03.04 · Gouverner
Se conformer à l’AI Act
L’AI Act européen impose des obligations d’exécution, pas seulement des principes. Sans inventaire des usages IA, aucune des cinq obligations n’est satisfiable.
L’AI Act n’est pas un sujet juridique
Beaucoup d’organisations ont reçu l’AI Act comme un dossier confié à la direction juridique. C’est une erreur de cadrage. L’AI Act impose des obligations opérationnelles qui pèsent sur la DSI : inventaire des systèmes d’IA, classification par niveau de risque, documentation technique, supervision humaine, traçabilité des décisions. La direction juridique cadre, la DSI exécute.
Quatre niveaux de risque — et le piège du classement par défaut
L’AI Act classe les systèmes d’IA en quatre catégories selon leur risque pour les droits fondamentaux. Connaître la classification ne suffit pas : le vrai sujet est de savoir où se logent les cas d’usage de votre entreprise.
La majorité des cas d’usage en entreprise tombent dans "risque limité" (transparence) ou "minimal" (rien). Le piège : un usage en apparence anodin — par exemple un screening RH automatisé — peut basculer en "risque élevé" et déclencher des obligations lourdes que personne n’a anticipées. La classification se fait par cas d’usage, pas par outil.
Cinq obligations concrètes pour la DSI
Registre des usages IA
Pour chaque outil : finalité, classification, données traitées, responsable nommé, mesures de supervision.
Documentation des risques élevés
Dossier technique complet : entraînement, tests, biais, plan de supervision. Conservation 10 ans.
Supervision humaine effective
Pour les décisions à fort impact (RH, crédit, accès aux soins), l’humain doit pouvoir intervenir, comprendre et rejeter.
Information des utilisateurs finaux
Lorsqu'un système d'IA interagit avec une personne, information explicite obligatoire (interne comme externe).
Évaluation pré-déploiement
Avant toute mise en production : classification du risque et analyse d'impact. À intégrer au comité de portefeuille.
Une démarche pragmatique : commencer par construire le registre des usages (étape 1), classifier les dix usages les plus exposés (étape 2), et formaliser le processus d’évaluation pré-déploiement (étape 5). Les deux autres étapes — supervision humaine et information des utilisateurs — se déduisent naturellement une fois le registre établi.
Pourquoi commencer maintenant, même sans risque élevé
Beaucoup de DSI considèrent que l’AI Act ne les concerne pas tant qu’ils n’ont pas d’usage à risque élevé. C’est une lecture courte — et coûteuse. Deux raisons indépendantes du contenu réglementaire rendent la démarche urgente.
Le risque contractuel précède le risque légal. Les grands donneurs d’ordre intègrent déjà l’AI Act dans leurs questionnaires fournisseurs. Si vous vendez à un grand groupe, un ministère ou une institution européenne, on vous demandera votre registre IA d’ici fin 2026 — bien avant que la moindre sanction publique tombe.
L’inventaire prend du temps à construire. Six à douze mois pour une organisation sans démarche préalable. Mieux vaut commencer dans le calme que dans l’urgence d’une demande client.
Ce qu’il faut retenir
- L’AI Act est un sujet d’exécution DSI, pas un sujet juridique. Sans inventaire des usages IA, aucune obligation n’est satisfiable.
- Quatre niveaux de risque, mais la classification se fait par cas d’usage, pas par outil. Un outil banal peut tomber en risque élevé selon l’usage qu’on en fait.
- Le risque contractuel précède le risque légal. Les questionnaires fournisseurs vous demanderont votre registre IA avant que la première sanction tombe.