Checklist de conformité à l'EU AI Act

Avant de commencer

Cette checklist vous aide à évaluer rapidement où en est votre organisation par rapport aux premières obligations de l’EU AI Act.

Elle ne remplace pas une analyse juridique complète, mais elle vous permet d’identifier les points d’attention les plus urgents :

- utilisez-vous déjà des systèmes d’IA ?

- vos collaborateurs disposent-ils d’une littératie en IA suffisante ?

- utilisez-vous des applications à haut risque ?

- avez-vous une gouvernance, une politique et des preuves documentées ?

Cochez honnêtement ce qui s’applique à votre organisation.

---

Étape 1 : rôle — êtes-vous déployeur, fournisseur, ou les deux ?

Question clé : votre organisation utilise-t-elle des systèmes d’IA dans un contexte professionnel ?

☐ Action : répondez aux questions suivantes :

- Utilisez-vous des outils comme ChatGPT, Copilot, Gemini, Claude ou d’autres outils d’IA dans le travail quotidien ?

- Utilisez-vous des fonctions d’IA dans des logiciels existants, comme un CRM, un ATS, une suite bureautique ou un chatbot ?

- Avez-vous adapté, finetuné ou commercialisé un système d’IA sous votre propre nom ?

### Interprétation

- Si vous utilisez simplement un système d’IA dans votre organisation, vous êtes généralement déployeur.

- Si vous avez modifié un système de manière substantielle, effectué un finetuning ou mis un système sur le marché sous votre propre nom, vous pouvez aussi être fournisseur.

- Beaucoup d’organisations sont déployeur sans en avoir conscience.

Résultat : si vous êtes déployeur — et c’est le cas de la plupart des organisations — vous avez déjà des obligations au titre de l’EU AI Act. Passez à l’étape 2.

---

Étape 2 : article 4 — le quick win le plus rapide

Question clé : vos collaborateurs disposent-ils d’un niveau suffisant de littératie en IA ?

☐ Action : répondez honnêtement à ces trois questions :

### Interprétation

Si vous répondez « non » ou « je ne sais pas » à l’une de ces questions, la littératie en IA est votre première priorité. C’est l’obligation applicable depuis le 2 février 2025.

Pourquoi c’est un quick win : vous pouvez commencer aujourd’hui. Une formation ciblée de 20 à 30 minutes par collaborateur améliore déjà fortement la position de votre organisation.

---

Étape 3 : cartographie des risques — que faisons-nous réellement avec l’IA ?

Question clé : quels systèmes d’IA sont utilisés dans votre organisation, et dans quelle catégorie de risque tombent-ils ?

☐ Action : établissez un inventaire de tous les systèmes d’IA utilisés :

| Système d’IA | Fournisseur | Utilisé par | Usage | Classe de risque |

|---|---|---|---|---|

| Exemple : Copilot | Microsoft | Tous les collaborateurs | E-mails, documents | Risque minimal |

| Exemple : outil ATS | Fournisseur X | RH | Tri de CV | Haut risque |

### Classes de risque selon l’EU AI Act

Attention : n’oubliez pas l’IA « non officielle ». Comptes gratuits ChatGPT, extensions IA dans le navigateur, fonctions IA activées automatiquement dans des logiciels existants : tout cela relève aussi de votre responsabilité en tant qu’employeur.

---

Étape 4 : contrôle haut risque

Question clé : votre organisation utilise-t-elle l’IA pour l’un des objectifs suivants ?

☐ Action : cochez ce qui s’applique :

- ☐ recrutement, sélection ou évaluation de collaborateurs

- ☐ octroi d’allocations, de subventions ou de permis

- ☐ évaluation ou admission dans l’enseignement

- ☐ diagnostic médical ou triage

- ☐ évaluation de solvabilité ou d’assurance

- ☐ application de la loi ou contrôle aux frontières

- ☐ gestion d’infrastructures critiques (énergie, eau, transport)

### Interprétation

Si vous avez coché au moins un point, vous utilisez probablement un système d’IA à haut risque. Cela implique des obligations supplémentaires : supervision humaine, évaluation des risques, transparence envers les personnes concernées, et exigences spécifiques de journalisation.

Ces collaborateurs ont besoin d’une formation d’approfondissement.

Attention : les exigences renforcées pour les systèmes à haut risque s’appliquent à partir du 2 août 2026. C’est beaucoup plus proche qu’on ne le pense souvent.

### Reconnaissez-vous votre secteur ?

AIAdopt propose des modules d’approfondissement sectoriels pour quatre secteurs à haut risque particulièrement fréquents :

---

Étape 5 : gouvernance — qui est responsable de l’IA ?

