L'essentiel en 30 secondes - La CNIL recommande aux PME de réaliser un audit de conformité RGPD-IA dès 2026 pour tous les systèmes d'IA utilisant des données personnelles. - Les sanctions pour non-conformité peuvent atteindre 7 % du CA mondial (Article 99 du Règlement (UE) 2024/1689) ou 20 millions d'euros (RGPD), selon la gravité [à vérifier]. - Les PME exploitant des systèmes d'IA à haut risque doivent enregistrer leurs systèmes dans la base UE prévue à l'Article 71 du Règlement (UE) 2024/1689. - La CNIL met en avant l'outil gratuit « AI Act Service Desk » de la Commission européenne pour les PME en difficulté. - Les recommandations 2026 insistent sur la documentation et la traçabilité des décisions automatisées. - La formation des équipes est obligatoire pour les systèmes d'IA à haut risque (Article 4 du Règlement (UE) 2024/1689).
Les dirigeants de PME françaises affrontent un cadre juridique inédit. Le Règlement (UE) 2024/1689 — dit « EU AI Act » — articule ses obligations avec celles du Règlement Général sur la Protection des Données (RGPD). La CNIL publie depuis 2024 ses fiches pratiques pour clarifier cette articulation. Cet article détaille les recommandations applicables en 2026 et leurs conséquences opérationnelles pour les structures de 10 à 250 salariés.
1. Contexte : pourquoi les recommandations CNIL 2026 sont cruciales pour les PME
L'EU AI Act est entré en vigueur le 1er août 2024. Son application est progressive. Les interdictions de l'Article 5 sont opposables depuis le 2 février 2025. Les obligations relatives aux modèles d'IA à usage général s'appliquent depuis le 2 août 2025. Les exigences pour les systèmes d'IA à haut risque deviendront pleinement applicables le 2 août 2026.
Le RGPD s'applique automatiquement à tout système d'IA qui traite des données personnelles. La double conformité n'est pas une option. Un système de scoring RH, un chatbot client, un outil de détection de fraude : chacun croise les deux régimes.
Les PME représentent une part déterminante du tissu économique français. Beaucoup déploient déjà des outils d'IA sans avoir documenté leur classification au sens du Règlement (UE) 2024/1689. La CNIL, dans ses fiches pratiques publiées sur cnil.fr, recommande un audit systématique dès le premier trimestre 2026.
Pour situer ces enjeux dans la cartographie complète des obligations, consulter le guide AI Act pour les PME françaises.
| Réglementation | Périmètre | Autorité de contrôle France |
|---|---|---|
| RGPD (Règlement 2016/679) | Traitement de données personnelles | CNIL |
| EU AI Act (Règlement 2024/1689) | Systèmes d'IA selon le risque | Autorité nationale à désigner — CNIL pressentie pour certains volets |
| Loi Informatique et Libertés | Application nationale du RGPD | CNIL |
2. Les 5 recommandations clés de la CNIL pour les PME
La CNIL structure ses recommandations 2026 autour de cinq axes opérationnels. Chacun se traduit en livrables documentaires concrets.
- Identifier et classer les systèmes d'IA selon les catégories de risque définies aux Articles 5, 6 et 50 du Règlement (UE) 2024/1689 : risque inacceptable (interdit), haut risque, risque limité (transparence), risque minimal.
- Documenter le processus de développement et de déploiement conformément à l'Annexe IV du Règlement (UE) 2024/1689, qui détaille la documentation technique exigée pour les systèmes à haut risque.
- Mettre en place un contrôle humain effectif sur les décisions automatisées, en application de l'Article 14 du Règlement (UE) 2024/1689 et de l'Article 22 du RGPD.
- Former les équipes techniques et juridiques au titre de l'Article 4 du Règlement (UE) 2024/1689 — l'« AI literacy » est une obligation, pas une recommandation.
- Établir un plan de gestion des incidents incluant la notification des incidents graves prévue à l'Article 73 du Règlement (UE) 2024/1689.
