Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Vendredi 17 avril 2026
Accueil/AI Act/Conformité IA : checklist des obligations
AI Act

Conformité IA : checklist des obligations

Checklist complète des obligations de conformité IA pour les entreprises : AI Act, RGPD, gouvernance et documentation technique.

Par Thiébaut DevergrannePublie le 27 janvier 2026Mis a jour le 27 janvier 202610 min de lecture
Sommaire
  1. Étape 1 : Cartographier les systèmes d’IA de l’organisation
  2. Étape 2 : Mettre en place le cadre de gouvernance
  3. Étape 3 : Satisfaire les obligations pour les systèmes à haut risque
  4. Étape 4 : Assurer la conformité RGPD des systèmes d’IA
  5. Étape 5 : Preparer l’évaluation de conformité et le marquage CE
  6. Étape 6 : Mettre en place un dispositif de surveillance post-marché
  7. Checklist synthétique de conformité IA
  8. FAQ

L’entrée en application progressive du règlement européen sur l’intelligence artificielle (AI Act – règlement (UE) 2024/1689) impose aux entreprises qui developpent, deploient ou utilisent des systèmes d’IA de mettre en place un dispositif de conformité structuré. La conformité IA ne se limite pas à un exercice documentaire : elle implique une transformation des processus internes, de la gouvernance et des pratiques de développement. Cette checklist synthétise l’ensemble des obligations à anticiper.

La complexité du cadre réglementaire tient à l’articulation entre le AI Act, le RGPD, et les réglementations sectorielles applicables. L’objectif de cet article est de fournir une grille de lecture opérationnelle pour les responsables conformité, les DPO et les directions juridiques.

Étape 1 : Cartographier les systèmes d’IA de l’organisation

Identifier tous les systèmes d’IA en usage

La première étape de toute démarche de conformité IA consiste à établir un inventaire exhaustif des systèmes d’intelligence artificielle utilisés, développés ou distribues par l’organisation. Cette cartographie doit couvrir :

  • Les systèmes développés en interne (modèles de machine learning, algorithmes de décision automatisée, chatbots, systèmes de recommandation) ;
  • Les systèmes acquis auprès de fournisseurs tiers (solutions SaaS intégrant de l’IA, API de modèles de langage, outils d’analyse prédictive) ;
  • Les systèmes d’IA générative utilisés par les collaborateurs (ChatGPT, Copilot, Gemini, Claude, Mistral) ;
  • Les composants d’IA intégrés dans des logiciels plus larges (modules de détection de fraude, filtres anti-spam, systèmes de scoring).

Cet inventaire doit préciser pour chaque système : la finalité d’utilisation, les données traitées, le fournisseur, le niveau de risque au sens de l’AI Act, et les équipes utilisatrices.

Classifier les systèmes selon le niveau de risque

Le AI Act établit une classification des risques en quatre niveaux qui détermine les obligations applicables :

Risque inacceptable (article 5) : systèmes interdits – manipulation subliminale, exploitation de vulnérabilités, scoring social généralisée, identification biométrique à distance en temps réel dans l’espace public (sauf exceptions limitées). Ces systèmes doivent être identifiés et supprimes.

Haut risque (article 6 et annexe III) : systèmes soumis à des obligations renforcées – recrutement, scoring crédit, accès aux services publics, justice, migration, infrastructures critiques. Ces systèmes nécessitent une évaluation de conformité, une documentation technique, un système de gestion des risques, et une supervision humaine.

Risque limite (article 50) : systèmes soumis à des obligations de transparence – chatbots, systèmes de génération de contenu (deepfakes, texte généré par IA). L’obligation principale est d’informer l’utilisateur qu’il interagit avec un système d’IA.

Risque minimal : systèmes non soumis à des obligations spécifiques, mais auxquels les codes de conduite volontaires s’appliquent.

Étape 2 : Mettre en place le cadre de gouvernance

Designer les responsables

La gouvernance de l’IA suppose la désignation de responsables clairement identifiés au sein de l’organisation :

  • Un responsable de la conformité IA, distinct ou non du DPO, charge de piloter le dispositif ;
  • Des referents IA au sein des équipes métiers qui utilisent ou deploient des systèmes d’IA ;
  • Un comité de gouvernance IA réunissant les fonctions juridique, technique, conformité, risques et direction générale.

L’organe de direction doit être informe des risques liés à l’IA et valider les orientations stratégiques en matière de conformité. Le AI Act insisté sur la compétence des personnes impliquées dans la supervision des systèmes à haut risque (article 4).

