TL;DR
L'essentiel en 30 secondes - La CNIL publie sa troisième vague de recommandations IA en 2026, centrée sur la documentation et la transparence. - Sanctions cumulées possibles : jusqu'à 7 % du chiffre d'affaires mondial (AI Act) + 4 % (RGPD). - Les systèmes d'IA à haut risque doivent être enregistrés dans la base de données européenne dès leur mise sur le marché (Article 49 du Règlement (UE) 2024/1689). - Le RGPD-IA impose une analyse d'impact (AIPD) renforcée pour tout traitement automatisé non trivial. - La CNIL place la transparence et le contrôle utilisateur au cœur de ses 13 fiches pratiques IA. - La norme ISO/IEC 42001:2023 sert de preuve de conformité par défaut auprès des autorités françaises.
1. Contexte réglementaire 2026 : ce qui change réellement
L'année 2026 marque la pleine entrée en vigueur des obligations applicables aux systèmes d'IA à haut risque. L'Article 113 du Règlement (UE) 2024/1689 fixe la date butoir au 2 août 2026 pour la majorité des dispositions opérationnelles. Les PME françaises ne bénéficient d'aucune exemption automatique.
La CNIL a publié, dans le prolongement de ses 13 fiches pratiques IA, une troisième série de recommandations en mai 2026 [à vérifier]. Cette publication vise spécifiquement les organisations de moins de 250 salariés. Elle clarifie l'articulation entre RGPD et AI Act, longtemps source de confusion.
Trois textes structurent désormais la conformité IA en France :
| Texte | Périmètre | Autorité de contrôle |
|---|---|---|
| Règlement (UE) 2024/1689 (AI Act) | Tous systèmes d'IA mis sur le marché ou utilisés dans l'UE | AI Office EU + autorité nationale désignée |
| RGPD (Règlement (UE) 2016/679) | Traitement de données personnelles, y compris par IA | CNIL |
| Loi Informatique et Libertés (modifiée 2024) | Adaptation française du RGPD et de l'AI Act | CNIL |
Le RGPD-IA n'est pas un texte distinct. Il désigne l'application combinée du RGPD aux systèmes d'IA, telle que clarifiée par les fiches CNIL et le Comité européen de la protection des données (CEPD). Les nouvelles obligations de documentation entrent en application dès le premier traitement IA déployé en production.
La CNIL a rappelé en avril 2026 que l'absence d'AIPD pour un système d'IA traitant des données personnelles constitue, à elle seule, un manquement sanctionnable [à vérifier]. Cette position met fin au flou des années précédentes.
Pour une vue d'ensemble du cadre, consultez notre guide pillar AI Act pour les PME françaises.
2. Les cinq recommandations clés de la CNIL pour les PME
La CNIL structure son guide 2026 autour de cinq axes opérationnels. Chaque axe correspond à une obligation déjà existante, mais reformulée pour les ressources limitées d'une PME.
2.1 Cartographier les systèmes d'IA utilisés
La cartographie couvre les outils internes développés, les SaaS contenant des composants IA, et les modules IA intégrés dans des logiciels métiers. Beaucoup de PME ignorent que leur CRM ou leur outil RH contient désormais des fonctions IA soumises à l'AI Act.
2.2 Réaliser des audits réguliers
L'Article 17 du Règlement (UE) 2024/1689 impose un système de gestion de la qualité pour les fournisseurs de systèmes à haut risque. La CNIL recommande aux déployeurs un audit annuel, même en l'absence d'obligation textuelle directe.
2.3 Former le personnel aux risques
L'Article 4 de l'AI Act, applicable depuis février 2025, impose un niveau suffisant de maîtrise de l'IA (« AI literacy ») pour le personnel concerné. La CNIL précise que cette formation doit être documentée.
2.4 Tenir un registre des traitements IA
Le registre prévu à l'Article 30 du RGPD doit désormais inclure une rubrique spécifique pour chaque traitement impliquant un système d'IA. La CNIL fournit un modèle dédié dans ses fiches pratiques.
2.5 Garantir la transparence vis-à-vis des personnes concernées
L'Article 50 du Règlement (UE) 2024/1689 oblige à informer les utilisateurs qu'ils interagissent avec un système d'IA. Cette obligation s'ajoute aux articles 13 et 14 du RGPD.
