L'essentiel en 30 secondes - L'AI Act s'applique aux PME dès 2026 pour les systèmes d'IA à haut risque (Article 6 du Règlement (UE) 2024/1689). - La non-conformité expose aux amendes jusqu'à 7% du chiffre d'affaires mondial annuel (Art. 99 du Règlement). - La CNIL impose des sanctions nationales pour non-respect du RGPD appliqué à l'IA (Art. 83 RGPD). - 75% des PME françaises utilisent déjà des outils d'IA générative ou décisionnelle [à vérifier — étude CNIL 2023]. - Le service desk européen de l'AI Act (ai-act-service-desk.ec.europa.eu) accompagne gratuitement les PME. - La conformité renforce la confiance client et ouvre l'accès au marché unique européen sans frictions réglementaires.
1. L'AI Act : une obligation légale pour les PME dès 2026
Le Règlement (UE) 2024/1689, publié au Journal officiel de l'Union européenne le 12 juillet 2024, instaure un cadre juridique horizontal pour l'intelligence artificielle. Son entrée en vigueur est progressive. Les dispositions générales s'appliquent depuis le 2 février 2025. Les codes de bonne conduite et les obligations relatives aux modèles d'IA à usage général sont entrés en vigueur le 2 août 2025. Les obligations centrales sur les systèmes à haut risque deviendront pleinement applicables le 2 août 2026.
Les PME françaises ne bénéficient d'aucune exemption générale. L'Article 6 du Règlement (UE) 2024/1689 définit les systèmes d'IA à haut risque selon deux critères cumulatifs : utilisation dans un secteur listé à l'Annexe III, ou intégration comme composant de sécurité d'un produit déjà réglementé. Une PME qui exploite un système d'IA pour le tri de CV, l'évaluation de la solvabilité, la maintenance prédictive d'équipements médicaux ou l'aide à la décision dans l'éducation tombe directement sous le régime haut risque.
Le calendrier d'application opposable aux PME
| Date | Obligation | Référence |
|---|---|---|
| 2 février 2025 | Interdictions de l'Article 5 (pratiques prohibées) | Art. 5 |
| 2 août 2025 | Obligations sur les modèles d'IA usage général | Art. 51-55 |
| 2 août 2026 | Obligations sur les systèmes à haut risque | Art. 6-49 |
| 2 août 2027 | Systèmes à haut risque intégrés à des produits réglementés | Art. 6.1 + Annexe I |
L'usage de l'IA dans les PME françaises s'est massifié. Les enquêtes sectorielles convergent : la majorité des structures de 10 à 250 salariés exploitent au moins un outil reposant sur l'apprentissage automatique, qu'il s'agisse d'un assistant conversationnel, d'un moteur de recommandation, d'un système RH ou d'un outil comptable enrichi par l'IA. Cette diffusion crée une exposition réglementaire que peu de dirigeants ont anticipée.
Pour comprendre la cartographie complète des obligations applicables aux PME, consultez notre article pilier AI Act et PME françaises : guide complet.
2. Les risques de non-conformité : sanctions et réputation
L'Article 99 du Règlement (UE) 2024/1689 fixe le régime des sanctions administratives. Le législateur européen a calibré trois niveaux d'amendes, en fonction de la gravité du manquement constaté.
Barème des sanctions financières
| Type de manquement | Plafond | Article applicable |
|---|---|---|
| Pratiques prohibées (Art. 5) | 35 M€ ou 7% du CA mondial annuel | Art. 99.3 |
| Non-respect des obligations haut risque | 15 M€ ou 3% du CA mondial annuel | Art. 99.4 |
| Information inexacte aux autorités | 7,5 M€ ou 1% du CA mondial annuel | Art. 99.5 |
Le Règlement précise que le montant retenu est le plus élevé des deux. Pour une PME, le plafond reste très significatif : un manquement aux obligations de l'Article 16 sur la documentation technique peut déclencher des sanctions atteignant 3% du chiffre d'affaires mondial annuel.
L'Article 99.6 introduit toutefois un correctif favorable aux PME : pour les microentreprises et petites entreprises au sens de la recommandation 2003/361/CE, le plafond applicable est le montant le plus bas des deux options (montant fixe ou pourcentage). Cette nuance ne supprime pas le risque, elle l'encadre.
