Quelles sont les sanctions pour non-respect de l'IA Act ?

Les sanctions peuvent atteindre 7% du chiffre d'affaires global (art. 83 AI Act) et incluent des amendes administratives, des sanctions pénales pour les dirigeants, et des obligations de rectification. Les PME doivent consulter /ai-act-sanctions-pme-amendes/ pour plus de détails.

RGPD et IA : mise à jour 2026 pour les PME

Q: Comment classer les risques d'IA selon l'EU AI Act ?

L'EU AI Act classe les risques en quatre catégories : interdits (risque très élevé), hauts (risque élevé), limités (risque moyen) et minimisés (risque faible). Les PME doivent identifier la catégorie de leurs systèmes d'IA pour appliquer les obligations correspondantes.

Q: Où trouver des ressources pour se conformer ?

La CNIL publie des guides spécifiques à l'IA (cnil.fr), le service desk EU AI Act (ai-act-service-desk.ec.europa.eu) offre des conseils, et Regulia propose des audits gratuits via /ai-act-pme-france/. Le glossaire /glossaire.html définit les termes clés.

Q: Quelles sont les bonnes pratiques pour les PME en 2026 ?

Les PME doivent réaliser un audit des systèmes d'IA en 2026, former leur personnel aux risques d'IA, mettre en place un registre des traitements IA, et consulter régulièrement /ai-act-pme-france/ pour les mises à jour. Une évaluation d'impact sur la protection des données (DPIA) est essentielle.

L'essentiel en 30 secondes

Les sanctions RGPD peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial (Article 83 du RGPD)

L'AI Act classifie les systèmes d'IA en quatre catégories : pratiques interdites, haut risque, risque limité et risque minimal

Les PME de 10 à 250 salariés sont concernées dès lors qu'elles déploient des systèmes à haut risque (Article 6 du Règlement (UE) 2024/1689)

La CNIL a publié en 2025 une série de guides dédiés à l'articulation IA et RGPD

Les sanctions AI Act atteignent jusqu'à 35 millions d'euros ou 7 % du CA global pour les pratiques interdites (Article 99 du Règlement (UE) 2024/1689)

La documentation technique est obligatoire pour tous les systèmes à haut risque (Article 11 du Règlement (UE) 2024/1689)

En 2026, la PME française qui utilise un outil d'IA doit naviguer entre deux corps de règles qui s'appliquent simultanément. Le RGPD encadre les données personnelles depuis 2018. Le Règlement (UE) 2024/1689 — dit AI Act — encadre les systèmes d'intelligence artificielle en tant que tels depuis 2024. Ces deux textes se croisent, se complètent, et parfois se superposent. Comprendre leur articulation est la première étape pour éviter les doublons dans vos démarches de conformité et les oublis coûteux.

Ce guide fait le point sur les obligations concrètes pour les PME françaises, avec les références légales précises et les ressources disponibles pour agir.

1. Contexte réglementaire 2026 : RGPD + EU AI Act

Le RGPD est entré en application en mai 2018. Il régit tout traitement de données à caractère personnel réalisé dans l'Union européenne ou visant des personnes résidant dans l'UE, quel que soit le moyen utilisé — y compris l'intelligence artificielle. Les sanctions maximales sont définies à l'Article 83 du RGPD : jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial pour les violations les plus graves.

Le Règlement (UE) 2024/1689 est entré en vigueur en août 2024. Il s'applique aux systèmes d'IA mis sur le marché ou mis en service dans l'UE, qu'ils traitent ou non des données personnelles. Son calendrier d'application est progressif : les pratiques interdites (Article 5) s'appliquent depuis février 2025 ; les obligations pour les systèmes à haut risque listés en Annexe III s'appliquent depuis août 2026 ; les systèmes à haut risque relevant de l'Annexe I bénéficient de périodes de transition plus longues.

