L'essentiel en 30 secondes
- L'AI Act impose 3 niveaux de risque pour les produits IA (minime, limité, élevé) — 85 % des PME sont concernées par les catégories limitées ou élevées selon le service desk de l'AI Act.
- Les produits à risque élevé nécessitent une certification CE via un organisme notifié — le processus de dépôt de dossier dure en moyenne 12 mois.
- Les PME bénéficient d'un délai de transition jusqu'au 31 décembre 2026 pour les produits existants déjà sur le marché.
- Les sanctions pour non-conformité peuvent atteindre 7 % du chiffre d'affaires annuel mondial — voir sanctions AI Act.
1. Contexte réglementaire : AI Act et simplification pour les PME
Le Règlement (UE) 2024/1689, dit AI Act, est le premier cadre juridique complet au monde consacré à l'intelligence artificielle. Adopté en mai 2024 et publié au Journal officiel de l'UE en juillet 2024, il harmonise les règles applicables aux produits et systèmes d'IA sur l'ensemble du marché unique européen.
Son ambition dépasse la simple régulation du risque. L'AI Act vise aussi à simplifier l'accès au marché pour les entreprises conformes : une PME qui obtient la certification CE pour son produit IA n'a pas à refaire une démarche pays par pays dans les 27 États membres. Cette harmonisation est un avantage compétitif réel pour les PME françaises qui exportent vers d'autres marchés européens.
Des dispositions spécifiques aux PME et aux start-ups figurent dans l'Article 62 du règlement. Elles prévoient notamment : des lignes directrices adaptées, des bacs à sable réglementaires mis en place par les autorités nationales, et des frais réduits pour les procédures d'évaluation de conformité. La CNIL est désignée en France comme autorité compétente pour la mise en place de ces bacs à sable.
Pour comprendre l'ensemble du cadre applicable aux PME, consultez notre page AI Act et PME en France.
2. Les 3 niveaux de risque pour les produits IA
Le cœur du système de l'AI Act repose sur une classification des produits IA en trois niveaux de risque (en dehors de la catégorie des usages interdits, qui constitue un quatrième niveau d'emblée exclu du marché).
Risque minime. Les produits dont l'impact sur la sécurité, la santé ou les droits fondamentaux est négligeable. Exemples : systèmes de recommandation de contenu (films, musique), filtres anti-spam, jeux vidéo utilisant l'IA. Ces produits ne sont soumis à aucune obligation spécifique de l'AI Act, hormis la possibilité de s'engager volontairement dans des codes de conduite.
Risque limité. Les produits susceptibles d'affecter les personnes de manière plus significative, sans toutefois entrer dans les catégories à haut risque. Exemples : chatbots, deep fakes, certains logiciels de diagnostic médical de premier niveau. L'obligation principale pour cette catégorie est la transparence : l'utilisateur doit savoir qu'il interagit avec un système d'IA.
Risque élevé. Les produits dont l'impact potentiel sur les droits fondamentaux, la santé ou la sécurité est substantiel. L'Annexe III du règlement liste les catégories : biométrie, infrastructure critique, éducation, emploi, accès aux services essentiels, répression, gestion des frontières, administration de la justice. Ces produits sont soumis aux exigences les plus strictes et nécessitent, dans la plupart des cas, une certification CE via un organisme notifié.
| Niveau de risque | Exemples de produits IA | Obligations principales |
|---|---|---|
| Minime | Recommandation films, filtres spam, chatbots simple | Aucune obligation spécifique AI Act |
| Limité | Chatbots client, deep fake, IA générative | Déclaration de transparence obligatoire |
| Élevé | IA RH, crédit, diagnostic médical, conduite autonome | Certification CE, documentation technique, surveillance humaine |
| Interdit | Notation sociale, surveillance biométrique en temps réel (sauf exceptions) | Mise sur le marché interdite |
3. Obligations spécifiques par niveau de risque
Chaque niveau de risque génère des obligations distinctes dont le non-respect expose à des sanctions différenciées.
Risque minime : déclaration de conformité simplifiée. Aucune obligation réglementaire obligatoire au titre de l'AI Act. Cependant, l'Article 95 du règlement encourage les fournisseurs de modèles d'IA à usage général à adopter des codes de conduite. Pour les PME, cette flexibilité est un avantage : elles peuvent se concentrer sur les produits à risque plus élevé.
