Quels sont les délais d'application pour les systèmes de haut risque ?

Les systèmes de haut risque doivent être conformes dès le 2 mai 2025 pour les systèmes déjà déployés, et pour les nouveaux systèmes dès le 2 mai 2026. Les PME doivent s'inscrire au registre européen dès 2026.

Qu'est-ce qu'un système de haut risque ?

Un système de haut risque est défini par l'AI Act comme un système qui présente un risque élevé pour les droits fondamentaux, la santé, la sécurité ou l'environnement. Les exemples incluent les systèmes d'IA utilisés dans les secteurs de la santé, de la justice, ou de l'emploi.

Dois-je m'inscrire au registre européen si je suis une PME ?

Oui, si vous utilisez un système de haut risque, vous devez vous inscrire au registre européen dès 2026. Cela permet de garantir la transparence et la traçabilité des systèmes d'IA utilisés par les entreprises.

Où puis-je trouver des ressources pour m'aider à me conformer ?

Vous pouvez consulter le service desk européen de l'AI Act (ai-act-service-desk.ec.europa.eu) pour des questions techniques. La CNIL (cnil.fr) propose également des guides et des outils pour les PME. Enfin, l'ISO 42001 pour l'IA est une norme qui peut aider à structurer votre démarche de conformité.

Quand s'applique l'AI Act aux PME ? Calendrier 2025-2027

Q: Quelles sont les sanctions pour non-conformité ?

Les sanctions peuvent atteindre 7% du chiffre d'affaires annuel mondial pour les systèmes de haut risque, selon l'article 83 de l'AI Act. Les PME doivent donc s'assurer de la conformité pour éviter des amendes importantes.

TL;DR

L'essentiel en 30 secondes - Le Règlement (UE) 2024/1689 est entré en vigueur le 1er août 2024, avec une application échelonnée jusqu'au 2 août 2027. - Les interdictions de pratiques d'IA (Art. 5) s'appliquent depuis le 2 février 2025 à toutes les PME, sans exception. - Les obligations sur les modèles d'IA à usage général (GPAI) sont entrées en vigueur le 2 août 2025. - Les systèmes à haut risque listés en Annexe III doivent être conformes au plus tard le 2 août 2026. - L'inscription à la base de données européenne (Art. 71) devient obligatoire pour les fournisseurs de haut risque dès 2026. - Les sanctions vont jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial (Art. 99).

L'EU AI Act ne s'applique pas en une seule fois. Le Règlement (UE) 2024/1689 prévoit cinq vagues d'application étalées sur trois ans. Chaque PME française doit identifier précisément à quelle date ses obligations entrent en vigueur, sous peine de sanctions financières lourdes prévues à l'Article 99.

Cet article détaille le calendrier officiel publié au Journal officiel de l'Union européenne, les obligations spécifiques aux PME, et les étapes concrètes à engager dès maintenant.

1. Calendrier d'application de l'AI Act pour les PME

Le Règlement (UE) 2024/1689 a été publié au JOUE le 12 juillet 2024. Il est entré en vigueur le 1er août 2024, vingt jours après publication. Son application est échelonnée selon l'Article 113 du Règlement.

Cette gradation laisse aux PME le temps d'auditer leurs systèmes et de bâtir leur conformité. Elle impose aussi une vigilance constante : chaque jalon active de nouvelles obligations.

Calendrier officiel des dates d'application

Date	Obligations activées	Articles concernés	PME concernées
1er août 2024	Entrée en vigueur du Règlement	Art. 113	Toutes
2 février 2025	Interdictions de pratiques d'IA + obligation de littératie IA	Art. 5, Art. 4	Toutes
2 août 2025	Modèles d'IA à usage général (GPAI), gouvernance, sanctions	Art. 51-56, Art. 99	Fournisseurs GPAI
2 août 2026	Systèmes à haut risque (Annexe III), transparence (Art. 50), bacs à sable	Art. 6 §2, Art. 50, Art. 57	Toutes utilisatrices de haut risque
2 août 2027	Systèmes haut risque intégrés à des produits réglementés (Annexe I)	Art. 6 §1	Fabricants de dispositifs médicaux, jouets, machines

Les délais ne s'appliquent pas tous aux mêmes acteurs. Une PME qui utilise un assistant conversationnel pour son service client n'a pas les mêmes échéances qu'une PME qui développe un logiciel de tri de CV pour le recrutement.

