EU AI ActComplianceChecklistSMEs

Check-list de conformité au règlement IA de l'UE pour les PME : une feuille de route en 9 étapes

Publié 18 juillet 2026 · 6 min de lecture

Le règlement IA de l'UE peut sembler écrasant. Décomposé en étapes, il devient gérable, même pour une petite équipe sans responsable de la conformité dédié. Voici la feuille de route que nous parcourons avec les PME, avec l'article correspondant à chaque étape pour que vous puissiez vérifier la source.

D'abord : ce qui s'applique déjà aujourd'hui

Tout n'est pas dans le futur. Trois obligations sont déjà applicables, alors traitez-les comme des points « à traiter dès maintenant » :

  • Pratiques interdites (article 5) interdites depuis le 2 février 2025. Aucun système d'IA ne peut les mettre en œuvre, quelle que soit votre taille.
  • Maîtrise de l'IA (article 4) depuis le 2 février 2025, les fournisseurs et les déployeurs doivent s'assurer que le personnel qui exploite l'IA dispose d'un niveau suffisant de maîtrise de l'IA. Consultez notre guide de la maîtrise de l'IA.
  • Obligations relatives aux modèles d'IA à usage général (chapitre V) s'appliquent à partir du 2 août 2025, avec une mise en application à partir du 2 août 2026.

Les obligations relatives aux systèmes à haut risque, les plus lourdes à porter, ont été repoussées par le Digital Omnibus au 2 décembre 2027 (annexe III) et au 2 août 2028 (annexe I), toutes deux adoptées, en attente de publication au Journal officiel. C'est un répit pour se préparer, pas une raison d'attendre.

La feuille de route en 9 étapes

  1. Constituez un inventaire d'IA. Répertoriez chaque système d'IA que vous développez ou utilisez. Il ne s'agit pas d'un article réglementaire en soi ; c'est la condition préalable pratique à tout ce qui suit, car vous ne pouvez pas classer ce que vous n'avez pas catalogué.
  2. Connaissez votre rôle. Le règlement attribue des obligations différentes à un fournisseur, un déployeur, un importateur et un distributeur (définis à l'article 3 ; les obligations du fournisseur à l'article 16, celles du déployeur à l'article 26). La plupart des PME sont des déployeurs de l'IA d'autrui, un ensemble d'obligations plus léger que celui d'un fournisseur.
  3. Classez le risque de chaque système. Répartissez chacun dans une catégorie : interdit (article 5), à haut risque (article 6 et annexe III), à risque limité ou de transparence (article 50), ou minimal. Les modèles d'IA à usage général relèvent du chapitre V. Notre vérificateur de risque le fait en quelques minutes.
  4. Couvrez la maîtrise de l'IA. Donnez aux personnes qui exploitent votre IA une formation suffisante pour l'utiliser de manière responsable (article 4).
  5. Respectez les obligations de la catégorie. Pour les systèmes à haut risque, cela signifie gestion des risques, gouvernance des données, contrôle humain (article 14), ainsi qu'exactitude et robustesse (article 15).
  6. Tenez à jour le dossier technique. Les fournisseurs de systèmes à haut risque doivent établir et tenir à jour la documentation technique de l'annexe IV avant la mise sur le marché du système (article 11).
  7. Ajoutez des mentions de transparence. Informez les personnes lorsqu'elles interagissent avec un système d'IA, et étiquetez les contenus générés ou manipulés par l'IA (article 50).
  8. Journalisez et surveillez. Conservez les enregistrements et les journaux générés automatiquement (articles 12 et 19), et assurez une surveillance après commercialisation (article 72).
  9. Enregistrez les systèmes à haut risque. Les fournisseurs s'enregistrent, ainsi que leur système relevant de l'annexe III, dans la base de données de l'UE avant sa mise sur le marché (articles 49 et 71).

Les échéances en un coup d'œil

En vigueur dès maintenant : les pratiques interdites et la maîtrise de l'IA (2 février 2025) ainsi que les obligations relatives à l'IA à usage général (2 août 2025). À partir du 2 août 2026 : l'application générale du règlement et les règles de transparence. Adoptés, en attente de publication au Journal officiel : l'obligation de marquage des contenus de synthèse et une nouvelle interdiction des images intimes non consenties et du matériel d'abus sexuel sur mineurs (2 décembre 2026), l'annexe III relative aux systèmes à haut risque (2 décembre 2027) et l'annexe I (2 août 2028). Notre guide des échéances tient à jour le tableau complet.

La place des sanctions

C'est le non-respect de ces obligations qui vous expose à des amendes : jusqu'à EUR 35M ou 7 % du chiffre d'affaires pour les pratiques interdites, même si, pour les PME, le plafond retenu est le plus faible des deux. Consultez ce que risquent réellement les PME de l'UE pour le détail.

Commencez par une vérification de 2 minutes

Le moyen le plus rapide de transformer cette check-list en plan d'action est de déterminer lesquels de vos systèmes sont concernés. Lancez gratuitement le EU AI Act Snapshot, sans inscription, ou explorez les offres, qui commencent à EUR 0.

Guides associés