L'essentiel en 30 secondes - Le Règlement (UE) 2024/1689 (« AI Act ») entre en application générale le 2 août 2026 et ajoute des obligations spécifiques à la fonction de DPO sans la créer formellement : la nomination du DPO reste régie par l'article 37 du RGPD. - Les PME françaises de 10 à 250 salariés qui déploient un système d'IA à haut risque au sens de l'Article 6 du Règlement (UE) 2024/1689 doivent documenter une analyse d'impact spécifique et coopérer avec les autorités compétentes (Art. 26). - Les sanctions de l'AI Act atteignent jusqu'à 35 M€ ou 7 % du chiffre d'affaires mondial annuel pour les pratiques interdites de l'Article 5, et jusqu'à 15 M€ ou 3 % pour les autres manquements (Art. 99). - Le RGPD reste pleinement applicable : l'AI Act vient compléter, pas remplacer, le cadre de protection des données personnelles. - Ressources de référence : la CNIL via ses fiches pratiques IA, l'AI Office EU via l'AI Act Service Desk, et le pillar regulia « AI Act pour PME France ». - Délai utile : la majorité des obligations s'appliquent dès le 2 août 2026 (Art. 113), avec un calendrier différencié pour les systèmes à haut risque déjà sur le marché.
1. Contexte : AI Act 2026 et rôle du DPO
Le Règlement (UE) 2024/1689 du 13 juin 2024, dit « AI Act », établit un cadre harmonisé pour la mise sur le marché et l'usage des systèmes d'intelligence artificielle dans l'Union. Il est entré en vigueur le 1er août 2024 et devient pleinement applicable le 2 août 2026 pour la plupart de ses dispositions (Article 113 du Règlement (UE) 2024/1689).
Le texte ne crée pas la fonction de DPO. La désignation reste régie par l'article 37 du RGPD : elle s'impose dès lors que le traitement implique un suivi systématique à grande échelle ou des catégories particulières de données. En revanche, l'AI Act confie au déployeur (Art. 26) des tâches opérationnelles que la PME confiera, en pratique, à son DPO ou à un binôme DPO + IA Lead.
Pour les PME françaises, trois éléments structurent la lecture du texte : - la classification de risque du système (Art. 6 et Annexe III), - la qualité juridique de l'entreprise (fournisseur, déployeur, distributeur, importateur — Art. 3), - la chaîne d'obligations qui découle de ces deux critères.
Le DPO devient l'interface naturelle entre ces dispositions et l'organisation, notamment parce que la plupart des systèmes d'IA traitent des données personnelles et tombent simultanément sous le RGPD.
2. Nouvelles obligations du DPO sous l'AI Act
L'AI Act n'attribue pas formellement de mission au DPO, mais plusieurs obligations du déployeur relèvent naturellement de son périmètre. Voici les principales à intégrer dans la feuille de route DPO pour 2026.
Vérification de l'usage conforme du système. L'Article 26 du Règlement (UE) 2024/1689 impose au déployeur d'utiliser un système d'IA à haut risque conformément à la notice d'instructions du fournisseur. Le DPO documente cette vérification et trace les écarts.
Surveillance humaine effective. Le déployeur doit confier la surveillance à des personnes physiques compétentes, formées et dotées de l'autorité nécessaire (Art. 26 § 2). Le DPO consigne les profils retenus et les modalités de supervision.
Analyse d'impact sur les droits fondamentaux (FRIA). L'Article 27 du Règlement (UE) 2024/1689 impose une analyse d'impact sur les droits fondamentaux pour certains déployeurs publics et opérateurs de services essentiels avant la première utilisation d'un système à haut risque. Le DPO articule cette FRIA avec l'AIPD prévue par l'article 35 du RGPD.
Information des personnes concernées. L'Article 26 § 11 du Règlement (UE) 2024/1689 impose d'informer les personnes physiques exposées à une décision prise ou assistée par un système d'IA à haut risque. Le DPO ajuste les mentions d'information existantes.
Conservation des journaux. Le déployeur conserve automatiquement les logs générés par le système, pendant une période adaptée à sa finalité (Art. 26 § 6). Le DPO articule cette durée avec la politique de rétention RGPD.
Coopération avec les autorités. Le déployeur coopère avec les autorités nationales compétentes (Art. 26 § 12). En France, cette autorité est en cours de désignation [à vérifier] — la CNIL et l'ARCOM sont pressenties pour différents périmètres.
