L'essentiel
- 13 documents structurants à produire selon votre profil (PME/ETI, déployeur/fournisseur, présence ou non de système haut-risque)
- 5 documents essentiels couvrent toute PME standard : politique IA, registre AIMS, charte d'usage, synthèse audit, checklist
- Documents per-système (DOC 05-07-13) : 1 fichier par système IA déclaré
- FRIA Article 27 obligatoire uniquement pour les déployeurs publics ou opérateurs de service public
- Annexe IV Article 11 obligatoire uniquement pour les fournisseurs de système haut-risque
1. Pourquoi 13 documents ? La hiérarchie des obligations
L'EU AI Act n'impose pas explicitement « 13 documents ». Il impose des obligations procédurales et techniques (évaluation des risques, gouvernance, monitoring, transparence, supervision humaine) qui se matérialisent en documents écrits pour être audités. La norme ISO/IEC 42001:2023 — qui sert de référence d'implémentation — formalise ces obligations en politiques, procédures et registres. Le résultat opérationnel pour une PME est un ensemble de 5 à 13 documents structurants.
Trois facteurs déterminent le nombre exact :
- Le rôle (Article 3) : déployeur uniquement (cas standard PME) → 5-11 documents ; provider d'un système haut-risque → ajouter Doc 13 (Annexe IV technique)
- La présence de systèmes haut-risque (Article 6 + Annexe III) : si oui → ajouter Doc 05 (évaluation risques) et Doc 06 (AISIA) par système
- Le statut d'opérateur de service public (banque, assurance, énergie, écoles privées sous contrat, hôpitaux) : si oui + haut-risque → ajouter Doc 07 (FRIA Article 27)
2. Les 13 documents — tableau exhaustif
| # | Document | Format | Obligation | Référentiel |
|---|---|---|---|---|
| 00 | Notice d'utilisation du pack | DOCX + PDF | Recommandée | Bonnes pratiques |
| 01 | Synthèse d'audit AI Act + RGPD personnalisée | DOCX + PDF | Recommandée | ISO 42001 Cl. 4 |
| 02 | Checklist de conformité opérationnelle | XLSX | Recommandée | ISO 42001 Cl. 9.2 |
| 03 | Politique IA approuvée par la direction | DOCX + PDF | Obligatoire | ISO 42001 Cl. 5.2 |
| 04 | Registre AIMS (registre des systèmes IA) | XLSX | Obligatoire | ISO 42001 Cl. 4.4 + AI Act Art. 49 |
| 05 | Évaluation des risques IA (1 par système) | XLSX | Obligatoire | AI Act Art. 9 + ISO 42001 Cl. 6.1.2 |
| 06 | AISIA — AI System Impact Assessment (1 par système) | DOCX + PDF | Obligatoire | ISO 42001 Cl. 6.1.2 + Annexe B |
| 07 | FRIA — Fundamental Rights Impact Assessment (1 par système haut-risque) | DOCX + PDF | Obligatoire si déployeur public/services publics + haut-risque | AI Act Art. 27 |
| 08 | Statement of Applicability (SoA) ISO 42001 | XLSX | Obligatoire pour certification ISO 42001 | ISO 42001 Cl. 6.1.3 |
| 09 | Charte d'usage IA pour les collaborateurs | DOCX + PDF | Recommandée + consultation CSE | AI Act Art. 4 + Art. 26(7) + ISO 42001 A.9.2 |
| 10 | Procédure de gouvernance IA + matrice RACI | DOCX + PDF | Recommandée | ISO 42001 Cl. 5.3 + 6.1 |
| 11 | Procédure de gestion des incidents IA | DOCX + PDF | Obligatoire | ISO 42001 A.8.4 + AI Act Art. 73 + RGPD Art. 33-34 |
| 12 | Procédure d'évaluation des fournisseurs IA | DOCX + PDF | Recommandée | ISO 42001 A.10.3 + AI Act Art. 25 |
| 13 | Documentation technique Annexe IV (1 par système haut-risque) | DOCX + PDF | Obligatoire si fournisseur de système haut-risque | AI Act Art. 11 + Annexe IV |
3. Les 5 documents essentiels (toute PME)
Doc 03 — Politique IA
Document fondateur qui formalise l'engagement de l'entreprise au respect du cadre AI Act + ISO 42001 + RGPD-IA. Doit être signée par la direction générale. Sans ce document, l'entreprise ne peut pas démontrer qu'elle a une démarche structurée. ISO 42001 Cl. 5.2 l'exige explicitement.
Doc 04 — Registre AIMS
Inventaire structuré de tous les systèmes IA en exploitation. C'est le premier document que la CNIL ou un auditeur ISO consulteront en cas de contrôle. Doit lister pour chaque système : nom, finalité, fournisseur, rôle, niveau de risque, statut FRIA, supervision humaine, données traitées, date de mise en service, dernière revue.
Doc 09 — Charte d'usage IA
Règles que tous les collaborateurs doivent respecter quand ils utilisent un outil IA dans le cadre professionnel : outils autorisés et prohibés, données interdites dans les prompts, validation humaine systématique des sorties, sanctions disciplinaires. Consultation des représentants du personnel (CSE) requise pour tout usage IA affectant les salariés (Article 26(7)).
