Opsio - Cloud and AI Solutions
AI5 min read· 1,158 words

EU AI Act : checklist de conformité pour les entreprises

Praveena Shenoy
Praveena Shenoy

Country Manager, Inde

Publié le: ·Mis à jour: ·Vérifié par l'équipe d'ingénierie d'Opsio

Quick Answer

Pour vous mettre en conformité avec le règlement IA ( EU AI Act ) , suivez quatre grandes étapes : déterminez si vous êtes fournisseur ou déployeur, inventoriez et classez chaque système d'IA par niveau de risque, appliquez les obligations correspondantes (évaluation de conformité et marquage CE pour le haut risque), puis documentez et gouvernez le tout. Cette checklist vous guide pas à pas. Cet article fournit une information générale et ne constitue pas un conseil juridique. Êtes-vous fournisseur ou déployeur ? Vos obligations dépendent d'abord de votre rôle au sens de l' AI Act . Une même entreprise peut cumuler plusieurs rôles selon les systèmes. Fournisseur : vous développez un système d'IA, ou le faites développer, et le mettez sur le marché ou en service sous votre nom. Vous portez la majorité des obligations, dont l'évaluation de conformité. Déployeur : vous utilisez un système d'IA sous votre autorité dans un cadre professionnel.

Pour vous mettre en conformité avec le règlement IA (EU AI Act), suivez quatre grandes étapes : déterminez si vous êtes fournisseur ou déployeur, inventoriez et classez chaque système d'IA par niveau de risque, appliquez les obligations correspondantes (évaluation de conformité et marquage CE pour le haut risque), puis documentez et gouvernez le tout. Cette checklist vous guide pas à pas.

Cet article fournit une information générale et ne constitue pas un conseil juridique.

Êtes-vous fournisseur ou déployeur ?

Vos obligations dépendent d'abord de votre rôle au sens de l'AI Act. Une même entreprise peut cumuler plusieurs rôles selon les systèmes.

  • Fournisseur : vous développez un système d'IA, ou le faites développer, et le mettez sur le marché ou en service sous votre nom. Vous portez la majorité des obligations, dont l'évaluation de conformité.
  • Déployeur : vous utilisez un système d'IA sous votre autorité dans un cadre professionnel. Vos obligations sont plus légères mais réelles (surveillance humaine, usage conforme à la notice, information des personnes concernées).
  • Importateur ou distributeur : vous mettez sur le marché de l'UE un système d'IA conçu par un tiers, souvent hors UE.

Attention : un déployeur peut devenir fournisseur s'il modifie substantiellement un système à haut risque ou s'il l'appose sous sa propre marque.

Étape 1 : inventoriez et classez le risque

Dressez l'inventaire de tous les systèmes d'IA que vous développez, intégrez ou utilisez. Pour chacun, déterminez le niveau de risque.

Comment classer un système d'IA ?

Posez-vous ces questions dans l'ordre :

  • Le système relève-t-il d'une pratique interdite (notation sociale, manipulation, biométrie prohibée) ? Si oui, vous devez cesser de l'utiliser.
  • Est-il listé à l'Annexe III (recrutement, crédit, éducation, infrastructures critiques, application de la loi) ou intégré à un produit réglementé de l'Annexe I ? Si oui, il est à haut risque.
  • Interagit-il avec des personnes ou génère-t-il des contenus (chatbot, deepfake) ? Il relève alors des obligations de transparence (risque limité).
  • Sinon, il est probablement à risque minimal.
Consultation gratuite avec un expert

Besoin d'aide avec cloud ?

Réservez une réunion gratuite de 30 minutes avec l'un de nos spécialistes en cloud. Nous analysons vos besoins et fournissons des recommandations concrètes — sans engagement.

Solution ArchitectExpert IAExpert sécuritéIngénieur DevOps
50+ ingénieurs certifiésAWS Advanced PartnerSupport 24/7
Entièrement gratuit — sans engagementRéponse sous 24h

Étape 2 : la checklist de conformité pas à pas

Le tableau ci-dessous récapitule les actions clés selon le niveau de risque identifié.

Niveau de risqueActions de conformité prioritaires
Inacceptable (interdit)Arrêter immédiatement le système ; documenter la décision de retrait.
Haut risqueSystème de gestion des risques ; gouvernance des données ; documentation technique ; journalisation ; surveillance humaine ; robustesse et cybersécurité ; évaluation de conformité ; marquage CE ; enregistrement dans la base de données de l'UE.
Risque limitéInformer les utilisateurs qu'ils interagissent avec une IA ; étiqueter les contenus générés par IA de façon lisible par machine.
MinimalAucune obligation contraignante ; codes de conduite volontaires encouragés.

En complément, prévoyez pour toute l'organisation un programme de littératie en IA (formation des équipes), obligation déjà applicable depuis février 2025.

