L'essentiel en 30 secondes - L'évaluation de conformité est obligatoire avant tout déploiement d'un système d'IA à haut risque (Article 43 du Règlement (UE) 2024/1689). - La documentation doit couvrir l'impact humain et les risques résiduels (Articles 11 et 9 du Règlement (UE) 2024/1689). - Les sanctions peuvent atteindre 35 millions d'euros ou 7 % du CA (Article 99 du Règlement (UE) 2024/1689). - Le service desk européen (ai-act-service-desk.ec.europa.eu) accompagne les PME dans leur démarche. - La conformité RGPD est requise en parallèle pour tout traitement de données personnelles. - L'évaluation annuelle est obligatoire pour les systèmes en exploitation.
Vous avez identifié un système d'IA à haut risque dans votre PME. Peut-être s'agit-il d'un logiciel de scoring crédit, d'un outil de sélection automatique de candidatures, ou d'un système de diagnostic assisté. Dans tous les cas, la question est la même : comment démontrer que vous respectez vos obligations réglementaires ? Cette méthode vous guide, étape par étape.
1. Contexte réglementaire : AI Act et PME
L'Article 6 du Règlement (UE) 2024/1689 définit deux critères pour classer un système d'IA comme « à haut risque ». Premier critère : le système est destiné à un usage figurant à l'Annexe III du règlement. Deuxième critère : il pose un risque significatif pour la santé, la sécurité ou les droits fondamentaux.
L'Annexe III couvre huit domaines : infrastructures critiques, éducation et formation professionnelle, emploi et gestion des travailleurs, accès aux services essentiels (banque, assurance, soins), application de la loi, gestion des migrations, administration de la justice, processus démocratiques.
Aucune exception n'est prévue pour les PME. La taille de votre entreprise ne modifie pas le niveau d'obligation, uniquement, dans certains cas, le calcul proportionnel des amendes. Si vous déployez un système à haut risque, vous êtes soumis aux mêmes exigences qu'un grand groupe.
L'obligation d'évaluation de conformité est posée à l'Article 43 du Règlement (UE) 2024/1689. Pour la plupart des systèmes à haut risque déployés par des PME — c'est-à-dire achetés à un fournisseur tiers — l'évaluation est réalisée par le fournisseur (qui doit vous remettre la déclaration CE de conformité). Vous avez, en tant que déployeur, l'obligation de vérifier cette déclaration et de la compléter par vos propres évaluations d'usage.
Consultez notre guide général sur l'AI Act pour les PME françaises pour comprendre la distinction entre fournisseur et déployeur et ses conséquences sur vos obligations.
2. Étapes clés de l'évaluation
L'évaluation d'un système d'IA à haut risque se déroule en quatre étapes séquentielles, chacune produisant des livrables documentaires spécifiques.
| Étape | Contenu | Livrable |
|---|---|---|
| 1. Identification des risques | Risques humains, légaux, éthiques, opérationnels | Registre des risques identifiés |
| 2. Analyse de conformité technique | Vérification des exigences de l'Article 13 | Rapport d'analyse technique |
| 3. Évaluation des données | Qualité, représentativité, biais des données d'entraînement | Rapport de gouvernance des données |
| 4. Tests de performance | Exactitude, robustesse, résistance aux erreurs | Résultats de tests documentés |
Étape 1 : Identification des risques humains et légaux. Listez tous les risques potentiels liés au déploiement de votre système dans votre contexte spécifique. Un outil de scoring de crédit, par exemple, crée des risques de discrimination (si le modèle reproduit des biais historiques), des risques légaux (si les décisions ne peuvent pas être expliquées), et des risques opérationnels (si le système produit des erreurs systématiques).
Cette étape mobilise votre DPO, votre responsable juridique et les utilisateurs finaux du système. Elle doit être réalisée avant le déploiement, sans pression de délai opérationnel.
Étape 2 : Analyse de conformité technique. Vérifiez que le système satisfait aux exigences techniques du règlement. L'Article 13 du Règlement (UE) 2024/1689 impose que les systèmes à haut risque soient conçus pour être transparents : les déployeurs doivent comprendre les capacités et les limites du système, et les décisions produites doivent être interprétables.