Risque limité : documentation technique et évaluation interne. Les fournisseurs de systèmes à risque limité doivent assurer que les personnes qui interagissent avec leur produit sont informées qu'elles interagissent avec un système d'IA (Article 52). Ils doivent également conserver une documentation technique de base permettant de démontrer la conformité en cas de contrôle. Une évaluation interne — sans organisme notifié — suffit pour cette catégorie.
Risque élevé : certification CE via organisme notifié. C'est la catégorie la plus exigeante. Les Articles 16 à 27 du règlement imposent aux fournisseurs de produits à haut risque : la mise en place d'un système de gestion des risques (Article 9), des exigences strictes sur les données de formation (Article 10), une documentation technique exhaustive (Article 11), une journalisation automatique (Article 12), la transparence envers les déployeurs (Article 13), la surveillance humaine (Article 14), et la robustesse et cybersécurité (Article 15). La conformité doit être attestée par un organisme notifié accrédité par l'UE avant la mise sur le marché.
Consultez notre glossaire réglementaire pour les définitions précises des termes techniques de l'AI Act.
4. Processus de conformité CE pour les PME
La conformité CE pour un produit IA à risque élevé suit un processus en quatre étapes. Ce processus prend en moyenne 12 mois pour un premier dossier, selon les retours des acteurs accompagnés par le service desk de l'AI Act.
Étape 1 : Classifier le produit. Avant toute démarche de certification, déterminez avec précision dans quelle catégorie entre votre produit. Consultez les critères de l'Article 6 et les listes de l'Annexe III. En cas de doute, le service desk européen de l'AI Act répond aux questions de classification. Cette étape peut prendre de deux à quatre semaines selon la complexité du produit.
Étape 2 : Préparer le dossier technique. Pour les produits à haut risque, le dossier technique doit comprendre : la description générale du système et de son architecture, les données d'entraînement utilisées, les méthodes de développement et d'entraînement, les résultats des tests de performance et de robustesse, les mesures de surveillance et de contrôle humain, et les instructions d'utilisation pour les déployeurs. Le service desk de l'AI Act publie des modèles de dossiers techniques utilisables par les PME.
Étape 3 : Certification par un organisme notifié (pour les risques élevés). La liste des organismes notifiés accrédités pour l'AI Act est publiée dans la base de données NANDO de la Commission européenne. Choisissez un organisme spécialisé dans votre domaine applicatif. Les délais de traitement varient de trois à huit mois selon la charge de l'organisme et la complexité du dossier. Anticipez ces délais dans votre planning de mise sur le marché.
Étape 4 : Déclaration de conformité et marquage CE. Une fois la certification obtenue, le fournisseur établit une déclaration de conformité (Article 47) et appose le marquage CE sur le produit ou sa documentation. Le produit est ensuite enregistré dans la base de données EU AI Act (Article 71) avant la mise sur le marché. Le marquage CE est valable pour la durée de vie du produit, sous réserve de mises à jour significatives qui nécessiteraient une nouvelle évaluation.
Votre produit IA nécessite-t-il une certification CE ?
Regulia vous aide à classifier votre produit et à préparer votre dossier de conformité CE. Diagnostic gratuit en 48h, accompagnement jusqu'à la certification.
Demander un diagnostic gratuit5. Avantages de la conformité CE pour les PME
La certification CE n'est pas uniquement une contrainte réglementaire. Elle génère des avantages concrets pour les PME qui l'obtiennent.
Accès facilité aux marchés européens. Un produit IA certifié CE peut être commercialisé librement dans les 27 États membres sans démarches supplémentaires dans chaque pays. Pour une PME qui cible plusieurs marchés européens, ce passeport unique représente une économie de temps et de ressources significative par rapport à des démarches nationales séparées.
Renforcement de la confiance des clients. Le marquage CE est un signal de conformité et de sérieux reconnu par les acheteurs B2B et les donneurs d'ordres publics. Dans les appels d'offres, notamment dans les secteurs réglementés (santé, transports, finance), la conformité AI Act devient une condition d'éligibilité. Une PME certifiée se différencie de ses concurrents non conformes.