Délais pour les systèmes à risque limité

Les systèmes à risque limité (chatbots, deepfakes, contenus générés) sont régis par l'Article 50. Les obligations de transparence s'appliquent au 2 août 2026. Une PME qui exploite un chatbot devra informer clairement ses utilisateurs qu'ils interagissent avec une IA.

Délais pour les systèmes à risque minimal

Les systèmes à risque minimal (filtres anti-spam, IA des jeux vidéo, recommandations basiques) ne sont soumis à aucune obligation contraignante. La Commission encourage l'adoption volontaire de codes de conduite (Art. 95), sans calendrier imposé.

2. Obligations spécifiques pour les PME

Le Règlement (UE) 2024/1689 reconnaît explicitement la situation des PME. L'Article 62 prévoit des mesures de soutien : accès prioritaire aux bacs à sable réglementaires, tarification réduite des évaluations de conformité, et orientations dédiées de l'AI Office.

Ces dispositions ne dispensent pas des obligations de fond. Elles allègent seulement les modalités pratiques.

Inscription à la base de données européenne (Art. 71)

À partir du 2 août 2026, tout fournisseur d'un système à haut risque doit enregistrer ce système dans la base de données européenne avant sa mise sur le marché ou sa mise en service. L'enregistrement est public, sauf pour les systèmes utilisés dans le maintien de l'ordre ou la migration.

Le déployeur — souvent une PME utilisatrice — doit aussi s'enregistrer lorsqu'il est une autorité publique ou agit pour son compte (Art. 49 §1 bis).

Documentation technique et conformité

L'Article 11 et l'Annexe IV imposent une documentation technique complète pour chaque système à haut risque. Cette documentation doit démontrer la conformité aux exigences des Articles 8 à 15 : système de gestion des risques, gouvernance des données, journalisation, transparence, supervision humaine, robustesse.

Pour les PME et start-up, l'Article 11 §1 prévoit la possibilité de fournir cette documentation « sous une forme simplifiée », via un formulaire dédié élaboré par la Commission.

Formation et littératie IA (Art. 4)

Depuis le 2 février 2025, toute organisation déployant un système d'IA doit garantir un niveau suffisant de littératie IA chez son personnel concerné. Cette obligation s'applique sans seuil d'effectif. Une PME de 12 salariés est concernée au même titre qu'un grand groupe.

La littératie couvre la compréhension technique, les implications juridiques et éthiques, et les bonnes pratiques d'utilisation.

Besoin d'un calendrier de conformité sur mesure ?

regulia propose un pack documentaire qui inclut un échéancier personnalisé, les templates de registre, et la documentation technique simplifiée Article 11.

Demander une démonstration

3. Les systèmes à haut risque concernés

L'Article 6 du Règlement distingue deux catégories de systèmes à haut risque. La première concerne les systèmes intégrés à des produits déjà réglementés (Annexe I). La seconde liste huit domaines critiques (Annexe III).

Les PME doivent identifier sans délai si leurs systèmes relèvent de l'une ou l'autre catégorie.

Exemples de systèmes à haut risque selon l'Annexe III

Domaine (Annexe III)	Exemples concrets	Date limite de conformité
Biométrie (point 1)	Identification biométrique à distance, reconnaissance des émotions	2 août 2026
Infrastructures critiques (point 2)	IA de gestion du trafic routier, réseaux d'électricité	2 août 2026
Éducation et formation (point 3)	Notation automatisée, détection de fraude aux examens	2 août 2026
Emploi et RH (point 4)	Tri de CV, évaluation de la performance, surveillance des salariés	2 août 2026
Services essentiels (point 5)	Scoring de crédit, tarification d'assurance vie/santé	2 août 2026
Maintien de l'ordre (point 6)	Évaluation du risque de récidive, polygraphes IA	2 août 2026
Migration et asile (point 7)	Vérification de documents de voyage, évaluation de demandes	2 août 2026
Justice et démocratie (point 8)	Aide à la décision judiciaire, influence électorale	2 août 2026

Critères de classification

L'Article 6 §3, introduit lors des trilogues, permet à un fournisseur de considérer qu'un système listé en Annexe III n'est PAS à haut risque s'il ne présente « pas de risque significatif d'atteinte » aux droits fondamentaux. Cette dérogation suppose une documentation rigoureuse et une justification écrite. L'AI Office publiera des lignes directrices d'ici février 2026.

Impact sur les PME utilisatrices

Une PME qui déploie un logiciel de tri de CV acheté à un fournisseur tiers devient « déployeur » au sens de l'Article 3. Elle hérite des obligations de l'Article 26 : usage conforme à la notice, supervision humaine, journalisation, information des salariés concernés.

