Le EU AI Act est un règlement européen - il s'applique directement dans tous les États membres sans transposition nationale. Mais son implémentation concrète est nationale : autorités de surveillance, sandboxes réglementaires, accompagnement des entreprises. En France, le cadre se précise. Voici ce que les PME françaises doivent savoir.
La France et l'IA : un contexte favorable mais une conformité en retard
La France est l'un des pays européens les plus avancés en matière d'IA. Paris concentre une part significative des startups IA européennes, et le gouvernement a investi massivement dans la filière. Mistral AI, l'un des acteurs mondiaux de l'IA générative, est français.
Pourtant, comme dans le reste de l'Europe, la grande majorité des PME françaises n'a pas encore entamé sa mise en conformité avec le EU AI Act. L'urgence est réelle : il reste moins de 126 jours avant la deadline du 2 août 2026.
Quelle autorité surveille le EU AI Act en France ?
Le règlement prévoit que chaque État membre désigne une ou plusieurs autorités de surveillance nationale. En France, plusieurs institutions sont impliquées.
La CNIL, en première ligne
La Commission Nationale de l'Informatique et des Libertés (CNIL) est l'autorité la plus directement concernée. Déjà autorité de contrôle du RGPD, elle a vocation à jouer un rôle central dans la surveillance des systèmes IA qui traitent des données personnelles - ce qui couvre la grande majorité des cas pratiques.
La CNIL a publié dès 2024 plusieurs guides pratiques sur l'IA et la protection des données. Elle accompagne activement les entreprises dans la compréhension de leurs obligations.
L'Autorité de la concurrence et les régulateurs sectoriels
Pour les systèmes IA dans des secteurs réglementés (finance, santé, transport), les régulateurs sectoriels existants (AMF, ACPR, HAS...) interviennent en coordination avec les autorités IA. Le EU AI Act prévoit cette articulation avec la réglementation sectorielle existante.
La désignation formelle des autorités compétentes françaises est attendue avant le 2 août 2026, conformément aux exigences du règlement.
Le sandbox réglementaire français : l'expérimentation encadrée
L'Article 57 du EU AI Act impose à chaque État membre de mettre en place au moins un sandbox réglementaire IA avant le 2 août 2026. En France, la CNIL pilote la mise en place de ce dispositif. Elle a déjà une expérience des sandboxes dans le domaine des données personnelles, et étend maintenant cette approche à l'IA.
Pour les PME françaises qui développent des systèmes IA innovants, le sandbox est une opportunité : tester, ajuster, et obtenir une validation réglementaire avant de risquer une mise en marché non-conforme.
Ce que le EU AI Act change concrètement pour une PME française
Si vous utilisez de l'IA dans vos outils (déployeur)
La majorité des PME françaises sont dans cette situation : elles utilisent des outils SaaS intégrant de l'IA (Salesforce, HubSpot, outils RH, outils de génération de contenu...) sans les avoir développés.
Vos obligations principales à partir du 2 août 2026 :
| Obligation | Concerne | Deadline |
|---|---|---|
| Informer les utilisateurs qu'ils interagissent avec une IA | Tout outil IA en contact avec des utilisateurs | 2 août 2026 |
| Supervision humaine des décisions automatisées | Systèmes haut risque | 2 décembre 2027 (si Omnibus adopté) |
| Conservation des logs d'utilisation | Systèmes haut risque | 2 décembre 2027 (si Omnibus adopté) |
| Formation de vos équipes à l'IA (AI literacy) | Tous | 2 août 2026 |
Si vous développez des outils IA (fournisseur)
Si vous avez développé une application SaaS intégrant de l'IA, vous êtes fournisseur au sens du règlement. Les obligations sont plus lourdes : documentation technique (Annexe IV), évaluation de conformité, enregistrement dans la base de données EU, marquage CE pour certains systèmes.
Les PME françaises et le RGPD : une base solide
Un avantage souvent sous-estimé des PME françaises : celles qui ont sérieusement mis en oeuvre le RGPD depuis 2018 disposent déjà d'une partie des fondations nécessaires à la conformité AI Act.
Documentation des traitements, registre des activités, analyse d'impact, désignation d'un DPO... Ces éléments sont directement réutilisables dans la démarche AI Act. Si vous avez un RGPD solide, vous avez de l'avance.
Les sanctions : ce que risque une PME française non conforme
Le EU AI Act prévoit des amendes importantes, appliquées par les autorités nationales :
- Jusqu'à 7% du CA mondial pour les pratiques interdites
- Jusqu'à 3% du CA mondial pour la non-conformité des systèmes haut risque
- Jusqu'à 1,5% du CA mondial pour les informations inexactes fournies aux autorités
Pour les PME, le règlement prévoit explicitement une application proportionnée (Article 62). Les autorités tiendront compte de la taille, des ressources, et du caractère intentionnel ou non de la violation. Mais l'exemption totale n'existe pas - et l'ignorance de la réglementation n'est pas un motif d'exonération.
Par où commencer pour une PME française ?
Étape 1 - Inventoriez vos systèmes IA (30 minutes)
Listez tous les outils intégrant de l'IA dans votre organisation : outils RH, CRM, chatbot, outils de génération de contenu, scoring client... La question à se poser : "Cet outil prend-il ou influence-t-il des décisions ?"
Étape 2 - Classifiez votre niveau de risque (5 minutes)
Utilisez AiCompliBot pour savoir si vos systèmes tombent dans les catégories réglementées. Le diagnostic est gratuit et vous donne un résultat immédiat avec vos obligations prioritaires.
Étape 3 - Priorisez les obligations du 2 août 2026
Transparence Article 50 et formation AI literacy sont les deux obligations fermes, quel que soit l'issue du Digital Omnibus. Commencez par là.
PME française, vous ne savez pas par où commencer ? Le diagnostic AiCompliBot identifie vos obligations en 5 minutes - gratuitement, sans jargon.