PME — Guide de conformité à l'EU AI Act

Conformité à l'EU AI Act pour les petites et moyennes entreprises. Dispositions spécifiques aux PME, accès aux bacs à sable réglementaires, frais réduits et orientations pratiques pour les déployeurs et développeurs d'IA.

L'EU AI Act et les PME — Les bonnes nouvelles

L'EU AI Act (Règlement (UE) 2024/1689) s'applique à toutes les organisations qui mettent sur le marché ou utilisent des systèmes d'IA au sein du marché de l'UE, quelle que soit leur taille. Cependant, la réalité réglementaire pour la grande majorité des petites et moyennes entreprises est considérablement moins contraignante que ce que laissent entendre les titres des médias, et ce pour une raison fondamentale : la très grande majorité des PME utilisent l'IA plutôt qu'elles ne la développent.

Une PME qui s'abonne à un CRM enrichi par l'IA, qui déploie un chatbot fourni par un éditeur SaaS, ou qui utilise un logiciel de prévision de la demande basé sur le cloud est, au sens de l'EU AI Act, un déployeur — et non un fournisseur. Les obligations du déployeur sont systématiquement moins lourdes que celles du fournisseur. Les fournisseurs supportent la charge principale de l'évaluation de la conformité, de la documentation technique, du marquage CE et de l'enregistrement. Les déployeurs disposent d'un ensemble d'obligations plus ciblé, axé sur l'utilisation correcte, la surveillance humaine et le signalement des incidents.

Au-delà de la distinction déployeur/fournisseur, l'EU AI Act contient un ensemble distinct de dispositions spécifiques aux PME qui apportent un soutien structurel : accès prioritaire aux bacs à sable réglementaires, frais d'évaluation de la conformité réduits et point de contact unique dédié au niveau national. Ces dispositions reflètent l'intention explicite du législateur de prévenir que l'AI Act ne devienne une barrière disproportionnée pour les acteurs de plus petite taille.

Ce guide présente ce que l'EU AI Act signifie concrètement pour une PME — que vous utilisiez des outils d'IA tiers, que vous déployiez l'IA dans des contextes orientés client, ou que vous développiez et commercialisiez vous-même un produit d'IA.

Dispositions spécifiques aux PME dans le règlement

L'EU AI Act comprend quatre dispositions qui s'appliquent spécifiquement aux PME (entreprises répondant au seuil fixé par la Recommandation 2003/361/CE de la Commission : moins de 250 salariés et soit un chiffre d'affaires annuel n'excédant pas 50 millions d'euros, soit un total de bilan n'excédant pas 43 millions d'euros) et aux startups.

Art. 55 — Accès prioritaire aux bacs à sable réglementaires

L'Art. 55 établit que les bacs à sable réglementaires en matière d'IA — des environnements supervisés permettant de développer et de tester l'IA avant sa mise sur le marché — doivent être accessibles par priorité aux PME et aux startups. L'accès est gratuit ou soumis à des frais réduits, et les organisations participantes bénéficient d'un accompagnement direct de l'autorité compétente. L'accès au bac à sable permet d'identifier les risques avant la mise sur le marché et d'engager un dialogue réglementaire dans un cadre protégé, sans les conséquences d'une mise sur le marché non conforme. Les PME développant des systèmes d'IA devraient considérer la participation à un bac à sable à la fois comme un outil de conformité et comme un mécanisme permettant d'interagir directement avec l'autorité de surveillance avant le lancement du produit.

Art. 96 — Frais réduits pour l'évaluation de la conformité

Lorsqu'un système d'IA à haut risque requiert une évaluation de la conformité par un tiers auprès d'un organisme notifié (applicable aux systèmes listés aux points 1, 6 et 7 de l'Annexe III, ainsi qu'aux dispositifs médicaux intégrant de l'IA au titre de l'Art. 6(1)), l'Art. 96 impose aux États membres d'établir des frais réduits pour les petites entreprises. Les micro-entreprises — celles de moins de 10 salariés dont le chiffre d'affaires annuel ou le total du bilan n'excède pas 2 millions d'euros — ont droit à des réductions encore plus importantes. Les barèmes de frais exacts sont fixés au niveau de chaque État membre et varient selon les juridictions ; l'autorité nationale compétente en matière d'IA ou le réseau Enterprise Europe Network peut fournir les tarifs en vigueur.

