Direction générale et AI Act : responsabilité, engagement, signature politique IA

Q: Quelle est la responsabilité de la direction générale en matière d'IA ?

La direction générale est responsable de la conformité de l'IA utilisée par l'entreprise (Article 60 AI Act). Elle doit veiller à ce que les systèmes d'IA respectent les règles de l'AI Act et du RGPD-IA, et mettre en place des processus de gouvernance IA. Elle doit également s'assurer que les données personnelles sont protégées et que les risques liés à l'IA sont évalués et gérés.

Q: Quelles sont les sanctions en cas de non-respect de l'AI Act ?

Les sanctions pour non-respect de l'AI Act peuvent atteindre 50 millions d'euros pour les PME (Article 60). En cas de non-respect grave, des poursuites pénales peuvent être engagées. Les sanctions peuvent également avoir un impact sur la réputation de l'entreprise et entraîner des dommages financiers supplémentaires. Il est donc crucial de se conformer à l'AI Act pour éviter ces conséquences.

Q: Quel est le rôle du DPO dans l'AI Act ?

Le DPO (Délégué à la Protection des Données) supervise la conformité du RGPD-IA et de l'AI Act. Il doit veiller à ce que les systèmes d'IA respectent les règles de protection des données personnelles et identifier les risques liés à l'IA. Le DPO doit également collaborer avec le RSSI et la direction générale pour assurer la conformité et réaliser des audits réguliers.

Q: Comment mettre en œuvre la signature politique IA ?

Pour mettre en œuvre la signature politique IA, la direction générale doit d'abord réaliser un audit des systèmes d'IA en place. Ensuite, elle doit définir des politiques internes de conformité, former le personnel, et documenter les processus. Il est également important d'établir un comité de pilotage IA et de suivre régulièrement les indicateurs de conformité pour s'assurer que l'entreprise reste en conformité avec l'AI Act.

Q: Quelles ressources sont disponibles pour les PME ?

Les PME peuvent accéder à plusieurs ressources pour se conformer à l'AI Act. Le CNIL propose un guide pratique de l'AI Act pour les PME. Il existe également un outil d'auto-évaluation de conformité et un service desk européen AI Act pour obtenir de l'aide. En outre, les entreprises peuvent consulter le glossaire de l'AI Act et les sources officielles pour se tenir informées des dernières évolutions.

L'essentiel en 30 secondes

La direction générale porte la responsabilité ultime de la conformité des systèmes d'IA déployés ou fournis par l'entreprise (Article 16 et Article 26 du Règlement (UE) 2024/1689).
Les sanctions financières peuvent atteindre 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial (Art. 99 AI Act), avec un plafonnement adapté aux PME.
La signature de la politique IA est un acte formel d'engagement de la direction, exigé par la norme ISO/IEC 42001:2023 (clause 5.1).
Le DPO et le RSSI doivent rendre compte à la direction générale via une gouvernance documentée.
L'AI Act s'applique dès qu'une PME française utilise, intègre ou met sur le marché un système d'IA, quel que soit son secteur.
La documentation du processus de conformité (registre, politique, preuves) conditionne la défense en cas de contrôle.

L'EU AI Act entre en application par étapes depuis le 1er août 2024. Les obligations sur les systèmes à haut risque deviennent pleinement contraignantes le 2 août 2026. Pour une PME française, la première décision n'est pas technique : c'est une décision de gouvernance. Le dirigeant signe — ou ne signe pas — la politique IA de l'entreprise. Cette signature engage sa responsabilité personnelle et celle de la structure.

Cet article s'adresse aux dirigeants de PME (10 à 250 salariés), aux DPO, RSSI et IA Lead qui préparent l'arbitrage exécutif. Il détaille ce que le dirigeant doit comprendre, signer et faire signer.