3. Comparaison avec le RGPD classique
Le RGPD et l'AI Act s'appliquent simultanément, sans hiérarchie. Le tableau ci-dessous synthétise les différences structurantes pour la fonction DPO.
| Dimension | RGPD (Règlement (UE) 2016/679) | AI Act (Règlement (UE) 2024/1689) |
|---|---|---|
| Objet | Protection des données personnelles | Sécurité et droits fondamentaux face aux systèmes d'IA |
| Périmètre | Tout traitement de données personnelles | Systèmes d'IA mis sur le marché ou utilisés dans l'UE |
| Approche risque | Risque pour les personnes concernées | Pyramide à 4 niveaux : inacceptable, haut risque, risque limité, risque minimal |
| Désignation DPO | Article 37 RGPD, sous conditions | Pas d'obligation directe ; tâches transférées via Art. 26 |
| Analyse d'impact | AIPD — Art. 35 RGPD | FRIA — Art. 27 AI Act (déployeurs spécifiques) |
| Documentation | Registre des traitements (Art. 30) | Journalisation, notice d'usage, traçabilité (Art. 26) |
| Sanctions max | 20 M€ ou 4 % du CA mondial (Art. 83 RGPD) | 35 M€ ou 7 % du CA mondial (Art. 99 AI Act) |
| Autorité de contrôle FR | CNIL | Autorité nationale compétente, en cours de désignation [à vérifier] |
| Calendrier | Applicable depuis 2018 | Application générale au 2 août 2026 (Art. 113) |
Le DPO conserve son rôle d'expert RGPD. Il acquiert un rôle de coordinateur AI Act, sans pour autant porter seul l'expertise technique requise par l'Article 26. Le binôme avec un IA Lead ou un RSSI devient en pratique nécessaire dès qu'un système à haut risque entre dans le périmètre.
Cartographier votre exposition AI Act
Votre PME utilise un outil d'IA pour le recrutement, la notation client ou la maintenance prédictive ? Ces usages peuvent relever de l'Annexe III du Règlement (UE) 2024/1689. Identifiez votre niveau de risque avant le 2 août 2026.
Demander un diagnostic regulia4. Risques pour les PME en cas de non-conformité
Trois familles de risques pèsent sur la PME qui ne traite pas le sujet AI Act au niveau du DPO.
Risque financier. L'Article 99 du Règlement (UE) 2024/1689 prévoit trois plafonds de sanction : - jusqu'à 35 M€ ou 7 % du chiffre d'affaires mondial annuel pour les pratiques interdites de l'Article 5, - jusqu'à 15 M€ ou 3 % pour les manquements aux obligations des fournisseurs et déployeurs, - jusqu'à 7,5 M€ ou 1 % pour les informations incorrectes, incomplètes ou trompeuses fournies à l'autorité.
Pour les PME et start-ups, le montant retenu est le plus faible des deux (Art. 99 § 6), ce qui constitue un mécanisme de proportionnalité explicite. Les détails par tranche sont développés dans l'article « Sanctions AI Act pour PME : amendes et calculateur ».
Risque juridique civil. L'AI Act se combine avec la proposition de directive sur la responsabilité en matière d'IA [à vérifier] et avec le régime général de responsabilité du fait des produits défectueux révisé par la directive (UE) 2024/2853. Une PME qui déploie un système d'IA non conforme s'expose à une action en réparation engagée par une personne physique lésée.
Risque réputationnel et commercial. Les donneurs d'ordre — secteur public, grands comptes, opérateurs de services essentiels — exigent désormais une preuve documentaire de conformité AI Act dans les appels d'offres. L'absence de DPO formé à l'AI Act devient un motif d'éviction.
5. Outils et ressources pour les DPO
Le DPO d'une PME française dispose de quatre familles de ressources fiables. Aucune ne se substitue à une analyse cas par cas, mais elles structurent la veille.
CNIL. La CNIL publie depuis 2024 une série de fiches pratiques IA portant sur la base légale, la qualification des acteurs, l'AIPD adaptée aux systèmes d'IA, la sécurité du développement et le respect des droits des personnes. Ces fiches sont disponibles sur cnil.fr.
AI Office EU. La Commission européenne a institué l'AI Office au sein de la DG CONNECT, qui anime l'AI Act Service Desk pour répondre aux questions des opérateurs. L'accès se fait via ai-act-service-desk.ec.europa.eu.
