L'EU AI Act est entré en vigueur le 1er août 2024. Ce règlement européen change la donne pour toute PME française qui développe, déploie ou utilise un système d'intelligence artificielle. Voici l'essentiel, sans jargon, pour comprendre vos obligations et éviter les sanctions.
L'essentiel en 30 secondes
- L'AI Act régule l'IA en Europe depuis le 1er août 2024, avec des sanctions pouvant atteindre 7 % du chiffre d'affaires mondial.
- Le règlement classe les systèmes d'IA en quatre catégories : risque inacceptable (interdits), haut risque, risque limité, risque minimal.
- Les PME doivent documenter, déclarer et surveiller leurs systèmes d'IA à haut risque dans la base de données européenne.
- Les sanctions maximales s'élèvent à 35 millions d'euros ou 7 % du CA mondial pour les infractions les plus graves.
- Référence légale : Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024.
1. Introduction : qu'est-ce que l'AI Act ?
L'AI Act est le premier cadre juridique horizontal au monde dédié à l'intelligence artificielle. Il s'agit du Règlement (UE) 2024/1689, publié au Journal officiel de l'Union européenne le 12 juillet 2024 et entré en vigueur le 1er août 2024.
Le règlement poursuit un double objectif. D'abord, garantir que les systèmes d'IA mis sur le marché européen respectent les droits fondamentaux, la sécurité et les valeurs de l'Union. Ensuite, favoriser l'innovation en clarifiant les règles applicables aux fournisseurs, déployeurs et importateurs de systèmes d'IA.
L'AI Act adopte une approche par les risques. Plus un système d'IA présente de risques pour les personnes, plus les obligations qui pèsent sur ses acteurs sont strictes. Cette logique s'inspire du RGPD et du marquage CE classique des produits.
Le texte s'applique de manière échelonnée. Les pratiques interdites sont opposables depuis le 2 février 2025. Les obligations relatives aux modèles d'IA à usage général s'appliquent depuis le 2 août 2025. Le cœur du dispositif, notamment les règles sur les systèmes à haut risque, deviendra pleinement applicable le 2 août 2026.
Qui est concerné ?
L'Article 2 du Règlement (UE) 2024/1689 définit un champ d'application large. Sont visés :
- Les fournisseurs qui développent et mettent sur le marché un système d'IA dans l'UE.
- Les déployeurs (utilisateurs professionnels) qui exploitent un système d'IA dans le cadre de leur activité.
- Les importateurs et distributeurs de systèmes d'IA dans l'Union.
- Les fournisseurs situés hors UE dont les sorties sont utilisées dans l'Union.
Pour une PME française, vous pouvez être fournisseur si vous développez un outil d'IA, ou déployeur si vous achetez un logiciel d'IA pour vos opérations. Les deux statuts peuvent coexister.
2. Portée de l'AI Act : les quatre niveaux de risque
L'AI Act distingue quatre catégories de systèmes. Comprendre cette classification est la première étape de toute mise en conformité.
Tableau de classification des risques
| Niveau de risque | Définition | Exemples | Cadre juridique |
|---|---|---|---|
| Risque inacceptable | Pratiques contraires aux valeurs de l'UE | Notation sociale, manipulation cognitive, reconnaissance biométrique en temps réel dans l'espace public | Art. 5 — interdiction totale |
| Haut risque | Impact significatif sur la sécurité ou les droits fondamentaux | Tri de CV, scoring de crédit, IA médicale, examens scolaires | Art. 6 à 49 — conformité stricte |
| Risque limité | Interaction directe avec des personnes | Chatbots, deepfakes, IA générative grand public | Art. 50 — obligations de transparence |
| Risque minimal | Tous les autres systèmes | Filtres anti-spam, IA dans les jeux vidéo | Aucune obligation spécifique |
Les pratiques interdites depuis février 2025
L'Article 5 du Règlement (UE) 2024/1689 interdit huit pratiques. Parmi elles : la notation sociale par les autorités publiques, l'exploitation des vulnérabilités liées à l'âge ou au handicap, la police prédictive fondée uniquement sur le profilage, et la reconnaissance d'émotions sur le lieu de travail ou dans les établissements d'enseignement.
