L'essentiel en 30 secondes - Le diagnostic AI Act couvre 6 domaines clés : inventaire des systèmes IA, analyse des risques, documentation, gestion des données personnelles (RGPD), formation et plan d'audit. - Les sanctions pour non-conformité peuvent atteindre 4 % du chiffre d'affaires annuel mondial (Article 99 du Règlement (UE) 2024/1689). - L'outil de diagnostic en ligne de l'AI Act Service Desk européen est disponible gratuitement sur ai-act-service-desk.ec.europa.eu. - L'échéance d'août 2026 s'applique aux systèmes d'IA à haut risque listés à l'Annexe III. - Référence légale : Règlement (UE) 2024/1689 — EU AI Act.
Le Règlement (UE) 2024/1689 est entré en vigueur le 1er août 2024. Depuis, les PME françaises qui utilisent des systèmes d'IA à haut risque ont une horloge qui tourne. Août 2026, c'est l'échéance pour être en conformité complète. Et le point de départ obligatoire, c'est le diagnostic. Sans inventaire précis de vos systèmes IA et de leurs niveaux de risque, vous ne pouvez ni prioriser vos actions ni construire votre documentation.
Cet article décrit la méthodologie pas à pas, les outils disponibles, et les erreurs à éviter.
1. Introduction : contexte et objectifs du diagnostic
Un diagnostic AI Act est une photographie de la situation de votre PME face au Règlement (UE) 2024/1689. Il répond à trois questions fondamentales : quels systèmes d'IA utilisez-vous ? Quel niveau de risque leur attribue l'EU AI Act ? Quels écarts de conformité devez-vous combler ?
Le diagnostic n'est pas une obligation légale en soi, mais il est la condition préalable à toute mise en conformité. Sans lui, vous ne savez pas si vos systèmes relèvent de l'Annexe III (haut risque), si des obligations de transparence s'appliquent, ou si vous êtes hors périmètre.
L'EU AI Act distingue quatre catégories de systèmes d'IA. Les systèmes à risque inacceptable — notation sociale, manipulation subliminale — sont interdits depuis août 2024 (Article 5 du Règlement (UE) 2024/1689). Les systèmes à haut risque — scoring crédit, recrutement automatisé, biométrie en temps réel — doivent satisfaire des obligations documentaires et organisationnelles lourdes avant août 2026. Les systèmes à risque limité — chatbots, générateurs d'images — doivent respecter des règles de transparence. Les systèmes à risque minimal — filtres anti-spam, jeux vidéo — ne sont soumis à aucune obligation spécifique.
Pour les PME françaises, la majorité des enjeux se concentrent sur les systèmes à haut risque et à risque limité. Le diagnostic permet de le savoir avec certitude. Retrouvez notre analyse complète sur l'EU AI Act pour les PME françaises.
2. Les 6 domaines clés à couvrir
Un diagnostic AI Act rigoureux couvre six domaines. Traitez-les dans l'ordre : certains résultats conditionnent les suivants.
| Domaine | Objectif | Livrable |
|---|---|---|
| 1. Inventaire des systèmes IA | Lister tous les outils IA utilisés | Registre des systèmes IA |
| 2. Analyse des risques | Classer chaque système selon l'EU AI Act | Matrice risques / obligations |
| 3. Documentation | Vérifier l'existence des documents obligatoires | Liste des écarts documentaires |
| 4. Données personnelles (RGPD) | Croiser avec le registre des traitements | AIPD si nécessaire |
| 5. Formation et compétences | Évaluer les compétences IA du personnel | Plan de formation |
| 6. Audit et suivi | Vérifier l'existence d'un AIMS ou équivalent | Plan d'action priorisé |
Domaine 1 — Inventaire des systèmes IA. C'est l'étape la plus souvent sous-estimée. Listez non seulement les projets IA développés en interne, mais aussi tous les outils SaaS intégrant de l'IA : CRM prédictif, logiciel RH avec scoring automatique, assistant de rédaction, outil de détection de fraude. Ces outils relèvent de l'EU AI Act dès lors que votre PME prend des décisions sur leur base.
Domaine 2 — Analyse des risques. Utilisez l'outil de classification de l'AI Act Service Desk européen pour catégoriser chaque système. Appliquez ensuite l'Annexe III du Règlement (UE) 2024/1689 pour identifier les systèmes à haut risque dans votre secteur.
Domaine 3 — Documentation. Vérifiez si les documents obligatoires pour les systèmes à haut risque existent : documentation technique (Article 11), journaux d'activité (Article 12), notice d'utilisation (Article 13), conformité CE (Article 48). L'absence de ces documents est un écart de conformité direct.
