AI Act 2026 : Checklist de Conformité en 15 Points

🎯 Objectif de cet article : Vous fournir une roadmap claire de mise en conformité AI Act 2026, avec des actions concrètes et des exemples pratiques. Temps de lecture : 20 minutes. Temps de mise en œuvre : 2 à 8 semaines selon votre maturité IA.

Action : Cartographiez tous les systèmes IA utilisés dans votre organisation.

Incluez :

• Outils SaaS avec IA intégrée (CRM, ERP, outils RH, logiciels de recrutement)
• LLM utilisés directement (ChatGPT, Claude, Copilot, Gemini)
• Systèmes développés en interne (chatbots, moteurs de recommandation, modèles ML)
• API IA intégrées à vos produits (reconnaissance d'image, traduction, transcription)

Exemple concret : Une PME e-commerce utilise : ChatGPT (rédaction de fiches produits), HubSpot avec IA (scoring de leads), un chatbot développé en interne (support client), et Google Translate API (traduction du site). Total : 4 systèmes IA à documenter.

Action : Confirmez que vous n'utilisez aucun système interdit par l'AI Act.

Systèmes interdits (Article 5) :

• Manipulation subliminale causant un préjudice (dark patterns IA)
• Exploitation de vulnérabilités liées à l'âge, handicap ou situation sociale
• Scoring social par les autorités publiques
• Reconnaissance faciale biométrique en temps réel dans les espaces publics (sauf exceptions strictes)
• Évaluation du risque de commission d'infractions basée uniquement sur le profiling

Exemple : Un système qui analyse les émotions des enfants pour leur recommander du contenu addictif = INTERDIT. Si c'est votre cas, cessez immédiatement l'usage et consultez un avocat spécialisé.

Action : Déterminez si vos systèmes tombent dans la catégorie « haut risque » (Annexe III de l'AI Act).

Domaines à haut risque :

• Ressources humaines : IA utilisée pour le recrutement, l'évaluation des performances, la promotion, le licenciement.
• Accès aux services essentiels : notation de crédit, évaluation de solvabilité, tarification d'assurance basée sur des données comportementales.
• Éducation : évaluation automatisée d'examens, orientation scolaire, détection de tricherie.
• Application de la loi : évaluation du risque de récidive, analyse prédictive du crime.
• Infrastructures critiques : gestion de l'eau, électricité, transport.
• Migration et frontières : vérification d'identité, détection de faux documents.

Exemple : Votre outil IA trie automatiquement les CV et rejette 80% des candidats sans intervention humaine = système à haut risque. Obligations : documentation technique complète, tests rigoureux, marquage CE, supervision humaine, registre européen.

Action : Distinguez risque limité (obligations de transparence uniquement) et risque minimal (quasi aucune obligation).

Risque limité :

• Chatbots conversationnels (doivent s'identifier comme IA)
• Systèmes de reconnaissance d'émotions
• Contenu généré ou manipulé par IA (deepfakes, images synthétiques)

Risque minimal :

• Filtres anti-spam
• Recommandations de produits sans impact significatif
• Usage professionnel de ChatGPT/Claude pour des tâches générales (rédaction, résumés)

Exemple : Votre chatbot de support client = risque limité. Il doit afficher clairement « Je suis un assistant IA » dès le début de la conversation (obligation de transparence, Article 52).

Action : Pour chaque système à haut risque, créez une documentation technique complète (Article 11).

Contenu obligatoire :

• Description générale du système (objectif, fonctionnement, limitations)
• Données d'entraînement : sources, méthodes de collecte, biais potentiels
• Architecture du modèle et méthodes de développement
• Métriques de performance et résultats des tests
• Mesures de gestion des risques (sécurité, robustesse, exactitude)
• Procédures de supervision humaine
• Logs des modifications et versions du système

Exemple concret : Votre IA de recrutement doit documenter : le dataset utilisé (combien de CV, de quelles sources), les métriques de biais testées (équilibre homme/femme, diversité), la performance du modèle (précision, recall), et les tests effectués pour détecter une discrimination involontaire. Format recommandé : PDF ou Markdown stocké dans un repository versionné (GitLab, GitHub).