Une PME qui déploie l'un de ces systèmes s'expose aux sanctions les plus lourdes du règlement. Vérifier qu'aucun usage interdit ne se cache dans vos outils existants est une priorité immédiate.
Les systèmes à haut risque
Deux voies conduisent à la qualification de haut risque selon l'Art. 6 :
- Le système d'IA est un composant de sécurité d'un produit déjà couvert par une législation d'harmonisation listée à l'Annexe I (dispositifs médicaux, machines, jouets, etc.).
- Le système relève d'un des huit domaines listés à l'Annexe III : biométrie, infrastructures critiques, éducation, emploi, accès aux services essentiels, application de la loi, migration, administration de la justice.
Si votre PME utilise un outil de tri automatisé de candidatures, vous tombez dans le champ haut risque, quelle que soit votre taille. Le statut PME ne crée aucune exemption matérielle.
3. Obligations pour les PME
Les obligations diffèrent selon votre rôle : fournisseur ou déployeur.
Tableau des obligations principales
| Obligation | Fournisseur haut risque | Déployeur haut risque | Risque limité |
|---|---|---|---|
| Système de management des risques (Art. 9) | Oui | Non | Non |
| Documentation technique (Art. 11 et Annexe IV) | Oui | Non | Non |
| Gouvernance des données (Art. 10) | Oui | Partiel | Non |
| Information des utilisateurs (Art. 13) | Oui | Oui | Oui |
| Surveillance humaine (Art. 14) | Conception | Mise en œuvre | Non |
| Enregistrement dans la base UE (Art. 49 et 71) | Oui | Oui (autorités publiques) | Non |
| Analyse d'impact sur les droits fondamentaux (Art. 27) | Non | Oui (certains cas) | Non |
| Marquage CE (Art. 48) | Oui | Non | Non |
Pour les déployeurs PME : le quotidien opérationnel
L'Article 26 du Règlement (UE) 2024/1689 liste les obligations du déployeur. Vous devez :
- Utiliser le système conformément à sa notice d'utilisation.
- Confier la surveillance humaine à des personnes compétentes et formées.
- Conserver les journaux générés automatiquement pendant au moins six mois.
- Informer les travailleurs et leurs représentants avant tout déploiement sur le lieu de travail.
- Informer les personnes physiques exposées à une décision prise ou assistée par un système à haut risque.
Pour les fournisseurs PME : le dossier de conformité
Si votre PME développe un système à haut risque, vous devez constituer la documentation technique prévue à l'Annexe IV avant la mise sur le marché. Cette documentation inclut la description du système, ses spécifications, les jeux de données d'entraînement, les mesures de contrôle qualité et les procédures de surveillance post-commercialisation.
L'Article 17 impose un système de gestion de la qualité. Concrètement, votre PME doit formaliser ses processus de développement, de test et de validation, et conserver les preuves de leur application.
Vous ne savez pas si votre IA est à haut risque ?
Notre pack documentaire regulia inclut une grille d'auto-évaluation des risques alignée sur l'Annexe III, des modèles de notice d'utilisation et un registre de conformité prêt à compléter.
Demander une démonstration4. Les sanctions pour non-conformité
L'Article 99 du Règlement (UE) 2024/1689 fixe trois plafonds de sanctions, modulés selon la gravité de l'infraction.
Tableau des sanctions
| Type d'infraction | Plafond en valeur absolue | Plafond en pourcentage du CA mondial | Article appliqué |
|---|---|---|---|
| Pratiques interdites (Art. 5) | 35 millions € | 7 % | Art. 99 §3 |
| Non-respect des obligations sur les systèmes à haut risque, IA à usage général, transparence | 15 millions € | 3 % | Art. 99 §4 |
| Fourniture d'informations inexactes aux autorités | 7,5 millions € | 1 % | Art. 99 §5 |
Pour les PME et les start-up, le règlement prévoit que le montant le plus bas entre la valeur absolue et le pourcentage du CA s'applique (Art. 99 §6). Cette disposition limite l'impact financier sur les petites structures, mais elle ne supprime pas l'exposition.
Les autorités nationales — en France, la CNIL et la DGCCRF, en attendant la désignation définitive de l'autorité de surveillance du marché — appliqueront ces sanctions à partir du 2 août 2026 pour la plupart des obligations.
Pour le détail du calcul, des facteurs aggravants et des cas pratiques, consultez notre analyse complète : Sanctions AI Act pour les PME : barème et calculateur.
