AI Act conformité entreprise DSI : un changement de cadre, pas un simple règlement de plus
Le règlement (UE) 2024/1689 sur l’intelligence artificielle redéfinit la conformité pour les directions des systèmes d’information, bien au-delà d’un simple texte de régulation. Pour une DSI d’entreprise qui pilote déjà le RGPD, le Data Act et les politiques de gouvernance des données, ce nouveau cadre européen vient structurer les usages d’intelligence artificielle selon un niveau de risque précis. L’enjeu n’est pas théorique ; il conditionne la mise en conformité des systèmes d’IA, la relation avec chaque fournisseur et la responsabilité du déployeur côté métier.
Le règlement (UE) 2024/1689 classe chaque système d’IA en quatre catégories de risques : inacceptable, élevé, limité et minimal, avec des obligations graduées pour les entreprises. Les DSI doivent articuler cette logique de systèmes à risque avec leurs cartographies existantes de risques cyber, de risques de conformité RGPD et de risques opérationnels, sous peine de multiplier les silos de gouvernance. Pour les responsables IT, ce texte devient alors un fil directeur pour aligner gouvernance de la donnée, gouvernance de la conformité et gouvernance des usages d’intelligence artificielle dans tous les systèmes d’information.
Les cas d’usage à haut risque sont déjà connus, notamment dans les ressources humaines et le crédit, mais la plupart des entreprises les consomment via des outils SaaS. Un système de scoring crédit ou un moteur d’évaluation de performance RH embarqué dans un logiciel métier reste un système d’IA à haut niveau de risque, même si le fournisseur en masque la complexité derrière une interface simple. Le vrai danger pour la DSI vient alors des risques d’ombre, avec une forme de shadow AI qui contourne la gouvernance conformité et expose l’entreprise à un risque réglementaire et à des sanctions administratives pouvant atteindre plusieurs pourcents du chiffre d’affaires annuel mondial, comme le rappelle la Commission européenne dans ses communications officielles.
Cartographier les systèmes d’IA : inventaire, classification et documentation technique
Avant toute mise en conformité, la DSI doit établir un inventaire exhaustif des systèmes d’intelligence artificielle en production. Cet inventaire doit couvrir les systèmes développés en interne, les agents conversationnels basés sur des LLM, les outils d’IA intégrés dans les ERP, CRM ou SIRH, ainsi que les usages d’IA générative dans les équipes métiers. Sans cette vue consolidée des systèmes et des usages, impossible de relier chaque système de données à un niveau de risque AI Act et à des obligations de documentation technique ou de supervision humaine.
La classification par niveau de risque doit ensuite être menée avec une grille claire, alignée sur le règlement et partagée avec les métiers, la conformité et la direction juridique. Les systèmes à haut risque, comme les moteurs de recrutement automatisé ou les algorithmes de scoring crédit, exigent une mise en conformité renforcée, avec une documentation technique détaillée, des tests de robustesse (taux d’erreur cible, scénarios de stress, seuils de dérive), une traçabilité des données d’entraînement et des mécanismes de supervision humaine explicites. Les systèmes à risque limité ou minimal, par exemple certains agents d’assistance interne, restent soumis à des obligations de transparence mais avec une mise en œuvre plus légère, ce qui permet de concentrer les efforts sur les systèmes à risques majeurs.
Pour les DSI, cette cartographie doit être intégrée dans les référentiels existants de gestion des risques, au même titre que les cartographies de vulnérabilités cyber ou de dépendances fournisseurs. Les pratiques recommandées par l’ANSSI et les analyses de Gartner ou Forrester sur la gestion des risques IA peuvent servir de base, mais la responsabilité finale reste côté entreprise, pas côté éditeur. Avant de signer un nouveau contrat d’agent IA intégré, comme ceux proposés dans certaines suites collaboratives, une DSI doit exiger une fiche de classification de risque, un engagement contractuel sur les obligations AI Act (droits d’audit, fourniture de logs, indicateurs de performance) et des clauses de responsabilité claires, à l’image de ce que beaucoup ont déjà fait pour le RGPD avec les clauses de sous-traitance.
Pour approfondir les enjeux contractuels autour des agents intégrés dans les suites bureautiques, une analyse détaillée est disponible sur ce que les DSI doivent savoir avant de signer pour un agent 365. Cette approche contractuelle doit être répliquée avec chaque fournisseur de solutions d’intelligence artificielle, qu’il s’agisse d’un grand éditeur ou d’une start-up spécialisée. Dans un contrat type, une DSI peut par exemple exiger un délai de notification d’incident de 48 heures, des pénalités financières en cas de non-respect des obligations de transparence ou de supervision humaine, et la possibilité de suspendre le service en cas de non-conformité grave, afin de sécuriser la répartition des responsabilités autant que la technique des modèles.
