1. Contexte du Digital Omnibus AI (DOAI) pour les PME
Le Digital Omnibus AI désigne l'ensemble des dispositions du Règlement (UE) 2024/1689 dit AI Act, devenues opérationnelles pour les systèmes d'IA à haut risque à partir de mai 2026. Cette régulation européenne cible directement les usages quotidiens de l'IA par les entreprises, y compris les PME françaises de 10 à 250 salariés.
Le DOAI couvre tous les secteurs où l'IA est déployée : ressources humaines, marketing, production, logistique, relation client. Aucune PME utilisant un système algorithmique de décision ou d'assistance n'échappe à son périmètre. Les obligations varient selon le niveau de risque du système concerné, suivant la classification de l'Article 6 du Règlement (UE) 2024/1689.
L'objectif central du DOAI est triple : garantir la sécurité des systèmes d'IA déployés, assurer leur transparence vis-à-vis des utilisateurs et personnes concernées, et imposer une éthique opérationnelle alignée avec les droits fondamentaux européens. Pour les PME, cela signifie repenser la gouvernance des outils d'IA, qu'ils soient développés en interne ou achetés à des fournisseurs tiers.
Pour comprendre le cadre global, consultez notre pillar sur l'AI Act pour les PME françaises. Il détaille les définitions, le calendrier et les classifications de risque applicables.
2. Obligations principales pour les PME
Les obligations imposées par le DOAI dépendent du rôle joué par la PME : déployeur (utilisateur professionnel) ou fournisseur (développeur ou intégrateur). La majorité des PME françaises sont des déployeurs au sens de l'Art. 3 du Règlement (UE) 2024/1689.
2.1 Évaluation d'impact de l'IA (EIAI)
L'EIAI est exigée pour les systèmes classés à haut risque, notamment ceux qui prennent ou assistent des décisions automatisées concernant des personnes : recrutement, évaluation des employés, octroi de crédit, accès à des services essentiels. L'Article 27 du Règlement (UE) 2024/1689 prévoit une analyse d'impact sur les droits fondamentaux (FRIA), particulièrement pour les déployeurs de droit public ou de services essentiels.
2.2 Documentation des processus d'IA
La traçabilité est au cœur du DOAI. Chaque PME doit enregistrer :
- Les données d'entraînement et de test utilisées par le système ;
- Les algorithmes employés et leurs versions successives ;
- Les décisions automatisées et leurs justifications ;
- Les incidents et corrections apportés au système.
Cette documentation est exigée pour une période minimale de dix ans après la mise sur le marché pour les fournisseurs (Art. 18 du Règlement (UE) 2024/1689).
2.3 Désignation d'un responsable IA (DIA)
Les PME de plus de 50 salariés déployant des systèmes à haut risque ont intérêt à désigner un responsable IA (DIA) en charge de la conformité, même si l'Art. 26 n'impose pas formellement un tel rôle pour tous les déployeurs [à vérifier]. Le DIA coordonne avec le DPO et le RSSI pour assurer la cohérence entre RGPD, sécurité et obligations AI Act.
| Obligation | Déployeur PME | Fournisseur PME | Base juridique |
|---|---|---|---|
| Évaluation FRIA | Si secteur essentiel | Non applicable | Art. 27 |
| Documentation technique | Conservation des consignes du fournisseur | Création et maintenance | Art. 11 et Art. 18 |
| Surveillance humaine | Obligatoire | À prévoir dans la conception | Art. 14 |
| Notification d'incident grave | Au fournisseur sans délai | À la CNIL et autorités de surveillance | Art. 73 |
3. Impact sur les processus existants
Le DOAI ne s'applique pas en vase clos. Il s'intègre avec deux piliers déjà bien implantés dans les PME françaises : le RGPD et les référentiels ISO.
3.1 Articulation avec le RGPD
Lorsqu'un système d'IA traite des données personnelles, le RGPD s'applique pleinement. Les PME doivent garantir les droits des personnes concernées : accès, rectification, opposition, et droit de ne pas faire l'objet d'une décision exclusivement automatisée (Article 22 du RGPD). Le DOAI renforce ces obligations en imposant la transparence sur le fonctionnement des algorithmes.