Normes techniques. Trois normes structurent la mise en œuvre : - ISO/IEC 42001:2023 — système de management de l'IA, - ISO/IEC 23894:2023 — gestion des risques liés à l'IA, - ISO/IEC 27001:2022 — sécurité de l'information.
L'adoption d'ISO/IEC 42001 facilite la démonstration de conformité aux obligations de gouvernance prévues par l'AI Act, sans en garantir automatiquement la conformité juridique.
Guides professionnels. Le Cigref a publié en janvier 2025 un guide AI Act à destination des directions des systèmes d'information [à vérifier]. Numeum a publié un guide complémentaire en mars 2025 [à vérifier]. Ces deux documents couvrent les angles morts opérationnels.
Le glossaire regulia /glossaire.html recense les définitions opposables issues de l'Article 3 du Règlement (UE) 2024/1689 et facilite l'alignement terminologique entre DPO, RSSI et métiers.
6. Étapes pour se conformer à l'AI Act
La trajectoire DPO se déploie en six étapes, à séquencer avant le 2 août 2026.
- Inventaire des systèmes d'IA. Le DPO recense, avec la DSI, tous les systèmes d'IA développés ou utilisés. Le périmètre inclut les outils SaaS embarquant de l'IA générative et les modules d'IA intégrés à des progiciels métier.
- Qualification juridique. Pour chaque système, déterminer si la PME agit comme fournisseur, déployeur, distributeur ou importateur au sens de l'Article 3 du Règlement (UE) 2024/1689. La qualité de déployeur est la plus fréquente pour une PME française.
- Classification de risque. Confronter chaque système à l'Article 5 (pratiques interdites), à l'Article 6 et à l'Annexe III (haut risque). Documenter la décision et les pièces qui la fondent.
- Documentation et journalisation. Mettre en place la notice d'instructions interne, la politique de logs, le registre des incidents. Le DPO articule ces documents avec le registre des traitements RGPD.
- Formation et littératie IA. L'Article 4 du Règlement (UE) 2024/1689 impose une « literacy » suffisante du personnel utilisant les systèmes d'IA. Le DPO conçoit le plan de formation et trace son déploiement.
- Procédures de surveillance et d'incident. Définir la procédure de surveillance humaine, le circuit de remontée des incidents graves vers l'autorité compétente (Art. 73), et le déclencheur d'une suspension d'usage.
Le détail des contrôles, des modèles documentaires et des indicateurs de pilotage est repris dans le pillar « AI Act pour PME France ».
7. Sanctions et délais de conformité
Le calendrier de l'AI Act est échelonné. Le DPO doit en avoir une lecture précise pour éviter une mise en conformité tardive.
| Date | Périmètre applicable | Source |
|---|---|---|
| 1er août 2024 | Entrée en vigueur du Règlement | Art. 113 |
| 2 février 2025 | Pratiques interdites (Art. 5) + obligations de literacy (Art. 4) | Art. 113 |
| 2 août 2025 | Obligations relatives aux modèles d'IA à usage général (Art. 51 à 55) | Art. 113 |
| 2 août 2026 | Application générale, y compris obligations des déployeurs (Art. 26) | Art. 113 |
| 2 août 2027 | Systèmes à haut risque relevant de l'Annexe I déjà sur le marché | Art. 113 |
Les sanctions associées sont prévues par l'Article 99 du Règlement (UE) 2024/1689. L'autorité tient compte de la taille de l'entreprise, de la gravité du manquement, de sa durée et de la coopération avec l'autorité.
L'Article 62 du Règlement (UE) 2024/1689 prévoit des mesures spécifiques en faveur des PME et start-ups : accès prioritaire aux bacs à sable réglementaires nationaux, frais d'évaluation de conformité réduits, sessions d'information dédiées. Ces dispositifs ne réduisent pas le standard de conformité, mais facilitent son atteinte.
8. Bonnes pratiques pour les DPO
Six bonnes pratiques ressortent des retours d'expérience disponibles à mai 2026 [à vérifier] et des recommandations des autorités.
- Formaliser un binôme DPO + IA Lead. Le DPO seul ne peut pas porter la dimension technique de l'AI Act. Un IA Lead — interne ou externalisé — apporte la lecture des systèmes, la documentation technique et la coordination avec les fournisseurs.
