Une checklist pratique pour évaluer votre conformité à l'EU AI Act. Périmètre, classification des risques, pratiques interdites, obligations GPAI et exigences IA à haut risque. Mise à jour pour les délais omnibus 2026.
Comment évaluer votre conformité EU AI Act : 10 étapes
Cette checklist est conçue pour les équipes juridiques, conformité et technologie réalisant une évaluation initiale AI Act. Travailler les étapes dans l'ordre — chacune s'appuie sur la précédente.
La checklist s'applique à toutes les organisations qui développent, déploient, importent ou distribuent des systèmes IA dans l'UE.
Étape 1 — Construire votre inventaire IA
Commencer ici : sans inventaire IA complet, rien d'autre n'est possible. Créer un registre de tous les systèmes IA que touche votre organisation :
- Systèmes IA que vous développez et vendez ou licenciez (vous êtes le fournisseur)
- Systèmes IA que vous achetez ou licenciez et utilisez en interne (vous êtes le déployeur)
- Systèmes IA embarqués dans des produits que vous fabriquez ou importez
- Systèmes IA accessibles via API de tiers (IA cloud, API de modèles de fondation)
Étape 2 — Vérifier les pratiques interdites en priorité
Vérification prioritaire : certains systèmes sont-ils déjà illégaux ? Les interdictions s'appliquent depuis le 2 février 2025. Tout système couvert doit être désactivé ou fondamentalement repensé immédiatement.
Étapes 3–10 — Programme de conformité IA à haut risque
Pour chaque système non exclu par l'Étape 2 et non couvert par l'Étape 3, classifiez par rapport aux Annexes III et I. Suivez ensuite les Étapes 3–10 comme piste de programme, en visant l'échéance du 2 décembre 2027 pour les systèmes Annexe III et du 2 août 2028 pour les systèmes Annexe I embarqués.
Ne pas attendre 2027. Un programme de conformité réaliste pour un système IA à haut risque prend 12 à 24 mois.
Mapping avec DORA et NIS2
Si votre organisation est également soumise à DORA ou NIS2, votre programme de conformité AI Act peut être intégré aux cadres existants de gestion des risques TIC, de réponse aux incidents et de gouvernance des tiers. Voir notre guide de convergence AI Act vs DORA vs NIS2 →.
Convergence AI Act – DORA – NIS2
Votre organisation est-elle soumise à la fois à l'AI Act et à DORA ? Les deux règlements se croisent sur la résilience opérationnelle des systèmes d'IA financiers. Notre site jumeau regulation-dora.eu couvre DORA en profondeur.
Explorer regulation-dora.eu ↗Questions fréquentes
Votre système IA est dans le périmètre s'il constitue un système IA au sens de l'Art. 3(1) — un système basé sur des machines qui infère des sorties telles que des prédictions, recommandations, décisions ou contenus — et s'il est mis sur le marché UE ou utilisé dans l'UE. Les modèles purement de recherche non déployés externalement sont hors périmètre.
La première étape est l'inventaire des systèmes IA : cataloguer tous les systèmes IA que votre organisation développe, déploie, importe ou distribue. Pour chaque système, documenter ce qu'il fait, qui est le fournisseur, comment il est utilisé et la population affectée. Sans inventaire complet, la classification des risques ne peut pas commencer.
Pour un système Annexe III autonome à haut risque, un programme de conformité réaliste prend 12 à 24 mois : 3 à 6 mois pour l'analyse des écarts et la conception du SMQ, 6 à 12 mois pour la documentation technique, la gouvernance des données et l'évaluation de conformité, et 3 à 6 mois pour l'enregistrement dans la base de données UE et le marquage CE.