Conformite IA : checklist des obligations

L’entree en application progressive du reglement europeen sur l’intelligence artificielle (AI Act – reglement (UE) 2024/1689) impose aux entreprises qui developpent, deploient ou utilisent des systemes d’IA de mettre en place un dispositif de conformite structure. La conformite IA ne se limite pas a un exercice documentaire : elle implique une transformation des processus internes, de la gouvernance et des pratiques de developpement. Cette checklist synthetise l’ensemble des obligations a anticiper.

La complexite du cadre reglementaire tient a l’articulation entre le AI Act, le RGPD, et les reglementations sectorielles applicables. L’objectif de cet article est de fournir une grille de lecture operationnelle pour les responsables conformite, les DPO et les directions juridiques.

Etape 1 : Cartographier les systemes d’IA de l’organisation

Identifier tous les systemes d’IA en usage

La premiere etape de toute demarche de conformite IA consiste a etablir un inventaire exhaustif des systemes d’intelligence artificielle utilises, developpes ou distribues par l’organisation. Cette cartographie doit couvrir :

• Les systemes developpes en interne (modeles de machine learning, algorithmes de decision automatisee, chatbots, systemes de recommandation) ;
• Les systemes acquis aupres de fournisseurs tiers (solutions SaaS integrant de l’IA, API de modeles de langage, outils d’analyse predictive) ;
• Les systemes d’IA generative utilises par les collaborateurs (ChatGPT, Copilot, Gemini, Claude, Mistral) ;
• Les composants d’IA integres dans des logiciels plus larges (modules de detection de fraude, filtres anti-spam, systemes de scoring).

Cet inventaire doit preciser pour chaque systeme : la finalite d’utilisation, les donnees traitees, le fournisseur, le niveau de risque au sens de l’AI Act, et les equipes utilisatrices.

Classifier les systemes selon le niveau de risque

Le AI Act etablit une classification des risques en quatre niveaux qui determine les obligations applicables :

Risque inacceptable (article 5) : systemes interdits – manipulation subliminale, exploitation de vulnerabilites, scoring social generalisee, identification biometrique a distance en temps reel dans l’espace public (sauf exceptions limitees). Ces systemes doivent etre identifies et supprimes.

Haut risque (article 6 et annexe III) : systemes soumis a des obligations renforcees – recrutement, scoring credit, acces aux services publics, justice, migration, infrastructures critiques. Ces systemes necessitent une evaluation de conformite, une documentation technique, un systeme de gestion des risques, et une supervision humaine.

Risque limite (article 50) : systemes soumis a des obligations de transparence – chatbots, systemes de generation de contenu (deepfakes, texte genere par IA). L’obligation principale est d’informer l’utilisateur qu’il interagit avec un systeme d’IA.

Risque minimal : systemes non soumis a des obligations specifiques, mais auxquels les codes de conduite volontaires s’appliquent.

Etape 2 : Mettre en place le cadre de gouvernance

Designer les responsables

La gouvernance de l’IA suppose la designation de responsables clairement identifies au sein de l’organisation :

• Un responsable de la conformite IA, distinct ou non du DPO, charge de piloter le dispositif ;
• Des referents IA au sein des equipes metiers qui utilisent ou deploient des systemes d’IA ;
• Un comite de gouvernance IA reunissant les fonctions juridique, technique, conformite, risques et direction generale.

L’organe de direction doit etre informe des risques lies a l’IA et valider les orientations strategiques en matiere de conformite. Le AI Act insiste sur la competence des personnes impliquees dans la supervision des systemes a haut risque (article 4).

Adopter une politique IA interne

L’organisation doit formaliser une politique interne d’utilisation de l’intelligence artificielle couvrant :

• Les usages autorises et interdits des systemes d’IA ;
• Les procedures d’evaluation prealable (analyse de risques, AIPD le cas echeant) ;
• Les regles de gouvernance des donnees utilisees pour l’entrainement ou le fonctionnement des systemes ;
• Les procedures de signalement des incidents et des dysfonctionnements ;
• Les obligations de formation et de sensibilisation des collaborateurs.