Si votre fournisseur ne peut pas vous fournir une explication des décisions produites par son système, il ne satisfait pas à cette exigence. Vous devez dans ce cas exiger une mise à jour ou changer de fournisseur.
Étape 3 : Évaluation des données d'entraînement. L'Article 10 du Règlement (UE) 2024/1689 impose que les données d'entraînement soient pertinentes, représentatives et exemptes d'erreurs significatives. Demandez à votre fournisseur un rapport sur la composition des jeux de données utilisés. Vérifiez qu'ils représentent correctement les populations que votre système va traiter.
Un modèle entraîné sur des données historiquement biaisées reproduit ces biais à grande échelle. Ce risque est à la fois réglementaire et éthique.
Étape 4 : Tests de performance et robustesse. L'Article 15 du Règlement (UE) 2024/1689 exige que les systèmes à haut risque atteignent des niveaux d'exactitude adéquats et résistent aux données corrompues ou erronées. Réalisez vos propres tests dans votre contexte d'usage : les performances annoncées par le fournisseur sont mesurées dans des conditions générales qui peuvent différer de votre situation.
3. Documentation obligatoire
La documentation est la preuve de conformité. Sans elle, aucune démarche n'est opposable aux autorités. L'Article 18 du Règlement (UE) 2024/1689 impose une conservation de dix ans.
Fiche d'identification du système. Ce document décrit le système dans sa totalité : nom, version, fournisseur, finalité, périmètre d'usage, catégories de données traitées, personnes concernées, décisions produites. Il constitue la première pièce du dossier de conformité.
Étude d'impact humain. Ce document évalue l'impact du système sur les personnes concernées par ses décisions. Il analyse les risques de discrimination, d'atteinte à la vie privée, d'exclusion injustifiée. Il identifie les mesures d'atténuation mises en place pour chaque risque identifié. Pour les déployeurs relevant du secteur public ou de certains secteurs privés sensibles, l'Article 27 du Règlement (UE) 2024/1689 rend cette évaluation formellement obligatoire.
Procédures de surveillance post-déploiement. Ces procédures définissent comment vous allez surveiller le système après son déploiement : quels indicateurs suivez-vous, à quelle fréquence, qui est responsable, que se passe-t-il en cas d'anomalie. L'Article 72 du Règlement (UE) 2024/1689 rend ces procédures obligatoires.
Enregistrement des décisions d'évaluation. Chaque décision prise dans le cadre de l'évaluation — choix d'un seuil de tolérance aux erreurs, décision de déployer malgré un risque résiduel identifié — doit être consignée avec sa justification. Ce journal de décisions protège votre entreprise en cas de litige.
Appuyez-vous sur nos sources officielles pour accéder aux modèles de documentation recommandés par la Commission européenne.
4. Exigences techniques spécifiques
Au-delà des quatre étapes d'évaluation, le règlement impose des exigences techniques précises que votre système doit respecter.
Transparence algorithmique. Conformément à l'Article 13 du Règlement (UE) 2024/1689, le système doit permettre aux déployeurs de comprendre ses sorties. Dans la pratique, cela signifie que pour chaque décision significative, le système doit pouvoir fournir une explication compréhensible. Les modèles « boîte noire » qui ne peuvent pas expliquer leurs décisions ne satisfont pas cette exigence.
Gestion des biais et des erreurs. L'Article 10 du Règlement (UE) 2024/1689 impose des pratiques de gouvernance des données visant à détecter et corriger les biais. Mettez en place un processus de surveillance des biais en production, pas seulement lors du développement initial. Les biais peuvent émerger ou s'accentuer avec le temps.
Sécurité des données personnelles. Si votre système traite des données personnelles, les exigences du RGPD s'appliquent en parallèle. L'Article 9 du RGPD impose des conditions strictes pour le traitement des données sensibles. Les Articles 25 et 32 du RGPD imposent la protection des données par conception et par défaut. Ces obligations complètent et renforcent celles de l'AI Act.
Contrôles de sécurité et de confidentialité. Votre système d'IA doit résister aux tentatives de manipulation (adversarial attacks) et aux accès non autorisés. Intégrez votre évaluation de conformité AI Act à votre processus de gestion des risques de cybersécurité.
