Le règlement européen sur l'intelligence artificielle — l'AI Act — est entré en vigueur le 1er août 2024. Pour les PME qui développent ou déploient des systèmes d'IA, l'échéance du 2 août 2026 approche à grands pas. Au cœur de ce règlement se trouve une obligation centrale : réaliser une évaluation de conformité avant de mettre un système d'IA sur le marché ou en service. Mais concrètement, comment s'y prendre ? Quelles sont les étapes à suivre ? Cet article vous guide pas à pas, sans jargon inutile, pour que vous puissiez agir dès aujourd'hui.
Étape 1 : Identifier et classifier votre système d'IA
Tout commence par une question fondamentale : votre système d'IA relève-t-il d'une catégorie réglementée par l'AI Act ? Le règlement établit une classification par niveau de risque — risque inacceptable, risque élevé, risque limité, risque minimal — et c'est cette classification qui détermine vos obligations.
Les systèmes à risque élevé sont listés à l'Annexe III du règlement. Ils couvrent des domaines sensibles tels que le recrutement, l'évaluation scolaire, l'accès aux services publics, la gestion des infrastructures critiques ou encore certains dispositifs médicaux. Si votre outil d'IA entre dans l'une de ces catégories, une évaluation de conformité complète est obligatoire.
Pour les systèmes à risque limité — comme un chatbot grand public — des obligations plus légères s'appliquent, principalement en matière de transparence. Cette première étape de classification conditionne toute la suite du processus : ne la négligez pas.
Étape 2 : Constituer votre documentation technique
Une fois votre système correctement classifié, l'étape suivante consiste à rassembler et structurer votre documentation technique. L'AI Act, en son Annexe IV, détaille précisément le contenu attendu pour les systèmes à risque élevé.
Cette documentation doit notamment inclure :
- Une description générale du système d'IA et de son usage prévu
- Les données d'entraînement, de validation et de test utilisées, ainsi que les pratiques de gouvernance des données
- La description de l'architecture du modèle et des choix de conception
- Les mesures de surveillance et de supervision humaine prévues
- Les performances attendues en termes de précision, robustesse et cybersécurité
- Les risques identifiés et les mesures d'atténuation mises en place
Pour une PME, constituer cette documentation peut sembler intimidant. L'essentiel est de commencer par ce que vous avez déjà — spécifications techniques, contrats avec les fournisseurs de données, fiches produits — et de combler les lacunes méthodiquement. Cette documentation n'est pas un exercice bureaucratique : elle vous force à formaliser ce que votre système fait réellement, ce qui est une bonne pratique en soi.
Étape 3 : Évaluer les risques et mettre en place des mesures correctives
L'évaluation de conformité n'est pas qu'un exercice documentaire : elle implique une analyse de risques concrète. L'AI Act exige que les fournisseurs de systèmes à risque élevé établissent un système de gestion des risques tout au long du cycle de vie du système (Article 9).
Cette analyse doit couvrir plusieurs dimensions :
- Les risques pour les droits fondamentaux : votre système peut-il produire des décisions discriminatoires ? Affecter la vie privée des utilisateurs ?
- Les risques techniques : que se passe-t-il en cas de défaillance du modèle, de données corrompues ou d'attaque adversariale ?
- Les risques liés à l'usage : votre système sera-t-il utilisé dans des contextes non prévus initialement ?
Pour chaque risque identifié, vous devez définir des mesures d'atténuation proportionnées. Cela peut aller de la mise en place d'une supervision humaine systématique à la limitation des cas d'usage, en passant par des audits réguliers des performances du modèle. L'objectif n'est pas d'éliminer tout risque — ce serait impossible — mais de démontrer que vous les avez identifiés et traités de façon responsable.
Étape 4 : Vérifier la conformité procédurale et préparer la déclaration UE de conformité
Au-delà de la dimension technique, l'AI Act impose des obligations organisationnelles et procédurales précises. Avant de finaliser votre évaluation, assurez-vous que les éléments suivants sont en place :
- Système de gestion de la qualité (Article 17) : des procédures documentées couvrent le développement, le contrôle qualité, la gestion des incidents et les mises à jour du système.
- Journalisation automatique (Article 12) : votre système génère des logs permettant de retracer son fonctionnement et d'identifier d'éventuels incidents.
- Transparence envers les utilisateurs (Article 13) : les personnes qui interagissent avec votre système disposent d'informations claires sur ses capacités et ses limites.
- Supervision humaine (Article 14) : des mécanismes permettent à des opérateurs humains d'intervenir, de corriger ou d'interrompre le système si nécessaire.
Une fois ces éléments vérifiés, vous pouvez rédiger votre déclaration UE de conformité — un document par lequel vous attestez formellement que votre système satisfait aux exigences de l'AI Act. Pour les systèmes à risque élevé, une procédure d'évaluation de la conformité doit être suivie, qui peut dans certains cas impliquer un organisme notifié tiers, selon les modalités prévues à l'Article 43.
Étape 5 : Enregistrer votre système et assurer la surveillance post-marché
La conformité n'est pas un état figé : c'est un processus continu. Une fois votre système déployé, deux obligations majeures s'imposent.
D'abord, l'enregistrement dans la base de données EU (Article 71) : les systèmes d'IA à risque élevé doivent être enregistrés dans une base de données européenne accessible au public avant leur mise sur le marché. Cet enregistrement centralise les informations essentielles sur le système et son fournisseur.
Ensuite, la surveillance post-marché (Article 72) : vous devez mettre en place un plan de surveillance active pour détecter tout incident sérieux ou comportement inattendu de votre système une fois en production. En cas d'incident grave, une notification aux autorités compétentes est requise dans des délais stricts.
Cette dimension continue est souvent sous-estimée par les PME, qui ont tendance à considérer la conformité comme un projet à réaliser une fois pour toutes. Or, un système d'IA évolue — ses données changent, son environnement d'usage se transforme — et votre dispositif de conformité doit évoluer avec lui.
Conclusion : Commencez votre évaluation de conformité dès maintenant
Réaliser une évaluation de conformité IA peut sembler complexe, mais en décomposant le processus en étapes claires — classification, documentation, analyse des risques, vérification procédurale, enregistrement et surveillance — il devient tout à fait accessible pour une PME bien accompagnée. L'échéance du 2 août 2026 peut paraître lointaine, mais les entreprises qui attendent la dernière minute s'exposent à des délais de mise en conformité difficiles à tenir et à des risques juridiques réels.
La bonne nouvelle ? Vous n'avez pas à traverser ce processus seul. Audityo a été conçu spécifiquement pour aider les PME européennes à structurer et automatiser leur démarche de conformité à l'AI Act, étape par étape. Faites dès aujourd'hui votre diagnostic de conformité gratuit sur audityo.eu et découvrez en quelques minutes où en est votre organisation — et ce qu'il vous reste à faire pour être prêt avant 2026.