Quels sont les systèmes d'IA concernés par l'AI Act pour les PME ?

Tous les systèmes d'IA utilisés dans l'activité (gestion RH, marketing, production, etc.) sont concernés. La classification dépend du risque : systèmes de recrutement automatisé ou de prédiction de comportement client sont souvent classés risque limité.

Quelle est la différence entre un audit interne et externe ?

Un audit interne est moins coûteux mais nécessite des compétences internes. Un audit externe assure une objectivité professionnelle mais coûte plus cher. Pour les PME, une combinaison est souvent idéale : audit interne suivi d'une validation externe.

Où puis-je trouver des modèles de documentation AI Act ?

Regulia propose des modèles de documentation adaptés aux PME. Consultez également les guides de la CNIL et l'AI Act Service Desk de la Commission européenne. Pour les systèmes à haut risque, des rapports d'évaluation des risques spécifiques sont obligatoires.

Diagnostic AI Act : audit de conformité pour PME en 2026

Q: Quelles sont les sanctions pour une PME non conforme à l'AI Act ?

Les sanctions varient selon le risque : 1% du CA pour faible risque, 2% pour risque limité, jusqu'à 7% pour risque élevé (art. 64 AI Act). Les PME peuvent également faire face à des procédures d'interdiction de mise sur le marché.

Q: Comment une PME peut-elle commencer un audit AI Act ?

Commencez par une cartographie des systèmes d'IA utilisés. Utilisez ensuite des checklists adaptées aux PME (ex: Regulia). Impliquez les équipes techniques et juridiques. Considérez un audit externe si les systèmes sont complexes.

L'essentiel en 30 secondes - Le Règlement (UE) 2024/1689 (« AI Act ») s'applique progressivement depuis février 2025, avec le gros bloc d'obligations actif au 2 août 2026. - Les PME doivent auditer quatre axes : cartographie des systèmes d'IA, analyse des risques, documentation technique et gouvernance humaine. - Les sanctions atteignent 35 M€ ou 7 % du chiffre d'affaires mondial pour les pratiques interdites (Art. 99 du Règlement (UE) 2024/1689). - Selon la CNIL, une majorité de PME utilisent l'IA sans cartographie ni analyse de risque structurée [à vérifier — étude CNIL 2025 en cours de publication]. - L'audit doit intégrer le RGPD, l'analyse d'impact (AIPD) et la classification AI Act du système. - Un diagnostic structuré coûte entre 3 et 15 jours-homme selon la complexité du parc IA.

L'AI Act n'est plus une perspective lointaine. La date du 2 août 2026 marque l'entrée en application de la majorité des obligations pour les systèmes d'IA à haut risque, après l'interdiction des pratiques prohibées dès février 2025. Pour une PME française de 10 à 250 salariés, la question n'est plus « sommes-nous concernés ? » mais « comment prouver que nous le sommes ? ».

Ce guide détaille la méthodologie d'un audit AI Act adapté aux ressources d'une PME, sans cabinet de conseil à 1 500 € la journée.

1. Contexte réglementaire : AI Act et PME en 2026

Le Règlement (UE) 2024/1689 a été publié au Journal officiel de l'Union européenne le 12 juillet 2024. Son entrée en vigueur s'échelonne sur trois ans, avec un calendrier précis qui structure tout audit.

Date d'application	Obligations concernées	Référence
2 février 2025	Interdiction des pratiques prohibées (notation sociale, manipulation, etc.)	Art. 5
2 août 2025	Modèles d'IA à usage général (GPAI), gouvernance, sanctions	Art. 51-55, Art. 99
2 août 2026	Systèmes à haut risque (Annexe III), transparence (Art. 50)	Art. 6, 16-27
2 août 2027	Systèmes haut risque intégrés à des produits réglementés (Annexe I)	Art. 6(1)

Les PME ne bénéficient pas d'exemption générale. L'Art. 62 du Règlement (UE) 2024/1689 prévoit des mesures de soutien (accès prioritaire aux bacs à sable réglementaires, documentation simplifiée), mais pas de dispense. Une PME utilisant un système classé haut risque doit respecter l'intégralité du chapitre III.

La classification du risque repose sur quatre niveaux : risque inacceptable (interdit), haut risque, risque limité (transparence), risque minimal. Pour une vue d'ensemble, consultez notre guide AI Act pour les PME françaises.

