AccueilAI Act 2026Checklist conformité

Checklist · Spoke 1/3

Checklist conformité AI Act — 30 points opérationnels pour entreprises françaises

Cette checklist détaillée vient compléter le guide AI Act. Elle est conçue comme un outil d'auto-évaluation : pour chaque ligne, vous savez immédiatement où vous en êtes et ce qu'il reste à faire. Utilisable à partir de 5 salariés, scalable jusqu'à un grand groupe.

Faire l'audit complet par IAPRO Retour au guide

Comment lire cette checklist

Pour chaque point, attribuez 0, 1 ou 2 : 0 = non fait / non documenté, 1 = en cours / partiel, 2 = fait et documenté. Total maximum : 60 points. Lecture des scores en bas de page.

Phase 1 — Cartographie (8 points)

Avant toute action, vous devez savoir ce que vous avez. Sans inventaire, pas de conformité possible.

  • 1.1. Recensement de tous les outils IA validés par la DSI (logiciels SaaS, modules IA dans ERP/CRM, agents conversationnels).
  • 1.2. Recensement de la « shadow AI » : sondage interne anonymisé sur les outils IA grand public utilisés (ChatGPT, Copilot, Gemini, Claude, Mistral, Notion AI, Midjourney…).
  • 1.3. Description fonctionnelle de chaque usage : finalité, données traitées, services concernés, niveau d'autonomie de la décision.
  • 1.4. Identification du rôle pour chaque usage : fournisseur, déployeur, distributeur, importateur (référence aux art. 3 et 25 du règlement).
  • 1.5. Identification des sous-traitants IA (au sens RGPD) et de la chaîne contractuelle.
  • 1.6. Volume d'usage : nombre d'utilisateurs, fréquence, criticité métier.
  • 1.7. Localisation des modèles et données : cloud public (USA), cloud souverain européen, on-premise. Implication sur la conformité RGPD croisée.
  • 1.8. Registre formalisé, à jour, accessible aux personnes concernées dans l'organisation.

Phase 2 — Classification (4 points)

  • 2.1. Pour chaque usage : vérification croisée avec l'article 5 (pratiques interdites). Mise à l'arrêt si correspondance avérée.
  • 2.2. Vérification croisée avec l'annexe III (8 domaines haut risque). Documentation du raisonnement de classification.
  • 2.3. Identification des cas « risque limité » (chatbots, IA générative, deepfakes) avec obligation de transparence art. 50.
  • 2.4. Validation de la grille de classification par un référent IA désigné (interne ou externe).

Phase 3 — Formation art. 4 (4 points)

L'obligation de « maîtrise de l'IA » est applicable depuis le 2 août 2026 à toutes les organisations qui déploient l'IA, sans distinction de taille.

  • 3.1. Identification des publics à former : utilisateurs métiers, encadrement, décideurs, équipes techniques. Calibrage différencié.
  • 3.2. Programme de formation initiale : compétences attendues, durée, modalités (présentiel, e-learning, mixte).
  • 3.3. Plan de formation continue (au moins une mise à jour annuelle, plus fréquente sur les usages haut risque).
  • 3.4. Preuves de formation conservées (feuilles d'émargement, attestations, complétion e-learning) — opposables en cas de contrôle.

Phase 4 — Transparence art. 50 (4 points)

  • 4.1. Étiquetage clair des chatbots et agents IA (« vous discutez avec une IA »).
  • 4.2. Marquage des contenus générés ou substantiellement modifiés par IA (texte, image, audio, vidéo).
  • 4.3. Mention des usages IA dans les CGU, politiques de confidentialité, mentions légales.
  • 4.4. Pour les deepfakes utilisés dans un contexte commercial : marquage visible et machine-readable.

Phase 5 — Haut risque (6 points, si applicable)

Cette phase ne concerne que les usages classés haut risque. Elle est nettement plus lourde — comptez 3 à 6 mois selon la complexité.

  • 5.1. Système de gestion de la qualité (art. 17) — politique, procédures, responsabilités.
  • 5.2. Documentation technique complète selon annexe IV (description du système, données, performances, gestion des risques, journalisation, surveillance humaine, cybersécurité).
  • 5.3. Gouvernance des données d'entraînement : représentativité, pertinence, absence de biais ; documentation associée.
  • 5.4. Plan de surveillance humaine effective (art. 14) : qui supervise, comment, à quelle fréquence, niveau de compétence requis.
  • 5.5. Analyse d'impact sur les droits fondamentaux (FRIA) pour le secteur public et certains secteurs privés.
  • 5.6. Évaluation de conformité par organisme notifié si vous êtes fournisseur. Marquage CE et enregistrement dans la base européenne.

Phase 6 — Gouvernance et articulation RGPD (4 points)

  • 6.1. Référent IA désigné (souvent DPO ou RSSI). Mission, périmètre, autorité documentés.
  • 6.2. Politique IA interne (charte d'usage) signée par les collaborateurs concernés.
  • 6.3. Registre RGPD à jour incluant les traitements IA. AIPD réalisée si applicable (haut risque ou volume significatif de données).
  • 6.4. Processus d'incident grave : qui détecte, qui notifie au fournisseur et à l'autorité, dans quels délais.

Lecture du score

0-15 points

Risque réglementaire élevé. Mise en conformité prioritaire à entamer immédiatement. Audit IAPRO recommandé.

16-30 points

Démarche engagée mais incomplète. Vous avez les bases. Reste à formaliser et documenter.

31-45 points

Bon niveau. Renforcement nécessaire principalement sur la documentation et le monitoring.

46-60 points

Excellente maturité. Vous êtes prêt pour un contrôle. Maintenez le dispositif vivant (formation continue, mise à jour annuelle).

Vous voulez un audit complet ?

IAPRO réalise un audit AI Act complet en 1 à 3 jours et vous remet un rapport opposable, un plan d'action priorisé et un chiffrage des aides mobilisables.

Demander mon audit

Liens utiles