La CNIL a publié des fiches pratiques IA qui détaillent ces interactions. Elles couvrent la base légale, la minimisation des données, et la documentation des analyses d'impact (AIPD).
3.2 Alignement avec ISO/IEC 42001:2023
La norme ISO/IEC 42001:2023 fournit un cadre de management de l'IA (AIMS) directement utilisable pour structurer la conformité au DOAI. Elle couvre la politique IA, l'analyse des risques, la gestion du cycle de vie et l'amélioration continue. Une PME certifiée ISO/IEC 42001 dispose déjà d'une base solide pour démontrer sa conformité au Règlement (UE) 2024/1689.
3.3 Audit des systèmes d'IA existants
Avant tout déploiement, un audit interne est nécessaire pour cartographier les systèmes d'IA en service. Ce recensement identifie :
- Les usages d'IA dans les processus métier ;
- Le niveau de risque selon la classification AI Act ;
- Les obligations applicables par catégorie ;
- Les écarts de conformité à combler.
Besoin d'un cadre documentaire prêt à l'emploi ?
regulia propose un pack documentaire conforme au DOAI : politique IA, registre des systèmes, modèles d'EIAI et procédures de surveillance humaine.
Demander le pack documentaire4. Coûts et ressources nécessaires
La mise en conformité au DOAI représente un investissement non négligeable pour une PME. Il faut anticiper trois postes de dépense principaux.
4.1 Budget estimé
Selon une étude CNIL 2026 [à vérifier], le coût de mise en conformité représente entre 15 % et 25 % du budget IT annuel pour une PME utilisant un ou plusieurs systèmes d'IA à haut risque. Ce budget couvre l'audit initial, la mise à niveau documentaire, la formation et les éventuels outils de gouvernance.
| Poste de dépense | Coût estimé PME 50 salariés | Coût estimé PME 200 salariés |
|---|---|---|
| Audit initial des systèmes IA | 5 000 € à 15 000 € | 15 000 € à 40 000 € |
| Documentation et procédures | 3 000 € à 8 000 € | 8 000 € à 20 000 € |
| Formation du personnel | 2 000 € à 5 000 € | 5 000 € à 15 000 € |
| Outils de gouvernance IA | 1 500 € à 6 000 € / an | 6 000 € à 25 000 € / an |
| Expertise externe (DPO/conseil) | 4 000 € à 10 000 € | 10 000 € à 30 000 € |
Ces fourchettes sont indicatives et varient selon la complexité des systèmes et la maturité existante de la gouvernance des données.
4.2 Ressources humaines
La conformité au DOAI nécessite des compétences croisées : juridique, technique, sécurité, éthique. Les PME doivent prévoir un programme de formation continue pour leur personnel concerné. Les rôles habituellement impliqués sont le DPO, le RSSI, le responsable IT, et un référent métier.
4.3 Aides financières
Des subventions régionales sont disponibles pour les PME de moins de 250 salariés engagées dans une démarche de conformité IA [à vérifier]. Les chambres de commerce et BPI France relaient ces dispositifs. Le programme européen Digital Europe Programme finance également des audits et des montées en compétences sur l'IA de confiance.
5. Sanctions et risques pour les PME
L'Article 99 du Règlement (UE) 2024/1689 fixe le régime de sanctions. Les amendes administratives sont structurées en trois niveaux selon la gravité du manquement.
| Type de manquement | Plafond amende | Pourcentage CA mondial annuel |
|---|---|---|
| Pratiques interdites (Art. 5) | 35 millions € | 7 % |
| Non-respect d'autres obligations | 15 millions € | 3 % |
| Information incorrecte aux autorités | 7,5 millions € | 1 % |
Le montant retenu est le plus élevé entre la somme forfaitaire et le pourcentage du chiffre d'affaires. Pour les PME et startups, l'Art. 99 prévoit que l'amende correspond au montant le plus bas, en cohérence avec le principe de proportionnalité. Pour le détail, consultez notre article dédié aux sanctions et amendes AI Act pour les PME.
5.1 Risques réputationnels
Au-delà des amendes, une non-conformité publique entraîne une perte de confiance : clients, partenaires commerciaux, investisseurs et candidats au recrutement. Dans un marché où la confiance numérique devient un critère d'achat, le risque réputationnel peut peser plus lourd que la sanction financière elle-même.