2. Objectifs d'un audit de conformité AI Act

Un audit AI Act ne se confond pas avec un audit RGPD. Il poursuit cinq objectifs distincts :

Identifier chaque système d'IA déployé ou en projet, qu'il soit développé en interne ou fourni par un éditeur.
Classifier chaque système selon les annexes I, II et III du Règlement.
Évaluer les obligations applicables au rôle joué : fournisseur, déployeur, importateur ou distributeur (Art. 3).
Documenter les preuves de conformité exigibles par l'autorité de surveillance.
Préparer les déclarations de conformité, l'enregistrement à la base de données EU et le marquage CE le cas échéant.

Confondre rôle de fournisseur et de déployeur est l'erreur la plus fréquente. Une PME qui intègre ChatGPT dans son chatbot reste déployeur ; elle ne devient pas fournisseur sauf modification substantielle au sens de l'Art. 25.

3. Étapes clés d'un audit AI Act pour PME

L'audit s'organise en quatre étapes séquentielles. Pour une PME de 50 salariés avec 3 à 5 systèmes d'IA, comptez 5 à 10 jours-homme.

Étape 1 — Cartographie des systèmes d'IA

Recensez tous les outils contenant un composant IA, y compris ceux intégrés à des SaaS courants (HubSpot, Salesforce, Microsoft 365 Copilot, Notion AI). Pour chaque système, documentez :

Nom, éditeur, version
Finalité métier (recrutement, scoring crédit, support client, etc.)
Catégories de données traitées
Utilisateurs internes et externes
Statut : production, pilote, abandonné

Étape 2 — Analyse des risques et impacts

Appliquez la grille de classification de l'Art. 6 et de l'Annexe III. Un système est haut risque s'il relève des huit domaines : biométrie, infrastructures critiques, éducation, emploi, services essentiels, application de la loi, migration, justice. Pour chaque système à haut risque, conduisez une Fundamental Rights Impact Assessment (FRIA) au sens de l'Art. 27 du Règlement (UE) 2024/1689.

Étape 3 — Vérification des obligations légales

Confrontez chaque système à la checklist applicable : système de gestion des risques (Art. 9), gouvernance des données (Art. 10), documentation technique (Art. 11), tenue de logs (Art. 12), transparence (Art. 13), supervision humaine (Art. 14), exactitude et cybersécurité (Art. 15).

Étape 4 — Rapport et recommandations

Le livrable d'audit doit contenir : matrice des écarts, plan d'action priorisé, estimation budgétaire, calendrier de mise en conformité aligné sur le 2 août 2026.

4. Obligations légales spécifiques aux PME

Les PME disposent de quelques aménagements, mais l'essentiel des obligations s'applique en intégralité.

Obligation	Article AI Act	Aménagement PME
Documentation technique	Art. 11, Annexe IV	Forme simplifiée autorisée (Art. 11(1) al. 2)
Système de gestion des risques	Art. 9	Aucun
Supervision humaine	Art. 14	Aucun
FRIA (analyse impact droits fondamentaux)	Art. 27	Aucun pour déployeurs publics ou services essentiels
Enregistrement base de données EU	Art. 49, 71	Aucun
Bac à sable réglementaire	Art. 57-58	Accès prioritaire et gratuit (Art. 62)
Représentant autorisé	Art. 22	Aucun

La documentation simplifiée prévue à l'Art. 11(1) al. 2 ne dispense pas de produire les éléments de l'Annexe IV. Elle autorise uniquement un format allégé, sous réserve que toutes les informations restent disponibles sur demande de l'autorité.

Consultez notre dossier sanctions AI Act et amendes PME pour le détail du barème de l'Art. 99.

Cartographier votre parc IA en 30 minutes

regulia propose un diagnostic AI Act guidé qui classe vos systèmes selon l'Annexe III et identifie vos obligations prioritaires avant le 2 août 2026.

Demander le diagnostic gratuit

5. Méthodologie d'audit pour PME

Trois options coexistent, avec des coûts et niveaux de garantie très différents.

