Talki Academy
Commencer gratuitement
Guide12 min de lecture

Feuille de route pour la conformité à l’AI Act de l’UE

Découvrez comment élaborer une feuille de route détaillée pour respecter l’AI Act de l’Union européenne, avec classification des risques, exigences de d...

Par Talki Academy·Mis a jour le 22 septembre 2025

L'AI Act européen n'est pas une préoccupation future — les obligations pour les systèmes à haut risque sont applicables dès août 2026, et les pratiques IA interdites sont bannies depuis février 2025. Ce guide vous propose une feuille de route concrète sur 12 mois pour atteindre la conformité, avec des checklists opérationnelles, des modèles de documentation et des études de cas réels.

Lire la version anglaise : AI Act Compliance Roadmap: Organizing Your EU Regulation Strategy.

Le calendrier de l'AI Act : ce qui s'applique quand

L'AI Act a un calendrier d'application progressif. La plupart des organisations sous-estiment ce qui est déjà en vigueur.

  • 1er août 2024 :entrée en vigueur de l'AI Act.
  • 2 février 2025 : interdictions sur les systèmes IA à risque inacceptable pleinement applicables. Si vous exploitez un système dans cette catégorie, vous êtes déjà en infraction.
  • 2 août 2025 : règles pour les modèles IA à usage général (GPAI). Obligations pour les fournisseurs de modèles fondateurs au-dessus de 10^25 FLOPs.
  • 2 août 2026 : toutes les obligations pour les systèmes à haut risque deviennent opposables — documentation technique, évaluation de conformité, enregistrement dans la base de données UE, surveillance humaine, journalisation et surveillance post-commercialisation.
  • 2 août 2027 : les systèmes IA à haut risque déjà sur le marché avant août 2026 doivent atteindre la conformité (période de transition pour les systèmes existants).

Si votre organisation déploie des systèmes IA dans les catégories à haut risque — RH, crédit, éducation, santé, infrastructures critiques ou forces de l'ordre — vous avez jusqu'en août 2026 pour atteindre la pleine conformité.

Étape 1 : Construire l'inventaire de vos systèmes IA

La conformité commence par la visibilité. La plupart des organisations qui n'ont jamais réalisé d'audit IA systématique découvrent qu'elles déploient 2 à 3 fois plus de systèmes IA que leur direction ne le supposait. L'inventaire est le socle de tout ce qui suit.

Que faire figurer dans l'inventaire IA

Adopter une approche large. L'AI Act couvre les systèmes qui utilisent l'apprentissage automatique, les approches logiques et les méthodes statistiques pour générer des sorties qui influencent des décisions. Cela inclut :

  • IA développée en interne : modèles construits, affinés ou déployés par votre équipe data (scikit-learn, PyTorch, LangChain)
  • SaaS tiers avec IA embarquée : Salesforce Einstein, scoring HubSpot, fonctionnalités ML de Workday, modules IA de SAP
  • Services IA connectés par API :Claude API, OpenAI API, Azure OpenAI — votre organisation est déployeur pour les cas d'usage que vous construisez dessus
  • Fonctionnalités IA dans les outils métier : Microsoft Copilot (M365), Google Workspace AI, GitHub Copilot
  • Workflows d'automatisation avec décisions IA : workflows n8n ou Make incluant des nœuds IA prenant des décisions de classification

Modèle d'inventaire IA

Utilisez cette structure JSON pour standardiser votre inventaire. Importez-la dans Notion, Airtable ou tout tableur :

{
  "registre_systemes_ia": [
    {
      "id": "SYS-001",
      "nom": "Outil de présélection des candidatures",
      "fournisseur": "TalentScout SaaS",
      "direction": "RH",
      "fonctionnalite_ia": "Classement des CV et scoring candidats",
      "donnees_entree": ["Texte CV", "Profils LinkedIn", "Réponses assessment"],
      "sortie_decision": "Shortlist classée (automatisée)",
      "population_concernee": "Candidats externes",
      "niveau_risque_initial": "HAUT — décisions d'emploi (Annexe III)",
      "responsable_conformite": "DRH",
      "derniere_revue": "2026-05-01"
    },
    {
      "id": "SYS-002",
      "nom": "Chatbot support client",
      "fournisseur": "Interne (Claude API)",
      "direction": "Service client",
      "fonctionnalite_ia": "Génération automatique de réponses",
      "donnees_entree": ["Messages clients", "Base de connaissance"],
      "sortie_decision": "Réponses texte (escalade humaine possible)",
      "population_concernee": "Clients",
      "niveau_risque_initial": "LIMITÉ — obligation de transparence uniquement",
      "responsable_conformite": "Directeur Service Client",
      "derniere_revue": "2026-05-01"
    }
  ]
}

