Qui est concerné par l'AI Act en France en 2026 ?

Q: Les PME de moins de 10 salariés sont-elles concernées par l'AI Act ?

Non, l'AI Act s'applique aux PME de 10 à 250 salariés. Les petites entreprises de moins de 10 salariés sont exemptées des obligations d'inscription et de documentation, mais doivent toujours respecter les principes de protection des données (RGPD).

Q: Quelles sont les sanctions pour une PME en non-conformité avec l'AI Act ?

Les sanctions peuvent atteindre 7% du chiffre d'affaires mondial (art. 83 EU AI Act) et incluent des amendes, des interdictions temporaires de mise sur le marché, et des responsabilités pénales pour les dirigeants. Les PME doivent donc se conformer dès 2026 pour éviter des coûts prohibitifs.

Q: Où puis-je trouver de l'aide pour me conformer à l'AI Act ?

La CNIL propose un guide dédié aux PME (/ai-act-pme-france/), et le service desk européen (ai-act-service-desk.ec.europa.eu) offre une assistance gratuite. De plus, l'audit ISO 42001:2023 peut aider à structurer votre démarche de conformité.

Q: Dois-je s'inscrire au registre européen si je suis une PME française ?

Oui, si vous utilisez des systèmes d'IA à haut risque, vous devez déclarer votre système au registre européen (art. 58 EU AI Act). Cela inclut les PME françaises, même si vous n'exportez pas vers l'UE, car l'AI Act s'applique aux systèmes utilisés dans l'UE.

Q: Qu'est-ce qu'un système d'IA à haut risque ?

Un système d'IA est considéré comme à haut risque s'il présente un risque pour la santé, la sécurité, ou les droits fondamentaux. Exemples : IA pour embauche, crédit, surveillance vidéo, santé. Les PME doivent évaluer leur système selon les critères de l'AI Act pour déterminer sa classification.

L'essentiel en 30 secondes

Le Règlement (UE) 2024/1689 s'applique aux PME françaises qui développent, déploient ou distribuent des systèmes d'IA, avec une attention particulière aux usages à haut risque (Art. 6).
Les sanctions atteignent 35 M€ ou 7 % du chiffre d'affaires mondial pour les pratiques interdites (Art. 99 — anciennement présenté comme Art. 83 dans certaines versions de travail).
Les déployeurs de systèmes à haut risque doivent s'enregistrer dans la base de données européenne prévue à l'Art. 71 (renvoi opérationnel par l'Art. 49).
L'AI Office et le service desk européen offrent un accompagnement gratuit, avec mesures de soutien renforcées pour les PME (Art. 62).
Les systèmes d'IA à risque minimal restent hors du périmètre d'obligations lourdes, mais les pratiques interdites de l'Art. 5 s'appliquent à toutes les organisations sans seuil de taille.
Calendrier 2026 : Art. 5 applicable depuis le 2 février 2025, modèles d'IA à usage général depuis le 2 août 2025, haut risque à compter du 2 août 2026.

1. L'AI Act en bref : qu'est-ce que c'est ?

Le Règlement (UE) 2024/1689, dit « AI Act », est le premier texte horizontal au monde encadrant les systèmes d'intelligence artificielle. Adopté le 13 juin 2024 et publié au Journal officiel de l'Union européenne le 12 juillet 2024, il est entré en vigueur le 1er août 2024.

Son application s'échelonne sur 36 mois. Les dispositions sur les pratiques interdites (Art. 5) et la culture IA (Art. 4) s'appliquent depuis le 2 février 2025. Les obligations relatives aux modèles d'IA à usage général (GPAI) sont entrées en vigueur le 2 août 2025. Le cœur du dispositif — les systèmes à haut risque — devient pleinement applicable le 2 août 2026.

L'objectif du texte est double : garantir un niveau élevé de protection de la santé, de la sécurité et des droits fondamentaux, tout en favorisant l'innovation dans le marché intérieur. Le règlement adopte une approche par les risques, classant les systèmes en quatre catégories : inacceptable, élevé, limité et minimal.

Pour une PME française, cette logique se traduit par une question opérationnelle : quel est le niveau de risque de chaque système d'IA déployé ou développé en interne ? La réponse conditionne l'ensemble des obligations applicables.

