📋 TABLE DES MATIÈRES
Introduction
Dans un contexte où les systèmes d'intelligence artificielle s'intègrent massivement dans les processus décisionnels des organismes publics et privés, la question de leur conformité réglementaire est devenue un enjeu stratégique de premier ordre. L'entrée en vigueur du règlement (UE) 2024/1689, dit « AI Act », le 1er août 2024 marque ainsi le tournant réglementaire le plus structurant de la décennie pour toute organisation qui déploie des systèmes d'IA en Europe.
La question centrale que cet article aborde est la suivante : comment une organisation peut-elle, de manière rigoureuse et défendable, identifier les systèmes d'IA qu'elle déploie, évaluer leur niveau de risque au regard du Règlement, et prioriser ses actions de conformité avant la date limite critique du 2 août 2026 ?
L'objectif de cet article est de proposer une méthodologie structurée en cinq étapes pour réaliser cette cartographie, de l'inventaire initial des systèmes à la mise en place d'une gouvernance continue. Chaque étape s'appuie sur les dispositions spécifiques du texte officiel du règlement (UE) 2024/1689, enrichies par les lignes directrices publiées par la Commission européenne le 19 mai 2026.
⚡ MISE À JOUR RÉGLEMENTAIRE, 19 MAI 2026
La Commission européenne a publié ses directives très attendues sur la classification des systèmes d'IA à haut risque en vertu de l'article 6 du règlement (UE) 2024/1689. Ouvertes à la consultation publique jusqu'au 23 juin 2026, ces directives précisent que la qualification de haut risque dépend du cas d'utilisation concret et pas uniquement de l'appartenance à une catégorie de l'Annexe III, renforçant ainsi l'urgence d'une cartographie documentée et méthodique.
I. Vue d'ensemble : Le règlement sur l'IA et ses enjeux
1. Définition et fondements réglementaires
Le règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 constitue le premier cadre juridique mondial complet dédié à la réglementation des systèmes d'intelligence artificielle. Publié au Journal officiel de l'Union européenne le 12 juillet 2024, il établit des règles harmonisées applicables dans tous les États membres, créant ainsi un cadre unifié pour le développement, la mise sur le marché et l'utilisation des systèmes d'IA.
Le Règlement adopte une approche fondée sur les risques qui distingue quatre niveaux de risque (inacceptable, élevé, limité et minimal) déterminant le régime réglementaire applicable à chaque système. Cette architecture pyramidale est la pierre angulaire de tout exercice de cartographie.
2. Importance et enjeux
Enjeux économiques et financiers
Les sanctions prévues à l'article 99 du règlement sont à la mesure des enjeux. Le non-respect des dispositions relatives aux pratiques interdites en matière d'IA expose les organisations à des amendes pouvant atteindre 35 millions d'euros ou 71 % de leur chiffre d'affaires annuel mondial. Le non-respect des obligations applicables aux systèmes à haut risque peut entraîner des sanctions pouvant aller jusqu'à 15 millions d'euros ou 31 % du chiffre d'affaires.
Enjeux réglementaires
Le règlement sur l'IA s'inscrit dans un contexte de convergence réglementaire avec le RGPD (règlement (UE) 2016/679) et, pour les organisations financières, avec le règlement DORA (règlement (UE) 2022/2554). La cartographie des flux d'IA est le point de rencontre de ces trois cadres réglementaires : un exercice unique et bien mené peut servir simultanément les trois régimes de conformité.
Enjeux technologiques
La IA d'ombre Ce phénomène, à savoir l'utilisation non déclarée de systèmes d'IA par les équipes opérationnelles sans supervision centralisée, rend l'inventaire déclaratif seul insuffisant. Selon des études récentes du cabinet Gartner, plus de 40 % de l'utilisation de l'IA en entreprise en 2025 échappera à la supervision informatique centralisée.
II. Analyse détaillée : Classification et champ d'application
1. Situation actuelle et calendrier réglementaire
Le règlement (UE) 2024/1689 suit un calendrier d'application progressif, dont chaque étape génère des obligations et des actions de mise en conformité spécifiques à anticiper.
2. Problèmes rencontrés
La voie de classification à double pondération (Article 6)
L'article 6 définit deux voies distinctes pour qu'un système d'IA soit qualifié de haut risque. La maîtrise de ces deux voies est essentielle à toute cartographie exhaustive.