5.2 Risques juridiques
Les personnes concernées (employés, candidats, clients) peuvent engager des procédures civiles ou pénales en cas de décision automatisée illicite. Le règlement européen sur la responsabilité des produits défectueux étend cette exposition aux systèmes d'IA depuis fin 2024 [à vérifier].
6. Outils et ressources disponibles
Plusieurs ressources gratuites ou peu coûteuses facilitent la mise en conformité au DOAI pour les PME.
6.1 Service desk européen
Le service desk AI Act de la Commission européenne propose :
- Une foire aux questions actualisée par l'AI Office ;
- Des guides pratiques sectoriels ;
- Un canal de questions-réponses pour les opérateurs économiques.
6.2 Ressources CNIL
La CNIL met à disposition treize fiches pratiques IA couvrant la base légale, l'AIPD, la sécurité et la transparence. Le site cnil.fr est actualisé régulièrement en fonction des positions de l'AI Office et du Comité européen de la protection des données.
6.3 Outils open-source
Plusieurs plateformes open-source permettent de mener un audit interne de ses systèmes d'IA sans investissement majeur. Elles couvrent l'analyse de biais, la documentation de modèles (model cards) et le suivi des incidents. Ces outils ne remplacent pas un avis juridique mais structurent la démarche technique.
6.4 Glossaire et sources regulia
Pour les définitions précises des termes clés (système à haut risque, modèle GPAI, déployeur, fournisseur), consultez notre glossaire. La page sources officielles recense les textes et publications de référence.
7. Exemples concrets de mise en œuvre
Trois cas types illustrent l'application du DOAI à des PME françaises.
7.1 Cas 1 — PME de 100 salariés, IA de recrutement
Une entreprise utilise un outil d'IA pour présélectionner les candidatures. Le système est classé à haut risque au sens de l'Annexe III du Règlement (UE) 2024/1689 (emploi et gestion des travailleurs). Obligations principales :
- Évaluation d'impact sur les droits fondamentaux (Art. 27) si le déployeur est dans le périmètre concerné ;
- Information claire des candidats sur l'usage de l'IA ;
- Surveillance humaine effective des décisions ;
- Registre des systèmes IA tenu à jour ;
- Coopération avec le fournisseur sur les incidents.
7.2 Cas 2 — PME de 50 salariés, recommandation client
Une PME e-commerce déploie un moteur de recommandation produit. Le système n'est pas considéré comme à haut risque mais reste soumis aux obligations de transparence (Art. 50) si les utilisateurs interagissent avec un système d'IA, par exemple un chatbot. Obligations principales :
- Information explicite des utilisateurs sur la nature IA de l'interaction ;
- Documentation simplifiée des données utilisées ;
- Articulation avec le RGPD si profilage ;
- Désignation interne d'un référent IA.
7.3 Cas 3 — PME de 200 salariés, IA pour gestion des stocks
Une PME industrielle utilise une IA de prévision de stocks. L'usage n'est ni interdit ni à haut risque. Le DOAI impose néanmoins une bonne gouvernance générale, idéalement structurée selon la norme ISO/IEC 42001:2023. Cette PME peut viser une certification AIMS pour démontrer sa maîtrise du cycle de vie des modèles.
Cartographiez vos systèmes d'IA en moins d'une heure
Le formulaire regulia vous oriente vers le pack documentaire adapté à votre profil PME (10-250 salariés) et à vos systèmes d'IA déployés.
Démarrer le diagnostic8. Évolution future et préparation pour 2027
Le calendrier du Règlement (UE) 2024/1689 prévoit des échéances successives jusqu'en août 2027. Les PME doivent anticiper ces étapes pour ne pas subir un effet retardé.
8.1 Renforcement des obligations 2027
À partir d'août 2027, l'ensemble des dispositions relatives aux systèmes à haut risque de l'Annexe I (produits déjà soumis à une harmonisation européenne : machines, jouets, dispositifs médicaux, etc.) devient pleinement applicable. Les PME concernées comme intégrateurs ou distributeurs doivent s'y préparer dès maintenant.