Le cumul avec les sanctions RGPD
L'Article 83 du RGPD continue de s'appliquer parallèlement. La CNIL conserve son pouvoir de sanction sur tous les traitements de données personnelles, y compris ceux opérés par un système d'IA. Une même infraction peut donc générer deux procédures distinctes : l'une devant l'autorité nationale de surveillance de l'IA (la DGCCRF et la CNIL en France selon la nature du système), l'autre devant la CNIL au titre du RGPD.
Le préjudice réputationnel s'ajoute au risque financier. Une décision publiée par la CNIL ou la Commission européenne reste référencée dans les bases publiques pendant plusieurs années. Pour une PME en croissance, ce signal négatif freine les appels d'offres, les levées de fonds et les partenariats stratégiques.
Pour approfondir le détail des sanctions et accéder à notre calculateur d'amende, consultez AI Act : sanctions et amendes pour les PME.
Évaluez votre exposition réglementaire en 10 minutes
Notre diagnostic gratuit vous indique si vos systèmes d'IA relèvent du haut risque et quelles obligations s'appliquent à votre PME.
Demander mon diagnostic gratuit3. Les avantages de la conformité : compétitivité et confiance
La conformité ne se résume pas à un coût défensif. Elle constitue un actif stratégique. Trois bénéfices concrets ressortent du retour d'expérience des PME pionnières.
Accès sécurisé au marché européen. Un système d'IA non conforme ne peut pas être mis sur le marché de l'Union européenne (Art. 16 du Règlement). À l'inverse, le marquage CE attestant de la conformité ouvre les 27 États membres sans nouvelle évaluation. Pour une PME qui commercialise un outil RH, un dispositif médical numérique ou un service éducatif, ce passeport réglementaire conditionne directement le chiffre d'affaires export.
Renforcement de la confiance client. Les acheteurs publics et les grands comptes intègrent désormais des clauses de conformité IA dans leurs appels d'offres. Le Cigref a publié en janvier 2025 un guide précisant les attentes des donneurs d'ordre. Une PME capable de produire sa documentation technique (Art. 11), son système de gestion des risques (Art. 9) et son journal des incidents (Art. 12) gagne mécaniquement en attractivité commerciale.
Amélioration interne des processus. L'audit de conformité oblige à cartographier les systèmes d'IA, leurs jeux de données, leurs métriques de performance et leurs cas d'usage. Cette discipline produit des effets collatéraux positifs : réduction des biais algorithmiques, identification des dépendances critiques, meilleure documentation des décisions automatisées. La norme ISO/IEC 42001:2023 formalise ce système de management de l'IA.
Tableau comparatif : PME conforme vs PME non conforme
| Dimension | PME conforme | PME non conforme |
|---|---|---|
| Accès marché UE | Marquage CE valable 27 États | Interdiction de mise sur le marché |
| Risque financier | Plafonné par documentation | Jusqu'à 35 M€ ou 7% du CA |
| Appels d'offres B2B | Clauses IA satisfaites | Exclusion fréquente |
| Confiance client | Différenciation positive | Risque réputationnel |
| Assurance cyber | Primes négociables | Couverture restreinte |
4. Les étapes clés pour se conformer
La mise en conformité suit une séquence opérationnelle éprouvée. Les PME qui ont engagé la démarche en 2025 confirment que six à neuf mois suffisent pour atteindre un niveau de maturité acceptable, à condition de structurer le projet.
- Inventaire des systèmes d'IA. Recenser tous les outils embarquant de l'IA, y compris les fonctionnalités intégrées à des SaaS courants (CRM, ATS, outils marketing). Cette cartographie initiale révèle souvent une exposition supérieure aux estimations internes.
- Classification par niveau de risque. Pour chaque système identifié, appliquer la grille des Articles 5, 6 et 50 du Règlement. Trois catégories émergent : risque inacceptable (à arrêter), haut risque (à mettre en conformité), risque limité ou minimal (obligations de transparence allégées).
- Évaluation de conformité. Pour les systèmes à haut risque, conduire l'évaluation prévue à l'Article 43. Selon la catégorie (Annexe III), elle s'opère en interne ou via un organisme notifié.