Ces cinq axes forment un socle commun. La proportionnalité s'apprécie ensuite selon la taille de la PME et la nature du système déployé.
3. Alignement avec l'EU AI Act et le RGPD
Le RGPD et l'EU AI Act se complètent. Le premier protège les personnes physiques contre les traitements abusifs de leurs données. Le second encadre la mise sur le marché et l'utilisation des systèmes d'IA selon leur niveau de risque.
Une PME doit lire ces deux textes ensemble. Un système d'IA qui prend des décisions à effet juridique sur une personne relève à la fois de l'Article 6 du Règlement (UE) 2024/1689 (haut risque si listé à l'Annexe III) et de l'Article 22 du RGPD (décision individuelle automatisée).
| Catégorie de risque AI Act | Article AI Act | Obligation RGPD associée |
|---|---|---|
| Risque inacceptable | Art. 5 | Traitement interdit, sans base légale RGPD possible |
| Haut risque | Art. 6 + Annexe III | AIPD obligatoire (Art. 35 RGPD), inscription registre UE (Art. 71) |
| Risque limité | Art. 50 | Information renforcée (Art. 13-14 RGPD) |
| Risque minimal | — | Principes RGPD généraux (minimisation, finalité) |
Pour les définitions juridiques précises de chaque notion, se reporter au glossaire regulia.
4. Impact sur les PME : obligations et avantages
Les obligations sont structurantes. Elles s'accompagnent toutefois de bénéfices opérationnels mesurables : réduction du risque juridique, lisibilité commerciale auprès de clients grands comptes, alignement avec ISO/IEC 42001:2023.
Obligations principales pour une PME exploitant un système à haut risque :
- Système de gestion des risques (Art. 9 du Règlement (UE) 2024/1689)
- Gouvernance des données d'entraînement (Art. 10)
- Documentation technique (Art. 11 + Annexe IV)
- Journalisation automatique (Art. 12)
- Transparence vers les utilisateurs (Art. 13)
- Contrôle humain (Art. 14)
- Exactitude, robustesse, cybersécurité (Art. 15)
- Analyse d'impact sur les droits fondamentaux pour certains déployeurs (Art. 27)
Bénéfices documentés :
- Réduction du risque de sanctions financières — voir le détail sur sanctions AI Act pour PME.
- Argument commercial dans les appels d'offres exigeant la conformité.
- Préparation à la certification ISO/IEC 42001:2023 sur le management de l'IA.
Audit RGPD-IA : par où commencer ?
regulia propose un pack documentaire structuré pour réaliser l'inventaire de vos systèmes d'IA, leur classification au sens du Règlement (UE) 2024/1689 et l'articulation avec vos obligations RGPD existantes.
Demander le pack audit RGPD-IA5. Outils et ressources pour la mise en œuvre
La Commission européenne et la CNIL mettent à disposition des ressources gratuites. Les exploiter évite de réinventer ce qui existe.
- AI Act Service Desk (ai-act-service-desk.ec.europa.eu) — point de contact officiel de la Commission européenne pour les questions d'interprétation.
- Fiches pratiques CNIL sur l'IA — 13 fiches publiées entre 2024 et 2025, accessibles sur cnil.fr/fr/les-fiches-pratiques-ia [à vérifier pour le nombre exact en 2026].
- Guide Cigref AI Act janvier 2025 et guide Numeum mars 2025 — référentiels professionnels orientés grandes entreprises mais utilisables par les PME.
- Référentiel des sources officielles regulia — voir la page sources pour la cartographie complète.
- Pillar regulia PME — voir AI Act pour les PME françaises pour l'arborescence de conformité.
Ces ressources couvrent les questions d'interprétation. Elles ne dispensent pas d'une démarche structurée interne, soutenue le cas échéant par un conseil juridique.
6. Exemples concrets de mise en œuvre pour les PME
Trois situations types illustrent la déclinaison opérationnelle des recommandations CNIL.
