L'essentiel en 30 secondes - Le Règlement (UE) 2024/1689 (EU AI Act) et le Règlement (UE) 2016/679 (RGPD) imposent un ensemble de 13 documents clés pour les PME déployant des systèmes d'IA à risque élevé ou moyen. - Les sanctions pour non-conformité documentaire peuvent atteindre 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial (Article 99 du Règlement (UE) 2024/1689). - Les 13 documents se répartissent en trois familles : 5 pour les systèmes d'IA (EU AI Act), 5 pour les traitements RGPD, et 3 pour le système de management ISO 42001. - La CNIL, l'AI Act Service Desk et l'ISO publient des modèles utilisables par les PME françaises. - L'échéance pour les PME (10-250 salariés) : août 2026 pour les systèmes à haut risque.
Un contrôle de conformité AI Act commence presque toujours par la documentation. L'inspecteur demande la documentation technique, le registre des systèmes, la politique de qualité, les journaux d'activité. Si ces documents n'existent pas — ou si leur contenu est insuffisant — la non-conformité est immédiatement caractérisée.
Voici la liste complète des 13 documents obligatoires, leur base légale précise, et la façon de les organiser dans une PME de 10 à 250 salariés.
1. Contexte réglementaire : pourquoi 13 documents ?
La superposition de trois textes génère ces 13 obligations documentaires.
Le Règlement (UE) 2024/1689 (EU AI Act) impose aux fournisseurs et déployeurs de systèmes d'IA à haut risque une documentation technique (Article 11), des journaux d'activité automatisés (Article 12), des notices d'utilisation (Article 13), une politique de qualité (Article 17), et un registre de conformité (Article 18). Ces cinq documents constituent le socle EU AI Act.
Le Règlement (UE) 2016/679 (RGPD) complète avec cinq documents propres aux traitements de données personnelles : le registre des traitements (Article 30), la politique de sécurité des données (Article 32), l'Analyse d'Impact relative à la Protection des Données (Article 35), les procédures de sécurité, et la documentation des mesures techniques et organisationnelles.
L'ISO 42001:2023 ajoute trois documents de gouvernance spécifiques au Système de Management de l'IA (AIMS) : le manuel de management AIMS (clause 4-5), la politique IA (clause 5.2), et les procédures d'exploitation des systèmes IA (clause 8).
Ces trois corpus ne se superposent pas aléatoirement : ils se recoupent et se renforcent. Un document bien rédigé peut satisfaire simultanément une exigence EU AI Act, une obligation RGPD et une clause ISO 42001. C'est précisément ce que permet un pack documentaire structuré.
Pour comprendre la structure d'ensemble, consultez notre guide sur l'EU AI Act pour les PME françaises et notre glossaire des termes réglementaires IA.
2. Les 13 documents obligatoires : liste et objectifs
Voici la liste complète des 13 documents, avec leur base légale et leur objectif.
| N° | Document | Base légale | Objectif |
|---|---|---|---|
| 1 | Documentation technique du système d'IA | Art. 11 Règlement (UE) 2024/1689 | Prouver la conception sûre du système |
| 2 | Journaux d'activité automatisés | Art. 12 Règlement (UE) 2024/1689 | Traçabilité des décisions IA |
| 3 | Notice d'utilisation destinée au déployeur | Art. 13 Règlement (UE) 2024/1689 | Information sur les conditions d'usage sûr |
| 4 | Politique de qualité | Art. 17 Règlement (UE) 2024/1689 | Gouvernance et responsabilités IA |
| 5 | Registre de conformité (déclaration CE) | Art. 18 Règlement (UE) 2024/1689 | Preuve de conformité formelle |
| 6 | Registre des traitements de données personnelles | Art. 30 Règlement (UE) 2016/679 | Inventaire des traitements DP |
| 7 | Politique de sécurité des données | Art. 32 Règlement (UE) 2016/679 | Mesures de sécurité appliquées |
| 8 | Analyse d'Impact (AIPD) | Art. 35 Règlement (UE) 2016/679 | Évaluation des risques pour les personnes |
| 9 | Procédures de sécurité des données | Art. 32 Règlement (UE) 2016/679 | Réponse aux incidents de sécurité |
| 10 | Documentation des mesures techniques et org. | Art. 32 Règlement (UE) 2016/679 | Preuve des contrôles de sécurité |
| 11 | Manuel de management AIMS | Clauses 4-5 ISO 42001:2023 | Cadre de gouvernance IA |
| 12 | Politique IA | Clause 5.2 ISO 42001:2023 | Engagements et objectifs IA de la direction |
| 13 | Procédures d'exploitation des systèmes IA | Clause 8 ISO 42001:2023 | Opération et surveillance des systèmes IA |
Ces 13 documents ne sont pas tous également urgents. Les Documents 1, 2, 3, et 8 (documentation technique, journaux, notice, AIPD) sont ceux que les autorités de supervision demandent en priorité lors d'un contrôle d'un système à haut risque.