Catégorie de risque	Exemples	Régime applicable
Inacceptable	Notation sociale, manipulation cognitive, reconnaissance émotionnelle au travail	Interdiction (Art. 5)
Haut risque	Tri de CV, scoring crédit, dispositifs médicaux IA	Obligations renforcées (Chap. III)
Risque limité	Chatbots, deepfakes	Transparence (Art. 50)
Risque minimal	Filtres anti-spam, IA de jeux vidéo	Pas d'obligation spécifique

Lire aussi notre pillar AI Act pour les PME françaises pour une cartographie complète du dispositif.

2. Les PME concernées : qui doit se conformer ?

L'AI Act ne distingue pas explicitement les PME des grandes entreprises pour l'application de ses obligations principales. Le critère déterminant est le rôle joué par l'organisation dans la chaîne de valeur de l'IA et la catégorie de risque du système concerné.

Le texte définit plusieurs acteurs aux Art. 3(3) à 3(8) :

Fournisseur (provider) : entité qui développe un système d'IA ou le fait développer et le met sur le marché sous son nom.
Déployeur (deployer) : entité qui utilise un système d'IA sous sa propre autorité, dans le cadre de son activité professionnelle.
Importateur et distributeur : entités qui placent ou rendent disponible un système d'IA provenant d'un fournisseur tiers.
Mandataire (authorized representative) : représentant établi dans l'UE désigné par un fournisseur non-UE.

Une PME française est le plus souvent déployeur. Si elle achète un logiciel RH intégrant un module de tri de CV, elle est déployeur de ce système et le fournisseur reste l'éditeur. Si elle entraîne ses propres modèles sur ses données et les met sur le marché, elle devient fournisseur.

La portée extraterritoriale est large (Art. 2). Le règlement s'applique aux fournisseurs établis dans l'UE, mais aussi à ceux établis hors UE dès lors que la sortie du système est utilisée dans l'Union. Une PME française qui sous-traite à un fournisseur américain n'est donc pas exonérée — elle reste déployeur au sens du texte.

Rôle	Exemple PME	Obligations clés
Fournisseur	Éditeur français d'un logiciel de scoring crédit	Conformité complète Chap. III, marquage CE, registre Art. 71
Déployeur	Cabinet RH utilisant un outil de tri de CV	Évaluation de conformité du fournisseur, surveillance humaine (Art. 26)
Importateur	Distributeur français d'un dispositif médical IA américain	Vérification documentation, conformité Art. 23
Distributeur	Revendeur intégrateur	Vérification marquage CE (Art. 24)

À noter : les usages strictement personnels et non professionnels sortent du champ (Art. 2.10), ce qui exclut le salarié qui utilise ChatGPT à titre privé sur son temps personnel — mais pas son employeur qui l'autorise en interne.

3. Les obligations pour les PME

Les obligations principales se concentrent sur les systèmes à haut risque listés à l'Annexe III. Pour une PME française, l'enjeu est d'identifier précisément le statut de chaque système avant de bâtir un plan de conformité.

Les huit domaines à haut risque de l'Annexe III incluent :

Identification biométrique à distance et catégorisation
Infrastructures critiques (énergie, transports)
Éducation et formation professionnelle
Emploi, gestion des travailleurs et accès au travail indépendant
Accès aux services essentiels (crédit, prestations sociales, secours)
Application de la loi
Migration, asile et contrôle aux frontières
Administration de la justice et processus démocratiques

Une PME française dont l'IA touche au recrutement, à l'évaluation des salariés ou au scoring crédit est concernée par le régime haut risque.

Les obligations cardinales pour les fournisseurs de systèmes à haut risque sont structurées dans le chapitre III, section 2 :

Système de gestion des risques (Art. 9) : cycle de vie complet, identification et atténuation.
Gouvernance des données (Art. 10) : qualité, représentativité, absence de biais dans les jeux d'entraînement.
Documentation technique (Art. 11 et Annexe IV) : dossier complet avant mise sur le marché.
Journalisation (Art. 12) : traçabilité automatique des événements pendant la vie du système.
Transparence et information du déployeur (Art. 13) : notice d'utilisation claire.
Supervision humaine (Art. 14) : conception permettant le contrôle effectif par un humain.
Exactitude, robustesse et cybersécurité (Art. 15).
Système de gestion de la qualité (Art. 17) : équivalent ISO/IEC 42001:2023 dans son esprit.

