← Retour au blog

AI Act européen pour les startups et PME : obligations allégées et exemptions

L'AI Act prévoit des dispositions spécifiques pour réduire la charge de conformité des startups et PME, bacs à sable réglementaires gratuits, amendes proportionnelles et support prioritaire. Ce guide explique ce qui s'applique à vous et ce qui ne s'applique pas.

17 mai 2026DILAIG

L'AI Act a été rédigé en pensant aux PME : en partie

Les considérants et dispositions de l'AI Act reconnaissent explicitement que le règlement pourrait peser de manière disproportionnée sur les petites entreprises. Le législateur a intégré un ensemble de mesures compensatoires : formulaires de documentation simplifiés, accès gratuit aux bacs à sable réglementaires, amendes proportionnelles et canaux de support prioritaires.

Mais voici le point critique : les obligations substantielles ne disparaissent pas parce que vous êtes une petite entreprise.

Si votre système d'IA est à haut risque au titre de l'Annexe III, vous devez vous conformer au cadre de conformité complet, gestion des risques, documentation technique, évaluation de la conformité, Déclaration UE de conformité, enregistrement. Si vous fournissez un modèle GPAI, les Articles 51–56 s'appliquent. Les dispositions PME réduisent la friction et le coût ; elles ne créent pas d'exemption générale.

Ce guide explique précisément ce qui est simplifié, ce qui est gratuit, et ce qui reste obligatoire quelle que soit la taille de votre entreprise.

Êtes-vous une PME au sens du droit européen ?

L'AI Act utilise la définition standard européenne des PME :

Catégorie Effectif Chiffre d'affaires annuel OU Bilan
Microentreprise < 10 < 2 millions d'euros
Petite entreprise < 50 < 10 millions d'euros
Entreprise moyenne < 250 < 50 millions d'euros / < 43 millions d'euros

Les startups sont explicitement mentionnées tout au long du texte, elles sont traitées comme des PME pour ces dispositions malgré l'absence de définition juridique formelle en droit européen.

Ce qui est simplifié ou réduit pour les PME

1. Documentation technique simplifiée (Article 63)

Pour les systèmes d'IA à haut risque, l'Annexe IV liste les exigences complètes de documentation technique. Pour les micro et petites entreprises, la Commission est tenue de développer des formulaires de documentation technique simplifiés adaptés à leurs besoins. Les autorités doivent accepter ces formulaires simplifiés pour les évaluations de conformité.

Les microentreprises peuvent également se conformer aux exigences du système de gestion de la qualité (Article 17) de manière simplifiée.

Cela ne signifie pas que vous avez besoin de moins de documentation, cela signifie que la Commission fournit un formulaire structuré moins contraignant à remplir que de construire une documentation à partir du texte réglementaire brut.

2. Frais d'évaluation de conformité proportionnels (Article 62)

Lorsqu'une évaluation tierce par un organisme notifié est requise (principalement pour les systèmes d'identification biométrique), les frais doivent être proportionnels à la taille, la taille du marché et d'autres facteurs pertinents de la PME. La Commission évalue régulièrement et travaille à réduire ces coûts.

3. Amendes proportionnelles : le plafond le plus bas s'applique

Les amendes de l'AI Act sont exprimées en pourcentage du chiffre d'affaires annuel mondial ou en montant fixe en euros, le montant le plus élevé s'appliquant aux grandes entreprises. Pour les PME et startups, la règle est inversée : le montant applicable est celui qui est le plus bas.

Violation Grande entreprise PME / Startup
Pratiques d'IA interdites 35 M€ ou 7 % (le plus élevé) 35 M€ ou 7 % (le plus bas)
La plupart des violations AI Act 15 M€ ou 3 % (le plus élevé) 15 M€ ou 3 % (le plus bas)
Informations incorrectes 7,5 M€ ou 1 % (le plus élevé) 7,5 M€ ou 1 % (le plus bas)

Pour une startup avec 500 000 € de chiffre d'affaires annuel, 3 % représente 15 000 €, pas 15 millions d'euros. La proportionnalité est réelle et significative.