- Documentation technique. Constituer le dossier de l'Article 11 et de l'Annexe IV : description du système, données d'entraînement, métriques, mesures de gestion des risques. La norme ISO/IEC 42001:2023 propose un cadre directement transposable.
- Gouvernance et formation. Désigner un responsable conformité IA, former les équipes opérationnelles aux obligations de l'Article 4, et intégrer les procédures dans le système de management qualité.
- Surveillance post-marché. Mettre en place le système de monitoring de l'Article 72 et le journal des incidents graves de l'Article 73.
Référentiels techniques recommandés
| Norme | Objet | Apport pour la PME |
|---|---|---|
| ISO/IEC 42001:2023 | Système de management de l'IA | Structure documentaire AI Act |
| ISO/IEC 23894:2023 | Gestion des risques IA | Conformité Art. 9 |
| ISO/IEC 27001:2022 | Sécurité de l'information | Conformité Art. 15 |
Le glossaire des termes techniques de l'AI Act est consultable sur notre page glossaire. Il facilite l'appropriation du vocabulaire réglementaire par les équipes non juristes.
5. Les outils et ressources disponibles
Les autorités européennes et nationales ont déployé un dispositif de soutien spécifique aux PME. Ces ressources sont gratuites et conçues pour réduire la barrière à l'entrée.
Le AI Act Service Desk (ai-act-service-desk.ec.europa.eu) est opéré par la Commission européenne via l'AI Office. Il répond aux questions juridiques et techniques posées par les opérateurs, traite les demandes en français, et publie des notes interprétatives. L'AI Office est compétent pour clarifier les zones grises du Règlement, notamment sur la qualification des systèmes à usage général.
La CNIL publie depuis 2024 ses fiches pratiques sur l'IA, accessibles sur cnil.fr. Ces 13 fiches couvrent la base légale du traitement, l'analyse d'impact (AIPD), la minimisation des données, et l'information des personnes. Elles articulent explicitement les obligations RGPD et AI Act.
Les guides sectoriels. Le Cigref (janvier 2025) et Numeum (mars 2025) ont publié des guides opérationnels. L'ACPR pour le secteur financier, l'ANSM pour les dispositifs médicaux, la HAS pour la santé, l'ARCEP pour les télécoms et la DGCCRF pour la consommation produisent des doctrines spécifiques.
Les bacs à sable réglementaires. L'Article 57 du Règlement impose à chaque État membre la création d'au moins un bac à sable réglementaire d'ici le 2 août 2026. La France a annoncé son dispositif piloté par la CNIL et la DGE. Les PME peuvent y tester leurs systèmes sous supervision avant mise sur le marché.
Comparatif des canaux de support
| Ressource | Public visé | Coût | Accessibilité linguistique |
|---|---|---|---|
| AI Act Service Desk | Tout opérateur | Gratuit | 24 langues UE |
| Fiches CNIL | DPO, RSSI, dirigeants | Gratuit | Français |
| Guide Cigref 2025 | Grands comptes et ETI | Gratuit | Français |
| Norme ISO 42001:2023 | Responsables conformité | Payant (~150 €) | Anglais, français |
| Bacs à sable réglementaires | PME innovantes | Gratuit (sélection) | Français |
L'ensemble des sources officielles utilisables pour étayer une démarche de conformité est référencé sur notre page sources.
Accélérez votre conformité avec nos templates prêts à l'emploi
Documentation technique Art. 11, registre des risques Art. 9, journal d'incidents Art. 12 : nos modèles couvrent l'intégralité des obligations applicables aux PME.
Recevoir le pack documentaire regulia6. Les questions fréquentes (FAQ)
Q : Quels systèmes d'IA sont concernés par l'AI Act pour les PME ?
Les systèmes d'IA à haut risque définis à l'Art. 6 du Règlement (UE) 2024/1689 sont concernés en priorité. L'Annexe III liste huit domaines : biométrie, infrastructures critiques, éducation, emploi, accès aux services essentiels, application de la loi, migration, et administration de la justice. Si votre PME utilise une IA pour des décisions automatisées impactant employés ou clients dans ces domaines, vous êtes concerné. Le AI Act Service Desk permet de qualifier précisément votre système.
