Diagnostic AI Act : méthode pour PME en 2026

Q: Quels sont les délais pour réaliser un diagnostic AI Act ?

Les PME doivent réaliser un diagnostic dès le déploiement d'un système d'IA à haut risque (art. 29). Le délai dépend de la complexité du système, mais une étude de cas moyenne prend entre 4 à 8 semaines. Il est recommandé de démarrer dès la conception pour intégrer les exigences dès le départ.

Q: Comment identifier les systèmes d'IA à haut risque ?

Les systèmes d'IA sont classés en trois catégories : haut, moyen et bas risque. Les systèmes à haut risque incluent ceux utilisés pour des décisions juridiques, l'emploi, la santé, ou la sécurité publique. Un guide pratique est disponible sur le site de l'AI-Act Service Desk (ai-act-service-desk.ec.europa.eu) avec des exemples concrets pour les PME.

Q: Quelles sont les conséquences d'un diagnostic non conforme ?

Les sanctions peuvent atteindre 7% du chiffre d'affaires annuel (art. 83 EU AI Act) pour les infractions graves. En plus des amendes, les entreprises peuvent faire l'objet de mesures coercitives comme l'interdiction de commercialiser ou d'utiliser le système. Le CNIL peut également imposer des sanctions complémentaires pour non-respect du RGPD.

Q: Comment les PME peuvent-elles obtenir de l'aide pour le diagnostic ?

Les PME peuvent utiliser l'outil de diagnostic en ligne proposé par l'AI-Act Service Desk (ai-act-service-desk.ec.europa.eu). Des formations spécifiques sont également disponibles via le site de la CNIL (cnil.fr) et des organismes de certification comme ISO 42001. Le réseau des chambres de commerce peut également proposer des accompagnements.

Q: Quelle est la différence entre le diagnostic AI Act et l'audit ISO 42001 ?

Le diagnostic AI Act est une évaluation légale obligatoire pour les systèmes à haut risque, tandis que l'ISO 42001 est une norme de management de l'IA qui couvre l'ensemble de l'organisation. L'audit ISO 42001 est volontaire mais fortement recommandé pour les PME souhaitant une approche globale. Le diagnostic AI Act est plus spécifique et réglementaire.

L'essentiel en 30 secondes

L'AI Act impose des obligations de traçabilité et de surveillance pour les systèmes à haut risque (Article 29 du Règlement (UE) 2024/1689)

Pénalités pouvant atteindre 7 % du CA mondial pour non-conformité (Article 99 du Règlement (UE) 2024/1689)

Outil de diagnostic en ligne disponible via l'AI Act Service Desk (ai-act-service-desk.ec.europa.eu)

Audit interne recommandé pour les systèmes de décision automatisée — l'ISO 42001 offre un cadre structurant

La CNIL recommande un diagnostic préalable à tout déploiement de système IA traitant des données personnelles

Le 2 août 2026, les obligations de conformité pour les systèmes d'IA à haut risque relevant de l'Annexe III du Règlement (UE) 2024/1689 entrent pleinement en vigueur. Pour une PME, cela signifie qu'il faut agir maintenant : un diagnostic complet prend en moyenne 4 à 8 semaines. Voici la méthode, étape par étape.

1. Étape 1 : Inventaire des systèmes d'IA

Le point de départ est l'inventaire. Vous ne pouvez pas vous conformer à ce que vous n'avez pas identifié.

Ce qu'il faut recenser. Listez tous les systèmes qui produisent des sorties — recommandations, classifications, prévisions, décisions — de façon automatisée. Incluez les outils internes développés en interne, les logiciels SaaS avec IA intégrée, les modules d'analyse achetés à des éditeurs tiers. Un simple algorithme de scoring de leads est un système IA au sens du Règlement (UE) 2024/1689.

Comment les classer. Trois niveaux de risque structurent le classement : haut risque (Annexe III), risque limité, risque minimal. Un système est à haut risque s'il relève d'un des secteurs listés en Annexe III : recrutement, crédit, santé, éducation, infrastructure critique, contrôle aux frontières, administration de la justice. Pour les autres systèmes, le risque est limité ou minimal.

Ce qu'il faut documenter. Pour chaque système, notez : le fournisseur ou le développeur, les données traitées (personnelles ou non), la finalité, les utilisateurs finaux et les personnes susceptibles d'être affectées par les décisions produites.

Catégorie	Exemples courants en PME	Niveau de risque
Scoring RH / présélection candidats	Logiciel ATS avec IA	Haut risque
Scoring crédit / notation fournisseurs	Module d'analyse financière	Haut risque
Recommandation produit interne	Outil CRM avec suggestion	Risque limité
Chatbot service client	Assistant conversationnel	Risque limité
Filtres anti-spam, correcteurs	Outils bureautiques	Risque minimal

Consultez notre guide AI Act pour PME françaises pour une grille de classement complète avec des exemples sectoriels.

2. Étape 2 : Analyse des risques spécifiques

Une fois les systèmes identifiés et classés, il faut évaluer les risques concrets que chacun fait peser.

