L'EU AI Act est entré en vigueur le 1er août 2024. Les premières obligations s'appliquent depuis le 2 février 2025 (pratiques interdites, art. 4 sur la maîtrise de l'IA). Les obligations sur les systèmes à haut risque deviennent pleinement applicables le 2 août 2026. Une PME française qui développe, déploie ou intègre un système d'IA doit constituer un pack documentaire structuré. Ce guide détaille les huit éléments incontournables d'un kit de conformité AI Act 2026 adapté aux PME de 10 à 250 salariés.
TL;DR
L'essentiel en 30 secondes
- Documentation légale alignée sur les Articles 4, 10 et 15 du Règlement (UE) 2024/1689 et l'article 35 du RGPD
- Registre d'IA structuré en 4 catégories d'impact, avec au minimum 15 entrées renseignées pour les systèmes critiques
- Plan de conformité prévoyant 3 audits annuels, calé sur ISO/IEC 42001:2023
- Processus de contrôle des données à 3 niveaux de vérification (gouvernance, qualité, traçabilité)
- Formation obligatoire pour 100 % des équipes techniques (Art. 4 AI Act sur la maîtrise de l'IA)
- Plan de réponse aux incidents avec notification sous 15 jours pour incident grave (Art. 73), procédures internes en 24 h
- Outil de suivi des obligations, en lien avec le AI Act Service Desk de la Commission européenne
1. Documentation légale et réglementaire
Première brique du kit : un socle documentaire qui traduit le Règlement (UE) 2024/1689 en obligations concrètes pour la PME. Sans ce socle, aucune action de conformité ne tient juridiquement.
Le pack doit inclure quatre composants documentaires distincts. Chacun couvre un volet précis de l'exigence réglementaire.
| Document | Référence légale | Objectif | Volume indicatif |
|---|---|---|---|
| Extrait commenté du règlement | Articles 4, 10, 15 du Règlement (UE) 2024/1689 | Adaptation PME des obligations clés | 25-40 pages |
| Guide d'interprétation | RGPD + ISO/IEC 42001:2023 | Articulation AI Act / RGPD / norme ISO | 30-50 pages |
| Matrices de conformité sectorielles | AI Act Annexe III | Cartographie des obligations par secteur | 1 matrice par secteur |
| Modèles de contrats fournisseurs | Article 25 du Règlement (UE) 2024/1689 | Répartition des responsabilités fournisseur/déployeur | 15-25 pages par modèle |
L'extrait commenté isole les articles directement opposables aux PME. L'Article 4 impose une maîtrise de l'IA pour le personnel exposé. L'Article 10 encadre la qualité des données d'entraînement. L'Article 15 fixe les exigences de précision, robustesse et cybersécurité pour les systèmes à haut risque.
Le guide d'interprétation explique comment ces obligations s'articulent avec le RGPD existant. Une PME qui a déjà un registre des traitements RGPD ne doit pas le recopier — elle doit l'étendre. Pour la suite, voir le pillar AI Act PME France.
Les modèles de contrats fournisseurs précisent la répartition fournisseur / déployeur prévue par l'Article 25. Cette clarification évite la zone grise dans laquelle la PME endosse, par défaut, des obligations qui relèvent du fournisseur amont.
2. Registre d'IA et inventaire des systèmes
Le registre d'IA est le pivot opérationnel de la conformité. Sans inventaire à jour, aucune analyse de risque ne peut être conduite. C'est l'équivalent IA du registre RGPD (article 30 du RGPD).
Le pack fournit un modèle de registre structuré en quatre catégories d'impact, alignées sur la classification du Règlement (UE) 2024/1689.
| Catégorie | Définition AI Act | Obligation principale | Seuil PME |
|---|---|---|---|
| Risque inacceptable | Art. 5 — pratiques interdites | Interdiction totale | Aucun système autorisé |
| Haut risque | Art. 6 + Annexe III | Conformité complète : doc technique, supervision humaine, gestion qualité | Tout système concerné |
| Risque limité | Art. 50 — transparence | Information de l'utilisateur (chatbot, deepfake, contenu généré) | Tout système concerné |
| Risque minimal | Hors catégories ci-dessus | Code de conduite volontaire | Optionnel |
Pour les systèmes critiques (haut risque), le registre doit comporter au minimum 15 entrées documentées par système. Ces entrées couvrent : finalité, fournisseur, version du modèle, données d'entraînement, métriques de performance, mesures de supervision humaine, dispositifs de cybersécurité, journal des incidents, version de la documentation technique, responsable interne, date de mise en service, date de revue, écarts identifiés, mesures correctives, statut de conformité.