Action : Si vous êtes fournisseur d'un système à haut risque, enregistrez-le dans la base de données européenne de l'UE.

Quand s'enregistrer :

• Avant la mise sur le marché du système
• Pour chaque mise à jour substantielle du système

Informations à fournir : nom et coordonnées du fournisseur, description du système, niveau de risque, marquage CE, organisme notifié ayant réalisé l'évaluation de conformité.

Note importante : La base de données européenne sera gérée par la Commission européenne. L'accès au portail d'enregistrement est prévu pour mi-2026. Si vous êtes uniquement déployeur (vous utilisez un système tiers comme ChatGPT), cette obligation ne vous concerne pas.

Action : Même si vos systèmes sont à risque minimal, documentez vos usages IA en interne (obligation de l'Article 4).

Contenu recommandé :

• Liste de tous les systèmes IA utilisés (nom, fournisseur, cas d'usage)
• Classification par niveau de risque
• Services/départements utilisateurs
• Formation reçue par les utilisateurs
• Date de mise en service et date du dernier audit

Template simple (Google Sheets ou Notion) :

Pourquoi c'est important : En cas d'audit CNIL ou inspection AI Act, ce registre prouve que vous avez une gouvernance IA. Son absence peut entraîner une amende jusqu'à 3% du CA mondial (Article 71).

Action : Si vos utilisateurs interagissent avec un chatbot ou assistant IA, celui-ci doit s'identifier clairement comme IA.

Obligation légale (Article 52.1) :

• Informer l'utilisateur qu'il communique avec une IA
• Cette information doit être claire, visible, et affichée dès le début de l'interaction
• Exception : si c'est évident par le contexte (robot humanoïde visible, etc.)

Implémentation recommandée :

// Exemple de message de disclaimer chatbot (texte à afficher)
"👋 Bonjour ! Je suis un assistant IA. Je peux vous aider avec vos questions,
mais mes réponses peuvent contenir des erreurs. Pour toute décision importante,
veuillez consulter un membre de notre équipe humaine."

Mauvais exemple : Chatbot qui se présente avec un prénom humain (« Bonjour, je suis Sophie, comment puis-je vous aider ? ») sans mentionner qu'il s'agit d'une IA = violation de l'Article 52. Amende possible : jusqu'à 15M€ ou 3% du CA mondial.

Action : Si vous publiez du contenu généré ou manipulé par IA (images, vidéos, audio, texte), vous devez le signaler clairement.

Obligation (Article 52.3) :

• Images/vidéos synthétiques : watermark ou légende visible (« Image générée par IA »)
• Audio généré (deepfake vocal) : disclaimer au début ou métadonnées
• Texte : mention claire si c'est un contenu majoritairement généré par IA

Exemple concret : Vous utilisez Midjourney pour créer des illustrations de blog. Ajoutez une légende sous chaque image : « Illustration générée par IA (Midjourney) ». Si vous publiez une vidéo deepfake (même humoristique), affichez un avertissement clair au début.

Cas particulier — contenu marketing : Si votre IA génère des emails marketing, vous n'êtes pas obligé d'indiquer « Cet email a été rédigé par IA » SAUF si l'email prétend être écrit par une personne spécifique (signature humaine). Dans ce cas, la transparence est obligatoire.

Action : Si vous créez ou diffusez des deepfakes (vidéos ou audios manipulés), étiquetez-les explicitement.

Définition deepfake (AI Act) : Contenu audio ou vidéo qui a été généré ou manipulé par IA de manière à ressembler de façon trompeuse à des personnes, objets ou événements réels.

Obligations spécifiques :

• Afficher un avertissement clair et visible (overlay vidéo, disclaimer audio)
• Inclure des métadonnées techniques permettant la détection automatisée (C2PA, Content Credentials)
• Conserver les preuves de l'étiquetage (logs, versions archivées)

Exemple : Vous créez une vidéo publicitaire avec un CEO parlant en 5 langues (voix clonée par ElevenLabs). Ajoutez un overlay discret : « Voix générée par IA ». Si vous ne le faites pas = violation Article 52 + risque RGPD si la voix est reconnaissable.

Action : Pour chaque système à haut risque, définissez clairement qui supervise le système et comment.

