Temps de lecture : 8 minutes
Le Règlement européen sur l’Intelligence Artificielle (RIA) est entré en vigueur le 1er août 2024. Depuis le 2 février 2025, les pratiques d’IA jugées inacceptables sont officiellement interdites. D’ici août 2026, l’intégralité des obligations s’appliqueront aux systèmes à haut risque. Pourtant, la majorité des organisations n’ont pas encore engagé leur démarche de mise en conformité. Si c’est votre cas, cet article est fait pour vous.
Nous avons conçu une checklist opérationnelle de 17 onglets, basée sur la feuille de route du Club DPO et les recommandations de la CNIL, pour vous accompagner pas à pas. Cet article vous explique comment l’utiliser et par où commencer.
Inscrivez-vous à notre newsletter et recevez immédiatement votre checklist de conformité AI Act complète — 47 actions concrètes réparties sur 17 onglets, prête à l’emploi.
En bonus, vous recevrez chaque mois nos analyses et décryptages sur l’évolution de la réglementation IA, les nouvelles recommandations de la CNIL et les bonnes pratiques de conformité.
Notre newsletter est fondée sur votre consentement à la recevoir. Désinscrivez vous à tout moment en un clic. En savoir plus
Pourquoi la conformité à l’AI Act ne peut plus attendre
Beaucoup d’organisations considèrent encore l’AI Act comme un sujet lointain. C’est une erreur stratégique. Le calendrier réglementaire est déjà en marche et les échéances s’enchaînent rapidement.
Date | Obligation | Ce que ça signifie pour vous |
2 fév. 2025 | Pratiques interdites | Vérifier immédiatement qu’aucun de vos systèmes ne relève de l’Article 5 |
2 août 2025 | Modèles GPAI | Si vous développez ou fournissez un LLM ou modèle de fondation, conformité requise |
2 août 2026 | Systèmes haut risque | Conformité complète pour tous les systèmes classés Annexe III |
2 août 2027 | Produits réglementés | Systèmes IA intégrés dans des produits sectoriels (Annexe I) |
Les sanctions sont à la mesure de l’enjeu : jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial pour les infractions les plus graves. Au-delà du risque financier, c’est un risque réputationnel majeur dans un contexte où la confiance numérique devient un avantage concurrentiel.
Les 6 étapes clés de votre mise en conformtéi
Notre checklist structure la démarche en 6 étapes progressives, directement inspirées de la méthodologie recommandée par la CNIL. Chaque étape correspond à un onglet dédié avec des actions concrètes, des responsables à désigner et des statuts à suivre.
Étape 1 – Gouvernance et pilotage
« Gouverner l’IA, c’est maîtriser les risques tout en anticipant les opportunités. »
Tout commence par la désignation d’un pilote RIA — souvent le DPO, le RSSI ou un juriste spécialisé — formalisée par une lettre de mission. Il s’agit ensuite de constituer une équipe transversale réunissant IT, juridique, innovation et métiers, puis d’établir une feuille de route avec un RACI clair. Sans ce socle de gouvernance, les actions suivantes resteront des intentions sans pilotage. Notre checklist détaille 8 actions précises pour cette étape, de la désignation du pilote à la mise en place du reporting vers la direction.
Étape 2 – Cartographie des systèmes d’IA
« Connaître le périmètre à traiter, c’est la base de toute action efficace. »
C’est l’étape la plus structurante. Vous devez inventorier l’ensemble des systèmes algorithmiques susceptibles d’être qualifiés de « systèmes d’IA » au sens de l’Article 3 du RIA : outils internes, solutions achetées, API intégrées. Pour chaque système, il faudra évaluer le niveau de risque selon les 4 catégories du règlement (inacceptable, haut, transparence, minimal), documenter les finalités, identifier les données traitées et attribuer les rôles RIA. La checklist inclut un registre dédié avec 14 champs à renseigner par système, ainsi qu’un questionnaire d’auto-évaluation du risque pour vous guider dans la classification.
Étape 3 – Qualification des rôles et responsabilités
« Chacun son rôle, chacun ses responsabilités, chacun doit les connaître. »
Le RIA définit des rôles spécifiques — fournisseur, déployeur, importateur, distributeur, mandataire — avec des obligations distinctes pour chacun. Un fournisseur de système à haut risque fait face à des obligations de conformité technique, de documentation et de surveillance post-marché avec des sanctions pouvant atteindre 35 M€ ou 7 % du CA. Un déployeur devra assurer la surveillance humaine, la qualité des données d’entrée et la conservation des journaux. La checklist comprend un tableau comparatif complet de ces rôles avec les équivalences RGPD.
Étape 4 – Plan d’actions RIA/RGPD
« La conformité RIA, c’est maintenant. Plus tard, ce sera plus cher et potentiellement trop tard. »
Le RIA ne remplace pas le RGPD — il le complète. Les deux réglementations s’appliquent simultanément lorsque des systèmes d’IA traitent des données personnelles. Cette étape vise à construire une stratégie unifiée : harmoniser la documentation (registre RGPD et documentation technique RIA), définir le rôle du DPO dans les projets IA, mettre en place un système de gestion de la qualité pour les IA à haut risque. La checklist propose également un onglet dédié à l’articulation RIA-RGPD qui compare thématique par thématique les exigences des deux textes.