La logique d'articulation est simple. Si votre système d'IA traite des données personnelles, le RGPD s'applique aux données. Si ce même système est classifié comme à haut risque selon l'AI Act, les obligations de l'AI Act s'appliquent au système. Les deux corps de règles peuvent s'appliquer en même temps, sur deux dimensions différentes de votre activité. Ils ne s'excluent pas, ils se cumulent.

Consultez notre glossaire pour comprendre les définitions opérationnelles des termes « données personnelles », « système d'IA », « fournisseur » et « déployeur » dans les deux textes.

2. Obligations RGPD pour les systèmes d'IA

Utiliser un système d'IA qui traite des données personnelles active immédiatement les obligations du RGPD. Voici les trois principaux points de vigilance pour une PME.

Minimisation des données (Article 5.1c du RGPD). Le système d'IA ne doit traiter que les données strictement nécessaires à sa finalité déclarée. Un algorithme de recommandation produit n'a pas besoin d'accéder à l'historique médical d'un utilisateur. Un outil de scoring commercial n'a pas besoin des données de navigation privée de vos prospects. Si votre fournisseur SaaS collecte plus de données que nécessaire pour la fonctionnalité que vous utilisez, vous restez co-responsable en tant que déployeur.

Base légale et consentement (Article 7 du RGPD). Chaque traitement doit reposer sur une base légale : contrat, obligation légale, intérêt légitime, ou consentement. Lorsque la base légale retenue est le consentement, celui-ci doit être libre, spécifique, éclairé et univoque. Dans le contexte de l'IA, cela signifie que l'utilisateur doit comprendre que ses données alimentent un système automatisé et à quelle fin. Un consentement global intégré dans des conditions d'utilisation longues et opaques ne satisfait pas à cette exigence.

Droits des personnes concernées (Articles 15 à 22 du RGPD). Les personnes ont le droit d'accéder à leurs données (Article 15), de les rectifier (Article 16), de les effacer dans certains cas (Article 17), de s'opposer à leur traitement (Article 21), et de ne pas faire l'objet de décisions entièrement automatisées qui les affectent juridiquement ou de façon significativement similaire (Article 22). Ce dernier droit est particulièrement important pour les PME qui utilisent des outils d'aide à la décision en RH, en crédit, en assurance ou en gestion de la relation client.

3. Classement des risques d'IA selon l'EU AI Act

Le Règlement (UE) 2024/1689 organise les systèmes d'IA selon quatre niveaux. Ce classement détermine directement les obligations qui s'appliquent à votre PME.

Niveau de risque	Base légale	Exemples PME concrets	Obligations principales
Inacceptable (interdit)	Article 5 du Règlement (UE) 2024/1689	Manipulation comportementale à l'insu des personnes, scoring social généralisé	Interdiction totale, dès février 2025
Élevé (haut risque)	Article 6 + Annexe III du Règlement (UE) 2024/1689	Tri de CV automatisé, scoring de crédit, systèmes d'évaluation scolaire	Documentation, DPIA, surveillance humaine, audit
Limité	Article 50 du Règlement (UE) 2024/1689	Chatbot service client, générateur d'email, deepfake déclaré	Obligations de transparence envers l'utilisateur
Minimal	Bonnes pratiques recommandées	Filtre anti-spam, moteur de recommandations produits	Aucune obligation légale spécifique

Pour les PME, les systèmes les plus couramment classifiés à haut risque concernent trois domaines. Le recrutement et la gestion RH (Annexe III, section 4) : tout logiciel qui prend ou influence des décisions d'embauche, de promotion ou d'évaluation des employés entre dans cette catégorie. L'accès aux services financiers (Annexe III, section 5) : les outils de scoring de crédit, d'évaluation du risque client ou de tarification automatisée de l'assurance sont concernés. Les systèmes d'accès aux services essentiels (Annexe III, section 6) : l'évaluation automatisée de l'éligibilité à des prestations sociales ou à des services publics.

Notre guide complet AI Act pour les PME françaises détaille la classification par secteur d'activité et donne des exemples concrets pour les entreprises de commerce, de services et d'industrie.

