Scabera
Back to blog
Security

EU AI Act : guide de conformité pratique pour les DSI et RSSI

Scabera Team
8 min de lecture
2026-03-07

Le règlement européen sur l'IA (EU AI Act) établit un cadre par niveaux de risque qui classe les systèmes d'IA en quatre catégories — interdits, à haut risque, à risque limité et à risque minimal — et impose des obligations de conformité proportionnelles au niveau de risque. Les systèmes IA à haut risque nécessitent une documentation technique obligatoire, des mécanismes de supervision humaine, des évaluations de conformité et un enregistrement dans la base de données européenne avant tout déploiement.

Le règlement européen sur l'IA est désormais une réalité pour les entreprises opérant sur les marchés européens. Contrairement à de nombreuses réglementations technologiques axées principalement sur la protection des données, l'EU AI Act régule les systèmes d'IA eux-mêmes — leur développement, leur déploiement et leur utilisation — créant des obligations pour un périmètre plus large d'équipes en entreprise que le RGPD. RSSI, DSI, juristes et DPO ont tous un rôle dans la conformité, et les exigences du règlement couvrent la documentation technique, les processus de gouvernance et les obligations de surveillance continue qui doivent être intégrés dans les opérations, et non ajoutés comme couche de conformité tardive.

Ce que le règlement européen sur l'IA impose concrètement

L'EU AI Act établit un cadre par niveaux de risque avec quatre catégories de classification. Comprendre ces niveaux est le fondement de la conformité, car les obligations applicables à vos systèmes d'IA dépendent entièrement de leur classification.

Pratiques IA interdites. Une catégorie restreinte d'applications IA est totalement interdite : les systèmes de notation sociale, la surveillance biométrique en temps réel dans les espaces publics (avec des exceptions limitées pour les forces de l'ordre), les IA qui exploitent des vulnérabilités pour manipuler le comportement, et les IA qui infèrent des caractéristiques sensibles à partir de données biométriques. Ces interdictions sont applicables depuis février 2025. Les entreprises auraient dû avoir déjà examiné leur portefeuille IA pour identifier d'éventuelles applications interdites.

Systèmes IA à haut risque. Cette catégorie porte les obligations les plus importantes du règlement. Les systèmes à haut risque comprennent les IA utilisées dans l'emploi (recrutement, évaluation des performances), la notation de crédit, l'accès à l'éducation, la gestion des infrastructures critiques, l'identification biométrique, et les IA utilisées dans l'administration de la justice. La liste est exhaustive dans le règlement, mais nécessite une évaluation au cas par cas pour les systèmes IA en entreprise.

Risque limité. Les systèmes présentant des risques d'interaction spécifiques — principalement les chatbots et les contenus générés par IA — font face à des exigences de transparence : les utilisateurs doivent être informés qu'ils interagissent avec une IA. Ces exigences sont relativement légères mais doivent être intégrées dans la conception des interfaces utilisateur.

Risque minimal. Les filtres anti-spam, la recherche alimentée par IA et les systèmes similaires ne portent aucune obligation obligatoire au titre du règlement, bien que des codes de conduite volontaires puissent s'appliquer.

Quels systèmes IA sont classés à haut risque ?

Pour la plupart des entreprises régulées, la question de classification la plus délicate concerne les systèmes IA qui soutiennent des décisions aux conséquences importantes. La classification à haut risque du règlement couvre les IA qui :

  • Évaluent des individus pour des décisions d'emploi (tri de CV, notation de candidats, surveillance des performances)
  • Influencent l'accès au crédit ou aux services financiers
  • Gèrent ou surveillent des infrastructures critiques (réseaux d'énergie, d'eau, de transport)
  • Traitent des données biométriques pour la vérification d'identité
  • Aident aux décisions sur l'accès à l'éducation ou à la formation professionnelle
  • Assistent les forces de l'ordre ou les décisions judiciaires

Un système de récupération de connaissances qui récupère des informations et les présente pour examen humain sans prendre directement de décisions est moins susceptible d'être classé à haut risque qu'un système dont les sorties déterminent directement un résultat. La distinction entre une IA qui informe les décisions et une IA qui prend les décisions est importante pour la classification.