Méthodologie	Coût indicatif	Durée	Niveau de preuve
Auto-évaluation guidée (checklist)	0 à 2 k€ (outils SaaS)	3 à 5 jours	Faible — usage interne
Audit interne structuré ISO 42001	5 à 15 k€	2 à 4 semaines	Moyen — opposable partiellement
Audit externe par tiers certifié	15 à 50 k€	4 à 8 semaines	Élevé — opposable à l'autorité

Pour une PME démarrant sa conformité, la séquence recommandée est : auto-évaluation guidée pour préparer le terrain, puis audit interne aligné sur ISO/IEC 42001:2023 (système de management de l'IA), enfin audit externe uniquement si vous fournissez un système à haut risque ou opérez dans un secteur régulé (ACPR, ANSM, HAS).

ISO/IEC 42001:2023 fournit la structure de gouvernance la plus alignée avec les exigences de l'Art. 9 et de l'Art. 17 du Règlement. Complétez avec ISO/IEC 23894:2023 pour la gestion des risques et ISO/IEC 27001:2022 pour la sécurité de l'information.

La formation des équipes n'est pas optionnelle. L'Art. 4 du Règlement (UE) 2024/1689, applicable depuis le 2 février 2025, impose à tout déployeur et fournisseur de garantir un niveau suffisant de littératie en IA des personnels concernés. L'absence de plan de formation constitue un manquement direct.

6. Erreurs à éviter lors de l'audit

Cinq écueils reviennent dans les audits que nous observons sur le terrain.

Ignorer les SaaS intégrant de l'IA en arrière-plan. Un CRM proposant du lead scoring ou un ATS triant automatiquement les candidatures est concerné. Le caractère « invisible » de l'IA ne neutralise pas l'obligation.
Confondre AIPD (RGPD Art. 35) et FRIA (AI Act Art. 27). Les deux analyses sont distinctes. La FRIA porte sur l'impact aux droits fondamentaux ; l'AIPD porte sur les risques pour les personnes concernées par le traitement de données. Une PME déployeur peut devoir produire les deux.
Sous-estimer le délai de mise en conformité. Construire la documentation technique de l'Annexe IV demande 2 à 4 mois pour un système haut risque. Démarrer en juin 2026 pour une échéance au 2 août est trop tard.
Oublier la gouvernance contractuelle. Si vous utilisez une IA fournie par un tiers, vérifiez que le contrat fournisseur transfère bien les obligations de l'Art. 25 et permet l'accès aux logs (Art. 12).
Ne pas tracer les décisions d'audit. Chaque arbitrage (classification, exclusion, périmètre) doit être documenté. L'autorité de surveillance peut demander la justification rétroactivement.

Pour aligner votre vocabulaire avec les définitions de l'Art. 3, consultez notre glossaire AI Act.

7. Exemples concrets de PME auditées

Trois profils typiques illustrent la diversité des situations.

Cas 1 — PME santé, 80 salariés, dispositif d'aide au diagnostic

Le système est classé haut risque par double mécanisme : Annexe III §5 (services essentiels — accès aux soins) et Annexe I (dispositif médical au sens du règlement (UE) 2017/745). La PME, en tant que déployeur, doit conduire une FRIA (Art. 27), assurer la supervision humaine (Art. 14) et conserver les logs (Art. 12). La documentation Annexe IV est à demander au fournisseur via clause contractuelle.

Cas 2 — PME e-commerce, 35 salariés, chatbot client

Le chatbot relève du risque limité au titre de l'Art. 50 : obligation de transparence. Les utilisateurs doivent être informés qu'ils interagissent avec une IA, sauf si l'évidence rend l'information superflue. Pas de classification haut risque sauf si le chatbot prend des décisions ayant un effet juridique (refus de remboursement automatisé, par exemple).

Cas 3 — PME industrielle, 120 salariés, maintenance prédictive

Le système relève en principe du risque minimal car non listé à l'Annexe III. Aucune obligation matérielle au titre de l'AI Act, mais l'Art. 4 (littératie IA) reste applicable. Si l'IA contrôle une infrastructure critique au sens de l'Annexe III §2, le classement bascule en haut risque.

Profil PME	Classification	FRIA Art. 27	Documentation Annexe IV	Transparence Art. 50
Santé — aide diagnostic	Haut risque	Oui	Oui (à demander au fournisseur)	Oui
E-commerce — chatbot	Risque limité	Non	Non	Oui
Industrie — maintenance prédictive	Risque minimal	Non	Non	Non

8. Ressources et accompagnement

Plusieurs ressources gratuites permettent d'avancer sans budget initial.