8.2 Sanctions accrues pour systèmes non conformes
Au-delà des amendes, les autorités de surveillance peuvent ordonner le retrait du marché ou l'interdiction d'usage des systèmes non conformes (Art. 79 du Règlement (UE) 2024/1689). Cet outil de pouvoir de marché peut peser lourd sur l'activité d'une PME dépendante d'un outil défaillant.
8.3 Plan de préparation recommandé
| Action | Échéance recommandée | Responsable interne |
|---|---|---|
| Cartographie initiale des systèmes IA | T+1 mois | DPO ou RSSI |
| Classification AI Act des systèmes | T+2 mois | Référent IA |
| Plan d'action conformité | T+3 mois | Comité de direction |
| Mise à jour de la documentation | T+6 mois | Référent IA + DPO |
| Audit annuel | T+12 mois puis chaque année | DPO ou audit externe |
| Formation continue du personnel | Continue | RH + RSSI |
FAQ
Q : Quelles sont les obligations principales pour une PME de 50 salariés utilisant une IA pour la gestion des RH ?
Une PME de 50 salariés utilisant une IA de gestion des RH déploie probablement un système à haut risque au sens de l'Annexe III du Règlement (UE) 2024/1689. Elle doit organiser une surveillance humaine effective, documenter les processus de décision et informer les salariés et candidats. Désigner un référent IA en interne facilite la coordination avec le DPO. Le service desk européen (ai-act-service-desk.ec.europa.eu) propose des guides spécifiques pour ce type de cas.
Q : Comment une PME peut-elle évaluer l'impact de l'IA sans budget important ?
Plusieurs leviers existent. Les outils open-source d'audit de modèles permettent une analyse technique sans licence. Les guides du service desk européen et de la CNIL fournissent une méthodologie gratuite. L'évaluation initiale peut être pilotée par l'équipe IT existante après une formation ciblée. Pour les PME de moins de 250 salariés, des subventions régionales et le programme Digital Europe peuvent couvrir une partie des coûts [à vérifier].
Q : Quelles sont les sanctions pour une PME qui ne se conforme pas au DOAI ?
Les sanctions administratives peuvent atteindre 7 % du chiffre d'affaires mondial annuel, jusqu'à 35 millions € pour les pratiques interdites (Art. 99 du Règlement (UE) 2024/1689). Pour les PME et startups, l'amende correspond au montant le plus bas entre la somme forfaitaire et le pourcentage du chiffre d'affaires. Au-delà des amendes, la PME s'expose à une obligation de retrait du marché et à des actions civiles de personnes concernées. Consultez notre article dédié aux sanctions AI Act pour les PME pour le détail.
Q : Comment le DOAI interagit-il avec le RGPD pour les PME ?
Le DOAI et le RGPD s'appliquent en parallèle dès qu'un système d'IA traite des données personnelles. Les PME doivent garantir les droits d'accès, de rectification et d'opposition prévus par le RGPD, ainsi que les garanties contre les décisions exclusivement automatisées (Article 22 du RGPD). Le DOAI ajoute des obligations de documentation, de transparence et de surveillance humaine. La norme ISO/IEC 42001:2023 offre un cadre d'intégration cohérent. Les fiches pratiques IA de la CNIL détaillent ces interactions.
Q : Où une PME peut-elle trouver de l'aide pour se conformer au DOAI ?
Plusieurs ressources gratuites sont disponibles. Le service desk européen (ai-act-service-desk.ec.europa.eu) propose une FAQ et un canal de questions-réponses. La CNIL publie treize fiches pratiques IA actualisées régulièrement. Le site regulia propose des articles dédiés (AI Act pour les PME françaises, sanctions et amendes) et un glossaire des termes clés. Des partenaires certifiés proposent formations et audits sur devis.
Sources officielles
- Texte intégral consolidé de l'AI Act — artificialintelligenceact.eu
- Règlement (UE) 2024/1689 — EUR-Lex
- Fiches pratiques IA — CNIL
- AI Act Service Desk — Commission européenne
- ISO/IEC 42001:2023 — Information technology — Artificial intelligence — Management system
- ISO/IEC 23894:2023 — Information technology — Artificial intelligence — Guidance on risk management
- ISO/IEC 27001:2022 — Information security management systems
- Cigref — Guide AI Act, janvier 2025
- Numeum — Guide AI Act, mars 2025
Disclaimer. Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.