Pour aller plus loin, consultez notre guide pillar AI Act pour les PME françaises.

4. Les systèmes à risque limité

Les systèmes à risque limité ne figurent pas en Annexe III mais sont soumis à des obligations de transparence selon l'Article 50.

Définition et exemples

Sont concernés notamment :

Les systèmes interagissant directement avec des personnes physiques (chatbots, assistants vocaux)
Les systèmes générant ou manipulant du contenu (texte, image, audio, vidéo) — y compris les deepfakes
Les systèmes de catégorisation biométrique non interdits par l'Article 5
Les systèmes de reconnaissance des émotions hors haut risque

Obligations allégées

Le fournisseur doit concevoir le système de sorte que la personne sache qu'elle interagit avec une IA. Le déployeur d'un deepfake doit indiquer clairement que le contenu a été généré ou manipulé artificiellement, sauf exceptions limitées (œuvre satirique, fiction).

Ces obligations s'appliquent au 2 août 2026.

Exemption partielle

L'information n'est pas requise lorsque l'interaction est manifeste pour une personne raisonnablement informée (Art. 50 §1). Un assistant vocal explicitement nommé « robot » sur un site marchand peut bénéficier de cette exemption, sous réserve d'analyse au cas par cas.

5. Les systèmes à risque minimal

Les systèmes à risque minimal forment la grande majorité des usages IA actuels en PME. Le Règlement ne leur impose aucune obligation contraignante.

Définition et exemples

Relèvent du risque minimal :

Filtres anti-spam et anti-pourriel
IA des jeux vidéo (PNJ, équilibrage)
Recommandations basiques de produits sur un site e-commerce
Optimisation de la chaîne logistique sans impact direct sur les personnes
Outils de traduction automatique en interne

Aucune obligation légale

Ces systèmes ne déclenchent ni inscription au registre, ni documentation technique, ni évaluation de conformité.

Recommandations volontaires

L'Article 95 du Règlement encourage l'adoption volontaire de codes de conduite, inspirés des exigences applicables aux systèmes à haut risque. Cette démarche peut renforcer la confiance des clients et anticiper les évolutions futures du droit.

6. Sanctions et responsabilités

L'Article 99 du Règlement structure les sanctions en trois paliers, selon la gravité du manquement. Pour les PME, l'Article 99 §6 prévoit explicitement que le moins élevé des deux montants (forfait ou pourcentage du CA) s'applique — contre le plus élevé pour les grandes entreprises.

Montants des amendes

Manquement	Plafond standard	Plafond PME (Art. 99 §6)
Pratique interdite (Art. 5)	35 M€ ou 7 % du CA mondial	Le plus bas des deux
Manquement aux obligations (haut risque, GPAI)	15 M€ ou 3 % du CA mondial	Le plus bas des deux
Informations inexactes ou trompeuses	7,5 M€ ou 1 % du CA mondial	Le plus bas des deux

Pour un calcul détaillé adapté à votre situation, consultez notre analyse des sanctions et amendes pour PME.

Procédure de contrôle

Chaque État membre doit désigner une autorité de surveillance du marché avant le 2 août 2025. En France, la désignation officielle est en cours de finalisation [à vérifier]. La CNIL et la DGCCRF sont pressenties comme co-autorités, selon la nature des systèmes.

Rôle de la CNIL

La CNIL publie depuis 2023 une série de fiches pratiques IA. Elle traite déjà des questions de RGPD-IA croisées avec l'AI Act, notamment sur les bases légales de traitement, les analyses d'impact, et les droits des personnes.

7. Comment se préparer ?

La préparation à l'AI Act doit commencer dès maintenant, indépendamment du calendrier final. Trois étapes structurent la démarche.

Étape 1 — Audit interne

Cartographier l'ensemble des systèmes d'IA utilisés ou développés. Pour chaque système, identifier :

Le rôle de l'entreprise : fournisseur, déployeur, importateur, distributeur (Art. 3)
La catégorie de risque : interdit, haut risque, limité, minimal
Le calendrier applicable
Les obligations spécifiques à respecter
Les actions correctives à engager

Ce travail constitue le socle du registre interne de conformité.

Étape 2 — Formation des équipes

Mettre en place un plan de littératie IA (Art. 4) couvrant :

Les bases techniques de l'IA générative et prédictive
Les obligations légales (AI Act, RGPD, sectorielles)
Les bonnes pratiques opérationnelles
Les procédures internes de validation et de signalement

Documenter la formation reçue par chaque salarié concerné.