Évitement des sanctions financières. Les sanctions pour non-conformité peuvent atteindre 7 % du CA annuel mondial — voir notre guide sanctions AI Act pour les PME pour le détail complet. Le coût d'une certification CE est généralement bien inférieur au risque financier d'une sanction ou d'une suspension du produit.
Amélioration de la qualité des produits. Le processus de conformité AI Act oblige les équipes à documenter rigoureusement leur produit, à tester ses limites, et à réfléchir aux risques qu'il présente. Cette rigueur améliore la qualité intrinsèque du produit et réduit les risques de défaillances post-commercialisation.
6. Erreurs courantes à éviter
L'expérience des premières démarches de conformité AI Act fait ressortir quatre erreurs fréquentes que les PME commettent.
Confusion entre les niveaux de risque. Certaines PME sous-estiment le niveau de risque de leur produit, pensant relever de la catégorie « limité » alors qu'elles entrent dans la catégorie « élevé ». Le critère décisif n'est pas la technologie utilisée mais l'impact potentiel sur les personnes dans le contexte d'utilisation réel. Un outil de scoring RH reste à haut risque même si la technologie sous-jacente est un simple modèle de régression statistique.
Omission des tests d'évaluation des risques. Certaines PME constituent un dossier technique sans inclure les résultats de tests formels. L'Article 9 du règlement impose un système de gestion des risques documenté, incluant des tests identifiant les risques prévisibles et les mesures d'atténuation. Un dossier sans tests sera systématiquement rejeté par les organismes notifiés.
Non-respect des délais de transition. Le délai de transition jusqu'au 31 décembre 2026 concerne les produits déjà sur le marché avant l'entrée en vigueur des obligations. Il ne couvre pas les produits nouvellement mis sur le marché après le 8 août 2026 : ceux-ci doivent être immédiatement conformes. Confondre les deux situations expose à des sanctions immédiates.
Manque de documentation technique évolutive. La documentation technique ne s'arrête pas à la certification. Toute modification substantielle du produit — nouvelle version, nouveau cas d'usage, nouvelles données d'entraînement — peut nécessiter une réévaluation. L'Article 9 impose un système de gestion des risques « continu » : la documentation doit être maintenue à jour tout au long de la durée de vie du produit.
7. Ressources pour les PME
AI Act Service Desk. Le service desk européen de l'AI Act est l'outil le plus utile pour les questions concrètes de classification et de conformité. Il publie des FAQ thématiques, des guides sectoriels, et répond aux questions individuelles des entreprises. Accès sur ai-act-service-desk.ec.europa.eu.
Guide pratique de la CNIL. La CNIL publie des fiches pratiques adaptées au contexte français sur cnil.fr. Ces ressources couvrent notamment l'articulation entre RGPD et AI Act, les obligations des DPO en matière de systèmes d'IA, et les bonnes pratiques pour les évaluations d'impact.
Liste des organismes notifiés. La base de données NANDO de la Commission européenne recense tous les organismes notifiés accrédités pour évaluer la conformité des produits IA à haut risque. Vérifiez que l'organisme que vous choisissez est bien accrédité pour votre catégorie de produit.
Modèles de documents techniques. Regulia met à disposition des modèles de dossiers techniques et de déclarations de conformité adaptés aux PME françaises, disponibles sur notre page sources réglementaires et dans notre glossaire réglementaire.
8. Échéances clés 2026-2027
Le calendrier de déploiement de l'AI Act est progressif. Plusieurs dates sont critiques pour les PME françaises qui commercialisent des produits IA.
8 août 2026 : date d'application complète des obligations haut risque. Tous les systèmes d'IA à haut risque nouvellement mis sur le marché doivent être conformes aux Articles 6 à 49 du règlement. Les déployeurs doivent également être en conformité avec leurs obligations spécifiques (Article 26).
31 décembre 2026 : fin du délai de transition pour les produits existants. Les produits à haut risque déjà sur le marché avant le 8 août 2026 bénéficient d'un délai de transition pour se mettre en conformité. Après le 31 décembre 2026, tous les produits haut risque, qu'ils soient nouveaux ou existants, doivent être entièrement conformes.