Art. 85 — Point de contact unique

L'Art. 85 oblige les autorités nationales de surveillance de l'IA à créer un point de contact unique dédié aux PME. Cela signifie qu'une PME cherchant des orientations sur ses obligations au titre de l'AI Act n'a pas à naviguer entre plusieurs services réglementaires ni à coordonner des démarches auprès d'autorités fragmentées. Le point de contact unique fournit des informations, oriente les demandes vers la fonction compétente et facilite les demandes d'accès aux bacs à sable. Cette disposition réduit considérablement le coût administratif lié à la compréhension des obligations réglementaires.

Art. 9(5) — Gestion proportionnée des risques

L'Art. 9(5) prévoit que le système de gestion des risques requis des fournisseurs de systèmes d'IA à haut risque peut être mis en œuvre de manière proportionnée, en tenant compte de la taille et de la structure de l'organisation. Pour une PME agissant en qualité de fournisseur d'un système à haut risque, cela signifie que si toutes les exigences substantielles du système de gestion des risques doivent être satisfaites, le format de la documentation, la complexité des processus et la structure de gouvernance peuvent être adaptés à la capacité réelle de l'organisation — à condition que cela ne compromette pas les objectifs de protection du cadre réglementaire.

Êtes-vous fournisseur ou déployeur ? — Cadre de décision pour les PME

La détermination préliminaire la plus importante pour toute PME engagée avec l'EU AI Act est de savoir si elle agit en qualité de fournisseur ou de déployeur à l'égard de chaque système d'IA qu'elle utilise ou propose.

Fournisseur (Art. 3(3)) : Une organisation qui développe un système d'IA, ou fait développer un système d'IA, et le met sur le marché ou le met en service sous son propre nom ou sa propre marque — que ce soit à titre onéreux ou gratuit. Cela inclut les PME qui :

Développent un produit logiciel intégrant de l'IA (y compris des modèles d'IA accessibles via API) et vendent ou concèdent ce produit sous licence à des clients ;
Développent un modèle ou une application d'IA en interne et le déploient en tant que service auprès d'utilisateurs finaux extérieurs à l'organisation ;
Modifient substantiellement un système d'IA tiers d'une manière qui en change la finalité prévue.

Déployeur (Art. 3(4)) : Une organisation qui utilise un système d'IA sous sa propre autorité à des fins professionnelles. Cela couvre les PME qui :

S'abonnent à des produits SaaS intégrant des fonctionnalités d'IA (CRM, ERP, logiciels de comptabilité enrichis par l'IA) ;
Utilisent un chatbot ou un outil de conversation basé sur l'IA tiers sur leur site web ;
Accèdent à des API d'IA en nuage (traitement du langage naturel, classification d'images, moteurs de recommandation) uniquement pour automatiser des flux de travail internes ou enrichir leurs propres services, sans proposer cette capacité d'IA comme fonctionnalité d'un produit destiné à des tiers ;
Achètent des outils RH, de prévision des stocks ou d'analyse client auprès de fournisseurs externes.

Le cas limite critique : Une PME qui intègre une API d'IA externe dans son propre produit orienté client et commercialise cette capacité comme une fonctionnalité de son produit est un fournisseur à l'égard de cette fonctionnalité d'IA — et non simplement un déployeur de l'API sous-jacente. L'entité juridique qui définit la finalité prévue, contrôle l'expérience utilisateur et met le produit sur le marché supporte les obligations du fournisseur au titre de l'Art. 16, quelle que soit l'origine du modèle d'IA.

Principales obligations du déployeur pour les PME utilisant de l'IA tierce

Pour la majorité des PME — celles qui déploient des outils d'IA tiers plutôt que de développer les leurs — les obligations suivantes s'appliquent au titre de l'Art. 26 et des dispositions connexes.

Utiliser les systèmes d'IA conformément aux instructions du fournisseur

Les déployeurs doivent utiliser les systèmes d'IA à haut risque uniquement conformément aux instructions d'utilisation du fournisseur telles que fournies en application de l'Art. 13. Utiliser un système d'IA à des fins allant au-delà de sa finalité documentée, ou dans des configurations que le fournisseur n'a pas validées, transfère une partie de la responsabilité en matière de conformité au déployeur et peut invalider l'évaluation de conformité du système.

Désigner une personne responsable de la surveillance humaine

L'Art. 26(1) impose aux déployeurs de confier la responsabilité de la surveillance de l'IA à une personne qualifiée au sein de l'organisation. Pour la plupart des PME, il s'agira d'une personne nommément désignée (pas nécessairement un responsable de la conformité dédié à l'IA) qui comprend le fonctionnement du système, ses limitations connues et les circonstances dans lesquelles une intervention humaine est requise. Cette désignation doit être documentée.