4. Bacs à sable réglementaires gratuits (Articles 57–60)

Les États membres doivent établir des bacs à sable réglementaires pour l'IA, des environnements contrôlés où les fournisseurs peuvent développer, entraîner, tester et valider des systèmes d'IA avant la mise sur le marché. Pour les PME :

  • Accès prioritaire : les PME bénéficient d'un accès prioritaire aux bacs à sable nationaux
  • Gratuit : la participation est gratuite pour les PME (des frais peuvent s'appliquer aux grandes entreprises)
  • Procédures simples : les procédures de candidature doivent être simples, faciles à comprendre et clairement communiquées
  • Protection de responsabilité : les fournisseurs agissant de bonne foi dans le cadre d'un plan de bac à sable approuvé sont protégés des amendes administratives (bien qu'ils restent responsables des dommages causés à des tiers)
  • Preuve de conformité : la participation à un bac à sable est documentée et peut servir de preuve d'efforts de conformité de bonne foi

5. Support, formation et orientations (Article 62)

Les États membres sont tenus de :

  • Organiser des activités de sensibilisation et de formation spécifiquement adaptées aux PME et startups
  • Fournir des canaux de communication dédiés pour les orientations et questions des PME
  • Offrir un support technique et réglementaire tout au long du parcours de développement

La Commission et les États membres doivent également faciliter la participation des PME aux processus de normalisation IA, afin que les petites entreprises puissent influencer les normes techniques qui définissent les exigences de conformité.

6. Représentation des PME dans la gouvernance (Article 67)

Les perspectives des PME doivent être dûment représentées dans le forum consultatif de l'AI Act. C'est un droit de gouvernance, les petites entreprises ont un canal formel pour influencer l'évolution du règlement dans la pratique.

Ce qui n'est PAS exempté pour les PME

Cette section est plus importante que les dispositions ci-dessus.

La classification du risque ne change pas selon la taille de l'entreprise. Une startup de 12 personnes développant un outil de filtrage de CV alimenté par IA dispose d'un système d'IA à haut risque au titre de l'Annexe III §4. La taille de l'entreprise ne modifie pas cette classification et n'élimine pas les obligations de conformité.

Les obligations fondamentales du fournisseur demeurent. Si vous êtes fournisseur d'un système à haut risque, vous devez :

  • Réaliser une évaluation de la conformité
  • Établir une Déclaration UE de conformité
  • Vous enregistrer dans la base de données européenne
  • Préparer la documentation technique (formulaire simplifié disponible)
  • Mettre en place un système de gestion des risques
  • Assurer supervision humaine, journalisation et transparence

Les obligations GPAI demeurent. Si vous avez entraîné et fournissez un LLM ou un modèle de fondation à des clients européens, les Articles 51–56 s'appliquent quelle que soit la taille de votre entreprise. Les modèles open-weight sous licences libres sont exemptés des exigences de documentation et d'information des fournisseurs en aval, mais pas des obligations de risque systémique si le modèle dépasse 10²⁵ FLOPs.

Les pratiques interdites sont absolues. Les interdictions de l'Article 5 s'appliquent à toutes les entreprises quelle que soit leur taille.

Questions clés pour les PME et startups

« Nous sommes une startup en amorçage : devons-nous nous conformer maintenant ? »

Si votre produit est déjà utilisé par des clients européens : oui, dans la mesure où les obligations s'appliquent actuellement. Si vous êtes encore en développement pré-marché, l'Article 2(8) exempte les activités de développement avant la mise sur le marché, mais les « tests en conditions réelles » (en production avec de vrais utilisateurs) sont couverts.

« Nous intégrons un modèle tiers (OpenAI, etc.) : sommes-nous fournisseur ? »

Probablement oui, pour le système que vous avez construit autour de lui. Si vous intégrez un modèle tiers dans un produit que vous vendez, vous êtes généralement le fournisseur de ce produit au sens de l'AI Act. Vous êtes responsable de la conformité du système intégré, même si le modèle sous-jacent est conforme. Vérifiez si votre cas d'usage relève de l'Annexe III.

« Nous faisons du B2B : nos clients déploient l'IA. Sont-ils responsables ? »

Les obligations du déployeur (Article 26) incombent à celui qui déploie le système. Mais les obligations du fournisseur (Articles 9–49) restent avec vous en tant que fournisseur. Les deux côtés de la chaîne ont des devoirs indépendants. Vous ne pouvez pas transférer contractuellement vos obligations de fournisseur à vos clients.

« Nous sommes open source : sommes-nous exemptés ? »

Partiellement. Les modèles open-weight sous licences libres sont exemptés des exigences de documentation de l'Article 53(1)(a) et (b), mais pas s'ils sont également classifiés comme présentant un risque systémique. Les systèmes d'IA à haut risque ne disposent d'aucune exemption équivalente basée sur la licence.

Une feuille de route de conformité pratique pour les PME

Étape 1, Vérifier si votre IA est dans le périmètre (15 minutes) Votre produit implique-t-il une IA ? Des utilisateurs européens interagissent-ils avec ses sorties ou en sont-ils affectés ? Si oui, continuez.