1er janvier 2027 et au-delà : surveillance et mise à jour du registre. Les fournisseurs sont tenus de mettre à jour annuellement les informations enregistrées dans la base de données européenne des systèmes d'IA à haut risque (Article 71). La Commission européenne devra également remettre un rapport d'évaluation du règlement au Parlement européen et au Conseil d'ici cette date.
| Échéance | Obligation |
|---|---|
| 2 février 2025 | Interdictions pour les usages à risque inacceptable (Article 5) |
| 2 août 2025 | Obligations pour les modèles d'IA à usage général (Chapitre V) |
| 8 août 2026 | Obligations systèmes haut risque Annexe III (hors infrastructure) |
| 31 décembre 2026 | Fin du délai de transition pour les produits existants |
| 8 août 2027 | Obligations systèmes haut risque Annexe I (produits harmonisés) |
Pour rester informé des évolutions réglementaires, consultez régulièrement notre page AI Act et PME en France et nos sources réglementaires.
Préparez votre dossier de conformité CE dès maintenant
Regulia accompagne les PME françaises dans la constitution de leur dossier technique AI Act, le choix de l'organisme notifié, et le suivi jusqu'à l'obtention du marquage CE. Première consultation gratuite.
Prendre contactFAQ
Quelle est la différence entre les niveaux de risque pour les PME ?
Les PME doivent classer leurs produits IA selon trois niveaux : minime (impact faible, pas d'obligation spécifique), limité (obligation de transparence envers l'utilisateur), ou élevé (certification CE obligatoire via un organisme notifié, documentation technique complète, évaluation d'impact). Le niveau élevé est déterminé par le domaine d'application du produit et son impact potentiel sur les droits fondamentaux, conformément à l'Article 6 et à l'Annexe III du Règlement (UE) 2024/1689.
Quelles sont les sanctions pour non-conformité ?
Les sanctions peuvent atteindre 7 % du chiffre d'affaires annuel mondial pour les infractions les plus graves (mise sur le marché d'un système à usage interdit). Les manquements aux obligations applicables aux systèmes à haut risque sont sanctionnés jusqu'à 3 % du CA ou 15 millions d'euros. Les PME bénéficient d'un délai de transition jusqu'au 31 décembre 2026 pour les produits existants, mais pas pour les nouveaux produits mis sur le marché après le 8 août 2026. Voir notre guide sanctions AI Act pour les détails complets.
Comment choisir un organisme notifié ?
Sélectionnez un organisme accrédité par l'UE et spécialisé dans votre domaine applicatif. La liste complète est disponible dans la base de données NANDO de la Commission européenne. Vérifiez que l'organisme a de l'expérience avec des produits comparables au vôtre. Comparez les délais de traitement : ils varient de trois à huit mois. Le service desk de l'AI Act sur ai-act-service-desk.ec.europa.eu peut vous orienter vers des organismes adaptés à votre secteur.
Quelles sont les étapes pour obtenir la certification CE ?
Pour les produits à risque élevé : (1) classifier précisément le produit selon l'Article 6 et l'Annexe III, (2) constituer le dossier technique complet conformément à l'Article 11, (3) faire évaluer le dossier par un organisme notifié accrédité, (4) établir la déclaration de conformité (Article 47), et (5) apposer le marquage CE et enregistrer le produit dans la base de données EU AI Act (Article 71). Comptez 12 mois en moyenne pour l'ensemble du processus.
Où trouver des ressources gratuites pour la conformité ?
La CNIL propose des guides gratuits sur cnil.fr. Le service desk de l'AI Act sur ai-act-service-desk.ec.europa.eu répond aux questions et publie des FAQ thématiques. Regulia met à disposition des modèles de documents techniques dans son glossaire réglementaire et des analyses approfondies dans ses sources réglementaires.
Sources officielles
- AI Act Service Desk européen
- Règlement (UE) 2024/1689 sur EUR-Lex
- artificialintelligenceact.eu — version annotée
Avertissement — Cet article fournit une information générale et ne constitue pas un conseil juridique. Consultez un professionnel qualifié pour toute question relative à votre situation spécifique.