1. Responsabilité de la direction générale dans l'AI Act

Le Règlement (UE) 2024/1689 ne nomme pas explicitement le « dirigeant ». Il définit deux rôles : le fournisseur (Art. 3, point 3) et le déployeur (Art. 3, point 4). Selon les cas, la PME endosse l'un, l'autre, ou les deux. La direction générale assume juridiquement les obligations attachées à ces rôles.

Trois axes de responsabilité concrets s'imposent :

Garantir la conformité des IA utilisées. Le déployeur doit s'assurer que le système est utilisé conformément à sa notice (Art. 26, §1) et qu'une supervision humaine effective est en place (Art. 26, §2).
Mettre en place une gouvernance documentée. L'absence de processus formalisés expose à un risque probatoire majeur en cas de contrôle CNIL ou de l'autorité de surveillance nationale désignée.
Articuler RGPD et AI Act. Le considérant 10 du Règlement précise que le texte est sans préjudice du RGPD. Les obligations d'accountability de l'Article 5(2) RGPD se cumulent avec celles de l'AI Act.

La responsabilité de la direction est aussi reconnue par la norme ISO/IEC 42001:2023, qui impose à la « top management » de démontrer son leadership et son engagement à l'égard du système de management de l'IA (clause 5.1).

Pour cadrer rapidement votre périmètre, consultez la vue d'ensemble AI Act pour PME françaises.

2. L'engagement politique : signature et processus

La signature de la politique IA n'est pas un rituel symbolique. C'est l'acte fondateur d'un système de management de l'IA conforme à ISO/IEC 42001 et opposable aux tiers (clients, autorités, salariés).

Le processus type comprend quatre étapes :

Rédaction d'une politique IA cadre définissant les usages autorisés, interdits et soumis à validation.
Validation par le comité de direction après consultation du DPO et du RSSI.
Signature datée du représentant légal, intégrée au registre des décisions.
Communication interne à l'ensemble des collaborateurs avec accusé de lecture.

La politique doit explicitement traiter : les objectifs de conformité, l'allocation des ressources humaines et financières, les rôles et responsabilités, le mécanisme de revue annuelle. Sans ces éléments, le document n'est pas opposable.

Élément de la politique IA	Source normative	Caractère
Objectifs de conformité	ISO/IEC 42001:2023 §5.2	Obligatoire
Engagement de ressources	ISO/IEC 42001:2023 §5.1	Obligatoire
Rôles et responsabilités	ISO/IEC 42001:2023 §5.3	Obligatoire
Articulation RGPD	RGPD Art. 24	Obligatoire si données personnelles
Périmètre des systèmes à haut risque	AI Act Art. 6 et Annexe III	Obligatoire si applicable
Mécanisme de revue	ISO/IEC 42001:2023 §9.3	Obligatoire

Besoin d'un modèle de politique IA prêt à signer ?

regulia met à disposition un pack documentaire conforme ISO/IEC 42001 et AI Act, structuré pour les PME françaises. Réception sous 48 heures.

Demander le pack documentaire

3. Implications de la signature politique pour les PME

Une fois la politique signée, la PME entre dans un régime d'obligations vérifiables. La direction générale ne peut plus invoquer l'ignorance.

Trois implications structurent l'après-signature :

Documentation continue. Chaque système d'IA déployé doit figurer dans un inventaire interne, avec sa qualification (risque minimal, limité, élevé, inacceptable) au sens des Art. 5, 6, 50 et 95.
Formation du personnel. L'Article 4 du Règlement impose aux fournisseurs et déployeurs de garantir un « niveau suffisant de maîtrise de l'IA » de leurs équipes. Cette obligation est entrée en application le 2 février 2025.
Évaluation régulière des risques. Les systèmes à haut risque exigent un système de gestion des risques tout au long du cycle de vie (Art. 9).

La signature engage donc à un cycle PDCA (Plan-Do-Check-Act) durable, pas à un acte ponctuel. Toute dérogation doit être motivée et tracée.