Les obligations pour les déployeurs (Art. 26) sont plus circonscrites mais structurantes :

Utiliser le système conformément à la notice du fournisseur.
Confier la supervision humaine à des personnes compétentes.
S'assurer de la pertinence des données d'entrée qu'ils contrôlent.
Surveiller le fonctionnement et signaler les incidents graves.
Conserver les logs générés pour une durée appropriée (au moins 6 mois sauf exception).
Réaliser une évaluation d'impact sur les droits fondamentaux (FRIA, Art. 27) pour certains déployeurs publics ou privés rendant des services essentiels.

L'articulation avec le RGPD reste obligatoire. L'Art. 26.9 rappelle que l'analyse d'impact relative à la protection des données (AIPD, Art. 35 RGPD) demeure due lorsqu'elle est requise. La CNIL l'a précisé dans ses fiches pratiques IA.

L'inscription à la base de données européenne (Art. 71) concerne les fournisseurs de systèmes à haut risque, et certains déployeurs publics. Pour les déployeurs privés non publics, l'enregistrement n'est généralement pas requis — l'obligation de l'Art. 49 cible essentiellement les fournisseurs et les autorités publiques.

Vous ne savez pas si votre IA est « à haut risque » ?

regulia propose un diagnostic guidé qui croise vos usages avec l'Annexe III et identifie vos obligations en moins de 15 minutes.

Demander un diagnostic gratuit

4. Les sanctions : risques pour les PME

L'Art. 99 du Règlement (UE) 2024/1689 fixe trois niveaux d'amende selon la nature de la violation. Ces montants représentent le maximum que les autorités nationales peuvent infliger, en tenant compte de la gravité, de la durée, de la coopération de l'entreprise et — fait notable pour les PME — de leur situation économique.

Manquement	Plafond grande entreprise	Plafond PME et start-ups
Pratiques interdites (Art. 5)	35 M€ ou 7 % CA mondial (le plus élevé)	35 M€ ou 7 % CA mondial (le plus faible)
Non-respect des obligations haut risque, GPAI, transparence	15 M€ ou 3 % CA mondial (le plus élevé)	15 M€ ou 3 % CA mondial (le plus faible)
Informations incorrectes aux autorités	7,5 M€ ou 1 % CA mondial (le plus élevé)	7,5 M€ ou 1 % CA mondial (le plus faible)

L'Art. 99.6 introduit un mécanisme de proportionnalité pour les PME et start-ups : pour ces entreprises, l'amende correspond au plus faible des deux montants entre la somme forfaitaire et le pourcentage du chiffre d'affaires. Cette disposition vise à éviter une sanction disproportionnée pour une petite structure.

Au-delà des amendes administratives, les conséquences indirectes pèsent lourd :

Retrait du marché ou interdiction temporaire de mise à disposition (Art. 79 à 82).
Obligation de mise en conformité dans un délai imparti.
Action civile en responsabilité au titre des préjudices causés.
Risque réputationnel auprès des clients, partenaires et donneurs d'ordre.

La responsabilité pénale des dirigeants n'est pas directement créée par l'AI Act — celui-ci instaure des sanctions administratives. Cependant, les régimes nationaux (Code pénal français, Code de la consommation) peuvent s'articuler en cas de tromperie, mise en danger ou atteinte aux droits.

Pour le calcul précis et les cas pratiques, consultez notre analyse détaillée des sanctions pour PME.

5. Les ressources pour se conformer

Plusieurs ressources officielles permettent à une PME française de structurer sa démarche sans recourir immédiatement à un cabinet externe.

L'AI Office européen est le point d'entrée institutionnel. Créé en février 2024 au sein de la Commission, il coordonne l'application du règlement et anime le service desk dédié aux PME. Son portail propose des guides, FAQ et formulaires de saisine.