Les 3 piliers de la supervision humaine (Article 14) :

• Compréhension : L'humain doit comprendre les capacités et limites du système.
• Intervention : L'humain peut intervenir pendant l'utilisation du système (corriger, ajuster, arrêter).
• Override : L'humain peut ignorer ou renverser une décision du système.

Exemple concret (IA de recrutement) :

• Compréhension : Le recruteur a suivi une formation de 4 heures sur le fonctionnement du système, ses biais potentiels, et ses limites.
• Intervention : Le recruteur peut manuellement ajouter un candidat rejeté par l'IA à la shortlist s'il détecte une erreur.
• Override : Toute décision finale (invitation à un entretien, rejet définitif) est validée manuellement par un humain. L'IA propose, l'humain dispose.

Contre-exemple (non conforme) : Système qui rejette automatiquement 90% des CV sans possibilité pour le recruteur de voir les candidats rejetés ni de comprendre pourquoi = violation Article 14. En cas de plainte d'un candidat, amende possible + responsabilité juridique.

Action : Les personnes qui supervisent les systèmes à haut risque doivent recevoir une formation spécifique (Article 4).

Contenu de formation recommandé :

• Fonctionnement technique du système (sans être data scientist)
• Biais potentiels et limitations connues
• Procédures d'intervention et d'escalade
• Obligations légales (AI Act, RGPD, non-discrimination)
• Études de cas : erreurs fréquentes et comment les détecter

Durée recommandée : 1 à 2 jours de formation pour les superviseurs de systèmes à haut risque. Notre formation Gouvernance IA et RGPD couvre ces aspects et est finançable OPCO.

Action : Avant la mise sur le marché d'un système à haut risque, faites-le évaluer par un organisme notifié (Article 43).

Qui doit le faire : Uniquement les fournisseurs de systèmes à haut risque. Si vous êtes déployeur (vous utilisez un système tiers), vérifiez que le fournisseur a bien obtenu le marquage CE.

Processus d'évaluation :

1. Documentation technique complète (voir Point 5)
2. Tests de performance, sécurité, robustesse
3. Audit par organisme notifié indépendant
4. Obtention du certificat de conformité
5. Apposition du marquage CE sur le système

Coût estimé : Entre 15 000€ et 50 000€ selon la complexité du système. Délai : 3 à 6 mois. Liste des organismes notifiés disponible sur le site de la Commission européenne (NANDO database).

Action : Mettez en place un système de monitoring post-marché pour détecter les dérives (Article 72).

Métriques à surveiller (systèmes à haut risque) :

• Performance : Précision du modèle, taux d'erreur, latence
• Biais : Distribution des décisions par genre, âge, origine (si applicable)
• Feedback utilisateurs : Plaintes, contestations de décisions
• Incidents : Bugs, pannes, comportements inattendus

Obligation de notification : Si vous détectez un incident grave (biais discriminatoire, faille de sécurité, erreur systémique), vous devez le notifier aux autorités nationales compétentes dans les 15 jours (Article 73).

Exemple : Votre IA de crédit refuse systématiquement les demandes de prêt de personnes d'un certain code postal (biais géographique proxy d'origine ethnique). Vous détectez cela dans vos logs. Vous devez : (1) suspendre le système immédiatement, (2) notifier la CNIL et l'autorité AI Act sous 15 jours, (3) corriger le biais, (4) re-tester avant remise en service.

Action : Comprenez les risques financiers et préparez vos preuves de conformité.

Grille des sanctions (Article 71, Article 99) :

Autorité de supervision en France : La CNIL a été désignée autorité nationale de surveillance de l'AI Act pour de nombreux cas. Elle peut réaliser des inspections sur place, demander des documents, et infliger des amendes. Les inspections AI Act ont commencé en mars 2026.

Comment préparer votre défense :

• Conservez toutes les preuves de conformité (attestations de formation, registre IA, charte IA, logs de supervision)
• Documentez toutes les décisions et mises à jour des systèmes (GitLab, Notion, SharePoint)
• Désignez un référent AI Act dans votre organisation (souvent le DPO ou le CTO)
• Souscrivez une assurance responsabilité civile professionnelle couvrant les risques IA (nouvelle offre 2026 chez AXA, Hiscox, etc.)