Démarrez votre mise en conformité dès aujourd'hui
regulia met à disposition un pack documentaire complet : registre IA, modèles d'AIPD adaptés, politique IA interne, et guide d'audit. Conçu pour les PME de 10 à 250 salariés.
Obtenir le pack conformité IA3. Obligations spécifiques en 2026 pour les PME
Les obligations diffèrent selon le rôle de la PME : fournisseur, déployeur, distributeur, importateur. L'Article 3 du Règlement (UE) 2024/1689 définit ces rôles. La majorité des PME françaises sont déployeurs.
| Obligation | Fournisseur (haut risque) | Déployeur (haut risque) | Tout système IA |
|---|---|---|---|
| Documentation technique (Annexe IV) | Oui — complète | Non — accès sur demande | Non |
| Enregistrement base UE (Art. 49) | Oui — avant mise sur le marché | Oui — pour usage public | Non |
| Analyse d'impact droits fondamentaux (Art. 27) | Non | Oui — avant déploiement | Non |
| AIPD RGPD (Art. 35) | Selon traitement | Selon traitement | Oui si risque élevé |
| Information des utilisateurs (Art. 50) | Oui | Oui | Oui pour chatbots, deepfakes |
| Formation personnel (Art. 4) | Oui | Oui | Oui |
3.1 Déclaration et enregistrement
L'enregistrement dans la base de données européenne (Article 71) concerne les systèmes à haut risque listés à l'Annexe III. La CNIL estime [à vérifier] qu'une part significative des PME utilisant des outils RH, biométriques, ou de scoring sera concernée. Notre estimation interne suggère que la formulation « 80 % des PME » avancée dans la presse spécialisée doit être nuancée : elle ne reflète pas la répartition réelle des cas d'usage.
3.2 Documentation technique des algorithmes
L'Annexe IV du Règlement détaille le contenu minimal : description générale, processus de développement, capacités et limites, données utilisées, mesures de supervision humaine, performances et risques résiduels. Cette documentation doit être conservée dix ans après la mise sur le marché (Article 18).
3.3 Contrôles de conformité
Les fournisseurs à haut risque doivent maintenir un système de surveillance post-commercialisation (Article 72). Les déployeurs ne sont pas soumis à cette obligation directe, mais doivent signaler tout incident grave dans les 15 jours (Article 73).
4. Sanctions et responsabilités : ce que risque concrètement une PME
L'Article 99 du Règlement (UE) 2024/1689 fixe l'échelle des sanctions AI Act. Le RGPD conserve son régime propre, prévu à l'Article 83. Les deux régimes peuvent se cumuler pour un même fait.
| Manquement | Plafond AI Act (Art. 99) | Plafond RGPD (Art. 83) |
|---|---|---|
| Pratiques interdites (Art. 5) | 35 M€ ou 7 % du CA mondial | — |
| Obligations haut risque | 15 M€ ou 3 % du CA mondial | — |
| Informations inexactes aux autorités | 7,5 M€ ou 1 % du CA mondial | — |
| Manquement RGPD (traitement IA) | — | 20 M€ ou 4 % du CA mondial |
Pour les PME, le Considérant 109 du Règlement précise que le montant doit tenir compte de la taille et de la viabilité économique de l'entreprise. Cette disposition n'élimine pas le risque, elle l'adapte.
4.1 Responsabilité des dirigeants
La responsabilité du représentant légal peut être engagée en cas de négligence grave, notamment en l'absence de mesures organisationnelles. Le DPO conserve un rôle de conseil indépendant et ne se substitue pas au responsable de traitement.
4.2 Procédures d'enquête
La CNIL a renforcé ses procédures de contrôle à distance depuis 2024. Un contrôle peut être déclenché par : une plainte, une réclamation collective, un signalement par une autorité étrangère, ou une décision d'office.
Pour une analyse détaillée des sanctions et un calculateur d'amendes, consultez notre guide complet sur les sanctions de l'AI Act pour les PME.
5. Guide pratique de la CNIL : comment l'utiliser
Les 13 fiches pratiques publiées par la CNIL forment la référence opérationnelle française. Elles couvrent : la base légale, le développement, l'annotation, la sécurité, les droits des personnes, et les modèles génératifs.