Étape 1 : Auditer votre portefeuille IA existant

La conformité commence par un inventaire complet des systèmes d'IA utilisés dans toute l'organisation. Cet inventaire est plus difficile à établir qu'il n'y paraît, car l'IA a été déployée dans les fonctions d'entreprise de manière souvent non centralisée. L'IA fantôme — outils adoptés par des équipes individuelles sans approbation informatique ou sécurité — complique davantage le tableau.

L'audit doit couvrir : les systèmes IA achetés en tant que produits autonomes ou intégrés dans des plateformes SaaS (Microsoft Copilot, Salesforce Einstein, etc.) ; les modèles IA développés en interne ; et les composants IA intégrés dans des systèmes plus larges (modèles de détection de fraude intégrés dans le traitement des transactions, par exemple). Pour chaque système, documenter : le fournisseur, la fonction principale, les données d'entrée, les sorties et comment les sorties sont utilisées dans les processus décisionnels.

Cet audit crée également la base pour l'alignement RGPD et les évaluations de risque DORA, car les mêmes systèmes qui doivent être évalués au titre de l'EU AI Act sont généralement les mêmes qui créent des obligations de traitement des données et de résilience opérationnelle au titre de ces cadres.

Étape 2 : Classifier le niveau de risque de chaque système

Appliquer la classification de risque du règlement à chaque système de votre inventaire. Le processus de classification doit impliquer le conseil juridique, le DPO et l'équipe technique responsable de chaque système. Pour les cas limites, documenter le raisonnement — la justification des décisions de classification fait partie de la documentation technique requise par le règlement.

La classification n'est pas toujours simple. Un assistant de gestion des connaissances interne qui aide les équipes RH à accéder aux politiques RH pourrait sembler à risque minimal, mais si ses sorties influencent des décisions sur les droits aux avantages sociaux, la question de classification devient plus complexe. Le cadre de décision doit examiner : la sortie du système détermine-t-elle directement un résultat, ou un humain prend-il la décision finale ? Si un humain examine et évalue réellement la sortie IA avant d'agir, la classification sera probablement risque limité ou minimal.

Étape 3 : Mettre en place la gouvernance obligatoire

Pour les systèmes IA à haut risque, le règlement impose des mécanismes de gouvernance spécifiques :

Système de gestion des risques. Un processus documenté et continu d'identification, d'évaluation et d'atténuation des risques associés au système IA. Il ne s'agit pas d'une évaluation ponctuelle mais d'un programme continu avec des cycles d'examen définis. Le système de gestion des risques doit couvrir les risques pour les droits fondamentaux, pas seulement les risques opérationnels.

Mécanismes de supervision humaine. Les IA à haut risque doivent inclure des moyens techniques et procéduraux permettant aux humains de surveiller, comprendre et intervenir dans les sorties IA. Pour les systèmes de gestion des connaissances en entreprise, cela signifie garantir que les sorties générées par IA sont clairement présentées comme telles, que les citations de sources permettent la vérification, et que des procédures existent pour signaler et investiguer les sorties potentiellement incorrectes. Les architectures Glass Box AI qui fournissent des citations de sources pour chaque sortie sont naturellement alignées avec cette exigence — comme détaillé dans Glass Box AI et l'explicabilité.

Standards de précision et de robustesse. Les systèmes à haut risque doivent atteindre des niveaux appropriés de précision, de robustesse et de cybersécurité. Le règlement ne spécifie pas de seuils numériques — ceux-ci doivent être définis et documentés par l'opérateur en fonction du profil de risque de l'application.