🌳 ARBRE DE DÉCISION AI ACT

❓ Votre système manipule-t-il subliminalement les utilisateurs ou exploite-t-il des vulnérabilités ?

├─ OUI → INTERDIT (cessez immédiatement)

└─ NON → Continuez ⬇️

❓ Votre système est-il utilisé pour : recrutement, crédit, éducation, justice, infrastructures critiques ?

├─ OUI → HAUT RISQUE (documentation complète, évaluation CE, supervision humaine)

└─ NON → Continuez ⬇️

❓ Votre système interagit directement avec des utilisateurs (chatbot, reconnaissance émotions, deepfakes) ?

├─ OUI → RISQUE LIMITÉ (obligations de transparence, disclaimer IA)

└─ NON → RISQUE MINIMAL (formation utilisateurs, registre interne recommandé)

📅 Semaines 1-2 : Audit initial

• Cartographier tous les systèmes IA (Point 1)
• Classifier chaque système par niveau de risque (Points 2-4)
• Identifier les gaps de conformité évidents

📅 Semaines 3-4 : Documentation et gouvernance

• Créer le registre interne des usages IA (Point 7)
• Rédiger la charte IA de l'entreprise
• Pour les systèmes à haut risque : démarrer la documentation technique (Point 5)

📅 Semaines 5-6 : Transparence et formation

• Implémenter les disclaimers chatbot (Point 8)
• Ajouter les watermarks sur contenus IA (Point 9)
• Former tous les utilisateurs IA (session de 2-4 heures)
• Former les superviseurs de systèmes à haut risque (1-2 jours)

📅 Semaines 7-8 : Monitoring et validation finale

• Mettre en place le monitoring post-déploiement (Point 14)
• Audit interne de conformité (checklist complète)
• Si système à haut risque : engager organisme notifié pour évaluation CE (Point 13)
• Documentation finale et archivage (conserver 5 ans minimum)

Mon chatbot de support client est-il un système à haut risque selon l'AI Act ?

Cela dépend de son usage. Si votre chatbot répond uniquement à des questions de support (FAQ, suivi de commandes), c'est un système à risque limité ou minimal. Mais si ce chatbot prend des décisions qui affectent significativement les droits des utilisateurs (refus automatique de remboursement, blocage de compte sans recours), il peut être classé à haut risque. Le critère clé : y a-t-il une supervision humaine avant toute décision impactante ?

Quelle est la différence entre fournisseur et déployeur dans l'AI Act ?

Un fournisseur développe ou commercialise un système IA (exemple : OpenAI qui fournit ChatGPT). Un déployeur utilise un système IA développé par un tiers dans le cadre de son activité professionnelle (exemple : votre entreprise qui utilise ChatGPT pour rédiger des emails). La plupart des obligations de l'AI Act s'appliquent aux deux rôles, mais les fournisseurs ont des responsabilités additionnelles (conformité CE, registre européen).

L'AI Act s'applique-t-il aux entreprises hors UE ?

Oui, si le système IA est utilisé dans l'UE ou produit des effets sur des personnes situées dans l'UE. Exemple : une startup américaine qui propose un outil IA de recrutement à des entreprises françaises doit se conformer à l'AI Act. C'est le même principe d'extraterritorialité que le RGPD.

Combien coûte la mise en conformité AI Act pour une PME ?

Pour un système à risque minimal (usage classique de ChatGPT, Claude, etc.) : entre 2000€ et 5000€ (formation du personnel, rédaction de la charte IA, documentation des usages). Pour un système à haut risque : entre 15 000€ et 50 000€ (audit technique, documentation technique complète, évaluation de conformité par organisme notifié, tests de sécurité). Les formations Talki Academy sont finançables OPCO, ce qui réduit le reste à charge à zéro dans de nombreux cas.

📚 Ressources complémentaires :

• Texte complet de l'AI Act : eur-lex.europa.eu
• Lignes directrices AI Office européen : digital-strategy.ec.europa.eu
• FAQ CNIL sur l'AI Act : cnil.fr
• AI Act 2026 : Votre Entreprise Est-Elle en Conformité ?