Doc 01 — Synthèse d'audit
État des lieux personnalisé de votre exposition à l'AI Act : classification de votre rôle, identification des systèmes haut-risque, calcul des sanctions maximales applicables, feuille de route 30/60/90 jours. Document de pilotage à présenter au comité de direction.
Doc 02 — Checklist de conformité
Tableau de bord opérationnel sur 12 mois (XLSX). Détaille toutes les obligations applicables, leur référence légale, et permet de tracer l'avancement (statut, échéance, responsable, preuve attendue). Utilisé en revue trimestrielle par le Comité IA.
4. Documents avancés (Pack Complet)
Doc 05 — Évaluation des risques (1 par système IA)
Analyse vraisemblance × sévérité × réversibilité (échelles 1-5) des risques modèle, données, opérationnels, sociétaux et juridiques. Exigence AI Act Art. 9. Pré-rempli avec ~25 risques sectoriels, scoring auto-ajusté selon le contexte (haut-risque, secteur sensible, supervision humaine).
Doc 06 — AISIA (1 par système IA)
AI System Impact Assessment selon ISO 42001 Cl. 6.1.2. Évalue l'impact sur les individus, groupes et société. Détermine la classification d'impact (Faible/Modéré/Élevé) qui pilote le niveau de contrôles à mettre en œuvre.
Doc 08 — Statement of Applicability ISO 42001
Document recensant les 38 contrôles de l'Annexe A de l'ISO 42001:2023 et leur applicabilité à votre périmètre. Document d'auditabilité essentiel pour une certification ISO 42001 ou une revue de conformité.
Doc 10 — Procédure de gouvernance + matrice RACI
Décrit le processus de validation d'un nouveau système IA, de l'idéation au retrait. Inclut une matrice RACI 19 activités × 8 rôles (Direction, IA Lead, DPO, RSSI, Juridique, DRH, Métier, Utilisateurs).
Doc 11 — Procédure de gestion des incidents
Workflow de détection, classification (4 niveaux L1-L4), notification (CNIL 72h, AI Office 15 jours, autorités sectorielles selon contexte) et clôture des incidents. Exigence ISO 42001 A.8.4 + AI Act Art. 73 + RGPD Art. 33-34.
Doc 12 — Évaluation des fournisseurs IA
Cadre d'évaluation préalable de tout fournisseur de système ou modèle IA, incluant un questionnaire de 30 questions et les clauses contractuelles AI Act / RGPD obligatoires. Exigence ISO 42001 A.10.3 + AI Act Art. 25.
5. Documents Premium (FRIA + Annexe IV)
Doc 07 — FRIA (Fundamental Rights Impact Assessment)
Obligation légale opposable de l'Article 27 AI Act pour les déployeurs publics ou opérateurs de service public utilisant des systèmes haut-risque. Doit être notifiée à l'autorité de surveillance compétente avant la mise en service. Sont concernés : organismes de droit public, banques, compagnies d'assurance, opérateurs énergie, écoles privées sous contrat, hôpitaux.
Doc 13 — Documentation technique Annexe IV
Documentation technique exhaustive exigée pour tout fournisseur d'un système d'IA haut-risque (AI Act Art. 11 + Annexe IV). Couvre 10 sections : description générale, développement, surveillance, gestion des risques, modifications, normes, déclaration UE de conformité, QMS, monitoring post-marché, contacts. À conserver 10 ans après la mise sur le marché (Art. 18).
Pack documentaire AI Act personnalisé en 1 heure
Renseignez votre situation en 13 questions, recevez un ZIP complet (DOCX + PDF + XLSX) prêt à signer, à diffuser, à présenter à un auditeur. Garantie satisfait ou remboursé 30 jours.
Démarrer mon pack — dès 299 €6. Tarifs des packs regulia
Pack Audit Express
299 €
5 documents essentiels (Doc 00, 01, 02, 03, 04, 09)
Pack Complet recommandé
599 €
11 documents (ajoute 05, 06, 08, 10, 11, 12)
Pack Premium
999 € + 49 €/mois
13 documents (ajoute 07 FRIA + 13 Annexe IV) + monitoring
7. FAQ
Combien de documents faut-il pour être en conformité AI Act ?
Une PME française doit produire entre 5 documents (profil simple : déployeur, pas de système haut-risque) et 13 documents (ETI ou opérateur de service public déployant un système haut-risque).
Quels documents sont obligatoires pour un déployeur PME ?
Politique IA (ISO 42001 Cl. 5.2), registre AIMS (Art. 49 + ISO 42001 Cl. 4.4), charte d'usage IA (Art. 4 + 26(7)), procédure de gestion des incidents (Art. 73 + RGPD Art. 33). L'AISIA et la FRIA s'ajoutent si vous déployez un système haut-risque.
Les documents sont-ils modifiables après livraison ?
Oui. Tous les documents sont livrés en .docx (Word, LibreOffice, Pages, Google Docs), .pdf (lecture) et .xlsx (Excel, Numbers, Calc, Sheets). Vous pouvez les éditer, les compléter avec les champs entre crochets, les adapter à votre charte graphique, les faire signer par votre direction.