Conformité au règlement IA de l'UE : 8 étapes avant août 2026
La conformité au règlement IA de l'UE exige des organisations qu'elles inventorient tous les systèmes d'IA, les classifient par niveau de risque selon l'Art. 6 et l'Annexe III, mettent en place des systèmes de gestion des risques (Art. 9), établissent une gouvernance des données (Art. 10), créent une documentation technique (Art. 11), conçoivent une supervision humaine (Art. 14), complètent des évaluations de conformité (Art. 43) et enregistrent les systèmes à haut risque dans la base de données de l'UE (Art. 49) — le tout avant le 2 août 2026. Avec des amendes pouvant atteindre 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial pour les pratiques interdites et 15 millions d'euros ou 3 % pour les violations à haut risque, la Commission européenne estime les coûts de conformité à 6 000–7 500 € par système d'IA à haut risque. Pourtant, selon une enquête Deloitte 2025, seulement 29 % des organisations européennes ont commencé une préparation structurée au règlement IA.
Ce guide fournit une feuille de route d'implémentation pratique, étape par étape, avec des calendriers, des estimations de coûts et des livrables concrets pour chaque étape.
Effectuez l'évaluation gratuite de préparation à l'AI Act pour comprendre votre point de départ.
Avant de commencer : Vérification de la réalité du calendrier
Avec environ 3,5 mois avant l'échéance du 2 août 2026, voici un calendrier d'implémentation réaliste :
| Étape | Durée | Début recommandé |
|---|---|---|
| 1. Inventaire des systèmes d'IA | 2–3 semaines | Immédiatement |
| 2. Classification des risques | 2–3 semaines | Semaine 3 |
| 3. Vérification des pratiques interdites | 1 semaine | Semaine 5 |
| 4. Système de gestion des risques | 4–6 semaines | Semaine 6 |
| 5. Gouvernance des données | 3–4 semaines | Semaine 6 (parallèle) |
| 6. Documentation technique | 4–6 semaines | Semaine 10 |
| 7. Évaluation de la conformité | 2–4 semaines | Semaine 14 |
| 8. Enregistrement et surveillance | 1–2 semaines | Semaine 16 |
Durée totale estimée : 16–18 semaines (4–4,5 mois). Si vous n'avez pas encore commencé, la fenêtre se ferme rapidement.
Étape 1 : Inventorier tous les systèmes d'IA
Objectif : Créer un inventaire complet et précis de chaque système d'IA que votre organisation développe, déploie ou utilise.
Pourquoi c'est important : Vous ne pouvez pas classifier ce que vous ne pouvez pas voir. Selon Gartner, 40 % des organisations ne peuvent pas dresser avec précision la liste de tous les systèmes d'IA qu'elles exploitent. L'IA fantôme — les systèmes adoptés par des équipes individuelles sans supervision centralisée — est le plus grand angle mort en matière de conformité.
Ce qu'il faut documenter pour chaque système :
- Nom du système et version
- Fournisseur (interne ou tiers)
- Objectif et utilisation prévue
- Données en entrée et en sortie
- Contexte de déploiement (quelle unité commerciale, quelle géographie)
- Portée décisionnelle (consultatif vs. autonome)
- Nombre de personnes concernées
Livrable : Registre des systèmes d'IA — un document vivant qui constitue le fondement de toutes les activités de conformité ultérieures.
Estimation des coûts : 2 000–5 000 € (effort interne) ou 5 000–15 000 € (avec soutien externe).
Écueil fréquent : Se concentrer uniquement sur les modèles ML. La définition d'un « système d'IA » dans le règlement (Art. 3(1)) couvre les approches d'apprentissage automatique, les systèmes basés sur la logique et les approches statistiques. Assurez-vous que votre inventaire capture l'IA basée sur des règles, les systèmes experts et les outils de prise de décision automatisée aux côtés des réseaux neuronaux.