Étape 4 : Constituer la documentation technique

Les systèmes IA à haut risque nécessitent une documentation technique qui doit être produite avant le déploiement et mise à jour tout au long du cycle de vie du système. Les exigences de documentation sont détaillées et spécifiques :

  • Description générale du système IA et de son usage prévu
  • Description de l'architecture du système, incluant les composants et les flux de données
  • Spécifications des données d'entraînement, de validation et de test
  • Changements prédéterminés que le système peut effectuer de manière autonome
  • Documentation du système de gestion des risques
  • Mesures de mise en œuvre de la supervision humaine
  • Métriques de performance et spécifications de précision
  • Mesures de cybersécurité

Pour les systèmes IA privés déployés on-premise avec des architectures de récupération avec citation, la tâche de documentation est significativement plus simple que pour les déploiements cloud IA. La chaîne de dépendances est plus courte, les flux de données sont plus contenus, et les mécanismes d'auditabilité (citations de sources, journaux de requêtes sous contrôle organisationnel) sont directement documentables. C'est un avantage concret de conformité du déploiement d'IA souveraine.

Étape 5 : Enregistrer les systèmes à haut risque

Les systèmes IA à haut risque doivent être enregistrés dans la base de données IA de l'UE avant leur déploiement. L'obligation d'enregistrement s'applique aux fournisseurs (développeurs et déployeurs qui mettent des systèmes sur le marché) plutôt qu'à chaque entreprise qui utilise un système IA.

Dans la plupart des cas, les entreprises utilisant des plateformes IA commercialement disponibles sont des utilisateurs, pas des fournisseurs, et les obligations d'enregistrement incombent au fournisseur. Cependant, les entreprises qui développent des systèmes IA en interne, qui affinent des modèles de base pour des applications spécifiques, ou qui déploient des systèmes IA pour une utilisation par des tiers (y compris des clients ou des partenaires) sont probablement des fournisseurs et font face à des obligations d'enregistrement.

Étape 6 : Surveillance continue et déclaration d'incidents

La conformité n'est pas satisfaite au déploiement. Le règlement exige une surveillance continue des systèmes IA à haut risque avec des plans de surveillance post-marché documentés. Cela comprend :

  • La collecte active de données sur les performances du système en production
  • La révision périodique du système de gestion des risques
  • La déclaration des incidents graves aux autorités de surveillance du marché
  • Les mises à jour de la documentation technique lorsque le système change matériellement

Les incidents graves — incluant les défaillances de systèmes IA causant des décès, des dommages graves ou matériels, et des violations des droits fondamentaux — doivent être signalés aux autorités nationales dans des délais spécifiques. Les entreprises doivent intégrer la réponse aux incidents IA dans leurs processus plus larges de gestion des incidents.

Intersection avec RGPD, DORA et NIS2

L'EU AI Act ne remplace pas le RGPD, DORA ou NIS2. Il opère parallèlement à eux, créant un paysage de conformité où l'IA en entreprise doit satisfaire plusieurs cadres qui se chevauchent.

RGPD. Les systèmes IA qui traitent des données personnelles doivent simultanément satisfaire les obligations RGPD. Les exigences de documentation de l'EU AI Act se chevauchent avec, mais ne remplacent pas, les exigences d'Analyse d'Impact sur la Protection des Données (AIPD) du RGPD pour les traitements à haut risque. Cartographier les deux cadres pour chaque système IA afin d'identifier les obligations qui se recoupent et celles qui s'ajoutent.

DORA. Pour les entités financières, les exigences de l'EU AI Act pour les systèmes à haut risque interagissent avec les obligations de gestion du risque TIC de DORA. Les systèmes IA utilisés dans le trading, l'évaluation du crédit ou le service client dans les institutions financières font probablement face à des exigences au titre des deux cadres. Les exigences de gestion des risques tiers de DORA ajoutent un examen des relations avec les fournisseurs IA que les exigences de conformité de l'EU AI Act couvrent également — comme analysé dans DORA 2025 et l'infrastructure IA.

