Politique IA entreprise : modèle de conformité 2026 inclus

Q: Quelles sont les sanctions pour non-conformité avec l'EU AI Act ?

Les sanctions peuvent atteindre 7% du chiffre d'affaires annuel global, ou 35 millions d'euros, selon ce qui est le plus élevé. Le RGPD impose des amendes jusqu'à 4% du CA, soit 20 millions d'euros. Ces sanctions sont prévues pour les infractions graves.

Q: Dois-je engager un DPO pour ma PME ?

Oui, si votre entreprise traite des données personnelles à haut risque ou si vous utilisez des systèmes d'IA à haut risque selon l'EU AI Act. Le RGPD impose également la nomination d'un DPO dans certains cas. Vous pouvez consulter notre guide sur le DPO pour les PME.

Q: Comment intégrer l'ISO 42001 dans ma politique IA ?

L'ISO 42001:2023 fournit un cadre pour la gestion de la responsabilité sociale des IA. Vous pouvez l'intégrer en alignant votre politique sur les exigences de la norme, notamment en matière de gouvernance, de risques, et de performance. Nous recommandons de consulter notre article sur l'ISO 42001 pour les PME.

Q: Quelles sont les étapes pour mettre en place une politique IA ?

Les étapes clés incluent : 1) Analyser les systèmes d'IA en place, 2) Définir les objectifs et la portée, 3) Assigner les responsabilités, 4) Élaborer les processus, 5) Former les employés, 6) Mettre en œuvre et auditer régulièrement. Un modèle de politique est disponible pour vous aider.

Q: Où puis-je trouver des ressources supplémentaires sur l'EU AI Act ?

Vous pouvez consulter le site officiel de l'EU AI Act (artificialintelligenceact.eu) et le service desk de l'UE (ai-act-service-desk.ec.europa.eu). Pour les PME françaises, le CNIL (cnil.fr) fournit des guides pratiques. Notre article dédié à l'EU AI Act pour les PME est également disponible.

L'essentiel en 30 secondes

Une politique IA doit couvrir les objectifs, la portée, les responsabilités, les processus et le suivi

L'AI Act impose des obligations pour les systèmes à haut risque, avec des sanctions pouvant atteindre 35 millions d'euros ou 7 % du CA (Article 99 du Règlement (UE) 2024/1689)

Le RGPD s'applique aux traitements d'IA impliquant des données personnelles, avec des sanctions jusqu'à 20 millions d'euros ou 4 % du CA (Article 83 du RGPD)

L'ISO 42001:2023 fournit un cadre de management pour la responsabilité en matière d'IA

Les PME doivent former leurs employés et réaliser des audits réguliers pour maintenir la conformité

Rédiger une politique d'intelligence artificielle n'est plus réservé aux grands groupes. En 2026, toute PME qui utilise ou déploie des systèmes d'IA doit se doter d'un document interne qui formalise ses engagements, délimite les responsabilités et organise la conformité réglementaire. Ce guide vous explique comment construire ce document, avec une structure type que vous pouvez adapter à votre organisation — que vous ayez 10 ou 250 salariés.

1. Introduction : pourquoi une politique IA pour votre PME en 2026 ?

L'IA s'est installée dans les PME françaises par accumulation silencieuse : un outil de génération d'email, un chatbot service client, un logiciel RH avec matching automatique de candidats, un CRM qui prédit la probabilité de churn. Chaque outil pris isolément semble anodin. Ensemble, ils constituent un portefeuille de systèmes d'IA qui engage la responsabilité juridique de l'entreprise et de ses dirigeants.

Le cadre légal en 2026 est pleinement en place. Le Règlement (UE) 2024/1689 est applicable aux systèmes à haut risque depuis août 2026. Il s'ajoute au RGPD (applicable depuis mai 2018) et à la norme ISO 42001:2023, qui, bien que volontaire, devient progressivement un référentiel de marché attendu par les donneurs d'ordre, les assureurs et les partenaires bancaires qui intègrent des clauses de conformité IA dans leurs contrats fournisseurs.