4. Rôles du DPO et du RSSI dans l'AI Act

L'AI Act ne crée pas de fonction équivalente au DPO du RGPD. Le Règlement parle d'« autorité de surveillance », mais cette autorité est externe (en France, à désigner officiellement — la CNIL et l'ARCOM sont pressenties [à vérifier selon le décret d'application]).

À l'interne, deux fonctions structurent la conformité opérationnelle :

Fonction	Périmètre principal	Texte de référence
DPO (Délégué à la Protection des Données)	Conformité RGPD-IA, droits des personnes, AIPD	RGPD Art. 37-39
RSSI (Responsable Sécurité SI)	Sécurité technique, intégrité, robustesse	ISO/IEC 27001:2022
Référent IA / IA Lead	Inventaire, classification AI Act, supervision humaine	ISO/IEC 42001:2023

La direction générale doit organiser leur collaboration via un comité de pilotage IA mensuel ou trimestriel. Sans cette articulation, les risques juridiques (RGPD), techniques (cybersécurité) et opérationnels (qualité des décisions IA) restent dispersés.

Pour une définition précise de chaque rôle et acronyme, consultez le glossaire AI Act regulia.

5. Sanctions en cas de non-respect

L'Article 99 du Règlement (UE) 2024/1689 fixe le régime des sanctions administratives. Les montants varient selon la nature de la violation.

Type de violation	Plafond	Base juridique
Pratiques interdites (Art. 5)	35 M€ ou 7 % du CA mondial	Art. 99 §3
Violation des obligations sur systèmes à haut risque	15 M€ ou 3 % du CA mondial	Art. 99 §4
Information incorrecte aux autorités	7,5 M€ ou 1 % du CA mondial	Art. 99 §5

Le Règlement prévoit une adaptation pour les PME et start-ups : l'amende correspond au montant le plus bas entre le pourcentage du chiffre d'affaires et le plafond fixe (Art. 99 §6). Cette disposition limite l'impact pour une structure de 10 à 250 salariés, sans pour autant rendre les sanctions négligeables.

Au-delà de l'amende, trois conséquences indirectes pèsent lourd :

Exclusion des marchés publics pour la durée d'une éventuelle suspension.
Atteinte réputationnelle documentée par les autorités de surveillance.
Action récursoire des clients en cas de préjudice dérivé.

Pour le détail du calcul applicable à votre structure, consultez l'article dédié sanctions AI Act et amendes PME.

6. Étapes pour mettre en œuvre la signature politique

Une PME peut bâtir son socle de conformité en six étapes, sur 90 à 120 jours.

Audit des systèmes d'IA en place. Recenser tout outil utilisant IA : CRM, chatbot, scoring RH, outil de modération, IA générative interne ou SaaS.
Classification AI Act. Qualifier chaque système (risque minimal, limité, élevé, inacceptable) selon les Art. 5, 6 et Annexe III.
Définition des politiques internes. Politique IA cadre, politique d'usage acceptable, procédure de validation des nouveaux outils.
Formation du personnel. Sessions obligatoires sur les principes AI Act, les usages interdits, les obligations de transparence (Art. 50).
Documentation et mise en conformité. Registre des systèmes, AIPD le cas échéant, contrats fournisseurs IA mis à jour.
Signature et publication interne. Engagement formel de la direction, communication à tous les salariés, archivage opposable.

Chaque étape produit un livrable opposable. L'absence de l'un d'eux fragilise l'ensemble du dispositif.

Démarrer la conformité AI Act en 90 jours

Auditez vos systèmes d'IA, classez-les, documentez-les. regulia fournit les modèles, vous gardez le contrôle de la décision. Pack PME inclus.

Obtenir le pack conformité

7. Outils et ressources pour les PME

Plusieurs ressources gratuites permettent de structurer le projet sans investissement initial lourd.