4. Obligations spécifiques aux systèmes à risque élevé

Si votre PME déploie un système classifié « haut risque », quatre obligations majeures s'appliquent cumulativement.

Documentation technique (Article 11 du Règlement (UE) 2024/1689). Vous devez disposer d'une documentation technique complète décrivant les caractéristiques, les capacités et les limites du système. Si vous achetez le système chez un fournisseur, celui-ci est légalement tenu de vous la fournir (Article 13 du Règlement (UE) 2024/1689). Vérifiez que cette obligation figure dans votre contrat et que vous avez effectivement reçu la documentation à jour par rapport à la version du système que vous utilisez en production.

Évaluation d'impact sur la protection des données — DPIA (Article 35 du RGPD). La DPIA est obligatoire pour tout traitement susceptible d'engendrer un risque élevé pour les droits et libertés des personnes. Les systèmes d'IA à haut risque traitant des données personnelles déclenchent presque systématiquement cette obligation. La DPIA doit être réalisée avant le déploiement, pas après. La CNIL a publié une méthode détaillée et des modèles disponibles gratuitement sur cnil.fr.

Transparence envers les utilisateurs et opérateurs (Articles 13 et 14 du Règlement (UE) 2024/1689). Les utilisateurs du système doivent être informés qu'ils interagissent avec un système d'IA, de ses capacités, de ses limites et des conditions dans lesquelles une intervention humaine est possible ou obligatoire. Pour les déployeurs, cette obligation se traduit souvent par la rédaction ou la diffusion d'une notice d'utilisation conforme, élaborée à partir des informations fournies par le fournisseur.

Surveillance humaine effective (Article 14 du Règlement (UE) 2024/1689). Les systèmes à haut risque doivent permettre à des personnes physiques de surveiller leur fonctionnement et d'intervenir. En pratique, cela signifie qu'un opérateur humain doit pouvoir arrêter le système, ignorer ses recommandations lorsqu'elles lui semblent incorrectes, ou déclencher une procédure de révision manuelle. La surveillance humaine n'est pas symbolique : elle doit être effective et documentée.

Votre PME est-elle en conformité RGPD + AI Act ?

Nos experts analysent vos systèmes d'IA et vos traitements de données pour établir un état des lieux complet. Résultat en 5 jours ouvrés.

Lancer mon audit de conformité

5. Sanctions et responsabilités

La non-conformité expose les PME à un double régime de sanctions, potentiellement cumulatif.

Sanctions RGPD (Article 83 du RGPD). Pour les violations les plus graves — traitement illicite de données sensibles, non-respect des droits des personnes, transferts internationaux illégaux, absence de base légale — l'amende peut atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial. Pour des violations moindres touchant aux obligations administratives (registre des traitements, notification de violation de données), le plafond est de 10 millions d'euros ou 2 % du CA. La CNIL est l'autorité de contrôle compétente en France.

Sanctions AI Act (Article 99 du Règlement (UE) 2024/1689). Trois niveaux de sanctions sont prévus. Les infractions aux pratiques interdites (Article 5) exposent à 35 millions d'euros ou 7 % du CA mondial. Les violations des obligations des fournisseurs et déployeurs de systèmes à haut risque exposent à 15 millions d'euros ou 3 % du CA. La fourniture d'informations inexactes ou trompeuses aux autorités nationales expose à 7,5 millions d'euros ou 1,5 % du CA.

Responsabilité des dirigeants. Au niveau national, la responsabilité pénale du dirigeant peut être engagée pour des violations graves du RGPD, notamment en cas de traitement de données sensibles sans autorisation légale ou de violation délibérée des droits des personnes. Le droit français prévoit des sanctions pénales spécifiques à l'Article 226-16 et suivants du Code pénal pour les atteintes aux droits des personnes résultant de fichiers ou de traitements informatiques.

