AI Act : J-100 avant l'échéance d'août 2026 — le check-list haut risque que votre DJ ne vous a pas encore envoyé

AI Act haut risque entreprise conformité : où sont vraiment vos risques cachés

À moins de cent jours de l’échéance d’application des premières obligations, l’AI Act haut risque entreprise conformité n’est plus un sujet juridique abstrait. Pour un Chief Digital Officer, il devient un chantier d’organisation prioritaire qui engage la responsabilité sur chaque système d’intelligence artificielle déjà en production. Les cas d’usage RH, de scoring client ou de contrôle d’accès biométrique présentent un niveau de risque élevé, souvent sans que les équipes en aient une vision consolidée ni une cartographie des responsabilités.

Le règlement (UE) 2024/1689 sur l’intelligence artificielle, publié au Journal officiel de l’Union européenne du 12 juillet 2024, classe comme systèmes à haut risque, à l’article 6 et à l’annexe III, les usages d’IA qui impactent les droits fondamentaux, l’accès à l’emploi, au crédit ou aux services essentiels. Dans l’entreprise, cela vise typiquement les systèmes de gestion des talents (recrutement, mobilité interne, évaluation), les modèles de scoring de solvabilité, les systèmes haut risque de détection de fraude ou les dispositifs biométriques d’accès aux bâtiments. Chaque système haut risque doit être relié à l’annexe pertinente du règlement, avec une évaluation de conformité documentée, une analyse d’impact sur les risques et une mise en conformité actée dans la gouvernance.

Les six catégories les plus fréquentes en entreprise couvrent les ressources humaines, la biométrie, l’accès aux services essentiels, le scoring client, la gestion des risques opérationnels et certains systèmes de surveillance. Pour chacune, il faut analyser les données utilisées, les modèles d’usage et les niveaux de risque associés sur tout le cycle de vie, comme l’exige le chapitre III du texte (articles 9 à 15 sur la gestion des risques, la qualité des données et la transparence). L’AI Act haut risque entreprise conformité impose une évaluation de conformité structurée, une documentation technique exploitable (description du modèle, des jeux de données, des tests) et une déclaration de conformité prête à être présentée aux autorités ou aux organismes notifiés.

La plupart des organisations sous-estiment encore le risque lié aux systèmes d’intelligence artificielle intégrés dans des solutions SaaS ou des ERP. Un moteur de recommandation RH ou un module de scoring intégré dans un CRM peut être classé comme système haut risque, même si le fournisseur de modèles reste un tiers. Dans un cas concret de groupe de services de 5 000 salariés, un module de présélection de CV intégré à un ATS a été requalifié en système à haut risque : 18 mois de données de recrutement ont dû être ré-analysés, les critères de tri ajustés et un contrôle humain systématique ajouté avant toute décision de rejet automatique. Les CDO doivent donc exiger des fournisseurs de modèles et des éditeurs une documentation technique complète, une déclaration de conformité AI Act et des engagements contractuels clairs sur la gestion des risques.

Le Data Act (règlement (UE) 2023/2854), applicable progressivement depuis septembre 2025, renforce la pression en imposant des règles de partage des données non personnelles dans le cloud, ce qui complexifie la mise en conformité globale et la maîtrise des flux. L’art de la conformité ne se limite plus à un audit ponctuel mais à une architecture de systèmes et de données pensée pour le long terme, avec des politiques de gouvernance explicites. Dans ce contexte, l’AI Act haut risque entreprise conformité devient un levier pour assainir les systèmes de gestion, les flux de données et les pratiques de gouvernance autour de l’intelligence artificielle, en alignant sécurité juridique, performance opérationnelle et éthique numérique.

Cartographier en deux semaines et structurer la mise en conformité AI Act

Pour un CDO, la première urgence consiste à cartographier tous les systèmes d’intelligence artificielle en moins de deux semaines. La méthode la plus efficace reste un inventaire croisé entre DSI, métiers, achats et juridique, en ciblant les systèmes haut risque listés dans l’annexe III du règlement et les systèmes d’IA de gestion interne visés à l’article 6. Il faut distinguer les systèmes développés en interne, les modèles d’usage intégrés dans des solutions du marché et les services d’IA consommés via API, en précisant pour chacun le rôle de fournisseur, d’intégrateur ou d’utilisateur.

Cette cartographie doit qualifier pour chaque système le niveau de risque, la nature des données, le modèle d’usage et les obligations associées. Les systèmes haut risque nécessitent une évaluation de conformité formelle, un registre spécifique, une documentation technique détaillée et une notice d’information claire pour les utilisateurs. Les niveaux de risque doivent être tracés dans un registre central, avec une mise en conformité planifiée et des jalons précis pour chaque système de gestion concerné, par exemple identification, analyse d’impact, remédiation, validation et revue annuelle.

Les livrables obligatoires incluent une évaluation d’impact sur les risques liés à l’IA, un registre des systèmes, une documentation technique complète et une déclaration de conformité signée. Concrètement, le registre doit au minimum comporter l’identifiant du système, le propriétaire métier, la finalité, la catégorie de risque, la base juridique, les données utilisées, les fournisseurs impliqués, la date de dernière revue et le statut de conformité. À titre d’illustration, une fiche type de registre pour un ATS haut risque comprendra par exemple : « Système : ATS-Recrutement-Europe ; Finalité : présélection de candidatures ; Données : CV, lettres, scores de tests ; Fournisseur : éditeur SaaS X ; Catégorie AI Act : annexe III, 4 a) ; Prochaine revue : T4 2025 ; Statut : conformité partielle, plan d’actions en cours ».