Conserver les journaux opérationnels

Lorsque des systèmes d'IA à haut risque génèrent automatiquement des journaux (Art. 12), les déployeurs doivent conserver ces journaux pendant la durée légalement requise — généralement six mois en vertu de l'AI Act, sauf si le droit sectoriel impose une durée de conservation plus longue. Les déployeurs doivent vérifier que leur contrat avec le fournisseur leur accorde l'accès aux journaux et en précise le format et l'exhaustivité.

Signaler les incidents graves au fournisseur

L'Art. 26(5) impose aux déployeurs de notifier au fournisseur tout incident grave ou dysfonctionnement constaté lors de l'utilisation. Lorsque l'organisation déployeuse est un organisme public, les obligations de notification s'étendent à l'autorité nationale de surveillance de l'IA. Pour les PME déployeuses du secteur privé, le canal principal est la notification directe au fournisseur, qui a lui-même des obligations de notification à l'autorité au titre de l'Art. 73.

Réaliser une évaluation de l'impact sur les droits fondamentaux lorsque applicable

L'Art. 27 impose aux organismes publics déployant de l'IA à haut risque de réaliser une évaluation de l'impact sur les droits fondamentaux avant le déploiement. Les PME du secteur privé déployant de l'IA à haut risque — notamment dans les domaines des RH, de l'évaluation du crédit ou des décisions orientées client — sont fortement recommandées de réaliser une évaluation équivalente, car elle démontre la diligence raisonnable et réduit matériellement le risque d'enforcement.

Vérifier les contrats avec les fournisseurs

Les PME déployeuses doivent s'assurer que leurs contrats avec les fournisseurs d'IA incluent : la documentation de conformité et les instructions d'utilisation ; la confirmation de l'enregistrement dans la base de données de l'UE lorsque requis ; la spécification des capacités de journalisation et des droits d'accès ; l'engagement du fournisseur en matière de notification des incidents et de remédiation ; et des informations sur les obligations de mise à jour ou de modification susceptibles d'affecter le statut de conformité du système.

Si vous développez de l'IA — Obligations du fournisseur PME et soutien disponible

Les PME qui développent et commercialisent des systèmes d'IA sont des fournisseurs et supportent l'ensemble des obligations du fournisseur prévues au Chapitre III pour tout système qualifié de haut risque. La portée de ces obligations est substantielle : système de management de la qualité (Art. 17), documentation technique conformément à l'Annexe IV, gouvernance des données conformément à l'Art. 10, journalisation conformément à l'Art. 12, exigences de transparence conformément à l'Art. 13, conception de la surveillance humaine conformément à l'Art. 14, et normes d'exactitude et de robustesse conformément à l'Art. 15. Pour les systèmes relevant de l'Annexe III qui nécessitent une évaluation par un organisme notifié, la voie de conformité suit l'Art. 43.

Pour une PME fournisseur, le point d'entrée pratique est la détermination de la classification des risques :

Le système d'IA est-il couvert par l'Art. 5 (pratiques interdites) ? Dans ce cas, le développement doit cesser ou être fondamentalement restructuré avant toute activité commerciale.
Le système se qualifie-t-il comme à haut risque au titre de l'Art. 6(1) (composante de sécurité d'un produit réglementé) ou de l'Annexe III (domaines d'application listés incluant l'identification biométrique, les infrastructures critiques, l'éducation, l'emploi, les services essentiels, les forces de l'ordre, la migration, la justice) ?
Le système se qualifie-t-il uniquement comme modèle d'IA à usage général régi par les Art. 51 à 56, sans classification à haut risque ?
Le système est-il soumis uniquement aux obligations de transparence de l'Art. 50 (reconnaissance des émotions, deepfake, chatbots) ?

Pour les PME dont les systèmes n'entrent pas dans les catégories à haut risque ou interdites, la conformité est considérablement allégée : obligations de divulgation de transparence au titre de l'Art. 50, alignement avec le GDPR et obligations sectorielles relevant du droit national ou de l'UE applicable.

Pour les PME développant de l'IA à haut risque, le bac à sable réglementaire de l'Art. 55 constitue l'outil disponible le plus important. La participation à un bac à sable permet des tests avant mise sur le marché sous supervision réglementaire, fournit des preuves documentées d'une démarche de conformité de bonne foi et permet d'identifier des actions correctives avant qu'elles ne deviennent des sujets d'enforcement. Les demandes sont soumises au point de contact unique national (Art. 85).

Étapes pratiques pour la conformité des PME

Étape 1 — Dresser l'inventaire de tous les systèmes d'IA utilisés ou en cours de développement. Lister chaque outil d'IA, produit SaaS, API en nuage et modèle développé en interne. Indiquer le fournisseur, la fonction et préciser si la PME agit en qualité de fournisseur ou de déployeur pour chacun.