3. Documents spécifiques à l'EU AI Act
Les cinq documents EU AI Act concernent les fournisseurs de systèmes d'IA à haut risque et, dans une certaine mesure, les déployeurs (entreprises qui utilisent ces systèmes dans un contexte professionnel).
Document 1 — Documentation technique (Article 11 du Règlement (UE) 2024/1689). C'est le document le plus substantiel. Il doit décrire le système d'IA avec suffisamment de détails pour permettre à l'autorité de supervision d'évaluer sa conformité. Il couvre : la description générale du système et de sa finalité, les caractéristiques du modèle (architecture, données d'entraînement, méthode de validation), les mesures de gestion des risques, les performances et les limites du système, et les modifications apportées depuis la mise sur le marché. L'Annexe IV du Règlement (UE) 2024/1689 détaille le contenu requis.
Document 2 — Journaux d'activité automatisés (Article 12 du Règlement (UE) 2024/1689). Les systèmes d'IA à haut risque doivent enregistrer automatiquement les événements pertinents pendant leur exploitation : dates et durées de chaque utilisation, identifiants des données de référence utilisées, décisions produites, anomalies détectées. Ces journaux doivent être conservés pendant au moins six mois.
Document 3 — Notice d'utilisation (Article 13 du Règlement (UE) 2024/1689). Destinée au déployeur (l'entreprise qui utilise le système), cette notice décrit les capacités et les limites du système, les conditions d'utilisation sûre, les mesures de surveillance humaine requises, et les mesures à prendre en cas de défaillance. Pour les PME qui achètent des systèmes d'IA à haut risque auprès de fournisseurs tiers, la notice doit être fournie par le fournisseur.
Document 4 — Politique de qualité (Article 17 du Règlement (UE) 2024/1689). Ce document décrit les procédures de conformité, la stratégie de gestion des risques, les techniques d'entraînement et de validation des modèles, les procédures de surveillance post-déploiement, et les procédures de signalement des incidents graves. Il est propre aux fournisseurs de systèmes à haut risque.
Document 5 — Registre de conformité (Article 18 du Règlement (UE) 2024/1689). Ce registre intègre la déclaration de conformité UE et toute la documentation technique associée. Il doit être conservé pendant 10 ans après la mise sur le marché du système.
Téléchargez le pack documentaire complet EU AI Act + RGPD + ISO 42001
13 modèles de documents pré-remplis, adaptés aux PME françaises de 10 à 250 salariés. Inclut une notice de remplissage et un guide de priorisation. Mis à jour en juin 2026.
Obtenir le pack documentaire4. Documents liés au RGPD et à l'ISO 42001
Document 6 — Registre des traitements (Article 30 du Règlement (UE) 2016/679). Toute entreprise de plus de 250 salariés est tenue de tenir ce registre. Les PME de moins de 250 salariés y sont soumises dès lors que leurs traitements sont susceptibles de comporter des risques pour les droits et libertés des personnes, ou s'ils portent sur des données sensibles. Les systèmes d'IA traitant des données personnelles doivent y figurer. Pour les PME utilisant un système d'IA de recrutement, le registre doit mentionner ce traitement avec ses finalités, ses bases légales, ses destinataires et ses durées de conservation.
Document 7 — Politique de sécurité des données (Article 32 du Règlement (UE) 2016/679). Elle définit les mesures techniques et organisationnelles mises en place pour garantir la sécurité des données personnelles traitées par les systèmes d'IA. Elle doit être proportionnée aux risques identifiés.
Document 8 — Analyse d'Impact (AIPD) (Article 35 du Règlement (UE) 2016/679). Obligatoire pour les traitements automatisés susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes. Un système d'IA de scoring RH, de profilage client ou de prise de décision automatisée entre systématiquement dans ce périmètre. La CNIL publie des lignes directrices précises sur les critères déclencheurs et la méthodologie. Retrouvez nos ressources sur notre page sources.
Document 11 — Manuel de management AIMS (Clauses 4 et 5 de l'ISO 42001:2023). Il décrit le périmètre du AIMS, les parties prenantes identifiées, le contexte interne et externe de l'organisation, et la façon dont la direction s'engage dans la gouvernance IA. C'est le document fondateur du AIMS.
Document 12 — Politique IA (Clause 5.2 de l'ISO 42001:2023). Signée par la direction générale, elle fixe les objectifs de l'organisation en matière d'IA, ses engagements en matière d'éthique et de conformité, et les responsabilités de chacun. Elle est communiquée à l'ensemble des collaborateurs.