AI Act Service Desk de la Commission européenne : interprétations officielles, FAQ, alertes calendrier.
CNIL — 13 fiches pratiques IA et RGPD : articulation RGPD/AI Act, base légale, AIPD.
Cigref — guide AI Act janvier 2025 : retours d'expérience grands comptes transposables aux PME.
Numeum — guide AI Act mars 2025 : focus éditeurs et intégrateurs.
Bacs à sable réglementaires : la France met en place un dispositif national piloté par la CNIL et la DGE [à vérifier — décret d'application attendu].

Pour les PME souhaitant industrialiser leur démarche, regulia met à disposition une bibliothèque de modèles documentaires (politique IA, FRIA, registre des systèmes, clauses fournisseur) régulièrement mise à jour selon les actes d'exécution publiés par la Commission. Pour la liste complète des références citées, voir notre page sources.

Accélérer votre mise en conformité 2026

Pack documentaire regulia : modèles FRIA, registre des systèmes IA, politique de gouvernance et clauses fournisseur prêts à adapter. Conçu pour les PME françaises.

Recevoir le pack documentaire

FAQ — Audit AI Act PME

Quelles sont les sanctions pour une PME non conforme à l'AI Act ?

L'Art. 99 du Règlement (UE) 2024/1689 prévoit trois plafonds : 35 M€ ou 7 % du CA mondial pour les pratiques interdites (Art. 5), 15 M€ ou 3 % pour les manquements aux obligations des fournisseurs et déployeurs de systèmes haut risque, 7,5 M€ ou 1 % pour la fourniture d'informations incorrectes aux autorités. L'Art. 99(6) précise que pour les PME et start-ups, le montant retenu est le plus faible des deux plafonds. Les autorités peuvent également ordonner le retrait du marché (Art. 79).

Comment une PME peut-elle commencer un audit AI Act ?

Commencez par la cartographie des systèmes d'IA, y compris ceux intégrés à vos SaaS. Utilisez ensuite une checklist alignée sur les articles 9 à 15 et 50 du Règlement. Impliquez DPO, RSSI, IA Lead et représentants métier dès le départ. Pour les systèmes complexes ou haut risque, un audit externe par tiers certifié reste recommandé avant la déclaration de conformité.

Quels systèmes d'IA sont concernés par l'AI Act pour les PME ?

Tous les systèmes répondant à la définition de l'Art. 3(1) sont concernés, indépendamment de la taille de l'entreprise. Les obligations varient selon la classification : haut risque (Annexe III — recrutement, scoring crédit, biométrie, etc.), risque limité (chatbots, deepfakes — Art. 50), ou risque minimal. La quasi-totalité des outils marketing, RH et CRM modernes intègrent des composants IA potentiellement concernés.

Quelle est la différence entre un audit interne et un audit externe ?

L'audit interne mobilise vos équipes (DPO, IA Lead, juriste), coûte moins cher mais offre une valeur de preuve limitée face à l'autorité. L'audit externe par un tiers certifié (organisme notifié pour les systèmes haut risque, cabinet spécialisé sinon) apporte une opposabilité plus forte. Pour la majorité des PME, la combinaison auto-évaluation guidée + audit interne ISO 42001 suffit, sauf si vous fournissez un système haut risque.

Où trouver des modèles de documentation AI Act ?

Quatre sources principales : regulia (modèles français adaptés PME), la CNIL pour l'articulation RGPD (fiches pratiques), l'AI Act Service Desk pour les modèles officiels en cours de publication par la Commission, et les annexes des normes ISO/IEC 42001:2023 et 23894:2023. La documentation technique de l'Annexe IV reste à construire système par système — aucun modèle universel ne dispense de cet exercice.

Sources officielles

Règlement (UE) 2024/1689 — texte officiel : eur-lex.europa.eu/eli/reg/2024/1689
Texte consolidé AI Act : artificialintelligenceact.eu
AI Act Service Desk — Commission européenne : ai-act-service-desk.ec.europa.eu
CNIL — fiches pratiques IA : cnil.fr
ISO/IEC 42001:2023 — Système de management de l'intelligence artificielle
ISO/IEC 23894:2023 — Gestion des risques liés à l'IA
ISO/IEC 27001:2022 — Management de la sécurité de l'information

Avertissement — Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.