Étape 2 — Classer chaque système par catégorie de risque. Appliquer le cadre Art. 5 / Art. 6 / Annexe III / Art. 50 à chaque système. En cas d'incertitude sur la classification, solliciter le point de contact unique de l'Art. 85.

Étape 3 — Pour les rôles de déployeur : auditer les contrats avec les fournisseurs. Vérifier que chaque fournisseur d'IA a fourni la documentation requise au titre de l'Art. 13 et que le contrat couvre la journalisation, la notification des incidents et les obligations de mise à jour. Signaler les lacunes en vue d'une renégociation.

Étape 4 — Pour les rôles de fournisseur : initier la procédure de conformité. Déterminer si votre système d'IA à haut risque requiert une auto-évaluation (Art. 43(2)) ou une évaluation par un organisme notifié tiers (Art. 43(1)). Demander l'accès au bac à sable au titre de l'Art. 55 si le système est en cours de développement. Prendre contact avec l'organisme notifié suffisamment tôt pour comprendre les délais et les implications financières, en tenant compte de votre droit aux frais réduits pour PME au titre de l'Art. 96.

Étape 5 — Mettre en œuvre les obligations du déployeur de l'Art. 26 pour tous les systèmes à haut risque. Désigner les personnes responsables de la surveillance, documenter leurs responsabilités, vérifier les procédures de conservation des journaux et confirmer les canaux de notification des incidents.

Étape 6 — Mettre en place un cycle de révision au titre de l'AI Act. L'EU AI Act est un cadre évolutif. Désigner un responsable chargé de suivre les orientations du Bureau de l'IA de l'UE, les mises à jour des autorités nationales et les modifications des classifications de l'Annexe III. Programmer une révision interne annuelle de l'inventaire des systèmes et de l'état de conformité.

Calendrier officiel de conformité AI Act

Mis à jour le 2026-06-20 · Sources : Règlement (UE) 2024/1689 et Digital Omnibus AI 2026.

Obligation	S'applique à	Date initiale	Nouvelle date	Statut	Compte à rebours	Base légale
Pratiques interdites (Art. 5)	Tous les fournisseurs et déployeurs	2 février 2025	2 février 2025	active	—	AI Act Art. 5
Règles GPAI (chapitre 5)	Fournisseurs de modèles GPAI	2 août 2025	2 août 2025	active	—	AI Act Art. 51-56
IA à haut risque — Annexe III (autonomes)	Fournisseurs de systèmes autonomes Annexe III	2 août 2026	2 décembre 2027	deferred	—	Omnibus AI 2026 Art. 6(2)
IA à haut risque — Annexe I (embarquée)	Systèmes IA embarqués dans produits réglementés Annexe I	2 août 2026	2 août 2028	deferred	—	Omnibus AI 2026 Art. 6(1)
Marquage contenu IA (transparence)	Fournisseurs de systèmes GPAI génératifs	2 août 2025	2 août 2025	active	—	AI Act Art. 50(2)
Bacs à sable réglementaires	Autorités nationales compétentes	2 août 2026	2 août 2026	active	—	AI Act Art. 57

⬇ Télécharger JSON · CC BY 4.0

Convergence AI Act – DORA – NIS2

Votre organisation est-elle soumise à la fois à l'AI Act et à DORA ? Les deux règlements se croisent sur la résilience opérationnelle des systèmes d'IA financiers. Notre site jumeau regulation-dora.eu couvre DORA en profondeur.

Explorer regulation-dora.eu ↗

Questions fréquentes

En tant que PME utilisant l'API OpenAI dans notre produit, sommes-nous un fournisseur au sens de l'AI Act ?

Oui. Si votre PME intègre un modèle d'IA tiers (y compris via API) dans un produit ou service que vous mettez sur le marché ou en service sous votre propre nom ou marque, vous êtes qualifié de **fournisseur** au sens de l'**Art. 3(3)** de l'EU AI Act. Cette qualification s'applique indépendamment du fait que le modèle sous-jacent ait été développé par une autre entreprise. Les obligations du fournisseur — notamment la documentation technique, l'évaluation de la conformité, le marquage CE (pour les systèmes à haut risque) et l'enregistrement — relèvent de votre responsabilité. Lorsque le fournisseur du modèle en amont fournit une documentation de conformité et des instructions d'utilisation, ces documents soutiennent votre démarche de conformité mais ne s'y substituent pas. Les Art. 55 et Art. 96 prévoient des mécanismes de soutien spécifiques aux PME pour alléger la charge de conformité.