Le pack inclut également une procédure de classification. Cette procédure permet à un IA Lead non-juriste de qualifier un nouveau système en moins de deux heures, sur la base d'un arbre de décision dérivé de l'Annexe III du règlement.
Le template d'évaluation d'impact reprend la structure de l'Article 27 (analyse d'impact sur les droits fondamentaux pour les déployeurs publics et entités équivalentes) et l'Article 9 (système de gestion des risques). Un guide de documentation technique minimale, aligné sur l'Annexe IV, complète le dispositif.
Un kit prêt à déployer en 48 h
regulia fournit aux PME françaises un pack documentaire complet, aligné sur l'AI Act, le RGPD et ISO/IEC 42001:2023. Modèles de registre, matrices sectorielles, procédures opérationnelles : tout est livré en français, prêt à adapter.
Demander le kit AI Act PME3. Processus de conformité opérationnelle
Disposer de documents ne suffit pas. Le pack doit organiser leur mise en œuvre par un plan en trois étapes. Cette structure correspond aux pratiques recommandées par le guide AI Act du Cigref (janvier 2025) et celui de Numeum (mars 2025).
Étape 1 — Audit initial (2 à 6 semaines). Inventaire des systèmes d'IA en production et en projet. Classification selon les quatre catégories d'impact. Identification des écarts par rapport aux obligations applicables. Production d'un rapport d'écarts hiérarchisé.
Étape 2 — Mise en conformité (3 à 12 mois selon la criticité). Traitement des écarts par ordre de priorité. Documentation des systèmes à haut risque. Mise en place des mesures de supervision humaine (Art. 14). Activation des contrôles de cybersécurité (Art. 15). Formation des équipes exposées (Art. 4).
Étape 3 — Suivi continu. Revue trimestrielle du registre. Surveillance post-commercialisation pour les fournisseurs (Art. 72). Mise à jour de la documentation à chaque changement substantiel.
La checklist de contrôle des données fonctionne sur trois niveaux de vérification :
| Niveau | Périmètre | Fréquence | Responsable |
|---|---|---|---|
| Niveau 1 — Gouvernance | Politique de gouvernance des données, conformité Art. 10 AI Act | Annuelle | DPO + IA Lead |
| Niveau 2 — Qualité | Représentativité, biais, intégrité des jeux de données | Semestrielle | Équipe data |
| Niveau 3 — Traçabilité | Journalisation des accès, logs Art. 12 AI Act | Continue | RSSI |
S'ajoutent une procédure de gestion des vulnérabilités, articulée avec ISO/IEC 27001:2022, et un guide de gestion des fournisseurs d'IA. Ce dernier intègre une grille d'évaluation à utiliser avant tout achat de solution d'IA.
4. Audit et vérification
L'audit est la preuve opposable de la conformité. Le pack doit prévoir trois cycles d'audit annuels distincts.
| Cycle d'audit | Objet | Référentiel | Profil auditeur |
|---|---|---|---|
| Audit interne semestriel | Application des procédures internes | Procédures de la PME | IA Lead ou DPO |
| Audit ISO/IEC 42001 annuel | Système de management de l'IA | ISO/IEC 42001:2023 | Auditeur formé 42001 |
| Audit pré-mise sur le marché | Conformité d'un système haut risque avant déploiement | AI Act Annexe IV | Organisme notifié si requis |
La checklist d'audit ISO/IEC 42001:2023 couvre les dix clauses de la norme : contexte, leadership, planification, support, opération, évaluation des performances, amélioration. Pour une PME, une version condensée à 80 points de contrôle est suffisante. Les organismes notifiés interviennent uniquement pour certains systèmes à haut risque listés dans l'Article 43 et l'Annexe VII du règlement.
La procédure d'auto-évaluation permet à la PME de mesurer son niveau de maturité sans recours à un auditeur externe. Elle s'appuie sur une grille à cinq niveaux (initial, défini, géré, mesuré, optimisé). Une PME doit viser le niveau 3 avant le 2 août 2026.
Le guide de préparation aux audits externes liste les pièces à produire, l'ordre de présentation des preuves et les points de vigilance les plus fréquents observés sur les premiers audits 42001 conduits en 2025.
5. Gestion des données et protection
L'Article 10 du Règlement (UE) 2024/1689 encadre les données utilisées pour entraîner, valider et tester un système d'IA à haut risque. Cette exigence s'ajoute aux obligations RGPD existantes — elle ne s'y substitue pas.