5. Comment se conformer à l'AI Act ?
La mise en conformité suit une démarche en cinq étapes structurées.
Étape 1 : cartographier vos systèmes d'IA
Identifiez tous les systèmes utilisés ou développés dans votre PME. Incluez les outils SaaS intégrant de l'IA (assistants commerciaux, scoring marketing, ATS RH). N'oubliez pas les modèles d'IA générative utilisés par vos équipes, même de manière informelle.
Pour chaque système, documentez :
- Le fournisseur et la version.
- La finalité du système et le contexte d'usage.
- Les données traitées et leur source.
- Les utilisateurs internes et les personnes potentiellement affectées.
Étape 2 : classer chaque système
Confrontez chaque cas d'usage aux Articles 5, 6 et 50, ainsi qu'à l'Annexe III. La classification détermine le périmètre exact de vos obligations. Un même outil peut être à risque limité dans un contexte et à haut risque dans un autre — par exemple, un chatbot grand public versus un chatbot médical.
Étape 3 : évaluer les écarts
Pour chaque système à haut risque, mesurez l'écart entre votre situation actuelle et les exigences des Articles 8 à 15. Pour les déployeurs, focalisez l'analyse sur l'Article 26 et, le cas échéant, sur l'analyse d'impact sur les droits fondamentaux de l'Article 27.
Étape 4 : mettre en place les mesures correctives
Construisez un plan d'action priorisé. Les actions structurantes incluent :
- La rédaction d'une politique IA interne.
- La désignation d'un responsable IA (qui peut être le DPO, le RSSI ou un IA Lead dédié).
- La formation des équipes selon l'Article 4 (obligation d'alphabétisation IA).
- La mise en place d'un registre des systèmes d'IA.
- La rédaction des notices d'information pour les utilisateurs et personnes concernées.
Étape 5 : surveiller et améliorer
L'AI Act impose une surveillance continue (Art. 72 pour les fournisseurs). Pour les PME, cela signifie revoir au moins annuellement la cartographie, tester les systèmes, suivre les incidents et documenter les ajustements.
Pour une feuille de route détaillée et adaptée aux PME françaises, consultez notre guide complet AI Act pour PME françaises.
Tableau de bord de conformité minimale
| Document | Fréquence de mise à jour | Responsable type |
|---|---|---|
| Registre des systèmes d'IA | Trimestrielle | DPO ou IA Lead |
| Politique IA interne | Annuelle | Direction |
| Analyse de risques par système | À chaque évolution | IA Lead |
| Notices d'information | À chaque déploiement | Métier concerné |
| Plan de formation IA | Annuelle | RH + IA Lead |
| Journal des incidents IA | Continue | RSSI |
6. Les avantages de la conformité
La conformité n'est pas qu'une contrainte. Bien menée, elle produit trois bénéfices concrets pour une PME.
Confiance des clients et partenaires
Les donneurs d'ordre, en particulier les grands comptes, intègrent de plus en plus la conformité AI Act dans leurs questionnaires fournisseurs. Pouvoir justifier d'un dossier structuré devient un avantage commercial direct dans les appels d'offres B2B.
Réduction des risques juridiques et opérationnels
Documenter ses systèmes d'IA réduit le risque de sanctions, mais aussi le risque de litige civil avec un client, un salarié ou un candidat. La traçabilité prévue par l'Art. 12 (journalisation) facilite la défense en cas de contestation d'une décision automatisée.
Anticipation des standards de marché
L'AI Act dialogue avec la norme ISO/IEC 42001:2023 sur les systèmes de management de l'IA. Une PME conforme à l'AI Act dispose déjà de l'essentiel des éléments pour viser une certification ISO 42001, un signal différenciant à l'export et auprès des investisseurs.