Étape 2 : Classifier chaque système par niveau de risque

L'AI Act utilise une pyramide à quatre niveaux. Vos obligations de conformité — et le coût du non-respect — sont proportionnels au niveau. Classifiez par cas d'usage, pas par technologie. Le même modèle peut être à risque minimal dans un contexte et à haut risque dans un autre.

Risque inacceptable (interdit depuis février 2025)

Ces pratiques sont interdites. Les sanctions atteignent 35 millions d'euros ou 7% du chiffre d'affaires mondial. Vérifiez qu'aucune des pratiques suivantes ne figure dans vos contrats fournisseurs ou déploiements internes :

  • Systèmes de notation sociale évaluant les citoyens sur plusieurs domaines pour déterminer l'accès aux services
  • Manipulation subliminale du comportement humain sous le seuil de conscience pour causer un préjudice
  • Exploitation des vulnérabilités (âge, handicap) pour distordre le comportement contre les intérêts d'une personne
  • Identification biométrique à distance en temps réel dans des espaces publics par les forces de l'ordre (sauf exceptions limitées)
  • Catégorisation biométrique inférant des attributs sensibles (race, religion, opinion politique, orientation sexuelle)

Haut risque (conformité complète requise avant août 2026)

L'Annexe III liste les domaines où les systèmes IA déclenchent automatiquement une classification à haut risque :

  • RH et emploi : présélection des candidatures, classement des candidats, évaluation des collaborateurs, décisions de promotion ou de licenciement
  • Éducation : évaluation des admissions, notation des examens, évaluation de la progression pédagogique
  • Crédit et assurance : évaluation de la solvabilité, souscription, scoring de fraude appliqué aux individus
  • Santé : dispositif médical IA (sous MDR/IVDR), aide à la décision clinique influençant le traitement
  • Infrastructures critiques :IA gérant les réseaux électriques, l'alimentation en eau, les réseaux de transport
  • Forces de l'ordre et justice : police prédictive, analyse de preuves, recommandations de condamnation
  • Migration et contrôle aux frontières :instruction des demandes de visa, traitement des demandes d'asile, profilage de risque aux frontières

Risque limité (obligations de transparence uniquement)

Les chatbots doivent informer les utilisateurs qu'ils interagissent avec une IA. Les deepfakes et images générées par IA doivent être étiquetés. Les systèmes de reconnaissance des émotions doivent être divulgués. Aucune documentation technique ni évaluation de conformité n'est requise — mais l'absence de divulgation peut toujours entraîner des sanctions.

Risque minimal (aucune obligation spécifique)

Les filtres anti-spam, les moteurs de recommandation de contenu, les prévisions d'inventaire, la correction grammaticale et la plupart des IA de productivité interne entrent dans cette catégorie. Aucune étape de conformité obligatoire — même si les bonnes pratiques de gouvernance restent pertinentes.

Point de vigilance sur la classification

Un outil RH en SaaS qui classe automatiquement les candidats fait de votre organisation un déployeur d'un système IA à haut risque— même si votre entreprise ne l'a pas développé. Les déployeurs partagent les obligations de conformité avec les fournisseurs. Vous ne pouvez pas déléguer la conformité en vous abritant derrière un contrat fournisseur.

Étape 3 : Cartographier les obligations RGPD et AI Act ensemble

L'AI Act et le RGPD sont des cadres complémentaires qui s'appliquent simultanément. Pour chaque système IA qui traite des données personnelles — ce qui est le cas de la quasi-totalité — vous devez satisfaire les deux. Traiter ces deux cadres comme des chantiers de conformité séparés est inefficace et génère des angles morts.