Etape 3 : Satisfaire les obligations pour les systemes a haut risque

Systeme de gestion des risques (article 9)

Pour chaque systeme d’IA a haut risque, un systeme de gestion des risques continu doit etre mis en place. Ce systeme comprend :

• L’identification et l’analyse des risques connus et raisonnablement previsibles ;
• L’estimation et l’evaluation des risques susceptibles de survenir en cas d’utilisation conforme ou raisonnablement previsible ;
• L’adoption de mesures de gestion des risques appropriees ;
• Les tests pour identifier les mesures de gestion des risques les plus appropriees.

Ce systeme doit etre documente et mis a jour tout au long du cycle de vie du systeme d’IA.

Gouvernance des donnees (article 10)

Les jeux de donnees d’entrainement, de validation et de test doivent repondre a des criteres de qualite :

• Pertinence, representativite, absence d’erreurs et exhaustivite ;
• Proprietes statistiques appropriees au regard de la finalite du systeme ;
• Prise en compte des caracteristiques specifiques au contexte geographique, comportemental ou fonctionnel ;
• Examen des biais potentiels, en particulier ceux susceptibles d’affecter la sante, la securite ou les droits fondamentaux.

Cette obligation s’articule avec les exigences du RGPD en matiere de protection des donnees personnelles utilisees dans l’IA, notamment la minimisation, l’exactitude et la limitation de conservation.

Documentation technique (article 11)

Chaque systeme d’IA a haut risque doit faire l’objet d’une documentation technique etablie avant la mise sur le marche et tenue a jour. Cette documentation comprend :

• La description generale du systeme (finalite, fonctionnalites, limites) ;
• L’architecture du systeme et les algorithmes utilises ;
• Les donnees d’entrainement et les processus de preparation des donnees ;
• Les mesures de performance et les metriques d’evaluation ;
• Les mesures de gestion des risques ;
• Les instructions d’utilisation pour les deploiements.

Enregistrement automatique des evenements (article 12)

Les systemes a haut risque doivent integrer des capacites de journalisation permettant la tracabilite des operations. Les journaux doivent enregistrer les evenements pertinents pendant toute la duree d’utilisation du systeme, avec un niveau de detail suffisant pour permettre une evaluation a posteriori.

Transparence et information (article 13)

Les deploiements doivent etre concus de maniere a etre suffisamment transparents pour permettre aux utilisateurs d’interpreter les resultats et de les utiliser de maniere appropriee. Les instructions d’utilisation doivent mentionner clairement les capacites et les limites du systeme.

Supervision humaine (article 14)

Les systemes a haut risque doivent etre concus pour etre supervises efficacement par des personnes physiques. Les mesures de supervision humaine doivent permettre de comprendre les capacites et limites du systeme, de detecter les anomalies, d’interrompre le systeme si necessaire, et d’ignorer ou inverser ses decisions.

Etape 4 : Assurer la conformite RGPD des systemes d’IA

Realiser une AIPD

L’utilisation de systemes d’IA traitant des donnees personnelles est frequemment susceptible d’engendrer un risque eleve pour les droits et libertes des personnes concernees. Dans ce cas, une analyse d’impact relative a la protection des donnees (AIPD) est obligatoire au titre de l’article 35 du RGPD.

L’AIPD doit etre realisee avant la mise en oeuvre du traitement et couvrir la description du traitement, l’evaluation de la necessite et de la proportionnalite, l’evaluation des risques pour les personnes concernees, et les mesures envisagees pour y remedier.

Definir la base legale

Le traitement de donnees personnelles par un systeme d’IA doit reposer sur une base legale valide au sens de l’article 6 du RGPD. La determination de la base legale (consentement, interet legitime, execution contractuelle, obligation legale) doit etre documentee pour chaque traitement specifique.

Pour les systemes d’IA generative, la question de la base legale pour l’entrainement des modeles fait l’objet d’orientations specifiques de la CNIL et du CEPD.