7. Glossaire des termes clés
Pour vous repérer dans le règlement, voici les notions essentielles. Pour les définitions complètes, consultez le glossaire regulia.
| Terme | Définition synthétique | Référence |
|---|---|---|
| Système d'IA | Système automatisé conçu pour fonctionner avec différents niveaux d'autonomie et qui peut faire preuve d'adaptabilité après son déploiement | Art. 3 §1 |
| Fournisseur | Personne qui développe un système d'IA ou le fait développer en vue de le mettre sur le marché sous son propre nom | Art. 3 §3 |
| Déployeur | Personne qui utilise un système d'IA sous sa propre autorité dans le cadre d'une activité professionnelle | Art. 3 §4 |
| Système à haut risque | Système d'IA répondant aux critères de l'Art. 6 | Art. 6 |
| Modèle d'IA à usage général (GPAI) | Modèle d'IA présentant une généralité significative, capable d'exécuter des tâches distinctes | Art. 3 §63 |
| Alphabétisation IA | Compétences, connaissances et compréhension permettant un déploiement éclairé de l'IA | Art. 3 §56 |
| Marquage CE | Marque attestant la conformité d'un système à haut risque aux exigences de l'AI Act | Art. 48 |
| Surveillance humaine | Mesures destinées à prévenir ou minimiser les risques pour la santé, la sécurité ou les droits fondamentaux | Art. 14 |
Passer à l'action sans réinventer la roue
Le pack documentaire regulia regroupe registre des systèmes d'IA, politique interne, notices d'information et grille d'analyse d'impact, conçus pour les PME françaises de 10 à 250 salariés.
Recevoir le pack documentaire8. Sources et liens utiles
Pour approfondir, consultez les ressources officielles et la documentation regulia.
Sources officielles
- Texte consolidé du Règlement (UE) 2024/1689 : eur-lex.europa.eu — version juridique de référence.
- Service d'aide AI Act de la Commission européenne : ai-act-service-desk.ec.europa.eu — questions-réponses officielles.
- CNIL — fiches pratiques IA : cnil.fr — articulation RGPD et AI Act pour la France.
- Texte annoté de l'AI Act : artificialintelligenceact.eu — navigation article par article.
Ressources complémentaires regulia
- Guide AI Act pour PME françaises — pillar méthodologique.
- Sanctions et calculateur d'amendes — analyse de l'Article 99.
- Glossaire AI Act — toutes les définitions.
- Sources et bibliographie — corpus documentaire de référence.
FAQ
Quelles sont les sanctions pour les PME en cas de non-conformité ?
Les sanctions varient selon l'infraction. Pour les pratiques interdites de l'Art. 5, le plafond atteint 35 millions d'euros ou 7 % du chiffre d'affaires mondial. Pour les manquements aux obligations sur les systèmes à haut risque, le plafond est de 15 millions d'euros ou 3 %. Pour les PME, c'est le montant le plus bas entre la valeur absolue et le pourcentage qui s'applique (Art. 99 §6).
Comment savoir si mon système d'IA est concerné par l'AI Act ?
Examinez deux choses. D'abord, vérifiez si votre cas d'usage figure parmi les pratiques interdites de l'Art. 5. Ensuite, confrontez-le à l'Annexe III (biométrie, emploi, éducation, services essentiels, justice, etc.) et à l'Annexe I (composants de sécurité). Si vous tombez dans l'un de ces cadres, vous êtes à haut risque. Notre guide PME propose une grille d'auto-évaluation.
Quelles sont les étapes pour se conformer à l'AI Act ?
Cinq étapes structurent la démarche. Cartographier les systèmes d'IA utilisés. Classer chacun selon les Articles 5, 6 et 50. Évaluer les écarts par rapport aux exigences applicables. Mettre en place les mesures correctives (politique, registre, notices, formation). Surveiller et améliorer en continu. Le guide PME français détaille chaque étape.
L'AI Act s'applique-t-il aux PME françaises ?
Oui, sans condition de taille. L'Art. 2 ne prévoit aucune exemption générale pour les PME. Les obligations matérielles (interdictions, transparence, haut risque) s'appliquent quelle que soit la taille de l'entreprise. En revanche, des aménagements existent : plafonds de sanctions adaptés (Art. 99 §6), accès aux bacs à sable réglementaires (Art. 57), et modèles documentaires simplifiés que la Commission doit publier.
Où puis-je trouver de l'aide pour comprendre l'AI Act ?
Le service d'aide officiel de la Commission européenne propose des questions-réponses : ai-act-service-desk.ec.europa.eu. La CNIL publie 13 fiches pratiques articulant IA et RGPD sur cnil.fr. Pour une approche orientée PME, consultez notre guide complet et notre glossaire.
Disclaimer — Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.