Adopter une politique IA interne

L’organisation doit formaliser une politique interne d’utilisation de l’intelligence artificielle couvrant :

  • Les usages autorisés et interdits des systèmes d’IA ;
  • Les procédures d’évaluation préalable (analyse de risques, AIPD le cas échéant) ;
  • Les règles de gouvernance des données utilisées pour l’entraînement ou le fonctionnement des systèmes ;
  • Les procédures de signalement des incidents et des dysfonctionnements ;
  • Les obligations de formation et de sensibilisation des collaborateurs.

Étape 3 : Satisfaire les obligations pour les systèmes à haut risque

Système de gestion des risques (article 9)

Pour chaque système d’IA à haut risque, un système de gestion des risques continu doit être mis en place. Ce système comprend :

  • L’identification et l’analyse des risques connus et raisonnablement previsibles ;
  • L’estimation et l’évaluation des risques susceptibles de survenir en cas d’utilisation conforme ou raisonnablement prévisible ;
  • L’adoption de mesures de gestion des risques appropriées ;
  • Les tests pour identifier les mesures de gestion des risques les plus appropriées.

Ce système doit être documenté et mis à jour tout au long du cycle de vie du système d’IA.

Gouvernance des données (article 10)

Les jeux de données d’entraînement, de validation et de test doivent répondre à des critères de qualité :

  • Pertinence, representativite, absence d’erreurs et exhaustivité ;
  • Proprietes statistiques appropriées au regard de la finalité du système ;
  • Prise en compte des caractéristiques spécifiques au contexte géographique, comportemental ou fonctionnel ;
  • Examen des biais potentiels, en particulier ceux susceptibles d’affecter la santé, la sécurité ou les droits fondamentaux.

Cette obligation s’articule avec les exigences du RGPD en matière de protection des données personnelles utilisées dans l’IA, notamment la minimisation, l’exactitude et la limitation de conservation.

Documentation technique (article 11)

Chaque système d’IA à haut risque doit faire l’objet d’une documentation technique établie avant la mise sur le marché et tenue à jour. Cette documentation comprend :

  • La description générale du système (finalité, fonctionnalités, limités) ;
  • L’architecture du système et les algorithmes utilisés ;
  • Les données d’entraînement et les processus de préparation des données ;
  • Les mesures de performance et les métriques d’évaluation ;
  • Les mesures de gestion des risques ;
  • Les instructions d’utilisation pour les déploiements.

Enregistrement automatique des évènements (article 12)

Les systèmes à haut risque doivent intégrer des capacités de journalisation permettant la traçabilité des opérations. Les journaux doivent enregistrer les évènements pertinents pendant toute la durée d’utilisation du système, avec un niveau de détail suffisant pour permettre une évaluation à posteriori.

Transparence et information (article 13)

Les déploiements doivent être conçus de manière a être suffisamment transparents pour permettre aux utilisateurs d’interpréter les résultats et de les utiliser de manière appropriée. Les instructions d’utilisation doivent mentionner clairement les capacités et les limites du système.

Supervision humaine (article 14)

Les systèmes à haut risque doivent être conçus pour être supervises efficacement par des personnes physiques. Les mesures de supervision humaine doivent permettre de comprendre les capacités et limites du système, de détecter les anomalies, d’interrompre le système si nécessaire, et d’ignorer ou inverser ses décisions.

Étape 4 : Assurer la conformité RGPD des systèmes d’IA

Réaliser une AIPD

L’utilisation de systèmes d’IA traitant des données personnelles est fréquemment susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées. Dans ce cas, une analyse d’impact relative à la protection des données (AIPD) est obligatoire au titre de l’article 35 du RGPD.

L’AIPD doit être réalisée avant la mise en oeuvre du traitement et couvrir la description du traitement, l’évaluation de la nécessité et de la proportionnalité, l’évaluation des risques pour les personnes concernées, et les mesures envisagées pour y remédier.

Définir la base légale

Le traitement de données personnelles par un système d’IA doit reposer sur une base légale validé au sens de l’article 6 du RGPD. La détermination de la base légale (consentement, intérêt légitime, exécution contractuelle, obligation légale) doit être documentée pour chaque traitement spécifique.

Pour les systèmes d’IA générative, la question de la base légale pour l’entraînement des modèles fait l’objet d’orientations spécifiques de la CNIL et du CEPD.