Q : Quelles sont les sanctions pour non-conformité ?
L'Art. 99 du Règlement fixe trois plafonds : 35 M€ ou 7% du CA mondial annuel pour les pratiques prohibées (Art. 5), 15 M€ ou 3% pour les manquements aux obligations haut risque, 7,5 M€ ou 1% pour les informations inexactes. Pour les microentreprises et petites entreprises, l'Art. 99.6 prévoit l'application du montant le plus bas. La CNIL impose en parallèle des sanctions au titre de l'Art. 83 du RGPD, pouvant inclure des injonctions d'arrêt de traitement.
Q : Comment une PME peut-elle se conformer ?
La démarche suit six étapes : inventaire des systèmes d'IA, classification par niveau de risque selon les Art. 5, 6 et 50, évaluation de conformité (Art. 43), documentation technique (Art. 11 et Annexe IV), gouvernance et formation (Art. 4), surveillance post-marché (Art. 72). La norme ISO/IEC 42001:2023 fournit le cadre méthodologique. La CNIL et le AI Act Service Desk accompagnent gratuitement les PME.
Q : Quels avantages la conformité apporte-t-elle ?
Trois bénéfices concrets : accès au marché unique européen sans nouvelle évaluation (marquage CE), différenciation commerciale dans les appels d'offres B2B et publics, amélioration interne des processus grâce à la cartographie des systèmes. Les PME conformes négocient également des conditions plus favorables avec leurs assureurs cyber et leurs partenaires financiers.
Q : Où trouver de l'aide pour la conformité ?
Le AI Act Service Desk de la Commission européenne (ai-act-service-desk.ec.europa.eu) répond en français. La CNIL publie 13 fiches pratiques sur cnil.fr/fr/les-fiches-pratiques-ia. La norme ISO/IEC 42001:2023 offre un référentiel international. Notre article dédié AI Act et PME françaises détaille les étapes spécifiques au contexte français, et notre glossaire précise le vocabulaire technique.
7. Conclusion : une opportunité stratégique
L'AI Act ne se réduit pas à une contrainte réglementaire de plus. Pour une PME française, il dessine un cadre qui structure durablement la confiance entre fournisseurs et utilisateurs d'IA. Les dirigeants qui anticipent la mise en conformité dès 2026 transforment un risque financier en avantage concurrentiel.
Trois constats encadrent la décision. Le calendrier est court : moins de neuf mois séparent la rédaction de cet article de la pleine application des obligations haut risque le 2 août 2026. Le coût d'attente dépasse rapidement le coût d'action : un manquement détecté en audit déclenche des procédures longues et publiques, tandis qu'une conformité documentée se déploie discrètement. Les ressources publiques gratuites — AI Act Service Desk, fiches CNIL, bacs à sable — réduisent significativement la barrière à l'entrée pour les structures de 10 à 250 salariés.
La conformité IA s'inscrit dans la continuité de la mise en conformité RGPD que les PME ont conduite entre 2016 et 2018. Les méthodes sont éprouvées : audit, documentation, formation, surveillance. La différence tient à l'objet — les systèmes d'IA évoluent, leurs jeux de données aussi — et impose donc une gouvernance continue plutôt qu'un projet ponctuel.
Lancez votre mise en conformité AI Act dès maintenant
Diagnostic personnalisé, pack documentaire complet et accompagnement par nos experts juridiques : choisissez la formule adaptée à votre PME.
Démarrer ma conformité avec reguliaSources officielles
- Commission européenne — AI Act Service Desk : ai-act-service-desk.ec.europa.eu
- EUR-Lex — Règlement (UE) 2024/1689 (texte officiel) : eur-lex.europa.eu
- CNIL — Fiches pratiques IA : cnil.fr
- Artificial Intelligence Act — Texte consolidé : artificialintelligenceact.eu
- ISO/IEC 42001:2023 — Système de management de l'intelligence artificielle
- ISO/IEC 23894:2023 — Lignes directrices sur la gestion des risques liés à l'IA
- Cigref — Guide AI Act janvier 2025
- Numeum — Guide AI Act mars 2025
Avertissement juridique. Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.