Cas 1 — PME de 50 salariés, IA pour le tri de candidatures. Le système relève de l'Annexe III, point 4, du Règlement (UE) 2024/1689 (IA dans l'emploi). Il est à haut risque. La PME doit : conduire une AIPD au sens de l'Article 35 RGPD, documenter le système selon l'Annexe IV, assurer un contrôle humain effectif sur chaque décision (Art. 14), inscrire le système au registre UE (Art. 71).
Cas 2 — PME de 120 salariés, IA pour la gestion des stocks. Le système ne traite pas de données personnelles et n'est listé dans aucune annexe à haut risque. Il relève du risque minimal. Aucune obligation spécifique au titre du Règlement (UE) 2024/1689, hors obligation d'AI literacy (Art. 4) pour les utilisateurs internes.
Cas 3 — PME de 200 salariés, chatbot client. Le système relève de l'Article 50 du Règlement (UE) 2024/1689 (risque limité, obligation de transparence). L'utilisateur doit savoir qu'il interagit avec une IA. La PME applique en parallèle les Articles 13 et 14 du RGPD pour informer les personnes sur le traitement de leurs données.
| Cas | Classification AI Act | Obligation principale | Coût indicatif de mise en conformité [à vérifier] |
|---|---|---|---|
| Tri de candidatures | Haut risque (Annexe III) | Documentation complète + AIPD | Significatif |
| Gestion des stocks | Risque minimal | AI literacy (Art. 4) | Faible |
| Chatbot client | Risque limité (Art. 50) | Information utilisateur | Modéré |
7. Échéances et sanctions
Le calendrier d'application du Règlement (UE) 2024/1689 est échelonné. Les PME doivent anticiper, particulièrement pour les systèmes à haut risque dont la pleine application est fixée au 2 août 2026.
| Échéance | Obligation activée |
|---|---|
| 2 février 2025 | Interdictions de l'Art. 5 + obligation d'AI literacy (Art. 4) |
| 2 août 2025 | Modèles d'IA à usage général + gouvernance + sanctions |
| 2 août 2026 | Pleine application aux systèmes à haut risque listés à l'Annexe III |
| 2 août 2027 | Systèmes à haut risque intégrés à des produits réglementés (Annexe I) |
Sanctions principales (Article 99 du Règlement (UE) 2024/1689) :
- Violation des interdictions de l'Art. 5 : jusqu'à 35 millions d'euros ou 7 % du CA annuel mondial.
- Non-respect des obligations relatives aux systèmes à haut risque : jusqu'à 15 millions d'euros ou 3 % du CA annuel mondial.
- Communication d'informations inexactes aux autorités : jusqu'à 7,5 millions d'euros ou 1 % du CA annuel mondial.
Pour les PME, l'Article 99, paragraphe 6, prévoit que le montant retenu est le plus faible des deux. Le détail du barème est analysé dans l'article sanctions AI Act pour PME.
Les sanctions RGPD coexistent. Elles plafonnent à 20 millions d'euros ou 4 % du CA annuel mondial (Article 83 du Règlement (UE) 2016/679).
8. Conclusion : comment se préparer dès maintenant
La conformité RGPD-IA n'est pas un projet ponctuel. C'est un système de management. Quatre étapes structurent la démarche pour une PME française en 2026.
- Auditer vos systèmes d'IA — inventaire exhaustif, classification au sens des Articles 5, 6 et 50 du Règlement (UE) 2024/1689, croisement avec les traitements RGPD existants.
- Mobiliser les outils CNIL et Commission européenne — fiches pratiques CNIL, AI Act Service Desk, modèles documentaires.
- Former vos équipes — au minimum les utilisateurs métier et les responsables techniques, en application de l'Article 4 du Règlement (UE) 2024/1689.
- Inscrire les systèmes à haut risque dans la base de données UE prévue à l'Article 71 du Règlement (UE) 2024/1689 avant leur mise en service.