5. Rôles et responsabilités
La conformité AI Act est un travail d'équipe. Voici comment répartir les responsabilités dans une PME.
Le responsable IA (DPO ou équivalent désigné). Ce rôle peut être assuré par votre DPO existant, ou par un profil dédié si la taille de votre parc de systèmes IA le justifie. Il coordonne l'ensemble du processus d'évaluation, constitue le dossier de conformité et est l'interlocuteur principal des autorités. Sa désignation doit être documentée.
Le comité de contrôle interne. Pour chaque système à haut risque, constituez un groupe de validation incluant le responsable IA, le responsable technique, le représentant des utilisateurs finaux et, si nécessaire, le responsable juridique. Ce groupe valide les résultats de l'évaluation et prend les décisions de déploiement ou de correction.
Les utilisateurs finaux. Leur formation est une obligation réglementaire (Article 26 du Règlement (UE) 2024/1689), mais aussi une nécessité opérationnelle. Des utilisateurs bien formés détectent les anomalies plus tôt, remontent les incidents plus rapidement et exercent une supervision humaine effective. Implantez-les dans le processus d'évaluation dès le départ.
Le service juridique. Il analyse les contrats avec les fournisseurs (vérification de la documentation technique, clauses de responsabilité), évalue l'exposition légale et assure le suivi des évolutions réglementaires.
Consultez notre guide général sur l'AI Act pour les PME françaises pour un modèle d'organisation de la gouvernance IA adapté aux PME.
Votre évaluation IA haut risque est-elle à jour ?
Regulia réalise votre évaluation de conformité AI Act haut risque : analyse technique, documentation complète, plan de surveillance. Résultats livrés en 15 jours.
Lancer mon évaluation de conformité6. Gestion des risques et sanctions
L'évaluation produit des risques résiduels — des risques que les mesures d'atténuation ne peuvent pas éliminer totalement. Leur gestion doit être explicite et documentée.
Identification des risques résiduels. Après la mise en place de toutes les mesures d'atténuation, listez les risques qui subsistent. Évaluez leur probabilité et leur gravité. Cette analyse est le fondement de votre décision de déploiement.
Plan d'atténuation des risques. Pour chaque risque résiduel significatif, définissez des mesures complémentaires : supervision humaine renforcée, limitation du périmètre d'usage, procédures de recours pour les personnes affectées. Ces mesures doivent être opérationnelles avant le déploiement.
Procédures d'alerte et de signalement. L'Article 73 du Règlement (UE) 2024/1689 impose la notification des incidents graves aux autorités nationales. Définissez précisément ce qui constitue un incident grave pour votre système, qui est responsable de la notification et dans quel délai.
Conséquences de non-conformité. L'Article 99 du Règlement (UE) 2024/1689 prévoit des amendes pouvant atteindre 35 millions d'euros ou 7 % du CA annuel mondial. Une suspension du service peut être ordonnée. Ces conséquences doivent motiver une approche rigoureuse, pas une conformité de façade. Consultez notre article sur les sanctions AI Act pour les PME pour un tableau complet des risques financiers.
7. Outils et ressources
Plusieurs ressources gratuites facilitent la conduite d'une évaluation de conformité.
Guide pratique CNIL : AI Act et RGPD. La CNIL publie des guides sectoriels sur l'articulation des deux règlements. Ces guides sont particulièrement utiles pour les systèmes d'IA traitant des données personnelles, où les obligations se cumulent. Consultez cnil.fr régulièrement.
Service desk européen. Le service desk (ai-act-service-desk.ec.europa.eu) répond aux questions de classification, d'évaluation et d'enregistrement. Il met à disposition des modèles de documentation et des FAQ régulièrement mises à jour.
Outil d'évaluation ISO 42001. La norme ISO 42001:2023 fournit un cadre d'évaluation des risques IA structuré et reconnu. Son adoption facilite la conduite des quatre étapes décrites dans cet article. Des outils logiciels implémentant ce cadre sont disponibles pour les PME.