Voie 1, Article 6(1) : Un système d'IA constituant un composant de sécurité d'un produit couvert par l'annexe I (dispositifs médicaux, machines, ascenseurs, véhicules, aéronefs) est automatiquement à haut risque si le produit est soumis à une évaluation de conformité par un tiers.
Voie 2, Article 6(2) : Un système appartenant à l'une des huit catégories de l'annexe III est présumé à haut risque, à moins que la clause d'exclusion de l'article 6, paragraphe 3, ne s'applique.
⊘ LIMITE ABSOLUE : PROFILAGE
Quel que soit la configuration d'utilisation, un système d'IA répertorié à l'annexe III qui exécute profilage de personnes physiques ne peut jamais bénéficier de la clause d'exclusion de l'article 6(3). Cette limite est explicitement fixée par le Règlement.
3. Cas concrets et exemples
💼 ÉTUDE DE CAS 1, Le paradoxe des RH : l'ATS présumé à haut risque
Un ATS (Applicant Tracking System) intégrant des fonctionnalités de notation et de tri automatique des candidats relève de la catégorie 4 de l'Annexe III. Même si l'outil est présenté comme une simple " aide à la décision ", dès lors qu'il structure la présentation des candidats et oriente le choix du recruteur, il ne peut généralement pas bénéficier de l'exclusion de l'article 6(3). Résultat : les obligations des articles 9 à 15 sont pleinement applicables.
🏦 CAS 2, Notation automatisée de crédit
Un modèle de notation de crédit utilisé par un établissement financier relève de la catégorie 5 de l'Annexe III (services essentiels). Son impact direct sur l'accès au crédit des personnes physiques le qualifie automatiquement de haut risque, avec les obligations correspondantes en matière d'explicabilité (article 13), de supervision humaine effective (article 14) et d'évaluation FRIA pour le déployeur (article 27).
✓ CAS 3, Déclassification réussie
Un système d'analyse prédictive de la consommation énergétique d'un bâtiment (catégorie 2 annexe III) peut bénéficier de l'exclusion de l'article 6(3) s'il se limite à générer des alertes de dépassement de seuils sans influencer directement les décisions affectant des personnes physiques, sous réserve que cette exclusion soit documentée formellement (article 6(4)).
III. Solutions et Recommandations : Les 5 étapes cartographiques
Étape 1, Constitution de l'équipe et définition du périmètre
Gouvernance et définition de la portée
Identifier les parties prenantes, définir les limites de la cartographie et établir la gouvernance du projet, condition indispensable à l'exhaustivité de l'inventaire.
La cartographie des flux d'IA va bien au-delà des limites de l'IT seule. Les systèmes susceptibles de présenter un risque élevé se retrouvent dans les RH (recrutement, évaluation), la Finance/Gestion des risques (notation, actuariat), les Opérations (supervision de l'infrastructure) et le Juridique. Constituer dès le départ une équipe multidisciplinaire est une condition sine qua non.
- Parrainage : RSSI ou DPO selon l'organisation
- Représentants de l'entreprise : RH, Finance/Risque, Opérations, Marketing, Juridique
- DSI / Architecte d'entreprise : inventaire technique
- Avocat spécialisé en IA : interprétation des articles 6 et annexe III
- Comité exécutif : validation de la classification et arbitrage budgétaire
Le périmètre doit couvrir l'organisation à la fois comme fournisseur (Article 3(3), développe ou a développé) ET tel que déployer (Article 3, paragraphe 4, utilisation sous sa responsabilité), les obligations différant substantiellement selon ce rôle.
Étape 2, Effectuer l'inventaire exhaustif
Inventaire de tous les systèmes d'IA
Inventaire de tous les systèmes d'IA déployés, en développement ou en cours d'acquisition, y compris l'IA fantôme, dans toutes les unités commerciales.
Quatre méthodes complémentaires doivent être combinées pour assurer l'exhaustivité :
- Questionnaire déclaratif aux unités commerciales, une forme structurée identifiant les outils d'IA (automatisation, TAL, vision, recommandation).
- Analyse des achats et des contrats, revue des licences SaaS (Microsoft 365 Copilot, Salesforce Einstein, Workday, SAP SuccessFactors).
- Revue technique du portefeuille d'applications, frameworks d'IA (TensorFlow, PyTorch, API OpenAI, Anthropic, Google).
- Entretiens avec des équipes de science des données, modèles développés en interne, pipelines automatisés.
