confondez pas analyse de risques produit (Art. 9, côté fournisseur) et analyse d'impact droits fondamentaux (Art. 27, côté déployeur).

6. Suivi, mise à jour et obligations post-mise sur le marché

L'Article 72 impose un système de surveillance après commercialisation documenté. Concrètement, cela suppose :

Collecter activement les données d'utilisation et les retours utilisateurs
Mesurer la performance en conditions réelles par rapport aux métriques déclarées
Identifier les dérives, biais ou risques émergents
Réviser la documentation technique en conséquence

L'Article 73 oblige par ailleurs à signaler tout incident grave aux autorités de surveillance du marché. En France, la coordination est partagée entre la CNIL pour les enjeux droits fondamentaux et les régulateurs sectoriels (ACPR, ANSM, HAS, ARCEP, ARCOM, DGCCRF) selon le secteur.

Tableau 4 — Délais de notification d'incident (Art. 73 §2)

Type d'incident	Délai maximum après prise de connaissance
Incident grave généralement	15 jours
Décès d'une personne	10 jours
Perturbation grave d'une infrastructure critique	2 jours

La déclaration de conformité doit être révisée à chaque modification substantielle du système (Art. 43 §4). Une modification est substantielle lorsqu'elle n'était pas prévue dans l'évaluation initiale et affecte la conformité ou la finalité du système.

7. Sanctions : ce que coûte une déclaration absente ou erronée

L'Article 99 du Règlement (UE) 2024/1689 distingue trois niveaux de sanction administrative :

Manquement	Plafond	Base juridique
Pratiques interdites (Art. 5)	35 M€ ou 7 % du CA mondial	Art. 99 §3
Non-respect des obligations haut risque (dont Art. 47 déclaration)	15 M€ ou 3 % du CA mondial	Art. 99 §4
Information inexacte aux autorités	7,5 M€ ou 1 % du CA	Art. 99 §5

Le plafond retenu est le plus élevé entre la somme fixe et le pourcentage. Pour les PME, l'Article 99 §6 prévoit que c'est en revanche le plus bas des deux qui s'applique — un allégement substantiel, mais pas une exemption.

Une déclaration absente, falsifiée ou non actualisée relève du §4 — jusqu'à 3 % du CA mondial. Les autorités peuvent également ordonner le retrait du système, suspendre sa mise sur le marché et exiger la mise en conformité dans un délai contraint (Art. 79).

Le détail du barème et le calcul d'amende sont traités dans l'article sanctions AI Act pour PME, avec un calculateur dédié. Les références juridiques figurent sur eur-lex.europa.eu.

8. Mesures de soutien aux PME et bonnes pratiques opérationnelles

L'Article 62 du Règlement institue des mesures concrètes pour les PME et les jeunes entreprises :

Accès prioritaire aux bacs à sable réglementaires (Art. 57) pour tester un système avant mise sur le marché
Gratuité ou tarification réduite des activités d'évaluation par les organismes notifiés
Modèles simplifiés de documentation technique publiés par le Bureau européen de l'IA
Canaux dédiés auprès des autorités nationales et du service desk européen

Le service desk de la Commission (ai-act-service-desk.ec.europa.eu) répond gratuitement aux questions techniques et juridiques en plusieurs langues, dont le français.

Recommandations regulia pour PME françaises

Cartographier dès maintenant tous les systèmes d'IA en interne, même ceux jugés peu critiques
Identifier précisément la voie de classification (Art. 6 §1 ou §2) pour chaque système exposé
Démarrer la documentation Annexe IV par les rubriques données et performance — les plus longues à réunir
Prévoir un budget formation au titre de l'Art. 4 (littératie IA) déjà exigible depuis février 2025
Désigner une personne responsable du dossier de conformité, distincte du DPO si possible
Lancer en parallèle l'alignement ISO/IEC 42001:2023 — cette norme constitue la voie la plus probable de présomption de conformité une fois publiée comme norme harmonisée

Un audit IA dédié PME permet de structurer ces actions sur un calendrier réaliste.

Pack documentaire AI Act haut risque

Modèles de déclaration UE de conformité (Annexe V), documentation technique Annexe IV, registre des risques Art. 9, procédures Art. 17 et plan de surveillance Art. 72. Format Word et Excel, juridiquement révisés, prêts à instruire.

Recevoir le pack documentaire

FAQ

Quels délais pour déclarer un système IA haut risque ?

La déclaration UE de conformité doit être établie avant la mise sur le marché ou la mise en service du système (Art. 47 §1). L'obligation est préalable — il n'existe pas de délai de grâce post-mise en service. Pour les systèmes haut risque relevant de l'Annexe III, les obligations s'appliquent à compter du 2 août 2026 (Art. 113 §c). Les systèmes déjà sur le marché avant cette date bénéficient de dispositions transitoires de l'Article 111 — uniquement en l'absence de modification substantielle.

Quelles conséquences en cas de déclaration incomplète ?

Une déclaration incomplète, erronée ou trompeuse relève de l'Article 99 §4 : amende administrative pouvant atteindre 15 millions d'euros ou 3 % du chiffre d'affaires mondial annuel — le plus élevé. Pour les PME, le plus bas des deux plafonds s'applique (Art. 99 §6). Les autorités peuvent en outre interdire la mise sur le marché jusqu'à régularisation et exiger un rappel des systèmes déjà déployés (Art. 79).

Le service desk européen peut-il rédiger ma déclaration ?

Non. Le service desk (ai-act-service-desk.ec.europa.eu) fournit une orientation, pas un service de rédaction. Il répond à vos questions sur l'interprétation du règlement, oriente vers les guides officiels et facilite l'accès aux bacs à sable réglementaires. La rédaction de la déclaration reste sous la responsabilité exclusive du fournisseur.

Quelle documentation accompagne la déclaration ?

La déclaration s'appuie sur la documentation technique de l'Annexe IV : description du système et de sa finalité, données d'entraînement et de test, gestion des risques (Art. 9), normes appliquées, supervision humaine (Art. 14), surveillance après commercialisation (Art. 72). L'analyse d'impact sur les droits fondamentaux (Art. 27) concerne le déployeur, sauf cumul de rôles fournisseur/déployeur.

Existe-t-il des exemptions pour les systèmes en développement ?

L'Article 2 §8 exclut du règlement la recherche, l'essai et le développement précédant la mise sur le marché ou la mise en service. En revanche, les tests en conditions réelles (Art. 60) sont, eux, encadrés. Dès que le système quitte le périmètre de recherche pour entrer en exploitation, l'obligation de déclaration s'active. Les PME peuvent recourir aux bacs à sable réglementaires (Art. 57) pour tester de manière encadrée et bénéficier d'un accompagnement national.

Sources officielles

Règlement (UE) 2024/1689 — texte intégral sur eur-lex.europa.eu
Texte annoté et consolidé AI Act — artificialintelligenceact.eu
Service desk de la Commission européenne — ai-act-service-desk.ec.europa.eu
CNIL — fiches pratiques IA — cnil.fr/fr/les-fiches-pratiques-ia
ISO/IEC 42001:2023 — système de management de l'IA
ISO/IEC 23894:2023 — gestion des risques IA
ISO/IEC 27001:2022 — sécurité de l'information
Cigref — guide AI Act janvier 2025
Numeum — guide AI Act mars 2025

Ressources internes regulia :

Avertissement. Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.

Déclaration UE de conformité IA haut risque : procédure pour PME françaises