Depuis l'entrée en vigueur du règlement européen sur l'intelligence artificielle (EU AI Act, Règlement UE 2024/1689), une nouvelle obligation s'impose aux entreprises qui développent ou déploient des systèmes d'IA dits « à haut risque » : le marquage CE. Ce signe, familier sur les équipements électriques ou les jouets, prend une dimension inédite dans le monde de l'IA. Pour les dirigeants de PME concernés, comprendre ce que recouvre ce marquage et comment l'obtenir est devenu une priorité stratégique, d'autant que l'échéance principale du 2 août 2026 approche à grands pas.
Qu'est-ce que le marquage CE pour un système d'IA ?
Le marquage CE (Conformité Européenne) est une déclaration par laquelle le fabricant ou le fournisseur d'un produit atteste que celui-ci respecte les exigences essentielles fixées par la législation européenne applicable. Dans le cadre de l'EU AI Act, ce marquage est obligatoire pour tous les systèmes d'IA classés à haut risque avant leur mise sur le marché ou leur mise en service dans l'Union européenne.
Concrètement, apposer le marquage CE sur un système d'IA signifie que le fournisseur a réalisé ou fait réaliser une évaluation de conformité complète, que la documentation technique requise est constituée, et que le système est enregistré dans la base de données européenne prévue à cet effet. Ce n'est donc pas une simple formalité administrative : c'est l'aboutissement d'un processus rigoureux de mise en conformité.
Quels systèmes d'IA sont concernés par l'obligation de marquage CE ?
L'EU AI Act établit une classification par niveaux de risque. Seuls les systèmes d'IA à haut risque sont soumis à l'obligation de marquage CE. Ces systèmes sont listés dans les Annexes II et III du règlement et couvrent notamment :
- Les systèmes d'IA intégrés dans des produits déjà soumis à une législation d'harmonisation européenne (dispositifs médicaux, machines, équipements de protection individuelle, etc.)
- Les systèmes utilisés dans des domaines sensibles tels que le recrutement et la gestion des ressources humaines, l'éducation et la formation professionnelle, l'accès aux services essentiels (crédit bancaire, assurance), l'administration de la justice, la gestion des migrations et des frontières, ou encore certaines infrastructures critiques.
Si votre PME développe ou utilise un outil d'IA pour trier des candidatures, évaluer la solvabilité de clients, ou prendre des décisions affectant l'accès à des services publics, il est fort probable que vous soyez concerné. Un audit préalable de classification est donc la première étape indispensable.
Les étapes concrètes pour obtenir le marquage CE
L'obtention du marquage CE pour un système d'IA à haut risque suit un processus structuré, défini par le règlement lui-même. Voici les grandes étapes à suivre :
1. Réaliser une évaluation de conformité
C'est le cœur du processus. Elle consiste à vérifier que le système respecte toutes les exigences obligatoires du règlement : qualité et gouvernance des données d'entraînement, robustesse et précision du système, transparence et information des utilisateurs, supervision humaine effective, cybersécurité. Selon le type de système, cette évaluation peut être réalisée en interne (auto-évaluation) ou nécessiter l'intervention d'un organisme notifié tiers.
2. Constituer la documentation technique
Le règlement exige une documentation technique détaillée, décrite à l'Annexe IV. Elle doit notamment inclure une description générale du système, ses spécifications de conception, les données utilisées pour l'entraînement, les résultats des tests de performance et les mesures de gestion des risques. Cette documentation doit être tenue à jour pendant toute la durée de vie du système.
3. Mettre en place un système de gestion des risques
L'article 9 du règlement impose un processus continu d'identification, d'analyse et de traitement des risques tout au long du cycle de vie du système d'IA. Ce n'est pas un exercice ponctuel, mais une démarche permanente.
4. Enregistrer le système dans la base de données EU
Avant la mise sur le marché, les fournisseurs de systèmes d'IA à haut risque doivent enregistrer leur système dans la base de données publique gérée par la Commission européenne. Cet enregistrement garantit la traçabilité et la transparence pour les autorités de surveillance du marché.
5. Rédiger la déclaration de conformité UE et apposer le marquage CE
Une fois les étapes précédentes accomplies, le fournisseur établit une déclaration de conformité UE (selon l'Annexe V du règlement) et appose le marquage CE sur le système ou sa documentation d'accompagnement. C'est cet acte formel qui autorise la mise sur le marché.
Organisme notifié ou auto-évaluation : quelle voie choisir ?
L'EU AI Act prévoit deux voies d'évaluation de conformité selon la nature du système. Pour la majorité des systèmes d'IA à haut risque listés à l'Annexe III (RH, éducation, crédit, etc.), une auto-évaluation par le fournisseur est possible, à condition de respecter scrupuleusement toutes les exigences du règlement et de disposer d'une documentation irréprochable.
En revanche, pour les systèmes d'IA intégrés dans des produits déjà soumis à une législation sectorielle harmonisée (dispositifs médicaux de classe IIa ou supérieure, par exemple), l'intervention d'un organisme notifié — c'est-à-dire un organisme tiers accrédité par une autorité nationale — est obligatoire. Ces organismes réalisent un audit indépendant et délivrent un certificat de conformité.
Pour une PME, la voie de l'auto-évaluation est souvent plus accessible financièrement, mais elle n'en reste pas moins exigeante sur le plan documentaire et méthodologique. Se faire accompagner par des experts est fortement recommandé pour éviter des erreurs qui pourraient invalider la démarche.
Quels risques en cas de non-conformité ?
Les sanctions prévues par l'EU AI Act sont significatives et doivent être prises au sérieux. La mise sur le marché d'un système d'IA à haut risque sans marquage CE valide, ou avec une documentation incomplète, peut exposer votre entreprise à des amendes administratives pouvant atteindre 15 millions d'euros ou 3 % du chiffre d'affaires mondial annuel (le montant le plus élevé étant retenu). Au-delà des sanctions financières, les autorités nationales de surveillance du marché peuvent ordonner le retrait du produit, ce qui représente un risque opérationnel et réputationnel majeur pour une PME.
Il est également important de noter que la responsabilité ne pèse pas uniquement sur le développeur du système : les déployeurs (les entreprises qui utilisent un système d'IA à haut risque dans leur activité) ont eux aussi des obligations spécifiques, notamment en matière de supervision humaine et de signalement des incidents.
Conclusion : anticipez dès maintenant pour être prêt avant août 2026
Le marquage CE pour les systèmes d'IA à haut risque n'est pas une contrainte administrative de plus : c'est un gage de confiance vis-à-vis de vos clients, partenaires et autorités de régulation. Mais le chemin pour l'obtenir demande de la méthode, du temps et une expertise juridique et technique que toutes les PME ne possèdent pas en interne.
La bonne nouvelle ? Il est encore temps d'agir sereinement si vous commencez dès aujourd'hui. Avec l'échéance du 2 août 2026, chaque mois compte pour constituer votre documentation, réaliser votre évaluation de conformité et, si nécessaire, engager un organisme notifié.
Faites le premier pas dès maintenant : réalisez votre diagnostic de conformité gratuit sur audityo.eu. En quelques minutes, identifiez si vos systèmes d'IA sont concernés par l'obligation de marquage CE et obtenez une feuille de route personnalisée pour votre mise en conformité.