Étape 3, Classifier selon la grille de risque de l'IA Act
Appliquer la grille de classification
Appliquez les articles 5, 6 et les annexes I, II, III à chaque système inventorié pour en déterminer le niveau de risque et les obligations correspondantes.
La classification suit un arbre de décision séquentiel de huit questions :
- Le système exécute-t-il une pratique interdite par l'article 5 ? → Interdiction absolue
- S'agit-il d'un composant de sécurité d'un produit de l'annexe I soumis à une évaluation par tierce partie ? → Risque élevé, art. 6(1)
- Potentiellement à haut risque, Art. 6(2). appartien-elle à l'une des 8 catégories de l'Annexe III ?
- Si Annexe III : effectue-t-elle du profilage ? → Risque élevé sans dérogation possible
- Si l'annexe III et aucun profilage : remplit-elle l'une des conditions d'exclusion de l'article 6, paragraphe 3 ?
- Si oui à la rubrique 6(3) : documentation obligatoire, article 6(4)
- Est-ce un modèle GPAI (Chapitre V) ? → Obligations des articles 53 et 55
- Le système génère-t-il du contenu sans transparence ? → Art. 50
Étape 4, Évaluer l'exposition et prioriser les actions
Analyse des écarts et plan d'action priorisé
Identifier les obligations applicables selon le rôle (fournisseur/déployeur), évaluer la maturité actuelle et prioriser les actions de conformité.
Étape 5, Documenter, Enregistrer et Maintenir dans le Temps
Documentation formelle et gouvernance continue
Produire la documentation de l'Annexe IV, s'enregistrer dans la base de données européenne (Article 49) et établir des processus pour maintenir le mappage.
L'article 49 impose l'enregistrement des systèmes d'IA à haut risque dans le base de données européenne accessible au public avant la mise sur le marché (fournisseurs) ou la mise en service (certains exploitants). L'annexe VIII du règlement définit les informations à fournir.
La documentation technique (annexe IV) doit comporter au moins 14 rubriques : architecture, données d'apprentissage, indicateurs de performance, gestion des risques, robustesse, cybersécurité, mode d'emploi, supervision humaine prévue, plan de surveillance post-commercialisation. Cette documentation doit être mise à jour à chaque modification substantielle du système.
Gouvernance continue
Trois mécanismes organisationnels sont essentiels pour maintenir la cartographie au fil du temps :
- Processus d'IA de pré-approbation, toute nouvelle initiative en IA passe par un examen de classification avant son développement ou son achat.
- Examen annuel de la cartographie, audit complet de l'inventaire, mise à jour des classifications, alignement avec les cycles de reporting de NIS2.
- Veille réglementaire continue, surveillance des publications de la Commission européenne (Bureau de l’IA), du Parlement européen et des autorités nationales compétentes.
📋 LISTE DE CONTRÔLE POUR LA MISE EN ŒUVRE DE LA LOI SUR L'IA
Étape 1, Gouvernance
- Équipe pluridisciplinaire établie (CISO/DPO + Métier + IT + Juridique + Direction)
- Portée organisationnelle et géographique documentée
- Rôles et responsabilités formalisés dans RACI
- Calendrier du projet avec jalons approuvés
Étape 2, Inventaire
- Questionnaire déclaratif envoyé à toutes les unités commerciales
- Contrats de fournisseurs et licences SaaS analysés
- Portefeuille d'applications examiné avec la DSI
- Registre d'inventaire IA construit
- Fiches descriptives produites pour chaque système
Étape 3, Classification
- Arbre de décision de la loi sur l'IA appliqué à chaque système
- Systèmes interdits (Article 5) identifiés, plan de retrait en cours
- Systèmes à haut risque classifiés avec base légale documentée
- Notes de déclassification de l'article 6(3) rédigées et conservées
- Modèles GPAI (Chapitre V) identifiés
Étape 4, Exposition et priorisation
- Obligations du fournisseur vs déployeur identifiées par système
- Évaluation de la maturité effectuée par système
- FRIA menée pour les déployeurs concernés (article 26(9))
- Plan d'action priorisé et budgétisé validé par la direction
Étape 5, Documentation et gouvernance continue
- Documentation de l'Annexe IV rédigée pour chaque système à haut risque
- Enregistrement dans la base de données européenne (Article 49) terminé
- Processus d'IA de pré-approbation en place
- Veille réglementaire organisée et planifiée
IV. Conclusion
La cartographie des flux d'IA sensibles au titre du règlement (UE) 2024/1689 va au-delà d'une simple obligation réglementaire. Elle constitue le fondement d'une gouvernance responsable de l'IA, le point de départ de toute stratégie de conformité crédible, et l'opportunité pour chaque organisation d'évaluer pleinement son patrimoine algorithmique : ses forces, ses vulnérabilités et ses responsabilités.