L'avantage concurrentiel d'une politique IA formalisée. Les PME qui structurent leur gouvernance IA avant d'y être contraintes obtiennent trois bénéfices directs. Elles réduisent leur risque d'amende en démontrant une démarche proactive. Elles facilitent l'accès à des marchés grands comptes qui exigent des preuves de conformité fournisseur dans leurs appels d'offres. Elles accèdent plus facilement à certains financements européens (fonds structurels, BPI) qui intègrent des critères ESG incluant la gouvernance des données et de l'IA.

Notre guide complet AI Act pour les PME françaises quantifie ces avantages avec des exemples sectoriels.

2. Les enjeux de la politique IA pour les PME en 2026

Trois dimensions structurent les enjeux pour une PME française engagée dans l'usage de l'IA.

Obligations légales : le triptyque EU AI Act / RGPD / ISO 42001. Ces trois textes créent un cadre de conformité superposé. L'AI Act régit les systèmes d'IA selon leur niveau de risque et impose des obligations de documentation, de surveillance et de transparence. Le RGPD régit les données personnelles traitées par ces systèmes et impose des bases légales, des droits pour les personnes, et des obligations de sécurité. L'ISO 42001:2023 fournit un système de management pour la gouvernance de l'IA, structuré autour de la responsabilité (accountability), de la transparence et de la gestion des risques — elle est volontaire mais de plus en plus attendue contractuellement.

Risques concrets. La non-conformité expose à des sanctions financières cumulatives RGPD et AI Act, à des atteintes réputationnelles (incidents d'IA discriminatoire rendus publics, fuites de données traitées par des systèmes IA), et à des risques contractuels (résiliation par des clients qui imposent des standards de conformité dans leurs conditions générales d'achat). Pour le détail des barèmes de sanctions, consultez notre page amendes et sanctions.

Opportunités à saisir. Une politique IA bien construite structure la réflexion sur l'usage éthique et efficace de l'IA dans votre organisation. Elle réduit les coûts de gestion des incidents en instaurant des processus clairs de signalement et de réponse. Elle accélère les décisions d'adoption de nouveaux outils IA (un cadre préexistant évite de repartir de zéro à chaque nouveau projet). Elle renforce la confiance des collaborateurs, qui comprennent dans quelles conditions et avec quelles garanties l'IA est utilisée dans leur travail quotidien.

3. Les éléments clés d'une politique IA conforme

Une politique IA opérationnelle contient cinq sections fondamentales. Chacune répond à une question concrète que vos parties prenantes — direction, équipes, partenaires, autorités — sont en droit de vous poser.

Section 1 — Objectifs. Pourquoi votre entreprise utilise-t-elle l'IA, quels bénéfices opérationnels en attend-elle, et quelles limites s'impose-t-elle ? Les objectifs doivent être concrets et mesurables : « réduire le temps de traitement des demandes client de 40 % grâce à un chatbot » plutôt qu'« innover grâce à l'IA ». Les limites doivent être explicites : « nous n'utilisons pas de systèmes d'IA pour des décisions de licenciement sans validation humaine ».

Section 2 — Portée. Quels systèmes, processus, données et entités sont couverts par la politique ? La portée doit être délimitée avec précision pour éviter les zones grises : incluez-vous les outils IA de vos sous-traitants qui traitent des données de vos clients ? Incluez-vous les filiales étrangères ?

Section 3 — Responsabilités. Qui fait quoi dans la gouvernance de l'IA ? Le dirigeant ou le conseil d'administration endosse la responsabilité globale. Le DPO assure la conformité RGPD et participe à la gouvernance IA pour tout ce qui touche aux données personnelles. Un référent IA (ou le responsable IT) pilote la conformité AI Act au quotidien. Les managers opérationnels sont responsables de l'usage correct des outils dans leurs équipes.