Shadow AI, usages métiers et gouvernance : reprendre le contrôle sans casser l’innovation
La plupart des entreprises ont déjà un problème de shadow IT ; l’AI Act va mettre en lumière un shadow AI encore plus diffus. Entre les outils d’IA générative utilisés par les équipes marketing, les agents conversationnels branchés sur des données internes et les scripts d’automatisation développés par les data scientists, les usages prolifèrent en dehors de tout cadre de gouvernance conformité. Pour une DSI, la mise en ordre des usages IA impose de transformer ce foisonnement en portefeuille maîtrisé de systèmes d’IA, avec des règles claires de mise en place et de mise en conformité.
La première étape consiste à rendre visibles ces usages, sans les interdire par principe, en s’appuyant sur des campagnes de recensement, des questionnaires ciblés et des ateliers avec les métiers. Les responsables de la relation client, des ressources humaines ou de la finance doivent être associés pour identifier les systèmes à haut niveau de risque, notamment ceux qui touchent aux droits fondamentaux, à la non-discrimination ou à la propriété intellectuelle. Une fois ces usages cartographiés, la DSI peut définir des politiques de gouvernance des systèmes à risque, avec des règles de supervision humaine, de gestion des données (durées de conservation, anonymisation, qualité) et de documentation technique adaptées à chaque catégorie.
Le sujet n’est pas seulement réglementaire ; il est aussi stratégique, car l’AI Act rebat les cartes entre innovation rapide et maîtrise des risques. Une gouvernance de la conformité IA bien conçue permet de canaliser l’énergie des métiers vers des usages d’intelligence artificielle à forte valeur, tout en réduisant les risques de fuites de données ou de non-respect du RGPD. Dans une grande entreprise de services, par exemple, un recensement mené sur trois mois a permis d’identifier plus de 120 scripts et assistants IA non déclarés ; après analyse, une trentaine ont été industrialisés dans un cadre contrôlé, tandis que les autres ont été abandonnés ou fusionnés, ce qui illustre comment transformer des risques diffus en portefeuille d’outils maîtrisés.
Aligner AI Act, RGPD et Data Act : données, droits fondamentaux et responsabilité partagée
Pour une DSI, l’AI Act ne se gère pas en silo ; il s’imbrique avec le RGPD, le Data Act et les politiques internes de sécurité des données. Les systèmes d’intelligence artificielle reposent sur des volumes massifs de données, souvent personnelles ou sensibles, ce qui impose une cohérence stricte entre conformité RGPD, gouvernance des données et exigences spécifiques de l’AI Act. La mise en conformité devient alors un exercice d’architecture globale, où chaque système d’IA est évalué à la fois sous l’angle des risques de données et des risques d’algorithmes.
Les obligations de transparence, de documentation technique et de supervision humaine prévues par le règlement AI Act complètent les principes de minimisation, de finalité et de droits des personnes du RGPD. Un système d’IA à haut risque doit ainsi démontrer non seulement la qualité de ses données d’entraînement, mais aussi l’absence de biais discriminatoires, le respect des droits fondamentaux et la possibilité d’un contrôle humain effectif sur les décisions critiques. Les entreprises doivent documenter cette mise en œuvre dans des registres de traitement et des dossiers techniques, prêts à être présentés à la Commission européenne ou à une autorité nationale compétente (CNIL, autorités sectorielles) en cas de contrôle, comme le rappellent les premières lignes directrices publiées par ces institutions.
Le Data Act ajoute une couche supplémentaire, en encadrant l’accès et le partage des données entre entreprises, fournisseurs et déployeurs de systèmes d’IA. Une DSI doit clarifier contractuellement la responsabilité de chaque fournisseur et de chaque déployeur fournisseur, notamment sur les risques de fuites de données, de réutilisation non autorisée ou d’atteinte à la propriété intellectuelle. Cette clarification contractuelle est essentielle pour éviter que le risque réglementaire ne se transforme en contentieux coûteux, surtout lorsque plusieurs entreprises partagent un même système d’IA ou un même jeu de données.
Dans ce contexte, la gestion des risques ne peut plus se limiter à la cybersécurité ou à l’assurance classique ; elle doit intégrer explicitement les risques IA. Les réflexions menées sur l’assurance cyber et le rôle du RSSI, comme celles présentées dans l’analyse sur le RSSI qui ne pilote pas sa police d’assurance, offrent un parallèle utile pour les DSI. La mise en œuvre de l’AI Act impose le même type de pilotage actif, avec des indicateurs de risques IA (taux d’incidents, nombre de modèles à haut risque, écarts de performance), des clauses d’assurance adaptées et une gouvernance partagée entre IT, juridique et métiers.
Plan d’action pour les DSI d’ici décembre 2026 : de la théorie à la mise en œuvre
À l’horizon de l’échéance de décembre 2026, les DSI n’ont plus le luxe d’attendre pour structurer leur plan d’action AI Act. La feuille de route doit combiner une mise en place rapide des fondations de gouvernance, une mise en conformité progressive des systèmes à haut risque et une montée en compétence des équipes sur les obligations spécifiques de l’intelligence artificielle. La conformité IA devient un programme pluriannuel, au même titre qu’une transformation cloud ou qu’un plan de modernisation des systèmes d’information.