NIS2. Les opérateurs d'infrastructures critiques font face à des obligations de cybersécurité NIS2 qui englobent les systèmes IA utilisés dans les opérations critiques. Les exigences de cybersécurité de l'EU AI Act pour les systèmes à haut risque s'alignent avec, mais ne remplacent pas, les exigences de NIS2.

Checklist de conformité : 10 points de contrôle

  1. Inventaire IA complet : tous les systèmes IA dans toutes les fonctions métier documentés
  2. Classification de risque appliquée : chaque système classifié selon le cadre à quatre niveaux du règlement
  3. Systèmes à haut risque identifiés : liste des systèmes nécessitant un programme de conformité complet
  4. Applications interdites confirmées absentes : aucune pratique IA interdite en usage
  5. Documentation technique préparée : dossier de documentation complet pour chaque système à haut risque
  6. Système de gestion des risques en place : processus continu d'identification et d'atténuation des risques
  7. Mécanismes de supervision humaine implémentés : contrôles techniques et procéduraux
  8. Évaluation de conformité réalisée : pour les systèmes à haut risque nécessitant une évaluation tierce
  9. Enregistrement effectué : systèmes à haut risque enregistrés dans la base de données IA de l'UE si requis
  10. Surveillance post-marché active : collecte et révision continues des données de performance

Questions fréquentes

Quand le règlement IA européen s'applique-t-il aux entreprises ?

L'EU AI Act s'applique par phases. Les interdictions de pratiques ont pris effet en août 2024. Les exigences pour les modèles d'IA à usage général s'appliquent à partir d'août 2025. Les obligations pour les systèmes IA à haut risque dans la plupart des catégories s'appliquent à partir d'août 2026. Les entreprises doivent être en préparation active de conformité dès maintenant, car les exigences de documentation et de gouvernance pour les systèmes à haut risque nécessitent un temps de préparation significatif.

Qu'est-ce qu'un système IA à haut risque selon l'EU AI Act ?

La classification à haut risque s'applique aux systèmes IA utilisés dans des domaines spécifiques : identification biométrique, gestion des infrastructures critiques, décisions d'accès à l'éducation, décisions d'emploi, accès aux services essentiels (crédit, assurance), application de la loi, gestion des migrations et décisions judiciaires. La classification considère à la fois la catégorie du cas d'usage et si la sortie de l'IA détermine directement un résultat ou informe une décision humaine.

L'EU AI Act s'applique-t-il aux systèmes IA à usage interne ?

Oui. Les obligations de l'EU AI Act s'appliquent que les systèmes IA soient des produits commerciaux ou des outils internes. Les entreprises qui développent des systèmes IA pour leur propre usage et les déploient à des fins conséquentes font face à des obligations de fournisseur si ces systèmes satisfont les critères de haut risque. Cependant, la distinction fournisseur/utilisateur signifie que les entreprises utilisant des plateformes IA achetées commercialement font principalement face aux obligations des utilisateurs plutôt que des fournisseurs — ce qui est significativement moins contraignant mais nécessite quand même gouvernance et surveillance.

Comment l'EU AI Act affecte-t-il les fournisseurs IA qui vendent en Europe ?

Les fournisseurs IA vendant des systèmes IA à haut risque aux entreprises européennes font face à des obligations de fournisseur : documentation technique, évaluation de conformité, marquage CE (si requis) et enregistrement dans la base de données IA de l'UE. Les acheteurs en entreprise européens devraient exiger que les fournisseurs démontrent leur conformité et fournissent la documentation de leurs évaluations de conformité. La conformité du fournisseur devient une exigence d'achat.

Pour découvrir comment l'architecture Glass Box AI de Scabera simplifie la documentation de conformité EU AI Act pour la gestion des connaissances en entreprise, demandez une démonstration.

See Scabera in action

Book a demo to see how Scabera keeps your enterprise knowledge synchronized and your AI trustworthy.

Book a demo