Document 13 — Procédures d'exploitation (Clause 8 de l'ISO 42001:2023). Elles décrivent les processus opérationnels de déploiement, surveillance et maintenance des systèmes d'IA : procédure de validation avant déploiement, procédure de mise à jour des modèles, procédure de réponse aux incidents IA.
5. Exemples de documents pour les PME
Exemple — Registre des systèmes d'IA (Document 5, Annexe EU AI Act). Pour une PME industrielle utilisant un outil de maintenance prédictive et un logiciel RH de scoring :
| Système | Version | Fournisseur | Niveau de risque | Date conformité | Responsable |
|---|---|---|---|---|---|
| Maintenance prédictive EquipIA | 2.1.3 | EquipIA SAS | Limité | 2025-12-01 | Directeur Technique |
| Scoring RH RecrutAI | 1.4 | RecrutAI Corp | Élevé (Annexe III) | En cours | DRH + DPO |
Exemple — AIPD pour un chatbot client (Document 8, Article 35 RGPD). L'AIPD doit décrire le traitement (analyse des messages clients par un modèle NLP), les risques identifiés (traitement de données sensibles inférées, biais dans les réponses, durée de conservation des conversations), les mesures de mitigation (anonymisation après 90 jours, supervision humaine des cas complexes, test de biais mensuel), et la conclusion sur l'acceptabilité résiduelle du risque.
Exemple — Politique IA (Document 12, clause 5.2 ISO 42001). En trois pages, la politique IA d'une PME fixe : les cas d'usage IA autorisés (liste exhaustive), les principes éthiques appliqués (transparence, non-discrimination, supervision humaine), la gouvernance (comité IA trimestriel, DPO référent IA), et les obligations de formation du personnel.
6. Comment organiser le pack documentaire
L'organisation documentaire conditionne l'efficacité du pack en situation de contrôle ou d'audit. Voici les bonnes pratiques pour les PME.
Structure par système d'IA. Organisez un dossier par système d'IA à haut risque, contenant l'ensemble des documents qui lui sont propres (documentation technique, journaux, AIPD, procédures). Cela facilite la production de preuves lors d'un contrôle ciblé sur un système spécifique.
Versioning et archivage. Chaque document doit porter un numéro de version, une date de création et une date de dernière mise à jour. Les versions obsolètes doivent être archivées mais accessibles (l'Article 18 du Règlement (UE) 2024/1689 impose une conservation de 10 ans). Utilisez un système de gestion documentaire (même un simple dossier partagé avec nommage systématique) plutôt que des fichiers épars.
Accès restreint. La documentation technique et les AIPD peuvent contenir des informations confidentielles sur les modèles ou les données clients. Définissez des droits d'accès : direction générale, DPO et RSSI accèdent à l'ensemble ; les opérationnels n'accèdent qu'aux procédures d'exploitation et aux notices d'utilisation.
Mise à jour régulière. Les documents doivent être révisés à chaque modification significative d'un système IA, à chaque changement réglementaire (actes délégués de l'EU AI Act), et au minimum annuellement. Planifiez des revues documentaires dans le registre AIMS de votre organisation.
7. Les sanctions pour non-conformité
L'absence ou l'insuffisance de la documentation est une non-conformité directement sanctionnable par les autorités de supervision. Les sanctions prévues par l'EU AI Act sont les suivantes :
| Type de manquement | Base légale | Amende maximale |
|---|---|---|
| Pratiques interdites (Art. 5) | Art. 99 §1 Règlement (UE) 2024/1689 | 35 M€ ou 7 % du CA mondial |
| Non-conformité des systèmes à haut risque | Art. 99 §3 Règlement (UE) 2024/1689 | 15 M€ ou 3 % du CA mondial |
| Informations fausses ou incomplètes | Art. 99 §4 Règlement (UE) 2024/1689 | 7,5 M€ ou 1,5 % du CA mondial |
| Violation du RGPD associée | Art. 83 Règlement (UE) 2016/679 | 20 M€ ou 4 % du CA mondial |
Pour les PME, l'Article 99 §7 du Règlement (UE) 2024/1689 prévoit que les amendes sont proportionnées à la taille et aux ressources de l'organisation. Mais « proportionnée » ne signifie pas « annulée » : une PME de 50 salariés réalisant 3 M€ de CA s'expose à 90 000 € d'amende pour 3 % de son CA. La CNIL a déjà infligé des amendes significatives à des PME pour non-conformité RGPD, notamment pour absence de registre des traitements.
Par ailleurs, la non-conformité documentaire peut entraîner une interdiction de mise sur le marché du système d'IA concerné — ce qui, pour une PME dont le produit principal intègre de l'IA, constitue un risque d'exploitation direct.