Étape 2 : Classifier chaque système par niveau de risque
Objectif : Déterminer à quel niveau de risque chaque système d'IA appartient selon les Art. 5–7 et l'Annexe III.
Le cadre de classification :
| Niveau de risque | Déclencheur | Obligation |
|---|---|---|
| Interdit (Art. 5) | Notation sociale, manipulation subliminale, reconnaissance des émotions au travail/à l'école | Doit être arrêté |
| Haut risque (Art. 6, Annexe III) | IA en biométrie, infrastructure critique, éducation, emploi, services essentiels, forces de l'ordre, migration, justice | Conformité complète Art. 9–15 |
| Risque limité (Art. 50) | Chatbots, deepfakes, reconnaissance des émotions, catégorisation biométrique | Divulgation de transparence |
| Risque minimal | Tout le reste | Culture IA uniquement |
Points de décision clés :
- Le système relève-t-il d'une interdiction Art. 5 ? → Si oui, cesser immédiatement.
- Le système est-il répertorié en Annexe III ou est-il un composant de sécurité d'un produit Annexe I ? → Si oui, haut risque.
- L'exemption Art. 6(3) s'applique-t-elle ? → Le système n'est pas à haut risque s'il ne pose pas de risque significatif de préjudice, n'influence pas matériellement la prise de décision et n'est pas utilisé pour profiler des personnes.
- Le système interagit-il avec des personnes ou génère-t-il du contenu ? → Si oui, vérifier les obligations de transparence Art. 50.
Livrable : Registre de classification des risques avec justification documentée pour chaque décision de classification.
Estimation des coûts : 3 000–8 000 € selon la taille du portefeuille d'IA.
Étape 3 : Vérifier les pratiques interdites
Objectif : Vérifier qu'aucun système d'IA dans votre portefeuille ne viole les interdictions Art. 5.
Cette étape est urgente : Les pratiques interdites sont bannies depuis le 2 février 2025. Si vous exploitez encore une IA interdite, vous êtes déjà en infraction avec une exposition de 35 millions d'euros ou 7 % du chiffre d'affaires.
Liste de contrôle des interdictions Art. 5 :
- Aucun système d'IA n'utilise de techniques subliminales pour manipuler le comportement causant un préjudice
- Aucun système de notation sociale n'est utilisé
- Aucune identification biométrique en temps réel dans les espaces publics (sauf si l'exception étroite de forces de l'ordre s'applique)
- Aucun système n'exploite les vulnérabilités de groupes spécifiques (âge, handicap, situation économique)
- Aucune reconnaissance des émotions dans les lieux de travail ou établissements d'enseignement (sauf à des fins médicales ou de sécurité)
- Aucune collecte non ciblée d'images de visages pour des bases de données de reconnaissance
- Aucune catégorisation biométrique par attributs sensibles
- Aucune police prédictive basée uniquement sur le profilage
Livrable : Certificat de conformité Art. 5 — une validation formelle confirmant qu'aucune pratique interdite n'est utilisée.
Étape 4 : Mettre en place des systèmes de gestion des risques (Art. 9)
Objectif : Construire un système de gestion des risques continu et itératif pour chaque système d'IA à haut risque.
L'Art. 9 exige quatre phases :
- Identification des risques : Identifier les risques connus et raisonnablement prévisibles découlant de l'utilisation prévue et de l'utilisation abusive prévisible
- Analyse des risques : Estimer la probabilité et la gravité de chaque risque identifié
- Évaluation des risques : Déterminer si les risques résiduels sont acceptables au regard des avantages
- Atténuation des risques : Mettre en œuvre des mesures techniques et organisationnelles pour réduire les risques
Exigences clés :
- Le système de gestion des risques doit couvrir le cycle de vie entier de l'IA — conception, développement, déploiement et post-commercialisation
- Il doit être régulièrement mis à jour sur la base des données de surveillance post-commercialisation
- Des tests doivent valider que les risques résiduels sont acceptables (Art. 9(7))
- Les tests doivent être effectués par rapport à des métriques définies au préalable appropriées à l'objectif du système
Livrable : Plan de gestion des risques par système d'IA à haut risque, incluant le registre des risques, les mesures d'atténuation et les protocoles de test.