5.1 Checklist de conformité PME
La CNIL recommande une approche en six points :
- Identifier tous les traitements impliquant une IA.
- Vérifier la base légale (Art. 6 RGPD) et la finalité.
- Réaliser une AIPD si le traitement est susceptible d'engendrer un risque élevé.
- Informer les personnes concernées de manière claire et accessible.
- Mettre en place des mesures techniques et organisationnelles proportionnées.
- Documenter l'ensemble dans le registre des traitements.
5.2 Exemples concrets pour les PME
| Cas d'usage PME | Niveau de risque AI Act | Obligations principales |
|---|---|---|
| Chatbot service client | Risque limité (Art. 50) | Information transparence, AIPD si données personnelles |
| Tri automatisé de CV | Haut risque (Annexe III §4) | AIPD, analyse d'impact droits fondamentaux, enregistrement |
| Détection de fraude bancaire | Haut risque (Annexe III §5) | AIPD, supervision humaine, enregistrement |
| Génération de contenus marketing | Risque limité | Marquage des contenus générés (Art. 50.2) |
| Reconnaissance faciale au travail | Pratique interdite si surveillance émotionnelle (Art. 5) | Interdit hors exceptions strictes |
Pour le vocabulaire technique employé dans ces fiches, consultez notre glossaire IA et conformité.
6. ISO/IEC 42001:2023 : la norme complémentaire incontournable
La norme ISO/IEC 42001:2023 (« AI Management System ») est le premier référentiel international de management de l'intelligence artificielle. Elle est compatible avec ISO/IEC 27001:2022 (sécurité de l'information) et ISO/IEC 23894:2023 (gestion des risques IA).
6.1 Articulation avec les recommandations CNIL
La CNIL reconnaît ISO/IEC 42001 comme un référentiel pertinent pour démontrer la mise en œuvre de mesures organisationnelles appropriées. Une certification n'est ni obligatoire, ni suffisante en soi : elle constitue une preuve parmi d'autres.
6.2 Bénéfices opérationnels pour les PME
| Bénéfice | Description |
|---|---|
| Gouvernance structurée | Définition claire des rôles et responsabilités IA |
| Cycle d'amélioration continue | Approche PDCA appliquée aux systèmes IA |
| Réduction du risque de sanction | Documentation prête en cas de contrôle |
| Avantage commercial | Différenciation auprès des clients grands comptes |
| Compatibilité ISO 27001 | Audit intégré et économies de gestion |
Pour une mise en œuvre adaptée aux PME, consultez notre guide ISO 42001 pour les PME.
7. Outils et ressources officielles 2026
7.1 Service desk européen de l'AI Act
L'AI Office EU a lancé en 2024 un service de questions-réponses (ai-act-service-desk.ec.europa.eu). Il permet de poser des questions techniques d'interprétation et d'accéder à une base de connaissances officielle. Les réponses n'ont pas valeur d'avis juridique opposable.
7.2 Modèles de contrats types
La Commission européenne a publié des clauses contractuelles types pour les acquisitions publiques de systèmes IA. Ces modèles servent de référence aux PME pour négocier avec leurs fournisseurs SaaS.
7.3 Calendrier des échéances 2026
| Date | Échéance | Texte de référence |
|---|---|---|
| 2 février 2026 | Pleine application des règles sur les modèles d'IA à usage général | Art. 113 (b) AI Act |
| 2 août 2026 | Pleine application des règles sur les systèmes à haut risque | Art. 113 AI Act |
| 2 août 2026 | Désignation effective des autorités nationales compétentes | Art. 70 AI Act |
| Tout au long de 2026 | Publication des actes d'exécution de la Commission | — |
Anticipez l'échéance du 2 août 2026
Le pack regulia inclut un calendrier personnalisé, une checklist par rôle (fournisseur ou déployeur), et tous les modèles documentaires nécessaires. Livraison sous 48 h, mise à jour gratuite pendant 12 mois.