Pour une PME réalisant 3 millions d'euros de chiffre d'affaires annuel, une amende de 3 % pour violation des obligations AI Act représente 90 000 euros. Ce montant peut fragiliser la trésorerie d'une entreprise de taille modeste. Consultez notre page sanctions et amendes AI Act pour des exemples chiffrés par secteur et des conseils pour réduire votre exposition.

6. Outils et ressources pour les PME

Plusieurs ressources officielles permettent aux PME de structurer leur démarche de conformité sans nécessairement recourir à des consultants dès le premier jour.

CNIL — guides IA (2025). La CNIL a publié une série de guides pratiques sur l'IA et le RGPD, disponibles gratuitement sur cnil.fr. Ces publications couvrent la réalisation d'une DPIA pour les systèmes d'IA, les bases légales adaptées aux différents usages de l'IA, les droits des personnes dans les contextes de décision automatisée, et les obligations spécifiques aux technologies biométriques.

Service desk EU AI Act. Le portail officiel de la Commission européenne (ai-act-service-desk.ec.europa.eu) propose des FAQ thématiques, des outils d'aide à la classification des risques, et un système de questions-réponses auquel les entreprises peuvent soumettre leurs cas spécifiques.

Regulia. Notre plateforme propose un audit initial gratuit pour les PME françaises via /ai-act-pme-france/, un glossaire bilingue couvrant les deux textes réglementaires, et une page sources référençant les textes officiels consolidés avec des liens directs vers EUR-Lex et les sites des autorités de contrôle.

7. Bonnes pratiques pour les PME en 2026

Voici les cinq actions concrètes à mener si vous n'avez pas encore structuré votre démarche de conformité croisée RGPD / AI Act.

1. Réalisez un inventaire de vos systèmes d'IA. Notez pour chaque système : son fournisseur, sa finalité déclarée, les catégories de données qu'il traite, les décisions qu'il influence ou prend, et votre rôle (fournisseur ou déployeur). Cet inventaire prend généralement une demi-journée pour une PME de moins de 50 personnes. C'est la base de tout le reste.

2. Classifiez vos systèmes selon l'AI Act. Utilisez l'Annexe III du Règlement (UE) 2024/1689 comme grille de lecture. En cas de doute sur la classification d'un système particulier, le service desk AI Act peut vous orienter. Un système classifié à tort comme « à risque minimal » alors qu'il est à haut risque vous expose à des sanctions pour violation des obligations de l'Article 6 et suivants.

3. Mettez à jour votre registre des traitements RGPD. L'Article 30 du RGPD impose la tenue d'un registre listant tous les traitements de données personnelles. Ce registre doit mentionner explicitement les traitements automatisés et les outils IA utilisés. De nombreuses PME ont un registre qui ne reflète pas les outils adoptés depuis 2022 : c'est une des non-conformités les plus fréquemment relevées par la CNIL lors des contrôles.

4. Lancez les DPIA nécessaires. Si vous déployez un système à haut risque traitant des données personnelles, la DPIA s'impose avant la mise en production. Commencez par les systèmes les plus critiques : ceux qui prennent des décisions affectant directement des droits ou des intérêts significatifs de personnes physiques.

5. Formez vos équipes opérationnelles. Les personnes qui utilisent ou supervisent des systèmes à haut risque doivent comprendre leurs limites et savoir quand ne pas suivre une recommandation automatisée sans vérification complémentaire. Une session de sensibilisation de deux heures avec notre glossaire comme support est un bon point de départ.

8. Évolutions à venir

Le paysage réglementaire continue d'évoluer. Trois développements sont à suivre en 2026 et 2027.

Révision du RGPD et IA générative. Des discussions au niveau européen portent sur l'adaptation du RGPD aux réalités de l'IA générative : statut des données synthétiques, base légale pour l'entraînement des modèles sur des données personnelles accessibles publiquement, et traitement des « outputs » générés contenant potentiellement des données personnelles. Les premières orientations de la CNIL et de l'EDPB sont attendues courant 2026.