Domaine 4 — Données personnelles. Si vos systèmes IA traitent des données personnelles, vérifiez leur présence au registre des traitements (Article 30 du Règlement (UE) 2016/679) et l'existence d'une analyse d'impact (Article 35 du Règlement (UE) 2016/679) si le traitement est automatisé et à fort risque. Consultez notre glossaire pour la définition des traitements à risque élevé.
Domaine 5 — Formation. L'Article 4 du Règlement (UE) 2024/1689 impose aux déployeurs de garantir que leur personnel dispose d'une compétence suffisante pour utiliser les systèmes d'IA à haut risque. Documentez les formations existantes et identifiez les lacunes.
Domaine 6 — Audit et suivi. Existe-t-il un mécanisme de surveillance des systèmes IA en production ? Un plan d'audit interne ? Un responsable désigné ? Ces éléments relèvent du Système de Management de l'IA (AIMS) défini par l'ISO 42001:2023.
Recevez votre rapport de diagnostic AI Act personnalisé
Notre équipe réalise votre diagnostic AI Act en 5 jours ouvrés : inventaire des systèmes, classification des risques, liste des écarts de conformité et plan d'action priorisé. Adapté aux PME de 10 à 250 salariés.
Demander mon diagnostic3. Méthodologie étape par étape
Voici le déroulé opérationnel d'un diagnostic AI Act pour une PME de 10 à 250 salariés. Comptez entre deux et six semaines selon la complexité de votre parc IA.
Étape 1 — Inventaire des systèmes d'IA (semaine 1). Interviewez les responsables de chaque département : IT, RH, commercial, finance, production. Demandez-leur de lister tous les outils qui produisent des recommandations, des scores, des prédictions ou des décisions automatisées. Complétez avec un audit des licences logicielles actives. Le résultat est un tableau listant : nom de l'outil, fournisseur, usage, données traitées, décisions produites.
Étape 2 — Évaluation des risques (semaine 1-2). Pour chaque système identifié, appliquez la grille de classification de l'EU AI Act. La question centrale : ce système est-il utilisé dans l'un des 8 domaines listés à l'Annexe III (infrastructure critique, éducation, emploi, services essentiels, maintien de l'ordre, migration, administration de la justice, démocratie) ? Si oui, il est à haut risque.
Étape 3 — Audit documentaire (semaine 2-3). Pour chaque système à haut risque, vérifiez l'existence et la qualité des documents obligatoires selon l'Article 11 du Règlement (UE) 2024/1689. Créez une matrice écarts/priorités.
Étape 4 — Plan de formation (semaine 3). Identifiez les collaborateurs qui utilisent des systèmes d'IA à haut risque. Évaluez leur niveau de compréhension des limites et des risques de ces systèmes. Planifiez les formations nécessaires.
Étape 5 — Rapport et plan d'action (semaine 4-6). Consolidez tous les résultats dans un rapport de diagnostic. Priorisez les actions selon l'impact réglementaire (risque d'amende) et la faisabilité (ressources disponibles). Le rapport devient le point de départ de votre mise en conformité.
4. Outils et ressources disponibles
Plusieurs ressources gratuites facilitent le diagnostic.
L'AI Act Service Desk européen (ai-act-service-desk.ec.europa.eu) propose un outil de classification des systèmes d'IA et une base de FAQ sur les obligations par catégorie d'acteur. C'est le premier outil à utiliser lors de l'étape d'inventaire.
La CNIL (cnil.fr) publie des lignes directrices sur l'articulation entre RGPD et EU AI Act, des modèles d'analyse d'impact pour les systèmes IA, et un guide pratique pour les délégués à la protection des données. Ces ressources sont directement applicables aux PME françaises.
Le portail EUR-Lex (eur-lex.europa.eu) donne accès au texte consolidé du Règlement (UE) 2024/1689 et aux actes délégués qui en précisent les modalités. Indispensable pour vérifier les obligations spécifiques à votre secteur.
Regulia met également à disposition des modèles de registre, des checklists de conformité et des guides sectoriels. Consultez notre page sources pour accéder à l'ensemble de ces ressources.
5. Cas d'étude : une PME industrielle de 80 salariés
Une PME industrielle de la région lyonnaise utilise trois systèmes d'IA : un logiciel de maintenance prédictive, un outil de scoring des candidats à l'embauche, et un assistant IA pour la rédaction des offres commerciales.
Lors du diagnostic, elle découvre que son outil de scoring RH relève de l'Annexe III du Règlement (UE) 2024/1689 — emploi, gestion des travailleurs. Il est donc à haut risque. Or, aucune documentation technique n'existe, aucun registre des traitements ne mentionne cet outil, et les recruteurs n'ont reçu aucune formation sur ses biais potentiels.