Les cinq étapes présentées dans cet article (constituer l'équipe, réaliser l'inventaire, classer selon la grille de l'IA Act, évaluer l'exposition, documenter sur le long terme) forment un processus cohérent et progressif. Elles s'appliquent à toute organisation, quelle que soit sa maturité initiale. La checklist proposée constitue un outil de pilotage immédiatement opérationnel pour les RSSI, DPO et les équipes de conformité.
Oui, il est possible de cartographier rigoureusement les flux d'IA sensibles avant le 2 août 2026. La condition est simple : commencez dès maintenant, adoptez une approche pluridisciplinaire et considérez cet exercice comme un investissement stratégique dans la résilience et la compétitivité de l'organisation.
Les organisations qui adoptent cette approche aujourd'hui ne se soucient pas de la conformité à l'AI Act. Elles l'utilisent pour surpasser leurs concurrents, rassurer leurs clients et obtenir des contrats dans un environnement numérique de plus en plus réglementé. Sur un marché où la confiance algorithmique devient un facteur de différenciation décisif, une cartographie de l'AI Act bien menée n'est pas un coût, c'est une intelligence.
Évaluez votre exposition à la loi sur l'IA
Premiers 30 minutes d'appel offertes
Neo Coeur Intelligence aide les organisations à mener leur cartographie de l'AI Act de bout en bout, avec des livrables directement utilisables devant les autorités nationales compétentes.
📧 contact@neocoeurintelligence.com · 🌐 neocoeurintelligence.com · 📍 Londres · Paris
→ Évaluer mes risques liés à l'IA Prendre un rendez-vousV. Références bibliographiques
Textes législatifs officiels
Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 (loi sur l'IA). JOUE L, 12 juillet 2024. eur-lex.europa.eu
Règlement (UE) 2016/679 du 27 avril 2016 (RGPD). JOUE L 119, 4 mai 2016. eur-lex.europa.eu
Règlement (UE) 2022/2554 du 14 décembre 2022 (DORA). JOUE L 333, 27 décembre 2022. eur-lex.europa.eu
Directive (UE) 2022/2555 du 14 décembre 2022 (NIS2). JOCE L 333, 27 décembre 2022.
Publications officielles de la Commission européenne et de l'AI Office
Commission européenne. Projet de lignes directrices sur la classification des systèmes d'IA à haut risque en application de l'article 6. 19 mai 2026, consultation publique jusqu'au 23 juin 2025. leto.legal
Guichet d'assistance de la loi sur l'IA, Commission européenne. Explorateur de la loi sur l'IA. ai-act-service-desk.ec.europa.eu
Bureau de l'IA. Orientations sur la portée des obligations des fournisseurs de modèles d'IA à usage général (IAUG). 18 juillet 2025.
Institut pour l'avenir de la vie. Explorateur de la loi sur l'IA. intelligenceartificielleacte.eu
Analyses doctrinales et guides de conformité
Abilene Academy. Loi européenne sur l'IA, le guide complet de conformité pour la date limite du 2 août 2026. Mai 2026.
Marine de la Clergerie. Loi sur l'IA Article 6 : Règles de classification des systèmes d'IA comme systèmes à haut risque. MDC Avocat, 19 mai 2026.
Cloix Mendès-Gil. Systèmes d'IA : les 4 niveaux de risque de la réglementation européenne. 17 juin 2025.
Aumans Avocats. Loi sur l'IA : Systèmes d'IA à Haut Risque, Quels sont les Défis et Obligations ? 28 mars 2025.
Steptoe. Obligations de l'UE concernant l'IA pour les modèles GPAI applicables dès le 5 août 2025.
Modulos. Règlement européen sur l'IA, Modèles d'IA à usage général (Chapitre V, Articles 51-56). Mai 2026.
Gartner Research. IA fantôme dans les organisations d'entreprise, données d'enquête 2025.
© 2026 Neo Coeur Intelligence, tous droits réservés.
Cet article est fourni à titre informatif uniquement et ne constitue pas un avis juridique.
www.neocoeurintelligence.com