Extension des obligations AI Act aux systèmes à usage général. Les grands modèles de langage et autres systèmes d'IA à usage général (GPAI) font l'objet d'obligations spécifiques définies aux Articles 51 à 55 du Règlement (UE) 2024/1689. Des codes de pratique co-élaborés avec l'industrie sont en cours de finalisation sous la supervision de l'Office européen de l'IA. Si votre PME utilise ou expose une API de modèle de langage à ses clients, vérifiez votre statut dans ce cadre : déployeur ou distributeur ?

Orientations de l'Office européen de l'IA. Cet organisme, créé par le Règlement (UE) 2024/1689 et rattaché à la Commission européenne, est chargé de la supervision des GPAI et de la cohérence de l'application du Règlement dans les États membres. Ses premières publications interprétatives sont attendues tout au long de 2026. Elles auront une valeur quasi-normative pour les entreprises et leurs conseils.

FAQ

Quelles sont les principales obligations RGPD pour les systèmes d'IA ?

Les PME doivent respecter le principe de minimisation des données (Article 5.1c du RGPD), disposer d'une base légale valide pour chaque traitement — et satisfaire aux exigences spécifiques si le consentement est retenu (Article 7 du RGPD) — et garantir les droits des personnes concernées : accès (Article 15), rectification (Article 16), effacement (Article 17), portabilité (Article 20), opposition (Article 21), et protection contre les décisions entièrement automatisées (Article 22 du RGPD). Une DPIA est obligatoire pour tout traitement présentant un risque élevé (Article 35 du RGPD).

Comment classer les risques d'IA selon l'EU AI Act ?

Le Règlement (UE) 2024/1689 organise les systèmes en quatre catégories. Les pratiques interdites (Article 5) incluent la manipulation psychologique à l'insu des personnes, l'exploitation des vulnérabilités, le scoring social généralisé, et la surveillance biométrique de masse en temps réel dans les espaces publics. Les systèmes à haut risque (Article 6 et Annexe III) couvrent l'emploi, le crédit, l'éducation, la justice et d'autres domaines sensibles. Les systèmes à risque limité (Article 50) sont soumis à des obligations de transparence. Les systèmes à risque minimal relèvent de bonnes pratiques volontaires.

Quelles sont les sanctions pour non-respect de l'AI Act ?

L'Article 99 du Règlement (UE) 2024/1689 prévoit trois niveaux : 35 millions d'euros ou 7 % du CA mondial pour les violations des pratiques interdites (Article 5) ; 15 millions d'euros ou 3 % du CA pour les violations des obligations des fournisseurs et déployeurs de systèmes à haut risque ; 7,5 millions d'euros ou 1,5 % du CA pour les informations inexactes fournies aux autorités. Ces sanctions s'ajoutent à celles du RGPD (Article 83). Notre page sanctions AI Act détaille l'application pratique des barèmes.

Où trouver des ressources pour se conformer ?

La CNIL publie des guides spécifiques sur cnil.fr. Le service desk AI Act (ai-act-service-desk.ec.europa.eu) répond aux questions des entreprises. Regulia propose des diagnostics gratuits via /ai-act-pme-france/, un glossaire des termes clés, et une page sources référençant les textes officiels.

Quelles sont les bonnes pratiques pour les PME en 2026 ?

Réalisez un inventaire de vos systèmes d'IA, classifiez-les selon l'Annexe III du Règlement (UE) 2024/1689, mettez à jour votre registre des traitements RGPD, réalisez une DPIA pour les systèmes à risque élevé traitant des données personnelles, et formez les équipes opérationnelles aux limites des systèmes qu'elles utilisent. Un audit croisé RGPD / AI Act avant fin 2026 est la démarche recommandée pour les PME qui n'ont pas encore initié leur mise en conformité.

Sources officielles

Avertissement — Cet article fournit une information générale et ne constitue pas un conseil juridique. Les situations individuelles varient : consultez un professionnel du droit avant toute décision de conformité.