Section 4 — Processus. Comment l'IA est-elle adoptée, déployée, surveillée, mise à jour et décommissionnée ? Cette section couvre le processus d'approbation de tout nouveau système IA (qui décide, sur la base de quels critères d'évaluation du risque), le processus de revue annuelle des systèmes existants, et le processus de gestion des incidents.

Section 5 — Suivi et amélioration continue. Comment la conformité est-elle mesurée, reportée et améliorée ? Définissez des indicateurs simples et vérifiables : nombre de systèmes inventoriés, pourcentage de systèmes avec DPIA à jour, taux de personnel formé, délai moyen de traitement des demandes de droits des personnes.

Élément de la politique	Questions clés à documenter	Responsable désigné
Objectifs	Pourquoi l'IA ? Quelles limites ? Quels bénéfices mesurables ?	Direction générale
Portée	Quels systèmes, données, entités, contrats fournisseurs ?	Direction + référent IA
Responsabilités	Qui décide, qui surveille, qui signale, qui répond aux personnes ?	DPO + référent IA
Processus adoption	Comment approuve-t-on un nouvel outil ? Qui valide la classification de risque ?	Direction + référent IA
Processus incidents	Comment signale-t-on et gère-t-on un incident ou une anomalie ?	Référent IA + DPO
Processus droits personnes	Comment traite-t-on une demande d'accès, de rectification ou d'effacement ?	DPO
Suivi et audit	Quels indicateurs ? Quelle fréquence d'audit ? Comment met-on à jour la politique ?	Référent IA

Utilisez notre glossaire pour définir précisément les termes utilisés dans votre politique, notamment « système d'IA », « déployeur », « fournisseur », « risque élevé » et « donnée personnelle ». Ces définitions ancrent votre politique dans le vocabulaire réglementaire et évitent les interprétations divergentes.

4. Les obligations légales : EU AI Act, RGPD et ISO 42001

EU AI Act — Règlement (UE) 2024/1689. Votre politique IA doit intégrer la classification des systèmes selon les quatre niveaux de risque définis par le Règlement. Elle doit préciser les obligations applicables aux systèmes à haut risque que vous déployez : documentation technique conforme à l'Annexe IV (Article 11), tenue des journaux automatiques (Article 12), transparence envers les utilisateurs et déployeurs (Article 13), surveillance humaine effective (Article 14), robustesse et cybersécurité (Article 15), et système de gestion de la qualité (Article 17). Elle doit également lister les pratiques interdites (Article 5) que l'entreprise s'engage à ne pas mettre en œuvre — cette liste est un signal de sérieux pour vos partenaires et collaborateurs.

RGPD. Votre politique doit rappeler que tout traitement de données personnelles par un système d'IA est soumis aux principes du RGPD (Article 5 du RGPD : licéité, loyauté, transparence, minimisation, exactitude, limitation de conservation, intégrité et confidentialité). Elle doit mentionner l'obligation de DPIA pour les traitements à risque élevé (Article 35 du RGPD), les droits des personnes concernées (Articles 15 à 22 du RGPD), l'obligation de notification des violations de données à caractère personnel dans les 72 heures (Article 33 du RGPD), et le rôle du DPO dans la gouvernance de l'IA si votre PME est soumise à l'obligation de le désigner (Article 37 du RGPD).

ISO 42001:2023. Cette norme internationale définit un système de management de l'IA (AIMS). Elle est structurée en sept domaines : contexte de l'organisation et parties prenantes, leadership et engagement de la direction, planification et gestion des risques IA, support (ressources, compétences, communication), opérations (développement, déploiement, surveillance), évaluation des performances (audit interne, revue de direction), et amélioration continue. Si votre PME vise une certification ISO 42001, votre politique IA doit être alignée sur ces exigences et couvrir chacun de ces domaines. Même sans certification visée, la structure ISO 42001 est un cadre utile pour ne pas oublier de dimension importante.