Points de convergence

  • AIPD (RGPD Art. 35) et gestion des risques (AI Act Art. 9) : Réalisez une évaluation combinée satisfaisant les deux. L'AIPD couvre les risques liés à la protection des données ; le dossier de risque AI Act couvre les risques pour la sécurité et les droits fondamentaux. De nombreuses organisations utilisent un seul document intégré.
  • Droit à l'explication (RGPD Art. 22) et transparence (AI Act Art. 13) : Les deux exigent que les personnes concernées puissent comprendre et contester les décisions automatisées. Concevez votre couche d'explicabilité une seule fois, documentez-la pour les deux régulateurs.
  • Journalisation (AI Act Art. 12) et conservation des données (RGPD) : L'AI Act exige des journaux inaltérables des événements d'inférence. Le RGPD limite la durée de conservation des données personnelles. Définissez une fenêtre de rétention qui satisfait les deux — typiquement des journaux pseudonymisés conservés 3 à 5 ans.

Pour une checklist RGPD+IA détaillée, consultez notre guide : RGPD et IA : Checklist Complète de Conformité pour 2026.

La feuille de route sur 12 mois

Pour une organisation disposant de 5 à 15 systèmes IA, cette feuille de route progressive permet d'atteindre la pleine conformité haut risque avant l'échéance d'août 2026.

Phase 1 : Mois 1-2 — Inventaire et classification

  • Compléter l'inventaire des systèmes IA dans toutes les directions métier (inclure le shadow IT : interroger les directeurs de département, pas seulement la DSI)
  • Attribuer un niveau de risque (inacceptable / haut / limité / minimal) à chaque système en utilisant l'Annexe III comme référence
  • Identifier les pratiques interdites — scanner les contrats fournisseurs et les fiches techniques
  • Désigner un responsable conformité par système à haut risque et un Responsable Conformité IA central (peut être le DPO si la charge IA est gérable)
  • Cartographier la convergence RGPD : quels systèmes IA à haut risque traitent des données personnelles ? (Réponse : presque tous)

Livrable : Un registre des systèmes IA validé avec niveaux de risque et responsables désignés.

Phase 2 : Mois 3-5 — Documentation et analyse des écarts

  • Produire la documentation technique pour chaque système à haut risque (AI Act Art. 11 + Annexe IV) : description du système, architecture du modèle, sources des données d'entraînement, métriques de performance, plan de surveillance post-commercialisation
  • Réaliser une AIPD RGPD combinée avec l'évaluation des risques AI Act pour chaque système à haut risque
  • Effectuer une analyse des biais sur les données d'entraînement et de validation avec des outils open source (Fairlearn, IBM AIF360)
  • Identifier les écarts : quels systèmes manquent de journalisation, de mécanismes de surveillance humaine ou de divulgations de transparence ?
  • Revoir les contrats fournisseurs : les prestataires fournissent-ils une documentation technique conforme à l'AI Act ? Le demander par écrit.

Livrable :Rapport d'analyse des écarts avec liste de remédiation priorisée.

Phase 3 : Mois 6-8 — Remédiation technique

  • Mettre en place la journalisation automatique pour chaque système à haut risque : événements d'inférence, scores de confiance, événements de substitution humaine, alertes de dérive
  • Déployer des mécanismes de surveillance humaine : interfaces de revue avec sorties d'explicabilité, workflows de validation obligatoire pour les décisions à fort impact
  • Ajouter des divulgations de transparence aux interfaces utilisateur : bannières de déclaration IA, composants d'explication des décisions
  • Mettre en place la surveillance post-commercialisation : détection de dérive (Evidently AI), suivi de la précision, cadence de revue trimestrielle
  • Implémenter des canaux de retour d'information permettant aux personnes concernées de signaler des erreurs IA

Livrable : Systèmes mis à jour avec journalisation, surveillance et transparence en place.

