AI Act : checklist de cartographie a faire avant aout 2026

En aout 2026, les obligations des systemes a haut risque entrent en application. Sans cartographie prealable, la conformite est impossible. Voici ce qu'il faut avoir fait avant.

Le reglement AI Act entre en application par vagues. Les interdictions des usages inacceptables sont en vigueur depuis fevrier 2025. Les obligations generales arrivent en aout 2025. Les obligations detaillees pour les systemes a haut risque — les plus structurantes pour les entreprises — arrivent en aout 2026. A cette date, vous devez pouvoir repondre a une question simple : quels sont tous les systemes IA en usage chez vous, et comment sont-ils classes ?

Pourquoi la cartographie vient en premier

Sans inventaire, pas de classification. Sans classification, pas de conformite. La plupart des dirigeants decouvrent lors du premier exercice que trois a cinq outils IA sont deja utilises dans l'entreprise — souvent sans contrat d'entreprise, sans validation DSI, sans traitement des donnees documente. C'est le phenomene du Shadow AI. Il n'est pas anecdotique : il represente en moyenne 60 a 70% des usages IA dans les entreprises de moins de 500 salaries.

Checklist en sept points

1. Inventaire des outils IA officiels

Tous les outils contractes au nom de l'entreprise incluant une composante IA — CRM, service client, marketing, recrutement, finance. Liste nominative, avec version, editeur, usage reel.

2. Inventaire des usages informels

Tous les outils IA utilises par les equipes sans contrat entreprise — ChatGPT personnel, Copilot, traducteurs, generateurs d'image. Questionnaire rapide a l'equipe — sans jugement, le but est la visibilite.

3. Classification par niveau de risque

Pour chaque outil : inacceptable (interdit), haut risque (obligations lourdes), risque limite (transparence), risque minimal (libre). Les cas frequents de haut risque : recrutement, scoring credit, evaluation RH, biometrie, infrastructures critiques.

4. Documentation des traitements

Nature des donnees traitees, finalite, base legale (RGPD), destinataires, duree de conservation. Recoupement direct avec le registre des traitements RGPD — l'AI Act et le RGPD convergent sur ce point.

5. Identification des fournisseurs

Pour chaque outil : fournisseur du modele, fournisseur de la plateforme, integrateurs. Les responsabilites se distribuent selon le role — etre deployeur d'un systeme a haut risque n'implique pas les memes obligations qu'en etre fournisseur.

6. Revue des contrats

Clauses IA, traitement des donnees, localisation des serveurs, droits d'audit. Beaucoup de contrats anterieurs a 2024 n'ont rien sur l'IA — il faut les faire evoluer avant aout 2026.

7. Gouvernance interne

Responsable IA designe, process de validation pour tout nouvel outil, politique d'usage communiquee aux equipes. Sans ces trois elements, la conformite se degrade des que l'entreprise grandit ou qu'un nouveau besoin emerge.

Ce que donne un bon livrable de cartographie

Un tableau unique — un outil par ligne, les sept points en colonnes. Le tableau tient sur une page A4 en format paysage pour une PME, sur trois a cinq pages pour une ETI. Il doit etre lisible par un non-technicien : le DAF, le juriste, l'auditeur doivent pouvoir en tirer une lecture immediate.

La conformite AI Act ne s'ajoute pas — elle se cartographie. Celui qui n'a pas d'inventaire n'a pas de point de depart.