L'essentiel en 30 secondes - Une politique IA écrite est obligatoire pour tout système classé haut risque au sens du Règlement (UE) 2024/1689 (EU AI Act). - Les sanctions pour non-conformité atteignent 35 M€ ou 7 % du chiffre d'affaires mondial annuel, selon le montant le plus élevé (Article 99 du Règlement (UE) 2024/1689). - La norme ISO/IEC 42001:2023 fournit le cadre de management recommandé pour structurer cette politique. - Un modèle Word prêt à l'emploi est téléchargeable depuis regulia.fr — sections rédigées, clauses adaptables PME. - Mise à jour annuelle minimale, ou dès publication d'un acte délégué de la Commission européenne. - Bases juridiques principales : Articles 9, 17, 26 et 27 du Règlement (UE) 2024/1689.
La politique IA n'est plus un document optionnel. Depuis l'entrée en application progressive de l'EU AI Act le 2 février 2025, toute PME française qui développe, déploie ou intègre un système d'intelligence artificielle classé haut risque doit formaliser sa gouvernance par écrit. Ce guide détaille la structure attendue, les clauses à intégrer, et fournit un modèle Word adapté aux entreprises de 10 à 250 salariés.
1. Pourquoi une politique IA est-elle cruciale pour vos PME en 2026 ?
La politique IA est le document de référence qui formalise la manière dont une entreprise conçoit, déploie et contrôle ses systèmes d'IA. Elle remplit quatre fonctions opérationnelles distinctes pour une PME française.
Obligation légale pour les systèmes à haut risque. L'Article 26 du Règlement (UE) 2024/1689 impose aux déployeurs de systèmes haut risque listés à l'Annexe III de mettre en place « les mesures techniques et organisationnelles appropriées pour garantir l'utilisation conforme aux instructions ». La politique IA matérialise ces mesures organisationnelles. Sans elle, le déployeur ne peut pas démontrer sa diligence en cas de contrôle.
Amélioration de la confiance client et réduction des risques. Les acheteurs B2B exigent désormais une preuve de gouvernance IA dans leurs appels d'offres. Une politique formalisée raccourcit les cycles d'audit fournisseurs et limite l'exposition contractuelle en cas d'incident.
Alignement avec ISO/IEC 42001:2023 pour certification. La norme exige une « politique du système de management de l'IA » documentée (clause 5.2). L'entreprise qui souhaite obtenir cette certification doit donc rédiger ce document avant l'audit initial.
Prévention de sanctions financières. L'Art. 99 prévoit des amendes graduées : jusqu'à 35 M€ ou 7 % du chiffre d'affaires mondial annuel pour les pratiques interdites, et 15 M€ ou 3 % pour les manquements aux obligations haut risque. Le détail des seuils est analysé dans notre guide des sanctions AI Act pour PME.
| Fonction | Bénéfice direct PME | Référence juridique |
|---|---|---|
| Démonstration de conformité | Preuve documentaire en cas de contrôle | Art. 26 §1 |
| Gestion des risques | Cartographie systématique des cas d'usage | Art. 9 |
| Gouvernance interne | Clarification des rôles DPO / IA Lead / RSSI | ISO 42001 §5.3 |
| Réponse aux audits clients | Document unique réutilisable | Pratique de marché |
2. Cadre réglementaire : EU AI Act, RGPD et ISO/IEC 42001:2023
Trois corpus se superposent et structurent le contenu obligatoire de la politique IA. Comprendre leurs articulations évite les redondances et les angles morts.
EU AI Act — classification des systèmes. Le Règlement (UE) 2024/1689 distingue quatre niveaux : pratiques interdites (Article 5), systèmes haut risque (Article 6 et Annexe III), systèmes à risque limité avec obligations de transparence (Article 50), et systèmes à risque minimal (sans obligation spécifique). La politique doit nommer chaque système IA utilisé et le rattacher à l'un de ces niveaux.
RGPD — traitement de données personnelles par l'IA. Tout système IA traitant des données personnelles relève cumulativement du Règlement (UE) 2016/679. Les obligations classiques s'appliquent : base légale, minimisation, AIPD lorsque le traitement présente un risque élevé. La CNIL a publié 13 fiches pratiques IA qui précisent l'articulation avec l'AI Act.