Garantir l’exercice des droits

Les droits des personnes (acces, rectification, effacement, opposition, portabilite) doivent pouvoir etre exerces effectivement, y compris lorsque les donnees sont traitees par un systeme d’IA. Cette exigence pose des defis particuliers pour les modeles entraines sur des donnees personnelles, ou la suppression d’une donnee du modele peut s’averer techniquement complexe.

Etape 5 : Preparer l’evaluation de conformite et le marquage CE

Pour les systemes d’IA a haut risque, le AI Act impose une evaluation de conformite avant la mise sur le marche. Selon la categorie du systeme, cette evaluation peut etre realisee en interne ou par un organisme notifie. L’ensemble de la documentation technique, des resultats de tests et des mesures de gestion des risques doit etre rassemble dans un dossier de conformite.

Apres l’evaluation de conformite, le systeme doit etre enregistre dans la base de donnees de l’UE prevue a l’article 71 du AI Act. Le fournisseur appose le marquage CE attestant de la conformite du systeme aux exigences du reglement. Consultez le calendrier d’application du AI Act pour anticiper les echeances.

Etape 6 : Mettre en place un dispositif de surveillance post-marche

Le fournisseur doit etablir un systeme de surveillance post-commercialisation proportionnee a la nature du systeme d’IA. Ce systeme doit permettre de collecter et analyser les donnees relatives a la performance du systeme, de detecter les incidents et dysfonctionnements, et d’adopter les mesures correctives necessaires.

Les incidents graves doivent etre notifies aux autorites competentes dans les delais prescrits. Cette obligation rejoint celle prevue par le RGPD en matiere de notification des violations de donnees, creant un double regime de notification pour les systemes d’IA traitant des donnees personnelles.

Checklist synthetique de conformite IA

Action	Reglementation	Priorite
Inventaire des systemes d’IA	AI Act	Immediate
Classification par niveau de risque	AI Act art. 6	Immediate
Designation d’un responsable conformite IA	AI Act art. 4	Haute
Politique interne d’utilisation de l’IA	AI Act / RGPD	Haute
Systeme de gestion des risques par systeme HR	AI Act art. 9	Haute
Documentation technique	AI Act art. 11	Haute
AIPD pour les systemes traitant des DP	RGPD art. 35	Haute
Base legale pour chaque traitement	RGPD art. 6	Haute
Mecanismes de supervision humaine	AI Act art. 14	Haute
Journalisation des evenements	AI Act art. 12	Moyenne
Formation des equipes	AI Act art. 4	Moyenne
Evaluation de conformite / marquage CE	AI Act art. 43	Selon calendrier
Surveillance post-marche	AI Act art. 72	Continue

FAQ

Quels sont les premiers systemes d’IA concernes par les obligations de conformite ?

Les systemes d’IA a risque inacceptable (article 5 du AI Act) sont interdits depuis le 2 fevrier 2025. Les obligations relatives aux systemes d’IA a usage general (GPAI) s’appliquent depuis aout 2025. Les obligations completes pour les systemes a haut risque entrent en application en aout 2026. Les entreprises doivent donc prioriser l’identification et la suppression des systemes interdits, puis la conformite des systemes a usage general, avant de traiter les systemes a haut risque.

La conformite IA remplace-t-elle la conformite RGPD ?

Non. Le AI Act et le RGPD sont deux reglementations complementaires qui s’appliquent cumulativement. Le AI Act regit la mise sur le marche et l’utilisation des systemes d’IA (securite, transparence, gestion des risques), tandis que le RGPD regit le traitement des donnees personnelles effectue par ces systemes. Une entreprise qui deploie un systeme d’IA traitant des donnees personnelles doit satisfaire aux exigences des deux textes simultanement.

Faut-il un DPO specifique pour la conformite IA ?

Le AI Act n’impose pas la designation d’un DPO specifique. Cependant, l’article 4 impose que les personnes chargees de la mise en oeuvre du reglement disposent d’un niveau de competence suffisant, notamment en matiere d’IA. Dans la pratique, de nombreuses organisations choisissent de designer un responsable conformite IA distinct du DPO, ou de renforcer les competences de l’equipe DPO existante sur les sujets d’intelligence artificielle.