Question clé : y a-t-il une personne clairement responsable de la politique IA dans votre organisation ?

☐ Action : répondez aux questions suivantes :

- Une personne responsable ou propriétaire de l’IA a-t-elle été désignée ?

- Existe-t-il une politique d’usage responsable de l’IA (Acceptable Use Policy) ?

- Cette politique a-t-elle été communiquée à tous les collaborateurs ?

- Vérifiez-vous périodiquement si cette politique est respectée ?

Le plus grand risque n’est pas le hacker, mais le collaborateur avec un compte gratuit ChatGPT. Sans politique claire, chaque usage de l’IA devient un risque potentiel. Une Acceptable Use Policy ne doit pas être un document lourd : deux pages avec des règles claires font déjà une énorme différence.

---

Étape 6 : shadow AI — le risque invisible

Question clé : savez-vous quels outils d’IA vos collaborateurs utilisent réellement ?

☐ Action : vérifiez s’il existe du shadow AI :

- des outils d’IA sont-ils utilisés sans approbation de l’IT ?

- des collaborateurs ont-ils créé eux-mêmes des comptes sur des services d’IA ?

- des extensions de navigateur avec fonctions IA sont-elles utilisées ?

- des informations de l’organisation sont-elles partagées avec des outils d’IA publics ?

Conseil : le shadow AI est presque toujours un signal de besoin, pas de mauvaise volonté. Les collaborateurs cherchent des outils qui les aident. La bonne réponse n’est pas d’interdire, mais de canaliser : proposez des alternatives approuvées et fixez des règles claires.

---

Étape 7 : transparence — les personnes concernées savent-elles que l’IA intervient ?

Question clé : informez-vous les personnes lorsqu’un système d’IA joue un rôle dans une décision qui les concerne ?

☐ Action : vérifiez si votre organisation est transparente sur l’usage de l’IA :

- les candidats sont-ils informés si l’IA est utilisée dans la sélection ?

- les citoyens ou clients savent-ils si l’IA intervient dans une décision concernant leur demande ?

- votre site web indique-t-il clairement si un chatbot est piloté par l’IA ?

- les élèves ou étudiants sont-ils informés si l’IA participe à une évaluation ?

### Interprétation

L’EU AI Act impose la transparence. Les personnes ont le droit de savoir quand elles sont confrontées à l’IA. Dans les contextes à haut risque — par exemple un refus de candidature ou une décision négative liée à une allocation — la personne concernée doit en outre pouvoir obtenir une explication humaine et une réévaluation humaine. C’est une obligation souvent oubliée, alors qu’elle est centrale.

---

Étape 8 : preuve — pouvez-vous démontrer ce que vous faites ?

Question clé : pourriez-vous, lors d’un audit, démontrer sérieusement ce que votre organisation a mis en place en matière de littératie en IA ?

☐ Action : vérifiez si vous pouvez fournir les éléments suivants :

- ☐ un aperçu de qui a suivi quelle formation IA

- ☐ des certificats avec acquis par collaborateur

- ☐ un inventaire des systèmes d’IA avec classification des risques

- ☐ une Acceptable Use Policy pour l’IA

- ☐ une journalisation des décisions IA pour les usages à haut risque

### Pas un tigre de papier

Le but n’est pas d’accumuler des documents pour faire bonne figure. Il s’agit de démontrer une approche sérieuse. Un régulateur ou un auditeur regardera l’ensemble : avez-vous réfléchi, agi et documenté ?

Conseil pratique : vous n’avez pas besoin d’un logiciel complexe pour cela. Un aperçu central — même sous forme de feuille de calcul — avec le nom, le département, le rôle, les modules suivis, la date et le statut du certificat suffit souvent déjà pour démontrer une démarche structurée.

---

Score rapide : où en est votre organisation ?

### 0 à 2 cases cochées

Vous êtes probablement au tout début. Il faut commencer par l’inventaire et la littératie en IA.

### 3 à 5 cases cochées

Vous avez déjà une base, mais votre conformité reste fragile. Les priorités : politique, gouvernance et documentation.

### 6 à 8 cases cochées

Vous êtes sur la bonne voie. La priorité devient la consolidation : preuve, différenciation des formations et préparation des usages à haut risque.

---

Conclusion

L’EU AI Act n’attend pas que tout soit parfait. Mais il attend que les organisations prennent leurs responsabilités au sérieux.

Cette checklist vous donne un point de départ concret. Si vous avez identifié des lacunes, ce n’est pas une mauvaise nouvelle. C’est exactement ce qu’il faut pour passer à l’action.