Pour structurer cette mise en conformité, beaucoup d’entreprises mettent en place des bacs à sable réglementaires internes, de véritables bacs de sable régulatoires qui permettent de tester les modèles avant leur mise sur le marché. Ces espaces de test facilitent l’évaluation de conformité, la vérification des droits fondamentaux et la validation des niveaux de risque avant déploiement. Ils s’inspirent des lignes directrices publiées par la Commission européenne et des recommandations de la CNIL sur les systèmes d’IA, régulièrement mises à jour depuis 2021 pour intégrer les exigences du règlement.

La question du référent IA devient centrale pour piloter l’AI Act haut risque entreprise conformité au quotidien. Dans les grandes structures, le rattachement le plus efficace se situe souvent auprès du CDO, en articulation étroite avec le DPO et la DSI, pour garder une vision produit et non uniquement juridique. Dans les organisations plus petites, le référent peut être mutualisé avec la fonction conformité numérique, en s’appuyant sur des ressources externes spécialisées en conformité Act et en intelligence artificielle, notamment pour la revue des modèles les plus sensibles.

Intégrer la conformité au cycle produit plutôt qu’en audit final change profondément la manière de concevoir les systèmes. Les équipes produit doivent intégrer dès la phase de design les exigences de gestion des risques, de surveillance humaine, de qualité des données et de documentation technique. Un gabarit de dossier technique type inclura par exemple la description fonctionnelle, l’architecture, les sources de données, les métriques de performance, les tests de robustesse, les contrôles humains et les procédures d’incident. En annexe de ce dossier, une fiche technique standardisée peut détailler pour chaque modèle : version, date de mise en production, jeux de données d’entraînement, résultats de tests de non-discrimination, limites connues et plan de revue périodique.

Gouvernance, coûts réels et arbitrages stratégiques pour les CDO

Le coût de la mise en conformité AI Act dépend fortement de la taille de l’entreprise, du nombre de systèmes haut risque et de la maturité existante en conformité. Dans un groupe de plusieurs milliers de collaborateurs, la mise en conformité peut représenter plusieurs centaines de milliers d’euros sur deux ans, en combinant audit, renforcement des données, documentation technique et adaptation des modèles. Pour une ETI, un budget de l’ordre de quelques dizaines de milliers d’euros reste fréquent, surtout lorsque les fournisseurs de modèles assument une partie des obligations et fournissent déjà une documentation AI Act.

Pour limiter ces coûts, les CDO doivent industrialiser la démarche avec des modèles d’usage réutilisables, des gabarits de documentation et des processus d’évaluation de conformité standardisés. À titre indicatif, un portefeuille de dix systèmes à haut risque peut mobiliser environ 40 % du budget sur l’audit et la cartographie, 30 % sur la remédiation des données et l’ajustement des modèles, 20 % sur la production documentaire et 10 % sur la formation et la gouvernance. Dans un cas réel d’ETI industrielle, la mise en conformité d’un portefeuille de huit systèmes IA (dont trois classés haut risque) a représenté 180 000 € sur 24 mois, avec un gain estimé de 25 % sur le temps de traitement des audits internes grâce à la standardisation des dossiers techniques.

La mise en conformité doit être pensée comme un programme transverse, avec un système de gestion des risques IA, un registre centralisé et des processus de déclaration de conformité harmonisés. Les organismes notifiés interviendront surtout sur les systèmes les plus sensibles, présentant un risque majeur pour les droits fondamentaux, ce qui impose une préparation rigoureuse des dossiers.

La gouvernance doit aussi clarifier le rôle des fournisseurs de modèles et des intégrateurs dans la chaîne de responsabilité. Les contrats doivent préciser qui porte quelles obligations, comment sont gérées les données d’entraînement, quels sont les niveaux de risque acceptables et comment sont organisés les bacs à sable réglementaires partagés. Dans un retour d’expérience de secteur bancaire, la renégociation des contrats de scoring a permis de partager les obligations de tests de robustesse et de documentation, tout en gardant la responsabilité finale d’usage côté établissement. Pour structurer les compétences internes, un CDO peut s’appuyer sur des parcours de certification en IA reconnus, comme ceux analysés dans ce guide sur les meilleures certifications en intelligence artificielle, afin de renforcer l’expertise des équipes.

Les arbitrages stratégiques porteront sur le maintien, la refonte ou l’arrêt de certains systèmes haut risque jugés trop coûteux à mettre en conformité. Certains cas d’usage de scoring ou de surveillance devront être repensés pour réduire le niveau de risque, limiter les données sensibles ou renforcer la supervision humaine. L’AI Act haut risque entreprise conformité devient alors un filtre stratégique pour prioriser les investissements IA, en alignant les modèles d’usage avec les attentes du régulateur et les valeurs de l’entreprise, et en concentrant les ressources sur les systèmes à plus forte valeur ajoutée.

Pour garder une vision prospective, les CDO doivent suivre de près l’évolution des textes d’application, des lignes directrices et des pratiques des autorités de contrôle au sein de l’Union européenne. Les retours d’expérience sur les premiers contrôles, les décisions relatives aux systèmes haut risque et les interprétations des annexes du règlement seront déterminants pour ajuster les niveaux de risque acceptés. Dans cette dynamique, les contenus d’analyse sur l’impact de l’IA, comme ceux proposés dans cet article sur l’impact de l’intelligence artificielle, peuvent aider à articuler innovation, éthique et conformité Act dans une même trajectoire, en nourrissant les comités de pilotage IA.