Un chatbot sur le site web de notre PME doit-il se conformer à l'EU AI Act ?

Cela dépend de deux facteurs : la nature du chatbot et ses fonctionnalités. Premièrement, si le chatbot est un **système à usage général alimenté par l'IA** qui interagit avec des utilisateurs, il doit se conformer à l'**obligation de transparence de l'Art. 50** : les utilisateurs doivent être informés qu'ils interagissent avec un système d'IA, sauf si cela est évident au vu du contexte. Deuxièmement, si le chatbot remplit des fonctions qualifiées de haut risque — par exemple, le tri de candidats à un emploi, l'évaluation de la solvabilité ou la prise de décisions ayant des effets juridiques ou personnels significatifs — des obligations supplémentaires liées au haut risque s'appliquent. Un simple chatbot de FAQ ou de navigation dans un catalogue, utilisant un prestataire SaaS tiers (dans lequel vous êtes le déployeur), déclenche principalement l'obligation de transparence de l'Art. 50 et les obligations du déployeur prévues par l'Art. 26, notamment l'utilisation correcte conformément aux instructions et la notification des incidents.

Qu'est-ce qu'un bac à sable réglementaire en matière d'IA et comment notre startup peut-elle y accéder ?

Un **bac à sable réglementaire en matière d'IA** est un environnement de test supervisé, établi par les autorités nationales de surveillance de l'IA, dans lequel les fournisseurs d'IA — y compris les startups et les PME — peuvent développer, tester et valider des systèmes d'IA avant leur mise sur le marché, avec l'accompagnement direct de l'autorité compétente. Les bacs à sable sont régis par les **Art. 57 à 63** de l'EU AI Act. **L'Art. 55 accorde un accès prioritaire aux PME et aux startups**, et la participation est gratuite ou soumise à des frais réduits. Les demandes sont adressées directement à l'autorité nationale responsable de l'AI Act dans votre État membre. Dans le cadre d'un bac à sable, l'autorité peut accorder des dérogations limitées à certaines exigences afin de permettre des tests réels ; tout produit mis sur le marché à l'issue de la période de bac à sable doit ensuite satisfaire à l'ensemble des obligations applicables. Contactez votre point de contact unique national pour les PME (**Art. 85**) pour obtenir les modalités de candidature.

Devons-nous enregistrer notre système d'IA dans la base de données de l'UE ?

L'enregistrement dans la **base de données de l'UE pour les systèmes d'IA à haut risque** au titre de l'**Art. 49** n'est requis que si votre système est classé comme **à haut risque** au sens de l'Art. 6 ou de l'Annexe III. Les fournisseurs de systèmes à haut risque doivent procéder à l'enregistrement avant la mise sur le marché ; les déployeurs qui sont des organismes publics doivent également s'enregistrer avant toute utilisation. La plupart des PME qui déploient des systèmes d'IA tiers (en tant que consommateurs SaaS ou API) ne sont pas tenues de s'enregistrer — cette obligation incombe au fournisseur. Si votre PME est le fournisseur d'un système d'IA à haut risque, l'enregistrement est obligatoire quelle que soit la taille de l'entreprise, bien que les dispositions de soutien des Art. 55 et 96 s'appliquent pour réduire les coûts et la complexité procédurale associés. La base de données est accessible au public et gérée par le Bureau de l'IA de l'UE.

Quels documents devons-nous demander à notre fournisseur d'IA avant de déployer son système ?

Avant de déployer un système d'IA tiers, en particulier s'il est susceptible d'être à haut risque, votre PME doit exiger contractuellement et obtenir : (1) la **déclaration UE de conformité** ou une documentation de conformité équivalente ; (2) les **instructions d'utilisation** requises par l'Art. 13, incluant la finalité prévue, les limitations connues et les exigences de surveillance humaine ; (3) la confirmation que le système a été **enregistré dans la base de données de l'UE** si requis ; (4) des informations sur les **capacités de journalisation** du système et sur la manière dont les journaux peuvent être consultés ou récupérés ; (5) les **procédures de notification des incidents** du fournisseur et ses obligations de vous informer en cas de dysfonctionnements ou de mises à jour affectant la conformité ; et (6) des informations sur les **caractéristiques de traitement des données** du système pertinentes au regard de vos obligations au titre du GDPR. L'absence de ces documents de la part d'un fournisseur proposant un système d'IA dans un domaine sensible constitue un risque de conformité majeur.

Restez informé des évolutions AI Act

Recevez les alertes compliance quand les délais ou obligations changent.

Pas de spam. Désabonnement en un clic.