ISO/IEC 42001:2023 — norme de management de l'IA. Première norme certifiable dédiée aux systèmes de management de l'IA, elle structure les processus de gouvernance, d'évaluation des risques et d'amélioration continue. Sa logique PDCA est compatible avec ISO/IEC 27001:2022 (sécurité de l'information) et ISO/IEC 23894:2023 (gestion des risques IA).
| Texte | Portée | Caractère | Articulation avec la politique IA |
|---|---|---|---|
| EU AI Act | Systèmes IA mis sur le marché ou utilisés dans l'UE | Obligatoire | Définit le contenu minimal |
| RGPD | Traitements de données personnelles | Obligatoire | Complète sur la dimension données |
| ISO/IEC 42001:2023 | Système de management de l'IA | Volontaire (certifiable) | Structure le document |
| ISO/IEC 23894:2023 | Gestion des risques IA | Volontaire | Alimente la section risques |
Pour un panorama complet du dispositif, consultez le pillar AI Act PME France et notre glossaire des termes réglementaires.
3. Structure de base d'une politique IA : les sections essentielles
Une politique IA opérationnelle pour PME comprend huit sections principales. Cette structure est compatible avec les exigences ISO/IEC 42001:2023 et les obligations Art. 26 et 27 du Règlement (UE) 2024/1689.
- Objet et portée. Définir les systèmes IA couverts, les entités concernées (siège, filiales), et les exclusions explicites.
- Définitions. Reprendre les définitions de l'Article 3 du Règlement : « système d'IA », « fournisseur », « déployeur », « modèle d'IA à usage général ».
- Principes directeurs. Énoncer les engagements en matière de transparence, supervision humaine, équité, robustesse et protection des données.
- Rôles et responsabilités. Identifier nommément le responsable IA (IA Lead), le DPO, le RSSI, et la chaîne d'escalade.
- Cycle de vie des systèmes IA. Décrire les étapes de cadrage, conception, validation, déploiement, surveillance et retrait.
- Gestion des risques. Articuler la méthode d'évaluation, la fréquence et les critères d'acceptation.
- Conformité réglementaire. Cartographier les obligations applicables par système.
- Mise à jour et révision. Fixer la fréquence et les déclencheurs de révision.
Cette ossature se transpose directement dans le modèle Word téléchargeable. Chaque section comporte un chapeau explicatif, un texte type modifiable, et des clauses optionnelles selon le niveau de risque.
Téléchargez le modèle Word politique IA
Modèle prêt à l'emploi, conforme EU AI Act et ISO/IEC 42001:2023, adapté aux PME de 10 à 250 salariés. Sections rédigées, clauses commentées, annexes incluses.
Recevoir le modèle gratuit4. Les éléments clés à inclure : responsabilités, processus et conformité
Cette section détaille les clauses qui distinguent une politique opérationnelle d'un document de façade. Quatre blocs sont incontournables.
Définition des rôles. L'Art. 26 §2 exige que le déployeur confie la supervision humaine à des « personnes physiques disposant des compétences, de la formation et de l'autorité nécessaires ». La politique doit nommer les fonctions, pas les personnes — pour éviter les obsolescences. Trois rôles sont à distinguer impérativement.
| Rôle | Mission principale | Rattachement | Texte source |
|---|---|---|---|
| IA Lead | Pilotage du portefeuille IA, classification des systèmes | Direction générale ou DSI | ISO 42001 §5.3 |
| DPO | Conformité RGPD, AIPD, droits des personnes | Direction générale | RGPD art. 37-39 |
| RSSI | Sécurité technique, robustesse, cybersécurité | DSI | Art. 15 EU AI Act |
| Superviseur humain | Contrôle opérationnel d'un système haut risque | Métier utilisateur | Art. 14 |
Procédures de test et d'évaluation. Pour chaque système haut risque, la politique fixe les exigences minimales de test : jeux de données représentatifs, métriques de performance, seuils d'alerte, périodicité des réévaluations. Ces procédures s'appuient sur les Art. 9 (système de gestion des risques) et Art. 15 (exactitude, robustesse, cybersécurité).
Gestion des données personnelles. La clause croise l'AI Act et le RGPD : qualité et représentativité (Art. 10 du Règlement 2024/1689), réalisation de l'AIPD lorsque requis, durée de conservation, traitement des biais détectés. La CNIL recommande d'intégrer une analyse d'impact spécifique IA (« AIIA ») en complément de l'AIPD pour les systèmes haut risque.