Phase 4 : Mois 9-10 — Formation et évaluation de conformité

  • Former tous les collaborateurs qui utilisent ou supervisent des systèmes IA à haut risque (exigé par AI Act Art. 4 dès août 2026) : capacités, limites, modes de défaillance, procédures d'escalade
  • Réaliser l'évaluation de conformité en auto-certification selon les normes harmonisées CEN-CENELEC (EN ISO/IEC 42001)
  • Préparer la Déclaration de conformité pour chaque système à haut risque
  • Engager un organisme notifié si des systèmes relèvent du MDR/IVDR ou d'une autre législation sectorielle réglementée

Livrable :Attestations de formation, documentation d'évaluation de conformité, Déclarations de conformité.

Phase 5 : Mois 11-12 — Enregistrement et mise en production

  • Enregistrer les systèmes IA à haut risque dans la base de données UE (obligatoire pour les systèmes Annexe III déployés dans le secteur public ou à grande échelle)
  • Établir la procédure de notification des incidents : délais d'escalade interne (24h à l'équipe conformité, 72h rapport préliminaire), canaux de notification des autorités (CNIL, régulateur sectoriel)
  • Réaliser une revue finale de conformité sur tous les systèmes à haut risque
  • Planifier les revues trimestrielles de surveillance post-commercialisation et les audits de conformité annuels

Livrable :Enregistrements dans la base de données UE complétés, procédure d'incident documentée et testée, statut de conformité confirmé pour tous les systèmes à haut risque.

Documentation technique : ce que l'Art. 11 exige

La documentation technique doit être produite avantle déploiement d'un système IA à haut risque et tenue à jour tout au long de son cycle de vie. L'Annexe IV précise le contenu obligatoire. Ce modèle YAML couvre les éléments requis :

# Modèle de documentation technique (AI Act Art. 11 + Annexe IV)
systeme:
  nom: "Système automatisé de présélection des crédits"
  version: "2.3.1"
  objet_prevu: >
    Présélectionner les demandes de crédit retail pour générer un score
    de risque soumis à revue humaine obligatoire avant toute décision
    de crédit.
  categorie_risque: "HAUT — décisions de crédit (Annexe III)"
  date_deploiement: "2026-03-15"
  responsable_conformite: "Directeur des Risques Crédit"

modele:
  type: "Gradient Boosting Classifier"
  framework: "scikit-learn 1.4.2 / Python 3.11"
  variables_entree:
    - "Revenu annuel (EUR) — aucun attribut protégé"
    - "Durée d'emploi (mois)"
    - "Taux d'endettement existant (%)"
    - "Ratio prêt/valeur (%)"
  sortie: "Score de risque 0-100 + indicateur REFUS/REVUE/ACCORD"
  substitution_humaine: "Obligatoire pour tous les résultats REFUS et ACCORD"

donnees_entrainement:
  source: "Historique crédit interne 2018-2024"
  volume: "142 000 dossiers"
  attributs_proteges_exclus: ["genre", "nationalité", "origine ethnique"]
  analyse_biais: "Analyse d'impact disparate trimestrielle via Fairlearn"
  conservation: "5 ans puis anonymisation selon planning RGPD"

performance:
  precision_au_deploiement: "82,4% (jeu de test 2025-T4)"
  precision_minimale_acceptable: "78%"
  taux_faux_positifs: "11,2%"
  taux_faux_negatifs: "8,6%"
  ratio_impact_disparate: "0,84 (seuil ≥ 0,80)"

surveillance_post_commercialisation:
  cadence_revue: "Trimestrielle"
  detection_derive: "Alertes dérive statistique Evidently AI"
  seuil_alerte_precision: "En dessous de 78% déclenche une revue immédiate"
  journal_incidents: "s3://logs-conformite/presélection-crédit/incidents/"
  prochaine_revue: "2026-08-01"

Surveillance humaine : la rendre effective

L'article 14 exige que les systèmes IA à haut risque permettent une surveillance humaine effective. Les régulateurs font une distinction nette entre une surveillance nominale (un bouton de substitution existe) et une surveillance genuine (les humains évaluent réellement les sorties IA de façon indépendante).