Le service desk AI Act (ai-act-service-desk.ec.europa.eu) répond gratuitement aux questions techniques et juridiques. Les délais de réponse varient mais le canal écrit reste tracé.

La CNIL publie 13 fiches pratiques IA depuis avril 2024, complétées par des recommandations sectorielles. Le régulateur français pilote également les bacs à sable d'expérimentation prévus par l'Art. 57. Les PME y bénéficient d'un accès prioritaire et d'exonérations de frais (Art. 62.3).

Les normes ISO constituent le squelette opérationnel recommandé :

ISO/IEC 42001:2023 — système de management de l'IA. Première norme certifiable, elle structure la gouvernance.
ISO/IEC 23894:2023 — management du risque IA, lignes directrices.
ISO/IEC 27001:2022 — sécurité de l'information, base pour la cybersécurité requise à l'Art. 15.
ISO/IEC 23053:2022 — framework AI/ML pour la documentation technique.

Les guides professionnels français apportent un niveau opérationnel supplémentaire. Le Cigref a publié en janvier 2025 un guide AI Act à destination des directions informatiques. Numeum a publié en mars 2025 un guide sectoriel pour les éditeurs de logiciels et ESN.

Les autorités sectorielles complètent ce dispositif selon le domaine : ACPR pour la finance, ANSM pour le médicament et dispositifs médicaux, HAS pour la santé, ARCEP pour les communications, ARCOM pour l'audiovisuel et plateformes, DGCCRF pour la protection des consommateurs.

Ressource	Public visé	Coût	Format
AI Office	Toutes organisations UE	Gratuit	Portail web, FAQ
Service desk AI Act	PME prioritaires	Gratuit	Formulaire de saisine
Fiches pratiques CNIL	DPO, RSSI	Gratuit	13 fiches PDF
ISO 42001	DSI, IA Lead	Achat norme (~150 €)	Standard certifiable
Guide Cigref janvier 2025	DSI grandes entreprises	Gratuit pour adhérents	PDF
Guide Numeum mars 2025	Éditeurs, ESN	Gratuit pour adhérents	PDF
Bacs à sable Art. 57	Innovateurs	Gratuit (cadre CNIL)	Accompagnement

Notre page sources officielles recense les liens vérifiés et leur date de dernière mise à jour.

6. Les étapes de conformité pour les PME

La feuille de route opérationnelle se construit en six étapes. Cette séquence est validée par les retours d'expérience des premiers cabinets engagés sur la mise en conformité depuis le second semestre 2024.

Inventaire des systèmes d'IA. Recenser tout système utilisant l'apprentissage automatique, le raisonnement automatisé ou l'inférence statistique, qu'il soit développé en interne, acheté sur étagère ou intégré via un SaaS. Inclure les modules d'IA embarqués dans des outils existants (CRM, ATS, ERP).
Classification des risques. Pour chaque système, déterminer s'il relève d'une pratique interdite (Art. 5), du haut risque (Annexe III), du risque limité (Art. 50) ou du risque minimal. Documenter la justification de la classification. Cette étape conditionne tout le reste.
Cartographie des rôles. Identifier pour chaque système si la PME agit comme fournisseur, déployeur, importateur ou distributeur. Une même PME peut cumuler plusieurs rôles sur des systèmes différents.
Analyse d'écart. Comparer les pratiques actuelles aux obligations applicables. Pour les déployeurs, cela implique de vérifier la documentation reçue du fournisseur. Pour les fournisseurs, il s'agit d'un audit complet du cycle de développement.
Plan d'action et gouvernance. Désigner un responsable IA (souvent le DPO ou le RSSI dans les PME), formaliser les procédures, mettre en place le journal des décisions, organiser la supervision humaine et la formation des équipes (Art. 4 sur la culture IA).
Surveillance continue et amélioration. Mettre en place une revue annuelle, un dispositif de remontée d'incidents (Art. 73) et un suivi des évolutions réglementaires. L'AI Act évoluera par actes délégués et lignes directrices de la Commission.

La formation des équipes est devenue obligatoire depuis le 2 février 2025 au titre de l'Art. 4 : fournisseurs et déployeurs doivent garantir un « niveau suffisant de maîtrise de l'IA » de leur personnel et des personnes intervenant pour leur compte.