Plan de réponse aux incidents. L'Article 73 du Règlement impose la notification des incidents graves au surveillant de marché compétent — en France, la DGCCRF est désignée comme autorité notifiante coordinatrice. La politique précise le canal interne, le délai de remontée, le format de notification et le responsable de la déclaration.
Contrôle interne et audit. Prévoir un audit annuel indépendant de la mise en œuvre, conforme à la clause 9.2 d'ISO/IEC 42001:2023. Le rapport d'audit alimente la révision annuelle de la politique.
5. Exemples de clauses pour différents niveaux de risque
Le contenu de la politique varie selon la classification du système. Voici quatre clauses types extraites du modèle Word, calibrées par niveau.
Clause systèmes interdits (Article 5).
« L'entreprise s'interdit de développer, de déployer ou de mettre sur le marché tout système relevant des pratiques interdites au sens de l'Article 5 du Règlement (UE) 2024/1689, notamment les systèmes de notation sociale, de reconnaissance des émotions sur le lieu de travail, ou de catégorisation biométrique fondée sur des caractéristiques sensibles. Toute proposition entrant dans ce périmètre fait l'objet d'un refus formalisé par l'IA Lead. »
Clause systèmes haut risque (Articles 8-15).
« Pour tout système haut risque listé à l'Annexe III, l'entreprise met en place une supervision humaine effective conformément à l'Art. 14, documente les choix de conception et conserve les journaux automatiques (logs) pendant la durée prévue à l'Art. 19. Aucune décision produisant des effets juridiques sur une personne physique n'est prise sans validation humaine préalable. »
Clause risques limités — obligations de transparence (Article 50).
« Lorsqu'un système d'IA interagit directement avec une personne physique (chatbot, agent conversationnel), l'utilisateur est informé sans ambiguïté qu'il interagit avec une intelligence artificielle. Les contenus générés par IA susceptibles d'être confondus avec des contenus authentiques sont étiquetés comme tels, dans un format lisible par machine. »
Clause risques minimaux.
« Les systèmes IA non couverts par les Articles 5, 6 ou 50 du Règlement font l'objet d'une déclaration interne au registre IA. Aucune obligation documentaire spécifique ne s'applique, sans préjudice du RGPD lorsque des données personnelles sont traitées. »
| Niveau de risque | Clause à intégrer | Documentation associée |
|---|---|---|
| Interdit (Art. 5) | Refus catégorique | Procédure de filtrage à l'entrée |
| Haut risque (Annexe III) | Supervision humaine + journalisation | FRIA + AIPD + dossier technique |
| Risque limité (Art. 50) | Information utilisateur | Mentions visibles + watermarking |
| Risque minimal | Déclaration registre interne | Fiche système simplifiée |
6. Mise en conformité : vérification et mise à jour
Une politique IA n'a de valeur qu'avec un dispositif de suivi actif. Quatre éléments doivent être planifiés dès l'adoption initiale.
Audit annuel obligatoire. L'audit interne couvre la cohérence entre les systèmes IA recensés et la classification déclarée, la traçabilité des décisions de déploiement, et l'application effective des contrôles. Le rapport est présenté à la direction générale et conservé sept ans minimum, en cohérence avec l'Art. 18 du Règlement (durée de conservation de la documentation technique).
Suivi des évolutions légales. Les actes délégués et lignes directrices de la Commission européenne, ainsi que les normes harmonisées publiées au JOUE, modifient progressivement les exigences. L'IA Lead s'abonne aux notifications de l'AI Office EU et consulte trimestriellement le service desk officiel.
Formation du personnel. L'Article 4 du Règlement impose un niveau « suffisant » de littératie IA pour le personnel concerné. La politique fixe le programme minimal : formation initiale à l'embauche, recyclage annuel, modules spécifiques pour les superviseurs humains de systèmes haut risque.
Documentation des processus. Tout changement de version de la politique génère une trace : numéro de version, date, motif, validateur. L'historique est annexé au document et accessible aux auditeurs externes.
| Action | Fréquence | Responsable | Document produit |
|---|---|---|---|
| Audit interne | Annuel | RSSI + IA Lead | Rapport d'audit |
| Veille réglementaire | Trimestriel | IA Lead | Note de veille |
| Formation IA | Annuel | RH + DPO | Attestations |
| Révision politique | Annuel ou événementiel | IA Lead | Nouvelle version |
| Réunion comité IA | Trimestriel | Direction | Compte-rendu |
L'articulation avec un système de management ISO/IEC 42001 est détaillée dans notre guide ISO 42001 PME France. La certification n'est pas obligatoire mais simplifie la démonstration de conformité Art. 26.