- Centraliser les éléments dans un registre unique. Fusionner le registre RGPD et l'inventaire des systèmes d'IA évite les doubles saisies et les écarts de qualification.
- Sécuriser les contrats fournisseurs. Les fournisseurs de systèmes d'IA à haut risque doivent transmettre au déployeur une notice d'utilisation conforme (Art. 13). Le DPO insère cette obligation dans les contrats et les renouvellements.
- Intégrer l'AI Act aux AIPD existantes. Étendre les AIPD RGPD pour couvrir les risques sur les droits fondamentaux évite de créer un processus parallèle.
- Préparer un protocole d'incident. Définir en amont qui décide de la suspension d'un usage, qui notifie l'autorité (Art. 73), et qui informe les personnes concernées.
- Tracer la veille réglementaire. Les lignes directrices de l'AI Office et les décisions de la CNIL évoluent. Une note trimestrielle au comité de direction matérialise la veille.
Sécuriser votre dossier DPO avant août 2026
regulia accompagne les PME françaises sur la documentation AI Act : registre, AIPD étendue, notices d'usage, politique de logs, plan de literacy. Un pack documentaire prêt à instruire pour votre DPO.
Demander le pack documentaireFAQ
Quelles sont les sanctions pour les PME en cas de non-conformité à l'AI Act ?
L'Article 99 du Règlement (UE) 2024/1689 prévoit trois plafonds : 35 M€ ou 7 % du chiffre d'affaires mondial pour les pratiques interdites de l'Article 5 ; 15 M€ ou 3 % pour les obligations des fournisseurs et déployeurs ; 7,5 M€ ou 1 % pour les informations erronées transmises à l'autorité. Pour les PME et start-ups, le montant retenu est le plus faible des deux (Art. 99 § 6). Le calculateur détaillé est disponible sur la page sanctions.
Dois-je nommer un DPO si je ne traite pas de données personnelles ?
L'AI Act ne crée pas d'obligation de nomination d'un DPO. Cette obligation reste régie par l'article 37 du RGPD : elle vise les autorités publiques, les traitements à grande échelle de catégories particulières et le suivi systématique à grande échelle. Si votre système d'IA ne traite pas de données personnelles, vous n'êtes pas tenu de désigner un DPO, mais vous restez soumis aux obligations de l'Article 26 si vous êtes déployeur d'un système à haut risque.
Quelles ressources officielles sont disponibles pour les DPO ?
Les ressources officielles recommandées sont les fiches pratiques IA de la CNIL (cnil.fr), l'AI Act Service Desk de la Commission (ai-act-service-desk.ec.europa.eu), les normes ISO/IEC 42001:2023, 23894:2023 et 27001:2022, et la version consolidée du Règlement publiée sur EUR-Lex. La page /sources.html de regulia centralise les liens utiles.
Comment identifier les systèmes d'IA de risque élevé ?
L'Article 6 du Règlement (UE) 2024/1689 définit deux portes d'entrée vers la catégorie haut risque : les composants de sécurité de produits réglementés listés à l'Annexe I, et les systèmes énumérés à l'Annexe III (RH, éducation, accès aux services essentiels, services publics, etc.). L'analyse se fait système par système. Le glossaire regulia précise les définitions opposables.
Quelles sont les étapes pour se conformer à l'AI Act ?
La trajectoire repose sur six étapes : inventaire des systèmes d'IA, qualification juridique (fournisseur ou déployeur), classification de risque, documentation et journalisation, formation et literacy, procédures de surveillance et d'incident. Chaque étape produit des livrables tracés et révisés annuellement. Le pillar « AI Act pour PME France » détaille les livrables attendus.
Sources officielles
- Règlement (UE) 2024/1689 — texte consolidé EUR-Lex — version officielle de l'Union européenne.
- Artificial Intelligence Act EU — texte intégral consolidé — référence éditoriale du texte.
- AI Act Service Desk — Commission européenne — réponses officielles aux questions techniques.
- CNIL — Fiches pratiques IA — articulation RGPD et AI Act pour les responsables de traitement français.
- ISO/IEC 42001:2023 — Système de management de l'IA — norme officielle.
- ISO/IEC 23894:2023 — Gestion des risques liés à l'IA — norme officielle.
- ISO/IEC 27001:2022 — Sécurité de l'information — norme officielle.
Avertissement — Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.