Signes d'une surveillance nominale (ne satisfait pas l'Art. 14)

  • Taux de substitution humaine nul ou quasi-nul sur un système prenant des décisions à fort impact
  • Les relecteurs voient seulement la recommandation de l'IA, pas les facteurs sous-jacents
  • Aucune exigence de formation avant qu'une personne puisse agir comme relecteur
  • Le processus de substitution prend moins de 30 secondes — suggérant une validation automatique

Signes d'une surveillance effective (satisfait l'Art. 14)

  • Les relecteurs voient le score de confiance de l'IA, les principaux facteurs décisionnels (via SHAP ou similaire) et toute alerte de qualité des données
  • Validation humaine obligatoire pour les décisions au-dessus d'un seuil d'impact défini, sans possibilité de contournement
  • Les relecteurs humains sont formés sur les modes de défaillance du système IA et les schémas d'erreurs courants
  • Le taux de substitution est surveillé trimestriellement — une chute soudaine déclenche un audit du mécanisme de surveillance
  • Échantillonnage aléatoire des décisions approuvées pour revue qualité (au moins 5% du volume mensuel)

Formation Gouvernance IA

La formation Gouvernance IA pour l'Entreprise de Talki Academy couvre l'intégralité du cadre de conformité AI Act : classification des risques, documentation, conception de la surveillance humaine et gestion des incidents. Éligible au financement OPCO — reste à charge potentiel : 0 EUR.

Études de cas : trois organisations construisant leur programme de conformité

Cas 1 : Banque retail européenne — IA de scoring crédit

Situation :Une banque de taille moyenne avec 2,4 millions de clients retail utilise un modèle automatisé de présélection crédit développé en 2021. Le modèle n'était soumis à aucune exigence AI Act lors de son développement, mais l'Annexe III le classe comme à haut risque.

Constats de l'analyse des écarts :Aucune documentation technique n'existait. La journalisation ne capturait que les décisions finales, pas les variables d'entrée ni les scores de confiance. Les relecteurs humains voyaient seulement "ACCORD" ou "REFUS" — aucune explication des facteurs déterminants. Le taux de substitution était de 0,3%, indiquant que le mécanisme de surveillance était nominal.

Approche de remédiation (9 mois) :La banque a créé rétrospectivement la documentation Annexe IV à partir des fiches modèles et notes de développement internes. Elle a déployé une couche d'explicabilité SHAP qui présente les 3 principaux facteurs décisionnels aux relecteurs. La journalisation des inférences a été ajoutée dans un bucket S3 append-only avec politique WORM. Les relecteurs ont suivi une formation de 4 heures couvrant les modes de défaillance documentés du modèle. Le taux de substitution est passé à 4,2% en deux mois — preuve d'un engagement effectif.

Cas 2 : Scale-up RH Tech — Plateforme de recrutement

Situation :Une entreprise RH tech de 180 personnes propose un SaaS de présélection des candidatures à des clients entreprise. La société est à la fois fournisseur (développe l'IA) et déployeur (l'utilise en interne). Ces deux rôles entraînent des obligations distinctes.

Obligations fournisseur satisfaites :Documentation technique incluant l'architecture du modèle, les sources de données d'entraînement (données anonymisées du marché de l'emploi européen, 2019-2024), des rapports trimestriels d'analyse des biais, et un plan de surveillance post-commercialisation. Déclaration de conformité émise. Auto-évaluation selon la norme harmonisée EN ISO/IEC 42001 réalisée en 3 mois avec revue juridique externe.

Obligations déployeur ajoutées :Pour leur propre utilisation du produit en recrutement, l'entreprise a ajouté une bannière de déclaration IA sur le portail candidats, documenté leur processus de surveillance humaine (tous les refus examinés par un recruteur avant notification), et créé un mode opératoire de notification des incidents. L'AIPD RGPD combinée avec l'évaluation des risques AI Act a été finalisée en 6 semaines.

Cas 3 : Industriel — IA de maintenance prédictive

Situation :Un industriel utilise l'IA pour prévoir les défaillances d'équipements dans 12 usines. L'évaluation initiale suggérait un possible haut risque (infrastructure critique). Un examen plus approfondi de l'Annexe III a montré que le système est hors périmètre infrastructure critique (il gère des équipements internes, pas des réseaux d'infrastructure publics) — le classant en risque minimal.