Pack documentaire AI Act complet
Politique IA, registre des systèmes, procédure FRIA, AIPD type, plan d'audit interne. Modèles Word et Excel adaptables, mis à jour à chaque acte délégué.
Demander un devis7. FAQ : questions fréquentes des PME
Est-ce obligatoire pour les PME de moins de 50 employés ?
Oui, dès lors que l'entreprise déploie ou met sur le marché un système haut risque au sens de l'Article 6 et de l'Annexe III du Règlement (UE) 2024/1689. La taille de l'entreprise n'exonère pas des obligations Art. 26 et 27. L'Article 62 prévoit cependant des mesures spécifiques en faveur des PME : accès prioritaire aux bacs à sable réglementaires et tarifs réduits pour l'évaluation de conformité.
Quelles sont les sanctions en cas de non-conformité ?
L'Art. 99 du Règlement fixe trois plafonds : jusqu'à 35 M€ ou 7 % du chiffre d'affaires mondial annuel pour les pratiques interdites (Art. 5), jusqu'à 15 M€ ou 3 % pour les manquements aux obligations sur les systèmes haut risque, et jusqu'à 7,5 M€ ou 1 % pour les informations incorrectes fournies aux autorités. Pour les PME, le Règlement précise que c'est le montant le plus faible des deux qui s'applique, et non le plus élevé. Les sanctions RGPD peuvent se cumuler en cas de traitement non conforme de données personnelles.
Comment intégrer ISO/IEC 42001:2023 dans la politique ?
La norme s'intègre par mapping : chaque clause de la norme (5.2 politique, 6.1 risques, 8.1 contrôles opérationnels, 9.2 audit interne) est rattachée à une section de la politique IA. Le document devient alors la « politique du SMIA » exigée à la clause 5.2. Notre guide ISO 42001 détaille le mapping complet.
Où trouver des modèles de politique IA ?
regulia met à disposition un modèle Word gratuit, conforme aux exigences EU AI Act et ISO/IEC 42001:2023, adapté aux PME françaises. Les sources officielles (CNIL, AI Office EU) ne publient pas de modèle prêt à l'emploi : elles publient des lignes directrices que les éditeurs spécialisés transposent en clauses contractuelles. La liste complète des sources de référence est consultable sur notre page sources.
Quelle est la fréquence de mise à jour ?
Au minimum annuelle. Une révision anticipée est obligatoire dans trois cas : publication d'un acte délégué ou d'un acte d'exécution par la Commission européenne modifiant les annexes, modification matérielle du portefeuille de systèmes IA (nouveau cas d'usage haut risque), ou survenance d'un incident grave notifié au sens de l'Art. 73.
8. Conclusion : téléchargez votre modèle Word gratuit
La politique IA est désormais le document pivot de la conformité EU AI Act pour les PME françaises. Elle articule les obligations légales, structure la gouvernance interne et constitue la première preuve présentée en cas de contrôle. Sa rédaction n'est pas un exercice de communication : c'est un travail de cadrage opérationnel qui engage la direction générale, le DPO et l'IA Lead.
Le modèle Word regulia couvre les huit sections détaillées dans ce guide, propose des clauses calibrées par niveau de risque, et inclut les annexes opérationnelles (registre des systèmes, fiche AIPD, FRIA simplifiée). Sa structure permet une adoption en quelques semaines pour une PME disposant d'un système IA haut risque unique.
L'année 2026 verra l'application des obligations sur les systèmes haut risque listés à l'Annexe III, prévue au 2 août 2026. Les entreprises qui formalisent dès maintenant leur politique IA évitent l'effet de seuil et lissent les coûts de mise en conformité.
Sources officielles
- Règlement (UE) 2024/1689 — texte consolidé
- Règlement (UE) 2024/1689 — version officielle EUR-Lex
- CNIL — fiches pratiques IA
- AI Act Service Desk — Commission européenne
- ISO/IEC 42001:2023 — Information technology — AI management system
Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.