Étape	Délai recommandé PME	Livrable type
Inventaire	2-4 semaines	Registre des systèmes IA
Classification	2-3 semaines	Tableau de classification avec justification
Rôles	1 semaine	Cartographie fournisseur/déployeur
Analyse d'écart	4-6 semaines	Rapport de gap avec priorisation
Plan d'action	3-6 mois	Plan de conformité et procédures
Surveillance	Continu	Revue annuelle, journal d'incidents

Le glossaire regulia reprend les définitions clés (fournisseur, déployeur, GPAI, FRIA) utiles à toutes les étapes.

7. Les avantages de la conformité

Au-delà de l'évitement des sanctions, la mise en conformité produit des effets positifs mesurables. Trois bénéfices ressortent des retours d'expérience.

Accès aux marchés publics et grands comptes. La commande publique européenne intègre progressivement la conformité AI Act dans ses critères d'attribution. Un cabinet RH non conforme se verra fermer l'accès aux appels d'offres concernant l'évaluation des candidats dans la fonction publique. Les directions achats des grandes entreprises imposent déjà des clauses contractuelles miroir de l'AI Act à leurs prestataires.

Confiance des clients et partenaires. La transparence imposée par les Art. 13 et 50 (notice d'utilisation, marquage des contenus générés) devient un argument commercial. Une PME qui peut produire spontanément son dossier de documentation technique gagne en crédibilité face à des prospects exigeants.

Renforcement de la sécurité des données. Les obligations de gouvernance des données (Art. 10) et de cybersécurité (Art. 15) se cumulent avec celles du RGPD. Beaucoup de PME constatent que l'effort AI Act consolide leur posture RGPD et leur certification ISO 27001 préexistante.

Avantage	Indicateur de mesure	Horizon
Accès marchés publics	Nombre d'appels d'offres éligibles	12-18 mois
Confiance commerciale	Taux de conversion sur audits clients	6-12 mois
Sécurité renforcée	Réduction incidents, certifications croisées	12-24 mois
Productivité interne	Industrialisation cycle IA	18-24 mois
Valorisation	Cotation lors d'une levée ou cession	Variable

À l'inverse, la non-conformité génère un risque commercial diffus mais réel : clauses contractuelles de défaut, audits négatifs, perte de référencement.

8. Les exceptions pour les PME

L'AI Act prévoit plusieurs exclusions et exemptions, mais aucune n'écarte automatiquement une PME française du périmètre.

L'Art. 2 liste les exclusions de champ d'application :

Systèmes utilisés à des fins exclusivement militaires, de défense ou de sécurité nationale.
Systèmes développés et mis en service exclusivement à des fins de recherche et développement scientifique.
Recherche, essais et développement avant mise sur le marché (à l'exception des tests en conditions réelles).
Usages strictement personnels et non professionnels par des personnes physiques.
Composants d'IA fournis sous licences libres et ouvertes (sauf cas particuliers : pratiques interdites, haut risque, GPAI).

L'Art. 6.3 prévoit une dérogation au régime haut risque : un système couvert par l'Annexe III peut être considéré comme non à haut risque si le fournisseur démontre qu'il ne présente pas de risque significatif, en raison notamment de la nature étroite de la tâche, de la finalité accessoire ou du caractère purement préparatoire. Cette dérogation doit être documentée et notifiée à la base de données européenne. Elle ne dispense pas de l'enregistrement.

Les pratiques interdites de l'Art. 5 — manipulation cognitive subliminale, exploitation des vulnérabilités, notation sociale, reconnaissance émotionnelle au travail et dans l'éducation, catégorisation biométrique sur données sensibles, etc. — s'appliquent à toutes les organisations sans seuil. Aucune PME ne peut s'en exonérer.

Les obligations de transparence de l'Art. 50 (chatbots, deepfakes, contenus générés) s'appliquent indépendamment de la taille. Les PME doivent les intégrer dans leurs interfaces utilisateurs et processus de production de contenu.