Téléchargez notre modèle de politique IA pour PME

Notre modèle est conçu pour les PME françaises : structure conforme AI Act + RGPD + ISO 42001, prête à personnaliser. Disponible en français, avec guide d'utilisation pas à pas.

Accéder au modèle gratuit

5. Structure du modèle de politique IA : un exemple concret

Voici la structure type recommandée pour une PME de 10 à 250 salariés. Elle peut être adaptée à votre secteur et à votre taille. Chaque section est accompagnée d'une indication sur la longueur appropriée et le niveau de détail attendu.

Page de garde et contrôle documentaire Titre du document, version, date d'approbation, nom de l'approbateur (dirigeant ou DG), prochaine date de révision planifiée, liste des versions précédentes.

1. Introduction et contexte (1 page) Raison d'être de la politique et contexte réglementaire applicable. Mentionnez explicitement le Règlement (UE) 2024/1689, le RGPD et, le cas échéant, l'ISO 42001:2023. Indiquez la date d'entrée en vigueur de la politique et le cycle de révision prévu (annuel recommandé).

2. Objectifs de la politique (½ page) Objectifs opérationnels de l'usage de l'IA dans l'entreprise. Limites posées par la direction (usages autorisés / interdits). Lien avec la stratégie d'entreprise et les valeurs déclarées.

3. Portée et application (½ page) Liste ou critères définissant les systèmes couverts. Entités concernées (filiales, sous-traitants traitant des données pour votre compte). Exclusions explicites (outils bureautiques standards sans composante IA décisionnelle).

4. Responsabilités des parties prenantes (1 page) Matrice RACI simplifiée : pour chaque processus clé (adoption, exploitation, incidents, droits des personnes, audit), indiquez qui est Responsable, Approbateur, Consulté et Informé. Détaillez le rôle du DPO et du référent IA. Précisez les obligations des managers opérationnels et des utilisateurs finaux.

5. Processus de gestion de l'IA (2 à 3 pages) Processus d'adoption : critères d'approbation, étapes d'évaluation du risque (classification selon l'AI Act, DPIA si nécessaire), due diligence fournisseur (documentation technique disponible ? clauses contractuelles conformes ?). Processus opérationnel : conditions d'utilisation conforme, surveillance, signalement des anomalies, conservation des journaux. Processus de fin de vie : décision de décommissionnement, conservation des données et journaux selon les obligations légales, notification du fournisseur.

6. Suivi, audit et amélioration continue (1 page) Indicateurs de conformité suivis et fréquence de reporting. Calendrier d'audit interne (annuel, ou trimestriel pour les systèmes à haut risque). Processus de mise à jour de la politique (déclencheurs : nouvelle réglementation, incident, nouveau système majeur).

Notre page sources officielles liste les textes de référence à citer dans le préambule de votre politique, avec les liens vers les versions consolidées disponibles sur EUR-Lex.

6. Clés pour une politique IA efficace

Une politique IA efficace ne se réduit pas à une liste d'obligations légales recopiées. Elle doit incarner cinq principes opérationnels qui rendent la conformité réelle, pas seulement documentaire.

Transparence et explicabilité. Les décisions assistées par IA doivent pouvoir être expliquées à ceux qu'elles concernent. Pour les systèmes à haut risque, l'Article 13 du Règlement (UE) 2024/1689 impose cette transparence de façon légalement contraignante. Dans votre politique, précisez les modalités concrètes : comment un candidat refusé suite à un tri algorithmique peut-il obtenir une explication sur les critères appliqués ? Quel est le délai de réponse ? Qui traite la demande ?