Étape 5 – Gestion intégrée des risques
« Gérer ses risques RGPD/IA dès le départ, c’est s’assurer un avenir plus serein. »
Pour chaque système, une analyse de risques intégrée doit être menée. Les systèmes relevant de l’Annexe III (biométrie, infrastructures critiques, éducation, emploi, services essentiels, forces de l’ordre, immigration, justice) nécessitent des mesures de protection renforcées. Il faut également intégrer la démarche Privacy by Design, systématiser l’avis du DPO, anticiper l’exercice des droits des personnes dans les systèmes d’IA et réaliser les AIPD requises. Notre checklist inclut un questionnaire d’auto-évaluation en 4 étapes pour déterminer avec précision le niveau de risque de chaque système.
Étape 6 – Accountability et preuves de conformité
« La conformité est un actif stratégique qui demain distinguera les organisations de confiance. »
C’est l’étape qui transforme la conformité en avantage compétitif. Il s’agit de maintenir une documentation vivante, de mettre en place l’outillage d’audit, d’intégrer la conformité dès la conception des nouveaux systèmes (IA Compliance by Design) et de valoriser cette conformité dans les processus commerciaux et appels d’offres. La checklist prévoit 8 actions pour cette phase, incluant la préparation aux contrôles des autorités de surveillance et la planification d’audits internes réguliers.
La priorité absolue : les 8 pratiques interdites
Avant même de dérouler les 6 étapes, une vérification s’impose. L’Article 5 du RIA interdit formellement 8 catégories de pratiques d’IA depuis le 2 février 2025. Si l’un de vos systèmes en relève, il doit être arrêté immédiatement.
Les pratiques concernées incluent la notation sociale (social scoring), l’exploitation des vulnérabilités des personnes, les techniques subliminales, l’identification biométrique en temps réel par les forces de l’ordre, la police prédictive individuelle, la reconnaissance des émotions au travail ou à l’école, la catégorisation biométrique sensible et le moissonnage facial non ciblé. Notre checklist dédie un onglet complet à cette vérification, avec pour chaque pratique une description précise et un champ pour documenter les actions correctives.
Ce que contient notre checklist : un outil complet en 17 onglets
Nous avons voulu créer bien plus qu’une simple liste de cases à cocher. La checklist que nous mettons à votre disposition est un véritable kit de conformité structuré autour de 17 onglets complémentaires.
Les 6 onglets d’actions correspondent aux étapes décrites ci-dessus. Chaque action est décrite en détail avec un système de statut (À faire, En cours, Terminé, Non applicable, Bloqué), un responsable à désigner et un champ de commentaires pour documenter vos preuves de conformité.
Le registre des systèmes d’IA vous permet de documenter chaque système avec 14 champs essentiels : identification, description, niveau de risque, rôle de l’organisation, données personnelles traitées, base légale RGPD, nécessité d’une AIPD, et bien plus.
Le questionnaire d’auto-évaluation du risque guide pas à pas la classification de chaque système en 4 étapes : vérification des pratiques interdites, identification du haut risque (Annexe III), obligations de transparence et modèles GPAI.
L’onglet obligations par niveau de risque détaille les actions concrètes à mener pour chaque catégorie : 5 actions pour les pratiques interdites, 16 pour le haut risque, 7 pour la transparence, jusqu’aux obligations spécifiques des déployeurs et des modèles GPAI.
Les clauses contractuelles types recensent 15 clauses essentielles à intégrer dans vos contrats fournisseurs, 10 vérifications préalables et 10 documents à annexer. Un gain de temps considérable pour vos équipes juridiques.
Le tableau d’articulation RIA-RGPD compare les exigences des deux règlements sur 8 thématiques clés (transparence, documentation, analyse d’impact, données sensibles, droits des personnes, responsabilité, bac à sable, sanctions) avec les actions DPO recommandées.
Le tableau de bord consolide l’avancement global avec le nombre d’actions par étape, le pourcentage de réalisation et des indicateurs clés (nombre de systèmes recensés, AIPD réalisées, personnel formé). Idéal pour le reporting vers la direction.
Par où commencer ? Le plan en 5 phases
Pour éviter la paralysie face à l’ampleur du sujet, nous recommandons une approche en 5 phases.
Phase 1 – Lancement (2 à 4 semaines) : désignez le pilote, constituez l’équipe, faites valider la feuille de route par la direction. Sans portage au plus haut niveau, le projet stagnera.
Phase 2 – État des lieux (4 à 8 semaines) : cartographiez vos systèmes, remplissez le registre, et surtout vérifiez d’urgence l’absence de pratiques interdites.