Droits fondamentaux. L'Article 9 du Règlement (UE) 2024/1689 exige d'identifier les risques pour les droits fondamentaux : discrimination (selon le genre, l'origine, l'âge), atteinte à la vie privée, exclusion de services essentiels. Pour un système de scoring de crédit, vérifiez si le modèle produit des résultats différenciés selon des critères protégés.

Conformité RGPD. Dès que votre système traite des données à caractère personnel, la conformité RGPD s'applique en parallèle de l'AI Act. La CNIL impose une analyse d'impact sur la protection des données (AIPD) pour les traitements à risque élevé. Les deux textes se renforcent mutuellement. Le guide CNIL est la référence française sur ce point.

Vulnérabilités techniques. Évaluez la robustesse du système face aux tentatives de manipulation (attaques adversariales), aux erreurs de données en entrée et aux changements de distribution (concept drift). Un système fragile techniquement l'est aussi réglementairement.

3. Étape 3 : Vérification des obligations légales

Cette étape consiste à contrôler point par point votre niveau de conformité actuel face aux exigences du Règlement (UE) 2024/1689.

Mesures de sécurité techniques. L'Article 15 du Règlement (UE) 2024/1689 impose que les systèmes à haut risque soient conçus pour être robustes, exacts et sécurisés pendant toute leur durée d'utilisation. Les niveaux de performance doivent être testés et documentés.

Traçabilité des décisions. L'Article 12 du Règlement (UE) 2024/1689 rend obligatoire la journalisation automatique des événements (logs) pour les systèmes à haut risque. Ces logs doivent permettre de reconstituer les décisions prises sur une période définie, notamment en cas de contrôle ou de litige.

Documentation technique. L'Article 11 du Règlement (UE) 2024/1689 dresse la liste exhaustive de ce que doit contenir la documentation technique. Ce document est le dossier central de conformité : il doit être tenu à jour et remis aux autorités sur demande.

Contrôles internes et audits. L'Article 9 impose un processus itératif de gestion des risques. Ce n'est pas un audit annuel ponctuel mais un dispositif de surveillance continue. L'ISO 42001:2023 offre un cadre de management reconnu pour structurer ce dispositif.

Retrouvez les références croisées AI Act / RGPD dans notre glossaire réglementaire.

Lancez votre diagnostic AI Act en 48h

Regulia vous accompagne dans la réalisation de votre diagnostic complet : inventaire, analyse des risques, plan d'action. Livrable en 4 semaines.

Demander un devis

4. Étape 4 : Évaluation des mesures correctives

L'analyse des écarts produit une liste d'actions à mener. Cette étape consiste à les prioriser et à définir les mesures correctives.

Protocoles de test. Mettez en place des jeux de tests couvrant les cas normaux et les cas limites. Pour un système de classification, testez des entrées atypiques et vérifiez que les sorties restent cohérentes. Documentez les résultats de chaque campagne de test.

Intervention humaine. L'Article 14 du Règlement (UE) 2024/1689 rend obligatoire la capacité d'un humain à surveiller, comprendre et si nécessaire contrecarrer les décisions produites par un système à haut risque. Concrètement : prévoyez un écran de validation humaine avant toute décision impactante, un mécanisme d'alerte en cas de comportement anormal, et un process de contestation accessible aux personnes affectées.

Audits réguliers. Planifiez des audits internes au minimum annuels pour les systèmes à haut risque. L'ISO 42001:2023 fournit un programme d'audit structuré. Pour les systèmes les plus sensibles, envisagez un audit externe par un organisme accrédité.

5. Étape 5 : Documentation et certification

La documentation est à la fois une obligation réglementaire et un outil de défense en cas de contrôle.

Le rapport de diagnostic. Il synthétise les résultats de l'inventaire, de l'analyse des risques et de l'évaluation des mesures correctives. Ce rapport n'a pas de format imposé par le Règlement (UE) 2024/1689, mais il doit couvrir les éléments de l'Article 11 pour les systèmes à haut risque.

Le dossier pour le service desk. L'AI Act Service Desk accompagne les PME dans la préparation de leurs dossiers de conformité. Des modèles de documentation sont disponibles gratuitement.

Certification ISO 42001. La certification ISO 42001:2023 n'est pas rendue obligatoire par le Règlement (UE) 2024/1689, mais elle est reconnue comme un élément de preuve de conformité dans les échanges avec les autorités et les clients. Pour une PME qui développe ou déploie plusieurs systèmes IA, l'investissement est généralement rentable en 18 à 24 mois.

6. Étape 6 : Formation et sensibilisation

La conformité technique ne suffit pas. Les personnes qui utilisent ou supervisent les systèmes IA doivent être formées.

Formation des équipes techniques. Les développeurs et data scientists doivent connaître les exigences de l'Article 9 (gestion des risques), de l'Article 10 (données d'entraînement) et de l'Article 12 (journalisation). Ces exigences impactent directement leurs pratiques de développement.