Estimation des coûts : 6 000–7 000 € par système (estimation de la Commission européenne).
Étape 5 : Établir la gouvernance des données (Art. 10)
Objectif : S'assurer que les ensembles de données d'entraînement, de validation et de test répondent aux exigences de qualité du règlement.
L'Art. 10 impose :
- Qualité, pertinence et représentativité des données
- Examen des biais potentiels, notamment concernant les caractéristiques protégées
- Propriétés statistiques appropriées pour le cadre géographique, comportemental ou fonctionnel visé
- Identification et remédiation des lacunes de données
- Garanties pour les données personnelles lorsque la surveillance des biais l'exige
Mise en œuvre pratique :
- Documenter la provenance de tous les ensembles de données d'entraînement
- Mettre en place des contrôles de qualité des données (complétude, exactitude, cohérence)
- Effectuer des analyses de biais sur les caractéristiques protégées (sexe, âge, origine, handicap)
- Valider que les ensembles de données sont représentatifs de la population cible
- Établir le versionnage des données et le suivi de la traçabilité
Livrable : Cadre de gouvernance des données avec métriques de qualité, rapports sur les biais et documentation des ensembles de données.
Étape 6 : Créer la documentation technique (Art. 11, Annexe IV)
Objectif : Préparer une documentation technique complète pour chaque système d'IA à haut risque avant sa mise sur le marché.
L'Annexe IV exige une documentation couvrant :
- Description générale (objectif, développeur, version, architecture du système)
- Description détaillée des éléments et du processus de développement
- Mécanismes de surveillance, de fonctionnement et de contrôle
- Informations sur le système de gestion des risques
- Pratiques de gouvernance des données et descriptions des ensembles de données
- Métriques utilisées pour mesurer l'exactitude, la robustesse et la cybersécurité
- Métriques de performance déterminées a priori
- Description des mesures de supervision humaine
- Durée de vie prévue et procédures de maintenance
La documentation doit :
- Être préparée avant la mise sur le marché du système
- Être maintenue à jour tout au long du cycle de vie du système
- Être disponible pour les autorités nationales compétentes sur demande
Livrable : Package de documentation technique Annexe IV par système à haut risque.
Estimation des coûts : 2 000–5 000 € par système (nettement moins avec des outils de documentation automatisée).
Matproof automatise la génération de documentation Annexe IV — découvrez comment cela fonctionne.
Étape 7 : Compléter l'évaluation de la conformité (Art. 43)
Objectif : Démontrer que votre système d'IA à haut risque répond à toutes les exigences applicables.
Deux voies existent :
| Voie | Applicable à | Processus |
|---|---|---|
| Auto-évaluation (Annexe VI) | La plupart des systèmes à haut risque | Audit interne du système de management de la qualité |
| Évaluation tierce (Annexe VII) | Identification biométrique pour les forces de l'ordre | Évaluation par un organisme notifié |
La Commission européenne estime que 85 % des systèmes d'IA à haut risque suivront la voie d'auto-évaluation.
Étapes d'auto-évaluation :
- Vérifier la conformité du système de management de la qualité (Art. 17)
- Évaluer la complétude de la documentation technique (Annexe IV)
- Vérifier que toutes les exigences Art. 9–15 sont satisfaites
- Préparer la Déclaration UE de conformité (Annexe V)
- Apposer le marquage CE
- S'enregistrer dans la base de données UE (Art. 49)
Livrable : Déclaration UE de conformité + documentation du marquage CE.
Estimation des coûts : 3 000–7 500 € par système (estimation de la Commission européenne).
Étape 8 : Enregistrer et mettre en place une surveillance continue
Objectif : Enregistrer les systèmes à haut risque et établir des processus de conformité continus.