Les écarts identifiés sont : documentation technique manquante (Article 11), absence au registre RGPD (Article 30 du Règlement (UE) 2016/679), AIPD non réalisée (Article 35 du Règlement (UE) 2016/679), formation du personnel absente (Article 4 du Règlement (UE) 2024/1689). Le plan d'action priorise la documentation et la formation (délai 3 mois), puis l'intégration dans le registre AIMS.
Le logiciel de maintenance prédictive et l'assistant IA commercial sont classés à risque minimal et à risque limité respectivement. Ils n'exigent pas de documentation lourde, mais l'assistant IA doit afficher une mention de transparence selon l'Article 50 du Règlement (UE) 2024/1689.
6. FAQ : questions fréquentes
Quelles sont les sanctions pour non-conformité avec l'AI Act ?
Les sanctions sont définies à l'Article 99 du Règlement (UE) 2024/1689. Pour les violations des obligations applicables aux systèmes à haut risque, l'amende peut atteindre 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial, selon le montant le plus élevé. Pour les pratiques interdites (Article 5), l'amende monte à 35 millions d'euros ou 7 % du CA. Les PME bénéficient d'un régime proportionné, mais la sanction reste dissuasive.
Quels systèmes d'IA sont concernés par l'AI Act ?
L'EU AI Act s'applique à tout système qui génère des résultats (prédictions, recommandations, décisions) influençant des actions dans le monde réel. Les systèmes à haut risque sont listés à l'Annexe III : biométrie, infrastructure critique, éducation, emploi, services essentiels aux personnes, maintien de l'ordre, gestion des migrations, administration de la justice.
Comment obtenir de l'aide pour le diagnostic ?
Utilisez l'outil gratuit sur ai-act-service-desk.ec.europa.eu pour une première orientation. Pour un diagnostic complet avec analyse documentaire et plan d'action, faites appel à un prestataire spécialisé. Regulia propose un accompagnement adapté aux PME françaises de 10 à 250 salariés.
Quel est le coût estimé d'un diagnostic AI Act ?
Pour les PME, les outils en ligne sont gratuits. Un diagnostic réalisé par un cabinet externe coûte généralement entre 5 000 € et 20 000 € selon la complexité du parc IA et la taille de l'entreprise. Ce coût est marginal face aux amendes potentielles.
Quels sont les avantages de la conformité avec l'AI Act ?
La conformité réduit le risque d'amende, améliore la confiance des clients et partenaires, et facilite l'accès aux marchés publics et aux donneurs d'ordre qui exigent des garanties sur les systèmes d'IA utilisés par leurs sous-traitants.
7. Sanctions et conséquences
Les sanctions pour non-conformité à l'EU AI Act sont progressives selon la gravité de la violation. Voici les principaux seuils applicables aux PME :
| Type de violation | Base légale | Amende maximale |
|---|---|---|
| Pratiques interdites (Art. 5) | Art. 99 §1 | 35 M€ ou 7 % du CA mondial |
| Systèmes à haut risque non conformes | Art. 99 §3 | 15 M€ ou 3 % du CA mondial |
| Informations fausses aux autorités | Art. 99 §4 | 7,5 M€ ou 1,5 % du CA mondial |
Au-delà des amendes, une mise en demeure peut imposer la suspension ou le retrait du marché du système d'IA concerné. Pour une PME dont l'activité dépend d'un outil IA, c'est un risque opérationnel direct.
8. Avantages de la conformité
La conformité à l'EU AI Act n'est pas qu'un coût de mise en règle. Elle produit des bénéfices concrets.
Confiance des clients. Les clients professionnels et particuliers sont de plus en plus sensibles à l'usage éthique de l'IA. Un certificat de conformité ou un AIMS documenté est un argument commercial différenciant.
Accès aux marchés. Les marchés publics européens intègrent progressivement des clauses IA. Les PME conformes accèdent à des segments de marché fermés à leurs concurrents non conformes.
Amélioration des processus internes. Le diagnostic force à documenter les flux de décision automatisée. Cette documentation améliore la qualité des décisions, réduit les erreurs et facilite l'intégration de nouveaux collaborateurs.
Sources officielles
- Règlement (UE) 2024/1689 — EU AI Act (texte consolidé)
- EUR-Lex — texte officiel et actes délégués
- AI Act Service Desk — outil de classification gratuit
Avertissement — Cet article fournit une information générale et ne constitue pas un conseil juridique. Pour toute situation spécifique, consultez un juriste spécialisé en droit du numérique ou un consultant certifié ISO 42001.
Passez à l'action avant l'échéance 2026
Regulia accompagne les PME françaises dans leur diagnostic AI Act : inventaire, classification des risques, écarts documentaires et plan de conformité. Résultat en 5 jours ouvrés.
Démarrer mon diagnostic AI Act