L'approche ISO/IEC 42001:2023 — norme de management de l'IA publiée en décembre 2023 — fournit un cadre structurant pour articuler ces étapes. Elle est complémentaire d'ISO/IEC 27001:2022 (sécurité de l'information) et d'ISO/IEC 23894:2023 (gestion du risque IA).
Préparez l'échéance du 2 août 2026
Le pack documentaire regulia regroupe modèles de politique IA, registre des systèmes, AIPD spécifique IA, plan de formation Art. 4, et procédure d'incident Art. 73. Conçu pour les PME françaises de 10 à 250 salariés.
Recevoir le pack conformité AI ActFAQ
Quelles sont les conséquences d'une non-conformité RGPD-IA pour une PME ?
Les sanctions du Règlement (UE) 2024/1689 atteignent 35 millions d'euros ou 7 % du CA annuel mondial pour les violations les plus graves (Art. 99). Les sanctions RGPD plafonnent à 20 millions d'euros ou 4 % du CA annuel mondial (Art. 83 du Règlement (UE) 2016/679). Pour les PME, le montant le plus faible des deux barèmes s'applique. S'ajoutent les risques d'actions civiles, l'atteinte réputationnelle et la perte de marchés exigeant la conformité contractuelle.
Dois-je déclarer tous mes systèmes d'IA à la CNIL ?
Non. L'Article 71 du Règlement (UE) 2024/1689 prévoit une inscription dans la base de données UE pour les systèmes à haut risque listés à l'Annexe III. Les systèmes de risque limité (Art. 50) et de risque minimal ne sont pas concernés par cette inscription. Tous restent soumis aux obligations RGPD si des données personnelles sont traitées. La désignation finale de l'autorité nationale compétente pour la France conditionne les modalités pratiques [à vérifier].
Quels sont les outils disponibles pour aider les PME à se conformer ?
Trois ressources gratuites couvrent l'essentiel : l'AI Act Service Desk de la Commission européenne (ai-act-service-desk.ec.europa.eu) pour l'interprétation, les fiches pratiques de la CNIL sur cnil.fr pour la doctrine française, et le texte consolidé sur artificialintelligenceact.eu. Le glossaire regulia précise les définitions juridiques utiles.
Quelle est la différence entre l'EU AI Act et le RGPD pour les systèmes d'IA ?
Le Règlement (UE) 2024/1689 régule les systèmes d'IA selon leur niveau de risque, indépendamment de la nature des données traitées. Le RGPD régule tout traitement de données personnelles, y compris ceux effectués par des systèmes d'IA. Les deux textes s'appliquent cumulativement. Un système d'IA à haut risque traitant des données personnelles doit satisfaire aux deux régimes : documentation Annexe IV de l'AI Act + AIPD Art. 35 RGPD, contrôle humain Art. 14 AI Act + droit Art. 22 RGPD.
Quand dois-je inscrire mon système au registre UE ?
L'Article 49 du Règlement (UE) 2024/1689 impose au fournisseur ou au déployeur d'inscrire le système à haut risque dans la base UE avant sa mise sur le marché ou sa mise en service. L'obligation devient pleinement applicable le 2 août 2026 pour les systèmes listés à l'Annexe III. La CNIL recommande de commencer l'audit interne dès le premier trimestre 2026 pour respecter cette échéance.
Sources officielles
- Texte consolidé du Règlement (UE) 2024/1689 — version annotée et navigable
- Version officielle EUR-Lex — Journal officiel de l'Union européenne
- Commission nationale de l'informatique et des libertés — fiches pratiques IA et doctrine française
- AI Act Service Desk de la Commission européenne — guichet unique d'interprétation
- ISO/IEC 42001:2023 — norme de management de l'IA
- ISO/IEC 23894:2023 — lignes directrices sur la gestion du risque IA
- ISO/IEC 27001:2022 — exigences sur les systèmes de management de la sécurité de l'information
Pour la cartographie complète des références officielles utilisées par regulia, consulter la page sources.
Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.