Un plan réaliste commence par quatre chantiers : inventaire des systèmes d’IA, classification par niveau de risque, définition d’un cadre de gouvernance et intégration des exigences AI Act dans les processus projets. Chaque nouveau projet impliquant de l’IA doit passer par une analyse de risques IA, une validation de la supervision humaine, une vérification de la conformité RGPD et une revue de la documentation technique fournie par le fournisseur. Les systèmes existants, en particulier ceux utilisés en ressources humaines, en scoring crédit ou en relation client, doivent faire l’objet d’une mise en conformité prioritaire, avec des plans de remédiation documentés, des jalons temporels (par exemple 6 à 18 mois selon la criticité) et des métriques de suivi (taux de conformité, nombre de non-conformités résiduelles).
La réussite de cette mise en œuvre repose enfin sur la capacité de la DSI à embarquer le Comex, les métiers et les fonctions support dans une vision partagée des risques et des opportunités de l’IA. L’AI Act rebat les cartes entre innovation rapide et responsabilité, mais il offre aussi un cadre pour professionnaliser les usages d’IA et renforcer la confiance des clients, des collaborateurs et des régulateurs. Pour les DSI qui sauront transformer ces obligations en avantage compétitif, la conformité IA ne sera pas seulement un coût réglementaire, mais un levier de maturité et de différenciation durable.
FAQ sur l’AI Act et la préparation des DSI
Comment une DSI peut-elle identifier tous les systèmes d’IA déjà présents dans l’entreprise ?
La méthode la plus efficace combine plusieurs approches complémentaires, plutôt qu’un simple questionnaire envoyé par email. Il est recommandé de croiser l’analyse des contrats fournisseurs, l’inventaire des applications, les logs d’accès aux outils d’IA en ligne et des ateliers avec les métiers pour recenser les usages réels. Cette démarche permet de repérer à la fois les systèmes d’IA officiels et les usages de shadow AI, souvent déployés sans validation de la DSI.
Quels sont les systèmes d’IA les plus susceptibles d’être classés à haut risque par l’AI Act ?
Les systèmes utilisés pour le recrutement, l’évaluation des performances, le scoring crédit, l’accès à certains services essentiels ou la surveillance des comportements sont particulièrement exposés. Lorsqu’ils ont un impact direct sur les droits fondamentaux des personnes, ces systèmes entrent généralement dans la catégorie des risques élevés, avec des obligations renforcées de transparence, de documentation technique et de supervision humaine. Les DSI doivent donc prioriser l’analyse de ces usages, même lorsqu’ils sont fournis via des solutions SaaS apparemment standard.
Comment articuler les exigences de l’AI Act avec celles du RGPD et du Data Act ?
La clé consiste à traiter ces textes comme un ensemble cohérent, et non comme trois silos réglementaires indépendants. Le RGPD couvre principalement la protection des données personnelles, le Data Act encadre l’accès et le partage des données, tandis que l’AI Act se concentre sur les risques liés aux systèmes d’intelligence artificielle eux-mêmes. Une gouvernance unifiée des données et de l’IA permet de définir des processus communs de cartographie, d’analyse de risques, de documentation et de contrôle, en évitant les redondances et les angles morts.
Quel rôle la supervision humaine joue-t-elle concrètement dans la conformité AI Act ?
La supervision humaine ne se limite pas à un simple « clic de validation » en fin de processus automatisé. Elle implique que des personnes qualifiées puissent comprendre le fonctionnement général du système d’IA, contester ou corriger ses décisions et intervenir en cas d’anomalie ou de dérive. Pour être conforme à l’AI Act, cette supervision doit être pensée dès la conception du système, documentée et intégrée dans les procédures opérationnelles de l’entreprise.
Quelles compétences nouvelles les équipes DSI doivent-elles développer pour gérer l’AI Act ?
Les équipes doivent renforcer leurs compétences en gestion des risques IA, en gouvernance des données, en compréhension des modèles d’intelligence artificielle et en lecture de documentation technique fournie par les éditeurs. Il devient aussi crucial de développer des capacités de dialogue avec les juristes, les métiers et les autorités de contrôle, afin de traduire les exigences réglementaires en exigences techniques concrètes. Cette montée en compétence peut passer par des formations ciblées, des recrutements spécialisés ou des partenariats avec des cabinets disposant d’une expertise avérée sur l’AI Act.
Références externes recommandées
- Site de la Commission européenne sur la régulation de l’intelligence artificielle
- Rapports de l’ANSSI sur la sécurité des systèmes d’IA et des données
- Analyses Gartner et Forrester sur la gouvernance de l’IA en entreprise