Situation	Statut AI Act	Action PME
IA pour tri CV (Annexe III)	Haut risque par défaut	Conformité complète ou dérogation Art. 6.3 documentée
Chatbot client externe	Risque limité (Art. 50)	Information explicite de l'utilisateur
Filtre anti-spam interne	Risque minimal	Aucune obligation spécifique
Reconnaissance émotionnelle salariés	Pratique interdite (Art. 5)	Interdit, sans exception
Modèle interne en R&D	Hors champ (Art. 2.6)	Bascule en conformité à la mise sur le marché

Le règlement prévoit également des mesures de soutien aux PME (Art. 62) : accès prioritaire aux bacs à sable, formation et information dédiées, communication adaptée des autorités, et frais d'évaluation de conformité proportionnés à la taille (Art. 62.2).

Pack documentaire conformité AI Act pour PME

Modèles de registre IA, FRIA, journal de supervision, notice d'utilisation, AIPD croisée RGPD/AI Act. Conçu pour une PME de 10 à 250 salariés.

Recevoir le pack documentaire

FAQ

Les PME de moins de 10 salariés sont-elles concernées par l'AI Act ?

Oui. L'AI Act ne fixe pas de seuil de taille pour s'appliquer. Une micro-entreprise ou une TPE qui développe ou déploie un système d'IA à haut risque relève des mêmes obligations qu'une PME plus grande, à l'exception des mesures de soutien renforcées prévues à l'Art. 62 (bacs à sable, frais réduits). Les pratiques interdites de l'Art. 5 s'appliquent sans exception de taille.

Quelles sont les sanctions pour une PME en non-conformité avec l'AI Act ?

Les amendes administratives sont prévues à l'Art. 99. Elles atteignent 35 M€ ou 7 % du chiffre d'affaires mondial pour les pratiques interdites, 15 M€ ou 3 % pour les obligations haut risque et GPAI, 7,5 M€ ou 1 % pour les informations incorrectes. Pour une PME ou start-up, l'amende correspond au plus faible des deux montants (Art. 99.6), ce qui constitue une mesure de proportionnalité. Les sanctions incluent aussi le retrait du marché et la mise en conformité forcée.

Où puis-je trouver de l'aide pour me conformer à l'AI Act ?

Trois sources prioritaires : le service desk européen ai-act-service-desk.ec.europa.eu pour les questions techniques et juridiques, les 13 fiches pratiques de la CNIL pour le volet français, et les guides Cigref (janvier 2025) et Numeum (mars 2025) pour le volet opérationnel. La norme ISO/IEC 42001:2023 fournit un cadre certifiable. Notre pillar AI Act PME cartographie l'ensemble du dispositif.

Dois-je m'inscrire au registre européen si je suis une PME française ?

L'enregistrement dans la base de données européenne (Art. 71, activé par l'Art. 49) concerne en priorité les fournisseurs de systèmes d'IA à haut risque et les autorités publiques déployeuses. Une PME française déployeuse privée d'un système à haut risque acheté à un fournisseur tiers n'a généralement pas à s'enregistrer elle-même, mais doit s'assurer que le fournisseur l'a fait. La règle exacte dépend du système et du rôle joué — un diagnostic est recommandé.

Qu'est-ce qu'un système d'IA à haut risque ?

Deux voies de qualification existent. Voie 1 (Art. 6.1) : le système est un composant de sécurité d'un produit déjà soumis à évaluation de conformité au titre de l'Annexe I (dispositifs médicaux, jouets, ascenseurs, machines, etc.). Voie 2 (Art. 6.2) : le système relève d'un des huit domaines de l'Annexe III (identification biométrique, infrastructures critiques, éducation, emploi, services essentiels, application de la loi, migration, justice). La dérogation de l'Art. 6.3 permet, sous conditions strictes documentées, d'écarter cette qualification.

Sources officielles

Règlement (UE) 2024/1689 — texte intégral sur EUR-Lex
AI Act Service Desk — Commission européenne
Texte consolidé et navigable — artificialintelligenceact.eu
Fiches pratiques IA de la CNIL
ISO/IEC 42001:2023 — système de management de l'IA
Glossaire regulia — définitions des termes AI Act
Index sources regulia — liens vérifiés et datés

Disclaimer. Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.