Demander un devis personnalisé8. Étape par étape : feuille de route pour les PME
Étape 1 — Audit des systèmes d'IA (semaines 1 à 4)
Recenser tous les outils utilisés en interne et chez les sous-traitants. Identifier ceux qui contiennent une composante IA, même secondaire. Classer chaque système selon les catégories de l'AI Act (interdit, haut risque, risque limité, risque minimal).
Le résultat de cet audit alimente le registre des traitements et conditionne toutes les étapes suivantes.
Étape 2 — Mise à jour des politiques (semaines 5 à 8)
Réviser la politique de protection des données pour intégrer les spécificités IA. Rédiger une politique IA interne couvrant les usages autorisés, les usages interdits, et les responsabilités. Mettre à jour les contrats fournisseurs (DPA et clauses IA).
Étape 3 — Formation du personnel (semaines 9 à 12)
L'obligation de l'Article 4 AI Act exige une formation proportionnée au niveau de risque et au rôle de chaque collaborateur. La formation doit être documentée : feuille de présence, contenu, évaluation des acquis.
Étape 4 — Enregistrement et notifications (à partir de la semaine 13)
Pour les systèmes à haut risque utilisés par une autorité publique ou en son nom, procéder à l'enregistrement dans la base européenne. Notifier la CNIL en cas de besoin (AIPD avec risque résiduel élevé, violation de données).
Étape 5 — Surveillance continue (en permanence)
Mettre en place un suivi des performances, des incidents, et des évolutions réglementaires. Un point trimestriel avec le DPO et le RSSI permet de détecter les dérives.
FAQ
Quelles sont les sanctions pour non-respect en 2026 ?
Les sanctions AI Act peuvent atteindre 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour les pratiques interdites (Art. 99 du Règlement (UE) 2024/1689). Pour les manquements aux obligations haut risque, le plafond est de 15 millions d'euros ou 3 % du CA. Le RGPD prévoit jusqu'à 20 millions d'euros ou 4 % du CA pour les manquements à la protection des données (Art. 83 RGPD). Les régimes peuvent se cumuler.
Dois-je m'inscrire au registre de l'AI Act ?
L'enregistrement dans la base de données européenne (Art. 49 et 71 AI Act) concerne les fournisseurs de systèmes à haut risque et les déployeurs qui sont des autorités publiques ou agissent en leur nom. Une PME purement privée déployant un système à haut risque pour un usage interne n'est généralement pas tenue à l'enregistrement, mais doit conserver la documentation. Vérifiez votre cas via le service desk européen.
Comment documenter mes algorithmes ?
L'Annexe IV du Règlement (UE) 2024/1689 fixe le contenu minimal pour les systèmes à haut risque : description générale, processus de développement, données d'entraînement et de test, métriques de performance, mesures de supervision humaine, journaux et risques résiduels. La CNIL recommande un format structuré avec versionnement. Les déployeurs n'ont pas à produire cette documentation, mais doivent y avoir accès.
La norme ISO/IEC 42001 est-elle obligatoire ?
Non. ISO/IEC 42001:2023 est volontaire. Elle est néanmoins reconnue par la CNIL et par l'AI Office EU comme un référentiel pertinent pour démontrer la conformité organisationnelle. Pour les PME ayant déjà une certification ISO/IEC 27001, l'effort d'extension est limité et l'avantage commercial réel.
Quelles sont les étapes pour me conformer ?
Suivez la feuille de route en cinq étapes : audit des systèmes IA, mise à jour des politiques, formation du personnel, enregistrement et notifications, puis surveillance continue. Le calendrier réaliste pour une PME de 10 à 50 salariés est de quatre à six mois. Le guide pratique de la CNIL et les 13 fiches IA fournissent les modèles indispensables.
Sources officielles
- Règlement (UE) 2024/1689 sur l'EU AI Act — texte officiel EUR-Lex
- CNIL — fiches pratiques IA et recommandations
- AI Act Service Desk — Commission européenne
- Texte consolidé de l'AI Act — artificialintelligenceact.eu
- ISO/IEC 42001:2023 — Artificial Intelligence Management System
- ISO/IEC 23894:2023 — Guidance on AI risk management
- ISO/IEC 27001:2022 — Information security management
Pour la liste complète des sources et leur niveau de fiabilité, consultez notre page sources et méthodologie.
Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.