Modèles de documentation. Le service desk européen et la CNIL publient des modèles de fiche d'identification de système, de journal des opérations et de rapport d'évaluation. Utilisez ces modèles plutôt que de partir d'une feuille blanche : ils sont conçus pour satisfaire aux exigences formelles du règlement.
8. Cas pratique : PME de 150 salariés
Voici comment une PME industrielle de 150 salariés a conduit son évaluation pour un système de gestion automatisée des congés.
Contexte. La PME a déployé un logiciel RH intégrant un algorithme d'optimisation des plannings et d'approbation automatique des demandes de congés. L'outil prend des décisions ayant un impact direct sur les droits des salariés (refus de congés). Il tombe dans le domaine « emploi et gestion des travailleurs » de l'Annexe III du Règlement (UE) 2024/1689 : il est à haut risque.
Étape 1 — Risques identifiés. Le comité de contrôle a identifié trois risques principaux : discrimination par ancienneté ou par poste, impossibilité pour les salariés de comprendre les critères de décision, absence de recours clair en cas de refus.
Étape 2 — Analyse technique. Le fournisseur a fourni la documentation technique mais n'a pas pu expliquer les décisions individuelles. La PME a exigé une mise à jour du logiciel incluant un motif de refus lisible. Cette négociation a pris deux mois.
Étape 3 — Données d'entraînement. L'algorithme avait été entraîné sur des données historiques de l'entreprise. L'analyse a révélé que les données historiques reflétaient des pratiques passées discriminatoires (les demandes des femmes en CDI avaient un taux de refus statistiquement plus élevé). Une correction des paramètres a été réalisée.
Étape 4 — Formation des RH. Les responsables RH ont été formés aux critères de décision du système, aux situations où ils doivent passer outre la recommandation automatique, et aux droits des salariés en matière de décision automatisée. Cette formation a été documentée.
Résultat. La PME a déployé le système six mois après le début de l'évaluation, avec un dossier de conformité complet. Lors d'un contrôle de la DREETS (Direction régionale de l'économie, de l'emploi, du travail et des solidarités) six mois plus tard, le dossier a été présenté sans difficultés.
Prêt à conduire votre première évaluation IA haut risque ?
Téléchargez notre kit d'évaluation PME — modèles de fiches, grilles d'analyse et liste de contrôle — et démarrez dès aujourd'hui avec le soutien de nos experts.
Télécharger le kit d'évaluationFAQ
Quelles sont les étapes clés pour évaluer un système IA haut risque ?
L'évaluation se déroule en quatre étapes : identification des risques humains et légaux, analyse de conformité technique (Article 13 du Règlement (UE) 2024/1689), évaluation des données d'entraînement (Article 10), et tests de performance et robustesse (Article 15). Chaque étape produit des livrables documentaires à conserver dix ans.
Quelle documentation doit produire une PME pour prouver la conformité ?
La PME doit produire : une fiche d'identification du système (Article 11 du Règlement (UE) 2024/1689), une étude d'impact humain (Article 27), des procédures de surveillance post-déploiement (Article 72), et un enregistrement des décisions d'évaluation. Ces documents sont conservés pendant dix ans minimum.
Quelles sont les sanctions en cas de non-conformité pour une PME ?
Les sanctions peuvent atteindre 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial (Article 99 du Règlement (UE) 2024/1689). Des mesures complémentaires — suspension du service, retrait du marché — peuvent s'ajouter. Notre article sur les sanctions AI Act détaille les barèmes complets.
Comment impliquer les parties prenantes dans l'évaluation ?
Constituez un comité de contrôle incluant le responsable IA, le responsable technique, le DPO et des représentants des utilisateurs finaux. Consultez aussi votre service juridique. Des outils de collaboration documentaire facilitent le partage et la validation des livrables.
Où puis-je trouver de l'aide pour l'évaluation ?
Le service desk européen (ai-act-service-desk.ec.europa.eu) répond aux questions de méthode et de classification. La CNIL (cnil.fr) publie des guides sectoriels. Notre guide général AI Act PME et nos sources officielles vous orientent vers les ressources adaptées à votre situation.
Sources officielles
Avertissement — Cet article fournit une information générale et ne constitue pas un conseil juridique.