Enseignement :Une classification correcte génère des économies de conformité significatives. L'entreprise a organisé un atelier de 3 jours avec son conseil juridique avant de démarrer tout travail de documentation. En confirmant le statut risque minimal, elle a évité un programme de conformité estimé à 180 000 EUR tout en maintenant les bonnes pratiques de gouvernance (journalisation, surveillance, gestion des incidents) qui ont du sens opérationnellement indépendamment des obligations réglementaires.

Checklist de conformité : 15 points de contrôle

Utilisez cette checklist pour suivre l'état de conformité de votre organisation. Les 15 points doivent être complétés avant août 2026 pour chaque système IA à haut risque.

Fondations

  • ☐ 1. Inventaire complet des systèmes IA avec responsable, objet, données d'entrée et type de décision pour chaque système
  • ☐ 2. Niveau de risque attribué (inacceptable / haut / limité / minimal) pour chaque système — par cas d'usage, pas par technologie
  • ☐ 3. Scan des pratiques interdites : aucun système IA à risque inacceptable déployé ou contractualisé
  • ☐ 4. Convergence RGPD cartographiée : base légale, AIPD requise, ROPA mis à jour
  • ☐ 5. Responsabilités conformité définies : Responsable Conformité IA, Responsable Système, Responsable Données, Gestionnaire Fournisseurs

Exigences pour les systèmes à haut risque

  • ☐ 6. Documentation technique produite pour chaque système à haut risque (Art. 11 + Annexe IV)
  • ☐ 7. Plan de gouvernance des données : sources documentées, analyse des biais réalisée, traçabilité assurée
  • ☐ 8. Dossier de gestion des risques créé et mis à jour à chaque changement significatif du système (Art. 9)
  • ☐ 9. Journalisation automatique activée : événements d'inférence, substitutions humaines, alertes de dérive (Art. 12)
  • ☐ 10. Évaluation de conformité réalisée ; Déclaration de conformité signée ; enregistrement dans la base de données UE effectué (Art. 43 + 71)

Exigences opérationnelles

  • ☐ 11. Mécanismes de surveillance humaine testés : relecteurs formés, taux de substitution surveillé (Art. 14)
  • ☐ 12. Divulgations de transparence en place : déclaration IA orientée utilisateur, capacité d'explication des décisions (Art. 13 + 50)
  • ☐ 13. Seuils de précision et de robustesse définis, testés et surveillés en production (Art. 15)
  • ☐ 14. Plan de surveillance post-commercialisation actif : revue trimestrielle, journal des incidents, canal de retour d'information (Art. 72)
  • ☐ 15. Procédure de notification des incidents documentée : escalade interne, notification des autorités, plan d'action correctrice (Art. 73)

FAQ : Conformité à l'AI Act

Quand les obligations de l'AI Act entrent-elles pleinement en vigueur ?

L'AI Act est entré en vigueur en août 2024. Les interdictions sur les systèmes IA à risque inacceptable sont applicables depuis février 2025. Les obligations pour les systèmes à haut risque — documentation technique, évaluation de conformité, surveillance humaine, journalisation — s'appliquent à partir d'août 2026. Les organisations qui déploient des systèmes IA dans les catégories à haut risque doivent démarrer leur programme de conformité maintenant pour respecter cette échéance.

L'AI Act s'applique-t-il à mon entreprise si on n'utilise que des outils IA tiers ?

Oui. L'AI Act s'applique aux fournisseurs (qui développent des systèmes IA) et aux déployeurs (qui utilisent des systèmes IA dans leurs opérations). Si vous utilisez un SaaS RH qui classe automatiquement les candidats, un outil de scoring crédit, ou tout système IA listé à l'Annexe III, vous êtes déployeur et partagez des obligations de conformité. Vous ne pouvez pas déléguer entièrement la conformité à votre fournisseur — vous devez vérifier sa documentation et vous assurer que votre cas d'usage est couvert.

Quelle est la différence entre un système IA à haut risque et un modèle IA à usage général ?