Éthique et prévention des biais. Votre politique doit mentionner les obligations de qualité et de représentativité des données d'entraînement (Article 10 du Règlement (UE) 2024/1689) et les mécanismes internes de détection et correction des biais. Pour les systèmes qui affectent des décisions individuelles, engagez-vous sur un processus de revue régulière des outputs pour détecter des patterns discriminatoires ou des dérives par rapport aux performances initiales.

Sécurité et confidentialité. Les systèmes d'IA sont des vecteurs d'attaque potentiels : injection de données adversariales, extraction de données d'entraînement, manipulation des outputs. L'Article 15 du Règlement (UE) 2024/1689 impose des exigences de robustesse et de cybersécurité pour les systèmes à haut risque. Votre politique IA doit pointer vers votre politique de sécurité informatique et préciser comment les deux s'articulent — notamment pour la gestion des accès aux systèmes IA et la détection des incidents de sécurité.

Formation et sensibilisation. L'Article 26 du Règlement (UE) 2024/1689 impose aux déployeurs de s'assurer que les personnes responsables de la surveillance humaine des systèmes à haut risque ont les compétences requises. Votre politique doit intégrer un plan de formation annuel précisant : qui est formé, sur quoi, avec quelle fréquence, et comment la formation est documentée. Intégrez aussi un module IA dans le parcours d'intégration des nouveaux collaborateurs qui utiliseront ces outils.

Audit et conformité continue. La conformité n'est pas un état fixe. Votre politique doit prévoir un cycle d'audit régulier adapté au niveau de risque des systèmes : audit annuel complet pour les systèmes à haut risque, revue bisannuelle pour les systèmes à risque limité, et contrôle ponctuel lors de changements significatifs (nouvelle version du modèle, nouvelle finalité d'utilisation, changement de fournisseur).

7. Mise en œuvre et suivi

Rédiger la politique est la première étape. La déployer effectivement dans l'organisation en est une autre, souvent sous-estimée.

Formation des employés. Organisez une session de présentation de la politique à l'ensemble du personnel lors de son adoption initiale : 30 minutes suffisent pour couvrir les points essentiels. Formez spécifiquement les managers et les utilisateurs directs des systèmes à haut risque, avec des exemples concrets tirés de leur activité quotidienne. Intégrez un module sur la politique IA dans le parcours d'intégration des nouveaux collaborateurs. Notre glossaire est un support pédagogique directement utilisable, rédigé en français opérationnel.

Outils de gestion de la conformité IA. Plusieurs outils permettent d'automatiser partiellement le suivi : registres numériques des systèmes et traitements IA, tableaux de bord de surveillance des performances des modèles, outils de réalisation de DPIA en ligne. La CNIL référence certains de ces outils sur cnil.fr et a elle-même développé un logiciel de gestion des registres de traitement (PIA) disponible gratuitement.

Suivi régulier et audits. Définissez un calendrier d'audit dès l'adoption de la politique et nommez un responsable de son exécution. Un audit interne annuel est le minimum. Pour les systèmes à haut risque opérant en continu sur des décisions critiques, planifiez des revues trimestrielles des indicateurs de performance et de conformité. Notre page AI Act PME propose un modèle de calendrier de conformité téléchargeable.

Mise à jour de la politique. Votre politique doit évoluer avec la réglementation, la technologie et votre organisation. Prévoyez une révision systématique dans trois cas : publication d'une nouvelle recommandation ou décision significative de la CNIL ou de l'Office européen de l'IA ; survenue d'un incident impliquant un système d'IA ; adoption d'un nouveau système d'IA classifié à haut risque. La politique doit indiquer clairement le processus de validation des mises à jour (qui propose, qui approuve, comment les équipes sont informées).

Besoin d'accompagnement pour votre politique IA ?

Les experts Regulia vous accompagnent de la rédaction de votre politique IA à la mise en conformité opérationnelle. Premier entretien de cadrage gratuit et sans engagement.

Prendre rendez-vous

FAQ

Quelles sont les sanctions pour non-conformité avec l'EU AI Act ?