Phase 3 – Analyse (4 à 8 semaines) : qualifiez les rôles pour chaque système, menez les analyses de risques intégrées et réalisez les AIPD nécessaires.
Phase 4 – Plan d’actions (2 à 4 semaines) : priorisez selon les échéances, allouez les ressources, détaillez le planning.
Phase 5 – Mise en œuvre (en continu) : déployez les actions, documentez, auditez, améliorez. La conformité à l’AI Act n’est pas un projet ponctuel — c’est un processus d’amélioration continue.
Les 5 erreurs les plus fréquentes à éviter
Traiter le RIA indépendamment du RGPD. Les deux règlements partagent de nombreuses exigences (transparence, documentation, analyse d’impact). Les traiter en silo multiplie les efforts pour un résultat médiocre.
Sous-estimer le périmètre. La définition d’un « système d’IA » dans le RIA est large. Beaucoup d’outils que vous n’identifiez pas spontanément comme de l’IA pourraient en relever.
Négliger la formation. La sensibilisation des équipes est un facteur clé de succès. Un DPO isolé ne peut pas porter seul la conformité IA de toute une organisation.
Oublier les contrats fournisseurs. Si vous êtes déployeur d’un système fourni par un tiers, vos contrats doivent intégrer les obligations RIA. Notre checklist inclut 15 clauses types prêtes à l’emploi.
Attendre les décrets d’application. Le règlement est directement applicable. Les organisations qui attendent risquent de se retrouver dans une situation d’urgence coûteuse.
Téléchargez la checklist et passez à l’action
La mise en conformité à l’AI Act est un chantier ambitieux, mais parfaitement structurable. Avec la bonne méthode et les bons outils, il devient un projet maitrisable, étape par étape.
Notre checklist Excel de 17 onglets a été conçue pour être directement opérationnelle. Elle s’appuie sur les recommandations de la CNIL et la feuille de route du Club DPO. Elle couvre l’intégralité du parcours : gouvernance, cartographie, qualification des rôles, plan d’actions, gestion des risques, accountability, et bien plus — pratiques interdites, obligations par niveau de risque, clauses contractuelles, articulation RIA-RGPD et tableau de bord.
Inscrivez-vous à notre newsletter et recevez immédiatement votre checklist de conformité AI Act complète — 47 actions concrètes réparties sur 17 onglets, prête à l’emploi.
En bonus, vous recevrez chaque mois nos analyses et décryptages sur l’évolution de la réglementation IA, les nouvelles recommandations de la CNIL et les bonnes pratiques de conformité.
Notre newsletter est fondée sur votre consentement à la recevoir. Désinscrivez vous à tout moment en un clic. En savoir plus
FAQ — Conformité AI Act : vos questions les plus fréquentes
L’AI Act s’applique-t-il aux PME ?
Oui. Le Règlement européen sur l’IA s’applique à toute organisation qui développe, met sur le marché ou utilise un système d’IA dans l’Union européenne, quelle que soit sa taille. En pratique, de nombreuses PME sont concernées en tant que « déployeurs » : dès lors que vous utilisez un outil de tri de CV, un scoring bancaire, un chatbot client ou un logiciel de notation interne, vous êtes soumis aux obligations du RIA correspondant au niveau de risque du système. Les PME bénéficient toutefois de certains allégements prévus par le règlement, notamment un accès facilité aux bacs à sable réglementaires et des délais adaptés. Mais les obligations fondamentales — vérification des pratiques interdites, transparence, surveillance humaine — s’imposent à tous.
Quelles sont les sanctions prévues par l’AI Act ?
Les sanctions sont graduées selon la gravité de l’infraction. Pour l’utilisation d’une pratique interdite (Article 5), l’amende peut atteindre 35 millions d’euros ou 7 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. Pour le non-respect des obligations relatives aux systèmes à haut risque, la sanction maximale est de 15 millions d’euros ou 3 % du CA mondial. Pour la fourniture d’informations inexactes aux autorités, elle s’élève à 7,5 millions d’euros ou 1 % du CA mondial. Ces sanctions s’ajoutent aux amendes RGPD potentielles lorsque le système d’IA traite des données personnelles, ce qui peut entraîner un cumul significatif.
Quelle est la différence entre fournisseur et déployeur dans l’AI Act ?
Le fournisseur est celui qui développe ou fait développer un système d’IA et le met sur le marché sous son nom. Il porte les obligations les plus lourdes : conformité technique, évaluation préalable, documentation technique, marquage CE, système de gestion de la qualité et surveillance post-marché. Le déployeur, lui, est celui qui utilise un système d’IA sous sa propre autorité dans un cadre professionnel. Ses obligations portent sur l’usage conforme aux instructions du fournisseur, la surveillance humaine, la vérification de la qualité des données d’entrée, la conservation des journaux et l’information des personnes concernées. Concrètement, si vous achetez un logiciel d’IA à un éditeur, l’éditeur est fournisseur et vous êtes déployeur — chacun avec ses responsabilités propres.
