Checklist Conformité AI Act
pour PME françaises

L'AI Act impose aux déployeurs de connaître les systèmes IA qu'ils utilisent. Un inventaire à jour est la première étape de toute démarche de conformité. Il permet de détecter des outils IA que vous n'avez peut-être pas conscientiser (ex : un CRM qui intègre du scoring automatique).

En cas de contrôle ou d'incident, vous devez pouvoir identifier précisément le système en cause. Une documentation à jour (contrat, version, paramétrages) constitue votre preuve de diligence.

Si vos outils IA proviennent de fournisseurs hors UE (ex : certains outils de scoring américains), vous avez des obligations de vérifications renforcées. Les systèmes doivent être conformes à l'AI Act quel que soit leur pays d'origine s'ils sont mis sur le marché européen.

Les systèmes IA utilisés pour le recrutement, l'évaluation de solvabilité, la tarification ou le scoring client sont automatiquement classés haut risque (Annexe III). Même si vous n'êtes pas le fournisseur, vous avez des obligations de déployeur pour ces usages.

L'Annexe III de l'AI Act liste 8 domaines de systèmes automatiquement classed haut risque : emploi/RH, éducation, services essentiels (banque/assurance), application de la loi, migration, justice, dispositifs médicaux, sécurité des produits. Si votre activité est dans l'un de ces domaines, vos outils IA sont potentiellement haut risque.

Le Titre II de l'AI Act interdit certaines pratiques considérées comme un risque inacceptable. Ces pratiques ne peuvent jamais être mises sur le marché ni utilisées dans l'UE. Leur utilisation expose à des sanctions allant jusqu'à 35 M€ ou 7 % du CA mondial.

Les systèmes IA à risque limité (chatbots, outils génératifs) doivent informer les utilisateurs qu'ils interagissent avec un système IA. Les GPAI (modèles type ChatGPT) doivent标识 le contenu généré par IA. C'est l'obligation de transparence la plus simple — et la plus souvent oubliée.

Les fournisseurs de systèmes IA à haut risque doivent réaliser une évaluation de conformité (par un organisme notifié) avant la mise sur le marché. Les fournisseurs de modèles GPAI ont des obligations de transparence et de documentation. Cette question ne concerne que les entreprises qui développent ou vendent des systèmes IA.

L'AI Act n'impose pas formellement un "responsable IA" pour les PME, mais les déployeurs de systèmes haut risque doivent avoir les compétences nécessaires pour superviser ces systèmes (Article 14). Désigner un référent interne, même à temps partiel, est fortement recommandé. C'est aussi votre premier point de contact en cas de contrôle.

Le contrôle humain effectif suppose que les utilisateurs sachent qu'ils interagissent avec un système IA. Un collaborateur qui prend une décision basée sur une recommandation IA sans comprendre que cette recommandation vient d'un système automatisé ne peut pas exercer de contrôle humain.

Le contrôle humain doit être effectif : l'humain doit pouvoir overrider ou contester une décision prise par un système IA. Un système qui "impose" ses recommandations sans possibilité de contestation n'est pas conforme à l'Article 14.

Si vous utilisez des systèmes à haut risque sans possibilité de contrôle humain intégrée (pas de "override", pas de revue, pas d'explication des outputs), le système n'est pas conforme et vous ne pouvez pas l'utiliser légalement en l'état. Demandez au fournisseur une description des modalités de contrôle humain.

Les déployeurs de systèmes à haut risque doivent tenir un registre des activités IA (Article 12) : description du système, usage prévu, date de déploiement, mesures de contrôle humain, historique des mises à jour. Ce dossier doit être conservé et mis à disposition des autorités sur demande.

Les fournisseurs doivent notifier les incidents graves aux autorités. En tant que déployeur, vous avez l'obligation de signaler au fournisseur tout incident qui a causé ou pourrait causer un préjudice. Documentez tout incidentobserved pour protéger votre responsabilité.

L'AI Act impose que les systèmes IA à haut risque fassent l'objet d'une surveillance continue post-mise sur le marché. Pour les déployeurs, cela signifie : suivre les mises à jour du fournisseur, réévaluer périodiquement le niveau de risque, mettre à jour le registre si nécessaire.

Le marquage CE atteste que le fournisseur a évalué la conformité de son système à l'AI Act. Pour les systèmes à haut risque, demandez également le certificat de l'organisme notifié. Sans ces documents, vous ne pouvez pas présumer de la conformité d'un système.

L'Article 4 impose une obligation de formation AI literacy proportionnée à l'usage. Identifier les utilisateurs est le prérequis : sans inventaire des utilisateurs, impossible d'évaluer vos besoins de formation et de cible vos efforts.

L'Article 4 impose que les utilisateurs de systèmes IA disposent de connaissances suficientes pour une utilisation responsable. La formation doit couvrir : awareness des risques, capacité à exercer le contrôle humain, détection des biais et anomalies. Une attestation de formation constitue votre preuve de conformité à l'Article 4.

En cas de contrôle, vous devez pouvoir prouver que vos collaborateurs ont été formés. Conservez : le programme de formation, la liste des participants, les attestations individuelles, les dates. Une formation sans documentation = pas de preuve de conformité.

Pour bénéficier du financement OPCO (prise en charge à 100% pour les PME de moins de 50 salariés), la formation doit être dispensée par un organisme certifié Qualiopi. C'est aussi la garantie de qualité du contenu de la formation — un organismes non certifié peut ne pas couvrir correctement les obligations de l'AI Act.