Le pack contient une procédure de vérification des données d'entraînement organisée autour de cinq critères :
- Pertinence par rapport à la finalité déclarée
- Représentativité des populations ou cas d'usage visés
- Absence d'erreurs matérielles et de doublons
- Caractère complet des champs critiques
- Détection et correction des biais identifiables
Le guide de documentation des traitements complète la fiche RGPD existante par les éléments propres à l'IA. Pour chaque traitement impliquant un système d'IA, il faut documenter : la base de données utilisée, les transformations appliquées, les techniques d'anonymisation, la durée de conservation, les transferts hors UE éventuels.
La matrice de conformité RGPD-IA croise les obligations des deux textes. Elle identifie les zones de chevauchement (analyse d'impact, sécurité, transparence) et les zones spécifiques à chaque texte. Les 13 fiches pratiques publiées par la CNIL en 2024 et 2025 servent de référence opérationnelle.
Le processus de gestion des incidents de données distingue trois niveaux de gravité, avec pour chacun un délai d'alerte interne, un destinataire et une procédure documentée. Cette articulation évite la double notification incohérente CNIL / autorité de surveillance du marché.
6. Formation et sensibilisation
L'Article 4 du Règlement (UE) 2024/1689 impose une obligation de maîtrise de l'IA — « AI literacy ». Cette obligation est applicable depuis le 2 février 2025. Elle vise les personnes qui développent, déploient ou utilisent les systèmes pour le compte de la PME.
Le programme de formation est structuré en trois niveaux :
| Niveau | Public | Volume | Contenu central |
|---|---|---|---|
| Technique | Développeurs, data scientists, IA Lead | 16 h initiales puis 8 h/an | Documentation technique, gestion des risques, métriques de performance, ISO 42001 |
| Juridique | DPO, juristes, responsables conformité | 12 h initiales puis 6 h/an | Articles AI Act, articulation RGPD, sanctions, jurisprudence émergente |
| Managérial | Direction, chefs de service exposés | 4 h initiales puis 4 h/an | Vue d'ensemble AI Act, gouvernance, responsabilités du déployeur |
Le matériel pédagogique du pack comprend des quiz d'évaluation, des cas pratiques sectoriels et des fiches synthétiques. Le plan de formation continue prévoit un minimum de 4 h par an et par employé exposé. Cette cadence est cohérente avec les recommandations du guide Numeum AI Act (mars 2025).
Le guide de communication interne aide à diffuser la culture de conformité au-delà des équipes directement concernées. Il propose des supports d'affichage, des modèles de note de service et un argumentaire pour les comités de direction.
7. Plan de réponse aux incidents
L'Article 73 du règlement impose aux fournisseurs de systèmes à haut risque de notifier tout incident grave aux autorités de surveillance du marché. Le délai est fixé à 15 jours après la prise de connaissance, ramené à 2 jours pour les incidents les plus graves (atteinte à la vie humaine, perturbation grave d'infrastructure critique). Une PME déployeuse doit, en parallèle, alerter sans délai son fournisseur amont.
| Type d'incident | Délai interne | Délai externe applicable | Destinataire |
|---|---|---|---|
| Incident grave AI Act | Alerte interne sous 24 h | 15 jours (Art. 73) | Autorité de surveillance du marché + fournisseur amont |
| Incident grave avec atteinte à la vie | Alerte interne immédiate | 2 jours (Art. 73) | Autorité de surveillance du marché |
| Violation de données personnelles | Alerte interne sous 24 h | 72 h (Art. 33 RGPD) | CNIL |
| Incident de cybersécurité | Alerte interne sous 24 h | Variable selon NIS 2 | ANSSI / CERT-FR |
La procédure d'alerte interne fixe un délai de 24 h entre la détection et l'information du DPO, du RSSI et de la direction. Ce délai serré est nécessaire pour respecter ensuite les délais externes les plus courts (2 jours et 72 h).
La checklist de réponse aux incidents couvre six étapes : détection, qualification, confinement, communication, remédiation, retour d'expérience. Chaque étape liste les acteurs, les livrables et les délais.
Le guide de communication avec les autorités précise le format attendu pour les notifications. Il distingue clairement les notifications AI Act (autorité de surveillance du marché — désignée par la France conformément à l'Article 70) des notifications RGPD (CNIL). La matrice d'impact des incidents permet de qualifier rapidement la gravité, sur la base de quatre critères : nombre de personnes affectées, type de données, criticité du système, réversibilité du dommage.
Pour le détail des sanctions encourues en cas d'incident non traité, voir AI Act sanctions PME amendes.
8. Outils et ressources
Le pack se complète d'outils opérationnels qui font le lien entre la documentation et le quotidien des équipes.
Le guide d'utilisation du AI Act Service Desk de la Commission européenne explique comment soumettre une question à l'AI Office EU. Cet outil officiel est gratuit. Il fournit des réponses qualifiées sur l'interprétation du règlement.