8. Conseils pratiques pour les PME
Commencez par l'inventaire. Avant de rédiger le moindre document, identifiez tous vos systèmes d'IA et leur niveau de risque EU AI Act. C'est la condition préalable à toute priorisation. Utilisez l'outil de l'AI Act Service Desk pour la classification.
Priorisez par risque. Concentrez vos premiers efforts sur les Documents 1, 2, 3 et 8 (documentation technique, journaux, notice, AIPD) pour vos systèmes à haut risque. Ce sont ceux que les régulateurs demandent en premier.
Utilisez des modèles officiels. La CNIL publie des modèles d'AIPD. L'ISO propose des annexes pratiques à l'ISO 42001:2023. L'AI Act Service Desk européen publie des guides par secteur. Ces modèles sont gratuits et régulièrement mis à jour. Consultez notre page sources pour y accéder directement.
Formez vos équipes. Les documents ont peu de valeur s'ils ne correspondent pas aux pratiques réelles. L'Article 4 du Règlement (UE) 2024/1689 impose que le personnel utilisant des systèmes à haut risque dispose d'une formation adéquate. Documentez ces formations dans votre registre AIMS.
Auditez régulièrement. Planifiez un audit documentaire annuel. Vérifiez que chaque document est à jour, que les versions correspondent aux systèmes en production, et que les accès sont correctement gérés. L'audit documentaire est la première étape de tout audit interne AIMS selon la clause 9.2 de l'ISO 42001:2023.
FAQ
Quels sont les documents obligatoires pour une PME de 50 salariés ?
Pour les systèmes d'IA à haut risque, les 5 documents EU AI Act (Articles 11, 12, 13, 17, 18 du Règlement (UE) 2024/1689) sont obligatoires. Si ces systèmes traitent des données personnelles, les 5 documents RGPD s'y ajoutent. Les 3 documents ISO 42001 sont fortement recommandés mais relèvent d'une norme volontaire. Au minimum, une PME de 50 salariés déployant un système d'IA à haut risque doit disposer de la documentation technique, des journaux d'activité, de la notice d'utilisation, et d'une AIPD.
Comment justifier l'absence de certains documents ?
L'absence de documents doit être étayée par une analyse de risque documentée. Si un système d'IA ne relève pas de l'Annexe III du Règlement (UE) 2024/1689, les obligations de documentation technique (Article 11) ne s'appliquent pas. Cependant, l'Article 53 impose à tout déployeur d'utiliser les systèmes d'IA conformément aux notices et de surveiller leur comportement. Une documentation minimale reste recommandée même pour les systèmes à risque limité.
Quelle est la différence entre le registre des systèmes d'IA et le registre des traitements RGPD ?
Le registre des systèmes d'IA (Article 18 du Règlement (UE) 2024/1689) recense les systèmes d'IA à haut risque et leur documentation de conformité. Le registre des traitements RGPD (Article 30 du Règlement (UE) 2016/679) recense tous les traitements de données personnelles. Les deux se recoupent pour les systèmes d'IA traitant des données personnelles : ils doivent être cohérents et cross-référencés.
Les documents doivent-ils être en français ?
Pour les PME françaises, les documents doivent être rédigés dans une langue compréhensible par les autorités de supervision françaises. Le français est donc suffisant pour les systèmes déployés uniquement en France. Si des systèmes d'IA sont mis sur le marché dans d'autres États membres, des versions dans les langues correspondantes peuvent être exigées.
Où trouver des modèles de documents ?
La CNIL (cnil.fr) publie des modèles d'AIPD et des guides pratiques. L'AI Act Service Desk (ai-act-service-desk.ec.europa.eu) propose des guides par secteur. L'ISO (iso.org/42001.html) fournit des annexes pratiques à l'ISO 42001:2023. Regulia met à disposition un pack documentaire complet adapté aux PME françaises, téléchargeable sur notre site.
Sources officielles
- Règlement (UE) 2024/1689 — EU AI Act (texte officiel)
- EUR-Lex — texte consolidé et actes délégués
- CNIL — guides pratiques et modèles RGPD-IA
- AI Act Service Desk européen — guides sectoriels
- ISO 42001:2023 — norme de référence
Avertissement — Cet article fournit une information générale et ne constitue pas un conseil juridique. Pour toute situation spécifique, consultez un juriste spécialisé en droit du numérique ou un consultant certifié ISO 42001.
Mettez votre pack documentaire IA Act en conformité avant 2026
Regulia accompagne les PME françaises dans la rédaction et l'organisation de leurs 13 documents obligatoires EU AI Act + RGPD + ISO 42001. Audit documentaire, rédaction sur mesure, formation des équipes. Devis en 48 heures.
Demander mon pack documentaire