Enregistrement (Art. 49) :
- Enregistrer chaque système d'IA à haut risque dans la base de données UE avant sa mise sur le marché
- Inclure la description du système, l'utilisation prévue, les résultats de l'évaluation de conformité et les informations de contact
- Maintenir les informations d'enregistrement à jour
Surveillance post-commercialisation (Art. 72) :
- Établir un système de surveillance post-commercialisation proportionné
- Collecter et analyser des données sur les performances du système d'IA dans des conditions réelles
- Documenter et analyser les incidents graves
Signalement des incidents graves (Art. 73) :
- Signaler les incidents entraînant des décès, des dommages graves à la santé, des perturbations des infrastructures critiques ou des atteintes graves aux droits fondamentaux
- Délai de signalement : dans les 15 jours suivant la prise de connaissance de l'incident
Livrable : Plan de surveillance post-commercialisation + Procédure de réponse aux incidents.
Résumé des coûts
| Étape | Coût estimé par système |
|---|---|
| Inventaire des systèmes d'IA | 2 000–5 000 € (une fois) |
| Classification des risques | 3 000–8 000 € (une fois) |
| Vérification des pratiques interdites | 1 000–2 000 € (une fois) |
| Système de gestion des risques | 6 000–7 000 € |
| Gouvernance des données | 3 000–6 000 € |
| Documentation technique | 2 000–5 000 € |
| Évaluation de conformité | 3 000–7 500 € |
| Enregistrement et surveillance | 1 000–3 000 €/an |
| Total (première année) | 21 000–43 500 € par système à haut risque |
Les organisations avec 5 à 10 systèmes d'IA à haut risque devraient budgétiser 100 000–400 000 € pour la conformité. Les outils d'automatisation comme Matproof peuvent réduire cela de 40 à 70 %.
Foire aux questions
Combien de temps dure la conformité au règlement IA de l'UE ?
Pour une organisation qui part de zéro, prévoyez 4 à 6 mois pour un programme de conformité complet couvrant l'inventaire, la classification, la gestion des risques, la documentation et l'évaluation de conformité. Les organisations disposant de cadres GRC existants peuvent souvent finaliser en 2 à 3 mois.
Ai-je besoin d'une évaluation de conformité pour chaque système d'IA ?
Non — uniquement pour les systèmes d'IA à haut risque classifiés selon l'Art. 6 et l'Annexe III. Les systèmes à risque minimal et limité ne nécessitent pas d'évaluations de conformité. La Commission européenne estime que seulement 15 % des systèmes d'IA dans l'UE seront classifiés à haut risque.
Puis-je commencer la mise en conformité après le 2 août 2026 ?
Le règlement ne prévoit pas de période de grâce. À partir du 2 août 2026, toutes les exigences relatives aux IA à haut risque sont applicables. Les systèmes déjà sur le marché doivent se conformer. Les nouveaux systèmes ne peuvent pas être mis sur le marché sans évaluation de conformité complète.
Que faire si mon système d'IA est fourni par un tiers ?
En tant que déployeur, vous avez des obligations distinctes en vertu de l'Art. 26 — notamment utiliser le système conformément aux instructions du fournisseur, mettre en place une supervision humaine, surveiller l'exploitation du système et signaler les incidents. Vous n'avez pas besoin de répéter l'évaluation de conformité du fournisseur, mais vous devez vérifier qu'il en a complété une.
Y a-t-il une différence entre la conformité au règlement IA de l'UE et la certification ISO 42001 ?
Oui. ISO 42001 est une norme volontaire de système de management de l'IA. La conformité au règlement IA de l'UE est une exigence légale avec des sanctions exécutoires. La certification ISO 42001 peut soutenir votre dossier de conformité mais ne la garantit pas — le règlement IA a des exigences spécifiques (évaluations de conformité, marquage CE, enregistrement dans la base de données UE) qui vont au-delà d'ISO 42001.