Étape 3 — Consultation d'experts et outillage

Pour les systèmes à haut risque, mobiliser un binôme juridique-technique. La norme ISO/IEC 42001:2023 fournit un cadre de management de l'IA aligné avec les exigences de l'AI Act. Sa mise en œuvre facilite la démonstration de conformité.

Le glossaire regulia explicite les termes-clés du Règlement.

Démarrer votre conformité AI Act dès aujourd'hui

Pack documentaire regulia : registre des systèmes IA, templates de documentation Article 11, modèles de politique d'usage et de notice d'information.

Recevoir le pack documentaire

8. Ressources utiles

Plusieurs ressources institutionnelles complètent ce calendrier.

Service desk européen

L'AI Act Service Desk de la Commission européenne traite les questions techniques d'application. Il s'adresse en priorité aux fournisseurs et déployeurs.

Lignes directrices CNIL

La CNIL propose 13 fiches pratiques IA couvrant les bases légales, les analyses d'impact (AIPD), et l'exercice des droits. Ces fiches sont régulièrement enrichies.

Normes ISO

Trois normes structurent la mise en œuvre :

ISO/IEC 42001:2023 — système de management de l'IA
ISO/IEC 23894:2023 — gestion des risques liés à l'IA
ISO/IEC 27001:2022 — sécurité de l'information

L'ensemble des sources officielles est compilé sur notre page sources.

9. Foire aux questions

Quels sont les délais d'application pour les systèmes à haut risque ?

Les systèmes à haut risque listés en Annexe III doivent être conformes au plus tard le 2 août 2026. Les systèmes à haut risque relevant de l'Annexe I (intégrés à des produits réglementés : dispositifs médicaux, machines, jouets) disposent d'un délai supplémentaire jusqu'au 2 août 2027 (Art. 113). L'inscription à la base de données européenne (Art. 71) suit le même calendrier.

Quelles sont les sanctions pour non-conformité ?

L'Article 99 prévoit jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour les pratiques interdites de l'Article 5. Le plafond passe à 15 M€ ou 3 % du CA pour les autres manquements (haut risque, GPAI). Pour les PME et start-up, l'Article 99 §6 retient le moins élevé des deux montants, contrairement aux grandes entreprises.

Qu'est-ce qu'un système à haut risque ?

L'Article 6 définit deux cas. Premier cas : le système est un composant de sécurité d'un produit déjà soumis à un règlement listé en Annexe I (par exemple, dispositif médical). Second cas : le système relève d'un des huit domaines de l'Annexe III (biométrie, infrastructures critiques, éducation, emploi, services essentiels, maintien de l'ordre, migration, justice).

Une PME doit-elle s'inscrire à la base de données européenne ?

Oui, si la PME est fournisseur d'un système à haut risque, elle doit l'enregistrer dans la base de données européenne (Art. 71) avant mise sur le marché, à partir du 2 août 2026. Le déployeur — souvent l'utilisateur final — doit aussi s'enregistrer s'il est une autorité publique ou agit pour son compte (Art. 49). Les déployeurs privés ne sont pas tenus à l'inscription, sauf cas spécifiques.

Où trouver des ressources pour se conformer ?

Trois ressources principales. L'AI Act Service Desk de la Commission européenne traite les questions techniques. La CNIL publie 13 fiches pratiques sur l'IA, accessibles librement. La norme ISO/IEC 42001:2023 fournit un cadre de management auditable. regulia complète ces ressources avec des templates documentaires opérationnels.

10. Conclusion

L'AI Act n'est pas un texte théorique. Son calendrier est ferme, ses sanctions sont calibrées pour produire un effet dissuasif, et ses obligations couvrent toute la chaîne — du fournisseur au déployeur.

Pour une PME française, trois jalons structurent l'agenda : le 2 février 2025 (interdictions, littératie), le 2 août 2025 (GPAI, sanctions opérationnelles), et le 2 août 2026 (haut risque, transparence, base de données). Le 2 août 2027 clôt le cycle pour les systèmes intégrés à des produits réglementés.

L'enjeu n'est pas seulement d'éviter une amende. Une conformité documentée devient un argument commercial face aux donneurs d'ordre, et un facteur de confiance pour les clients finaux.

Sources officielles

AI Act Service Desk — Commission européenne
Règlement (UE) 2024/1689 — texte officiel EUR-Lex
AI Act — texte consolidé et explorateur d'articles
CNIL — fiches pratiques IA
ISO/IEC 42001:2023 — Information technology, Artificial intelligence, Management system
ISO/IEC 23894:2023 — Artificial intelligence, Guidance on risk management

Disclaimer — Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.