L'Article 99 du Règlement (UE) 2024/1689 prévoit des sanctions graduées selon la gravité de l'infraction. Les violations des pratiques interdites (Article 5 : manipulation psychologique, scoring social généralisé, surveillance biométrique de masse) exposent à 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial. Les violations des obligations applicables aux fournisseurs et déployeurs de systèmes à haut risque exposent à 15 millions d'euros ou 3 % du CA. La fourniture d'informations inexactes aux autorités expose à 7,5 millions d'euros ou 1,5 % du CA. À ces sanctions s'ajoutent celles du RGPD (Article 83 du RGPD) pouvant atteindre 20 millions d'euros ou 4 % du CA annuel mondial pour les violations les plus graves. Les deux régimes s'appliquent de façon cumulative.

Dois-je engager un DPO pour ma PME ?

L'Article 37 du RGPD impose la désignation d'un délégué à la protection des données dans trois cas : vous êtes une autorité ou un organisme public ; votre activité principale consiste en des opérations de traitement à grande échelle de catégories particulières de données (santé, conviction religieuse, orientation sexuelle, opinions politiques, etc.) ; votre activité principale consiste en un suivi systématique à grande échelle de personnes physiques. Pour les PME qui ne remplissent pas ces critères légaux, la désignation d'un DPO reste fortement recommandée lorsque vous déployez des systèmes d'IA à haut risque traitant des données personnelles. Un DPO à temps partiel ou externalisé (mutualisation entre plusieurs PME) est une solution économiquement adaptée à la plupart des entreprises de moins de 250 salariés.

Comment intégrer l'ISO 42001 dans ma politique IA ?

L'ISO 42001:2023 est une norme de système de management : elle ne prescrit pas des règles techniques précises, mais exige que vous mettiez en place une organisation capable de gérer les risques liés à l'IA de façon documentée, planifiée et améliorable. Pour intégrer ISO 42001 dans votre politique, structurez vos processus autour des sept sections de la norme : contexte organisationnel, leadership, planification, support, opérations, évaluation des performances, et amélioration. La norme est disponible à l'achat auprès de l'AFNOR. Pour les PME qui souhaitent une certification, l'AFNOR propose des accompagnements adaptés. Notre guide AI Act PME inclut un tableau de correspondance AI Act / ISO 42001 / RGPD.

Quelles sont les étapes pour mettre en place une politique IA ?

Six étapes structurent la démarche. Premièrement, inventoriez les systèmes d'IA en place et les projets en cours. Deuxièmement, classifiez chaque système selon les quatre niveaux de risque du Règlement (UE) 2024/1689. Troisièmement, définissez les objectifs et la portée de la politique en associant la direction et les responsables opérationnels clés. Quatrièmement, assignez les responsabilités avec une matrice RACI. Cinquièmement, documentez les processus d'adoption, d'exploitation, de gestion des incidents et d'audit. Sixièmement, organisez la formation, mettez en œuvre la politique et planifiez les revues annuelles. L'ensemble doit être validé et signé par le comité de direction pour avoir une autorité effective dans l'organisation.

Où puis-je trouver des ressources supplémentaires sur l'EU AI Act ?

Le site officiel artificialintelligenceact.eu propose une analyse structurée et accessible du texte avec des outils de navigation par article et par thème. Le service desk de la Commission européenne (ai-act-service-desk.ec.europa.eu) répond aux questions des entreprises via un système de FAQ et de tickets. La CNIL (cnil.fr) publie des guides adaptés au contexte juridique français, incluant l'articulation avec le RGPD. Regulia propose un article dédié AI Act pour les PME françaises et une page sources référençant l'ensemble des textes officiels consolidés.

Sources officielles

Avertissement — Cet article fournit une information générale et ne constitue pas un conseil juridique. Les situations individuelles varient : consultez un professionnel du droit avant toute décision de conformité.