Formation des équipes métier. Les managers et opérationnels qui utilisent les systèmes IA comme déployeurs doivent comprendre leurs obligations propres (Article 26 du Règlement (UE) 2024/1689) : ne pas modifier le système au-delà de son usage prévu, surveiller les performances, signaler les incidents.

Comité de suivi IA. Désignez un référent IA dans votre organisation. Ce n'est pas nécessairement un juriste ni un data scientist : c'est quelqu'un qui assure la coordination entre les équipes techniques, métier et direction sur les sujets de conformité IA. Dans les petites structures, ce rôle peut être tenu par le DPO ou le responsable qualité.

7. Étape 7 : Suivi et amélioration continue

La conformité à l'AI Act n'est pas un état statique. Les systèmes évoluent, les données changent, la réglementation précisée par des actes délégués se complète.

Monitoring des performances. Mettez en place des indicateurs de performance automatisés pour chaque système à haut risque : précision des prédictions, taux de faux positifs, temps de réponse, taux d'incidents. Définissez des seuils d'alerte qui déclenchent une revue humaine.

Audits annuels. Planifiez au minimum un audit complet par an pour chaque système à haut risque. Faites-le coïncider avec votre cycle de mise à jour du modèle.

Veille réglementaire. Le Règlement (UE) 2024/1689 prévoit des actes délégués et d'implémentation qui précisent les exigences sectorielles. Abonnez-vous aux publications de la Commission européenne et aux bulletins de la CNIL pour rester informé.

Pour rester à jour, consultez régulièrement notre page sources réglementaires et les mises à jour de notre guide AI Act PME.

8. Étape 8 : Préparation aux contrôles

Les autorités nationales compétentes ont le pouvoir de demander l'accès à la documentation technique, d'effectuer des audits sur place et d'imposer des mesures correctives.

Documents à préparer. Tenez à jour et accessible : la documentation technique (Article 11), le registre des logs (Article 12), les rapports d'évaluation de conformité, les preuves de formation des équipes.

Risque de sanctions. L'Article 99 du Règlement (UE) 2024/1689 prévoit des amendes jusqu'à 15 millions d'euros ou 3 % du CA mondial pour les manquements aux obligations des systèmes à haut risque. Pour les violations les plus graves (systèmes interdits), le plafond monte à 35 millions ou 7 % du CA. Consultez notre guide sur les amendes AI Act pour les PME pour des simulations adaptées à votre taille.

Plans de réponse. Anticipez les scénarios : que faire si un système produit une décision discriminatoire ? Si une autorité demande accès à vos logs ? Si un client conteste une décision automatisée ? Avoir des procédures écrites accélère la réponse et limite l'exposition.

FAQ

Quels sont les délais pour réaliser un diagnostic AI Act ?

Les déployeurs de systèmes à haut risque doivent être conformes au 2 août 2026. Un diagnostic complet pour une PME prend entre 4 et 8 semaines selon la complexité des systèmes en place. Il est fortement recommandé de démarrer au plus tôt pour intégrer les exigences dès la phase de développement ou d'achat, plutôt que de les corriger a posteriori.

Comment identifier les systèmes d'IA à haut risque ?

Croisez vos systèmes avec l'Annexe III du Règlement (UE) 2024/1689 qui liste les secteurs à haut risque : emploi, crédit, santé, éducation, infrastructure critique, contrôle aux frontières, administration de la justice. L'AI Act Service Desk propose des guides sectoriels avec des exemples concrets pour les PME.

Quelles sont les conséquences d'un diagnostic non conforme ?

Les sanctions peuvent atteindre 7 % du chiffre d'affaires annuel mondial (Article 99 du Règlement (UE) 2024/1689) pour les infractions les plus graves. En cas de manquements aux obligations des systèmes à haut risque : jusqu'à 3 % du CA ou 15 millions d'euros. La CNIL peut en outre imposer des sanctions complémentaires pour violation du RGPD.

Comment les PME peuvent-elles obtenir de l'aide pour le diagnostic ?

L'AI Act Service Desk propose un accompagnement gratuit, des modèles de documentation et une FAQ opérationnelle. La CNIL met à disposition des guides en français sur cnil.fr. Des cabinets spécialisés comme Regulia proposent des diagnostics clé en main. Les chambres de commerce organisent également des ateliers de sensibilisation.

Quelle est la différence entre le diagnostic AI Act et l'audit ISO 42001 ?

Le diagnostic AI Act est une évaluation de conformité réglementaire obligatoire pour les systèmes à haut risque, centrée sur les exigences du Règlement (UE) 2024/1689. L'audit ISO 42001 est une évaluation volontaire couvrant l'ensemble du management de l'IA dans l'organisation. Les deux sont complémentaires : le diagnostic AI Act vérifie la conformité légale, l'ISO 42001 structure la gouvernance globale.

Sources officielles

Votre diagnostic AI Act en 4 semaines

Regulia réalise votre diagnostic complet : inventaire, analyse des risques, rapport de conformité et plan d'action priorisé. Accompagnement par des experts en droit de l'IA.

Obtenir un diagnostic

Avertissement — Cet article fournit une information générale et ne constitue pas un conseil juridique.