Étape 2, Déterminer votre niveau de risque (30 à 60 minutes) Mappez la fonction de votre système sur les quatre niveaux : interdit, haut risque (Annexe III), risque limité (Article 50), risque minimal. La plupart des outils SaaS B2B se situent en risque minimal. Les IA pour le recrutement, le crédit, l'éducation et la santé se situent généralement en haut risque.

Étape 3, Si haut risque : utiliser le formulaire de documentation simplifié Lorsqu'il sera disponible (développé par la Commission), complétez le formulaire simplifié de documentation Annexe IV. C'est nettement moins contraignant que de construire une documentation sur mesure à partir du texte réglementaire brut.

Étape 4, Candidater à votre bac à sable réglementaire national Si vous êtes en phase pré-marché ou planifiez une nouvelle fonctionnalité majeure, consultez le bac à sable IA national. La plupart des États membres de l'UE ont établi ou établissent des bacs à sable. L'entrée est gratuite pour les PME et offre à la fois des orientations de conformité et une protection de responsabilité pendant les tests.

Étape 5, S'enregistrer dans la base de données européenne avant la mise sur le marché Pour les systèmes à haut risque, l'enregistrement dans la base de données européenne est obligatoire avant de mettre le système sur le marché. C'est une base de données publique, y figurer démontre une conformité de bonne foi.

Comment DilAIg aide les startups et PME

DilAIg est conçu pour être accessible aux équipes sans département juridique dédié. L'audit de 50 questions prend 20 minutes et produit :

  • Une classification documentée du risque avec les obligations applicables listées article par article
  • Un plan d'action priorisé distinguant ce qui est obligatoire de ce qui est optionnel
  • Pour les systèmes à haut risque : les quatre documents obligatoires — FRIA, Déclaration UE de conformité, Documentation technique (Annexe IV) et Notice de transparence — sous forme de projets professionnels

L'audit est gratuit. La génération de documents est par document. Aucun engagement minimum.

Démarrer votre audit AI Act gratuit →

Voir les tarifs →

FAQ : AI Act pour les startups et PME

L'AI Act s'applique-t-il à une startup de seulement 5 personnes ?

Oui, si votre système d'IA est mis sur le marché européen ou si ses sorties sont utilisées dans l'UE. La taille de l'entreprise affecte la forme de la documentation et le plafond des amendes, elle ne détermine pas si le règlement s'applique.

Des programmes de bacs à sable sont-ils déjà disponibles ?

Oui. Plusieurs États membres de l'UE ont établi des bacs à sable réglementaires pour l'IA. L'AI Office coordonne également un cadre de bac à sable au niveau européen. Consultez le site de votre autorité nationale compétente pour les programmes actuels.

Peut-on utiliser un bac à sable réglementaire pour retarder la conformité ?

Non. La participation à un bac à sable vous permet de développer et tester des systèmes d'IA avant la mise formelle sur le marché. Elle ne prolonge pas les délais pour les systèmes déjà sur le marché.

Qu'est-ce que le formulaire de documentation technique simplifié ?

Un formulaire structuré développé par la Commission pour les micro et petites entreprises, qui organise les exigences de documentation de l'Annexe IV dans un format plus accessible. Il couvre le même fond que la documentation complète de l'Annexe IV, il est plus simple à compléter, pas plus simple en contenu.

Le plafond d'amende proportionnel s'applique-t-il automatiquement ?

Oui. Le calcul de l'amende pour les PME utilise le montant le plus bas des deux (pourcentage ou fixe). Vous n'avez pas besoin de demander cela, cela s'applique automatiquement à toute amende imposée à une PME ou startup.

Points clés à retenir

  • La taille PME affecte comment vous vous conformez, pas si vous vous conformez
  • Les obligations substantielles — gestion des risques, évaluation de la conformité, documentation — s'appliquent à tous les fournisseurs de systèmes à haut risque quelle que soit la taille
  • Des formulaires de documentation simplifiés sont disponibles pour les micro et petites entreprises pour l'Annexe IV
  • Les bacs à sable réglementaires sont gratuits pour les PME et offrent une protection de responsabilité pendant les tests
  • Les amendes utilisent le plafond le plus bas pour les PME : pourcentage ou montant fixe, le plus petit
  • L'open source n'est pas une exemption générale — les systèmes à haut risque ne bénéficient d'aucune exemption basée sur la licence
  • L'audit DilAIg est gratuit et prend 20 minutes — conçu pour les équipes sans département juridique

Pour aller plus loin

Votre système IA est-il conforme ?

Audit gratuit en 20 minutes.

Démarrer l'audit