Un système IA à haut risque est défini par son cas d'usage : les décisions RH, le scoring crédit, le diagnostic médical, les forces de l'ordre, l'évaluation scolaire et la gestion d'infrastructures critiques sont à haut risque quelle que soit la technologie sous-jacente. Un modèle IA à usage général (GPAI) comme GPT-4 ou Claude est réglementé selon sa capacité de calcul d'entraînement (au-delà de 10^25 FLOPs) et une évaluation du risque systémique. La plupart des organisations déployant de l'IA sont concernées par les règles des systèmes à haut risque, pas par celles des GPAI.

Puis-je auto-certifier la conformité ou dois-je faire appel à un organisme notifié ?

La plupart des organisations peuvent auto-certifier leurs systèmes IA à haut risque en utilisant les normes harmonisées (EN ISO/IEC 42001). L'évaluation par un organisme notifié tiers n'est obligatoire que pour les systèmes IA dans des secteurs réglementés à criticité sécurité — notamment les dispositifs médicaux (MDR/IVDR) et les machines couvertes par le Règlement Machines. Pour les systèmes IA en RH, crédit et éducation, l'évaluation de conformité interne est suffisante.

Quelles sont les sanctions en cas de non-conformité à l'AI Act ?

Les sanctions sont progressives selon la gravité de la violation. Déploiement d'un système IA interdit : jusqu'à 35 millions d'euros ou 7% du chiffre d'affaires mondial. Violation des exigences pour les systèmes à haut risque : jusqu'à 15 millions d'euros ou 3% du CA. Fourniture d'informations incorrectes aux autorités : jusqu'à 7,5 millions d'euros ou 1,5% du CA. Les PME bénéficient de plafonds inférieurs. Les sanctions s'appliquent par violation — plusieurs systèmes non conformes multiplient l'exposition.

Combien de temps faut-il pour un programme de conformité AI Act ?

Pour une organisation avec 3 à 10 systèmes IA (une ETI typique), un programme complet de conformité prend 9 à 12 mois : 2 mois pour l'inventaire et la classification, 3 mois pour la documentation et l'analyse des écarts, 2 mois pour la remédiation technique, 2 mois pour les tests et l'évaluation de conformité, 1 mois pour l'enregistrement et la validation finale. Les organisations avec des systèmes IA anciens ou des relations fournisseurs complexes peuvent avoir besoin de 18 mois. Commencer au T1 2026 ne laisse aucune marge pour l'échéance d'août 2026.

Conclusion : la conformité comme discipline opérationnelle

Les organisations qui traitent la conformité à l'AI Act comme un audit ponctuel échoueront à leur première inspection réglementaire. Le règlement est conçu comme une norme opérationnelle continue — la documentation technique doit rester à jour, les dossiers de risque doivent être mis à jour à chaque changement significatif, et la surveillance post-commercialisation doit fonctionner en continu.

Les entreprises qui investissent dans la gouvernance IA aujourd'hui prennent de meilleures décisions d'architecture dans le processus : pipelines de données plus propres, seuils de performance explicites, surveillance humaine qui détecte réellement les défaillances des modèles. Le coût de la conformité est réel, mais la résilience opérationnelle qu'elle crée l'est aussi.

Commencez par l'inventaire. Classifiez par cas d'usage. Priorisez vos systèmes à haut risque. L'échéance d'août 2026 est atteignable — mais seulement si vous démarrez maintenant.

Pour aller plus loin : Formation Gouvernance IA pour l'Entreprise — financement OPCO, 100% pratique, couvre l'intégralité du cadre réglementaire.

Formez votre equipe a l'IA

Nos formations sont financables OPCO — reste a charge potentiel : 0€.

Voir les formationsVerifier eligibilite OPCO

Formations recommandees

🛡️

Gouvernance IA RGPD

Formation AI Act, RGPD et gouvernance IA financable OPCO pour DPO, DSI et managers

1 jourDébutantManagers
Inclus dans l'abonnement

Articles similaires

Le modèle n'est pas la sécurité : la porte de vérification déterministe
4 min · IA de confiance
Migrer vers un LLM managé (Bedrock) : 3 contrats implicites qui explosent en prod
8 min · Guide
NVFP4 vs FP8 vs GGUF : quel format de quantization en production
9 min · Guide