Garantir l’exercice des droits

Les droits des personnes (accès, rectification, effacement, opposition, portabilité) doivent pouvoir être exercés effectivement, y compris lorsque les données sont traitées par un système d’IA. Cette exigence pose des défis particuliers pour les modèles entraînés sur des données personnelles, ou la suppression d’une donnée du modèle peut s’avérer techniquement complexe.

Étape 5 : Preparer l’évaluation de conformité et le marquage CE

Pour les systèmes d’IA à haut risque, le AI Act impose une évaluation de conformité avant la mise sur le marché. Selon la catégorie du système, cette évaluation peut être réalisée en interne ou par un organisme notifie. L’ensemble de la documentation technique, des résultats de tests et des mesures de gestion des risques doit être rassemble dans un dossier de conformité.

Après l’évaluation de conformité, le système doit être enregistré dans la base de données de l’UE prévue à l’article 71 du AI Act. Le fournisseur appose le marquage CE attestant de la conformité du système aux exigences du règlement. Consultez le calendrier d’application du AI Act pour anticiper les échéances.

Étape 6 : Mettre en place un dispositif de surveillance post-marché

Le fournisseur doit établir un système de surveillance post-commercialisation proportionnée à la nature du système d’IA. Ce système doit permettre de collecter et analyser les données relatives à la performance du système, de détecter les incidents et dysfonctionnements, et d’adopter les mesures correctives nécessaires.

Les incidents graves doivent être notifies aux autorités compétentes dans les délais prescrits. Cette obligation rejoint celle prévue par le RGPD en matière de notification des violations de données, créant un double régime de notification pour les systèmes d’IA traitant des données personnelles.

Checklist synthétique de conformité IA

Action Reglementation Priorite
Inventaire des systèmes d’IA AI Act Immediate
Classification par niveau de risque AI Act art. 6 Immediate
Designation d’un responsable conformité IA AI Act art. 4 Haute
Politique interne d’utilisation de l’IA AI Act / RGPD Haute
Système de gestion des risques par système HR AI Act art. 9 Haute
Documentation technique AI Act art. 11 Haute
AIPD pour les systèmes traitant des DP RGPD art. 35 Haute
Base légale pour chaque traitement RGPD art. 6 Haute
Mécanismes de supervision humaine AI Act art. 14 Haute
Journalisation des évènements AI Act art. 12 Moyenne
Formation des équipes AI Act art. 4 Moyenne
Évaluation de conformité / marquage CE AI Act art. 43 Selon calendrier
Surveillance post-marché AI Act art. 72 Continue

FAQ

Quels sont les premiers systèmes d’IA concernés par les obligations de conformité ?

Les systèmes d’IA à risque inacceptable (article 5 du AI Act) sont interdits depuis le 2 février 2025. Les obligations relatives aux systèmes d’IA a usage général (GPAI) s’appliquent depuis août 2025. Les obligations complètes pour les systèmes à haut risque entrent en application en août 2026. Les entreprises doivent donc prioriser l’identification et la suppression des systèmes interdits, puis la conformité des systèmes a usage général, avant de traiter les systèmes à haut risque.

La conformité IA remplacé-t-elle la conformité RGPD ?

Non. Le AI Act et le RGPD sont deux réglementations complémentaires qui s’appliquent cumulativement. Le AI Act régit la mise sur le marché et l’utilisation des systèmes d’IA (sécurité, transparence, gestion des risques), tandis que le RGPD régit le traitement des données personnelles effectué par ces systèmes. Une entreprise qui déploie un système d’IA traitant des données personnelles doit satisfaire aux exigences des deux textes simultanément.

Faut-il un DPO spécifique pour la conformité IA ?

Le AI Act n’impose pas la désignation d’un DPO spécifique. Cependant, l’article 4 impose que les personnes chargées de la mise en oeuvre du règlement disposent d’un niveau de compétence suffisant, notamment en matière d’IA. Dans la pratique, de nombreuses organisations choisissent de désigner un responsable conformité IA distinct du DPO, ou de renforcer les compétences de l’équipe DPO existante sur les sujets d’intelligence artificielle.

Articles lies

AI Act

IA en banque et assurance : conformité AI Act

13 avril 2026 · 10 min
AI Act

IA et vidéosurveillance : cadre RGPD et AI Act

12 avril 2026 · 10 min
AI Act

Deepfakes : cadre juridique en France

11 avril 2026 · 11 min