Évaluation de conformité et marquage CE pour le haut risque

Avant de mettre un système à haut risque sur le marché, le fournisseur doit réaliser une évaluation de conformité. Pour la plupart des systèmes de l'Annexe III, elle prend la forme d'un contrôle interne basé sur le respect des exigences. Certains cas (biométrie, ou produits de l'Annexe I) requièrent l'intervention d'un organisme notifié tiers.

Une fois la conformité établie, le fournisseur rédige une déclaration UE de conformité, appose le marquage CE et enregistre le système dans la base de données de l'UE. Toute modification substantielle impose une réévaluation. Les déployeurs de certains systèmes à haut risque doivent en outre conduire une analyse d'impact sur les droits fondamentaux.

Documentation et gouvernance

La conformité au règlement IA repose sur des preuves écrites. Mettez en place et conservez :

  • la documentation technique de chaque système à haut risque (Annexe IV) ;
  • les journaux générés automatiquement par le système ;
  • un système de gestion de la qualité décrivant vos processus ;
  • les instructions d'utilisation destinées aux déployeurs ;
  • un dispositif de surveillance après commercialisation et de signalement des incidents graves.

Côté gouvernance, désignez des responsabilités claires (un référent IA ou un comité), reliez la démarche à votre conformité RGPD existante et réutilisez vos analyses d'impact lorsque l'IA traite des données personnelles. Une gouvernance intégrée IA + données évite les doublons.

Suivez le calendrier de conformité

Calez votre plan d'action sur les échéances du règlement, en gardant à l'esprit qu'elles ont été révisées en 2026 et doivent être confirmées à leur état le plus récent.

  • Effectif : interdictions des pratiques à risque inacceptable et littératie en IA (depuis février 2025).
  • Effectif : obligations pour l'IA à usage général (GPAI) et gouvernance (depuis août 2025).
  • À venir : systèmes autonomes à haut risque (Annexe III), reportés à décembre 2027 selon l'accord politique provisoire « Digital Omnibus » de mai 2026.
  • À venir : systèmes à haut risque intégrés à des produits réglementés (Annexe I), reportés à août 2028.

Ces reports ne sont juridiquement contraignants qu'après publication au Journal officiel. Ne relâchez pas votre préparation : vérifiez le droit en vigueur avant chaque jalon.

Par où commencer ?

Commencez petit mais structuré :

  • Constituez l'inventaire de vos systèmes d'IA et de vos rôles (fournisseur/déployeur).
  • Réalisez une analyse des écarts entre vos pratiques actuelles et les exigences applicables.
  • Priorisez les systèmes à haut risque et les éventuelles pratiques interdites.
  • Définissez une feuille de route documentée avec responsables et échéances.
  • Intégrez la démarche à votre gouvernance RGPD et ISO 27001 existante.

Questions fréquentes sur la conformité à l'EU AI Act

Quand le règlement IA s'applique-t-il à mon entreprise ?

Dès maintenant pour les interdictions, la littératie en IA et les règles GPAI. Les obligations relatives au haut risque s'appliquent selon un calendrier reporté en 2026 (décembre 2027 pour l'Annexe III, août 2028 pour l'Annexe I, sous réserve de l'adoption finale du paquet Digital Omnibus).

L'AI Act s'applique-t-il à mon entreprise si elle est hors UE ?

Oui, c'est possible. Sa portée extraterritoriale couvre tout fournisseur ou déployeur dont le système d'IA est mis sur le marché de l'UE ou dont les résultats sont utilisés dans l'Union. Un fournisseur hors UE doit aussi désigner un mandataire dans l'UE.

Quelle différence entre l'EU AI Act et le RGPD pour ma conformité ?

Le RGPD encadre le traitement des données personnelles ; l'AI Act encadre les systèmes d'IA par niveau de risque. Les deux s'appliquent ensemble dès qu'une IA traite des données personnelles. Mutualisez vos analyses d'impact pour gagner en efficacité.

Quelles sanctions en cas de non-conformité au règlement IA ?

Jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial pour les pratiques interdites, et jusqu'à 15 millions d'euros ou 3 % pour le non-respect des obligations applicables au haut risque.

Besoin d'aide pour votre conformité IA ?

Pour comprendre le cadre dans le détail, consultez notre guide du règlement IA (EU AI Act). Pour structurer votre mise en conformité, un consultant IA Opsio peut auditer vos systèmes, classer vos risques et bâtir avec vous une feuille de route conforme et documentée.

Lectures connexes

Plus depuis notre base de connaissances: Documents requis pour la conformité NIS

Written By

Praveena Shenoy
Praveena Shenoy

Country Manager, Inde

Praveena dirige les opérations d'Opsio en Inde, apportant plus de 17 ans d'expérience inter-sectorielle dans l'IA, la fabrication, le DevOps et les services managés.

View all articles →LinkedIn

Editorial standards: Cet article a été rédigé par des praticiens du cloud et relu par notre équipe d'ingénierie. Nous actualisons le contenu chaque trimestre pour garantir l'exactitude technique. Opsio maintient son indépendance éditoriale.