La liste de contrôleurs de conformité recommandés inclut : organismes notifiés certifiés, cabinets spécialisés, plateformes d'audit automatisé. Cette liste est mise à jour semestriellement.
Le matériel de communication comprend une FAQ interne, un glossaire des termes AI Act et des fiches récapitulatives par profil métier. Pour les définitions, voir aussi le glossaire regulia.
Le plan de suivi des obligations légales recense les échéances réglementaires sur 36 mois glissants. Il intègre les dates clés du règlement : 2 février 2025 (pratiques interdites + maîtrise de l'IA), 2 août 2025 (modèles à usage général + gouvernance), 2 août 2026 (obligations principales haut risque), 2 août 2027 (systèmes haut risque relevant de la législation harmonisée — Annexe I). Pour les références complètes, voir la page sources regulia.
FAQ
Quel est le coût estimé pour une PME de 50 salariés ?
Le coût estimé varie entre 15 000 € et 40 000 € HT selon la complexité des systèmes d'IA déployés et le secteur d'activité. Cette estimation [à vérifier auprès des chiffrages spécialisés] inclut l'audit initial (8 000 € à 15 000 €), la mise en place des processus internes (5 000 € à 10 000 €), et la formation des équipes (2 000 € à 5 000 €). Le recours à un cabinet externe ou à un kit documentaire prêt à déployer modifie significativement ce budget. Aucun dispositif d'aide spécifique AI Act n'est confirmé à ce jour pour les PME — vérifier auprès de Bpifrance et de la DGE.
Quel est le délai de mise en conformité recommandé ?
Les PME doivent démarrer leur mise en conformité dès maintenant. Pour les pratiques interdites et l'obligation de maîtrise de l'IA, le délai est échu depuis le 2 février 2025. Pour les obligations applicables aux modèles d'IA à usage général, l'échéance était le 2 août 2025. Pour les systèmes à haut risque relevant de l'Annexe III, l'échéance est le 2 août 2026. Pour les systèmes à haut risque relevant de l'Annexe I (législation harmonisée), l'échéance est le 2 août 2027. Le plan de mise en conformité doit prévoir des jalons trimestriels pour tenir ces dates.
Quels sont les risques d'une non-conformité ?
L'Article 99 du Règlement (UE) 2024/1689 prévoit trois niveaux de sanctions : jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial annuel pour la violation des pratiques interdites de l'Article 5 ; jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires mondial pour le non-respect des autres obligations ; jusqu'à 7,5 millions d'euros ou 1 % pour la fourniture d'informations inexactes. Pour les PME et les start-ups, l'Article 99 prévoit que le montant le plus faible — entre la somme forfaitaire et le pourcentage — s'applique. Le détail figure dans AI Act sanctions PME amendes.
Comment choisir un fournisseur d'IA conforme ?
Quatre critères de sélection prioritaires : présence d'un système de management ISO/IEC 42001:2023 ou démarche équivalente ; documentation technique conforme à l'Annexe IV du règlement ; processus de surveillance post-commercialisation actif (Art. 72) ; clauses contractuelles précises sur la répartition des responsabilités fournisseur / déployeur (Art. 25). Le AI Act Service Desk de la Commission européenne fournit des éléments d'interprétation, mais ne tient pas de registre officiel des fournisseurs conformes. La vérification reste à la charge du déployeur.
Quelle est la différence entre AI Act et RGPD ?
Le RGPD (Règlement (UE) 2016/679) protège les données personnelles. L'EU AI Act (Règlement (UE) 2024/1689) encadre les systèmes d'IA, qu'ils traitent ou non des données personnelles. Les deux textes coexistent et se cumulent. L'AI Act introduit des obligations spécifiques absentes du RGPD : classification par niveau de risque, registre des systèmes d'IA, surveillance post-commercialisation, supervision humaine. Le terme « RGPD-IA » désigne, dans le langage opérationnel, l'application combinée du RGPD aux traitements impliquant un système d'IA — pas un règlement distinct.
Démarrer votre kit AI Act dès aujourd'hui
regulia accompagne les PME françaises dans la constitution de leur pack documentaire AI Act 2026. Audit initial, modèles de registre, procédures opérationnelles, plan de formation : tout est livré clé en main, en français, alignement réglementaire vérifié.
Recevoir une proposition personnaliséeSources officielles
- AI Act Service Desk — Commission européenne
- Règlement (UE) 2024/1689 — texte officiel EUR-Lex
- CNIL — fiches pratiques IA
- ISO/IEC 42001:2023 — système de management de l'IA
- regulia — pillar AI Act PME France
- regulia — sanctions AI Act et calculateur
- regulia — glossaire AI Act
- regulia — sources réglementaires
Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.