Les 13 fiches pratiques IA de la CNIL couvrent le périmètre d'usage, l'AIPD, l'information des personnes et la transparence. Source incontournable pour articuler RGPD et AI Act.
Le service desk AI Act de la Commission européenne répond aux questions d'interprétation du Règlement à destination des entreprises.
Le guide AI Act du Cigref (janvier 2025) et le guide Numeum (mars 2025) [à vérifier selon les dernières publications] proposent un cadre de mise en œuvre côté industrie.
Les normes ISO/IEC 42001:2023 (management de l'IA) et 23894:2023 (gestion des risques IA) structurent l'approche par système.

Ces ressources se complètent. Aucune ne dispense d'une lecture directe du Règlement (UE) 2024/1689 disponible sur EUR-Lex et du texte consolidé sur artificialintelligenceact.eu.

Pour la liste complète des références officielles regulia, consultez la page sources.

8. Bonnes pratiques pour la direction générale

Au-delà des obligations légales minimales, trois bonnes pratiques distinguent les PME en avance sur leurs concurrentes.

Intégrer l'IA dans la stratégie globale. Le sujet ne doit pas rester au seul niveau DSI. Le comité de direction arbitre les usages, le budget et le risque acceptable.
Établir un comité de pilotage IA. Cadence trimestrielle minimum, présidé par la direction générale, avec DPO, RSSI, métier et juridique. Les décisions sont tracées.
Suivre des indicateurs de conformité. Nombre de systèmes inventoriés, taux de classification à jour, taux de formation, incidents IA documentés. Ces KPI sont reportés au conseil ou au comité d'audit.

La signature politique IA n'est pas une charge administrative. C'est un levier d'alignement entre la stratégie, la conformité et la confiance des parties prenantes — clients, salariés, investisseurs, autorités.

FAQ

Quelle est la responsabilité de la direction générale en matière d'IA ?

La direction générale assume la responsabilité juridique des obligations du fournisseur (Art. 16) ou du déployeur (Art. 26) selon le rôle de l'entreprise. Elle doit garantir que les systèmes d'IA respectent l'AI Act et le RGPD, mettre en place une gouvernance documentée et veiller à la protection des données. Le dirigeant doit également démontrer son leadership conformément à la clause 5.1 d'ISO/IEC 42001:2023.

Quelles sont les sanctions en cas de non-respect de l'AI Act ?

L'Article 99 du Règlement (UE) 2024/1689 prévoit des amendes administratives jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour les pratiques interdites, 15 millions ou 3 % pour les violations sur systèmes à haut risque, 7,5 millions ou 1 % pour information incorrecte. Pour les PME, c'est le montant le plus bas qui s'applique (Art. 99 §6).

Quel est le rôle du DPO dans l'AI Act ?

Le DPO supervise la conformité RGPD lorsque le système d'IA traite des données personnelles. Il pilote l'AIPD, conseille la direction et coopère avec la CNIL. L'AI Act ne crée pas de fonction équivalente au DPO, mais le DPO devient de facto un acteur central de la conformité IA quand l'IA traite des données à caractère personnel.

Comment mettre en œuvre la signature politique IA ?

La direction réalise d'abord un audit et une classification des systèmes d'IA selon l'AI Act. Elle rédige ensuite une politique IA cadre couvrant objectifs, ressources, rôles et revue. Le représentant légal la signe et la date. La politique est communiquée à tous les salariés avec accusé de lecture, puis revue annuellement.

Quelles ressources sont disponibles pour les PME ?

Les PME accèdent gratuitement aux 13 fiches pratiques IA de la CNIL, au service desk AI Act de la Commission européenne, au texte consolidé du Règlement sur artificialintelligenceact.eu, aux normes ISO/IEC 42001 et 23894 (payantes), et aux guides sectoriels Cigref et Numeum. regulia fournit en complément un pack documentaire structuré pour PME françaises.

Sources officielles

Règlement (UE) 2024/1689 — texte consolidé — version intégrale annotée
EUR-Lex — Règlement IA officiel — référence juridique UE
CNIL — fiches pratiques IA — articulation RGPD et IA
AI Act Service Desk — Commission européenne — guichet officiel d'interprétation

Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.

Direction générale et AI Act : responsabilité, engagement et signature de la politique IA