I
Impetora
Article

Liste de contrôle Règlement européen sur l'IA pour le DSI.

Le calendrier d'application du Règlement (UE) 2024/1689 est connu. Les obligations sur les systèmes risque élevé de l'annexe III entrent en application le 2 août 2026. Pour un DSI qui pilote un portefeuille IA mature, ces vingt points couvrent la quasi-totalité des contrôles à instruire avant la date.

Cartographie et qualification (1 à 5)

  • 1. Inventaire complet des systèmes IA en production et en projet.
  • 2. Pour chaque système, qualification du rôle de l'entreprise (fournisseur, déployeur, importateur, distributeur).
  • 3. Pour chaque système, classement de risque documenté (interdit, élevé, limité, minimal).
  • 4. Identification des systèmes annexe III à venir, avec planification de mise en conformité avant août 2026.
  • 5. Pour les modèles à usage général utilisés en interne, qualification au regard du chapitre V du Règlement IA.

Documentation et fiche modèle (6 à 10)

  • 6. Documentation technique annexe IV produite pour chaque système risque élevé.
  • 7. Fiche modèle publique le cas échéant, alignée sur les attentes de transparence.
  • 8. Système de gestion des risques (article 9) tenu pendant tout le cycle de vie.
  • 9. Gouvernance des données (article 10) : provenance, qualité, représentativité documentées.
  • 10. Système qualité du fournisseur (article 17) formalisé et auditable.

Contrôles techniques (11 à 15)

  • 11. Journaux automatiques (article 12) chaînés et conservés.
  • 12. Supervision humaine effective (article 14) outillée et démontrable.
  • 13. Tests de précision, robustesse et cybersécurité (article 15) versionnés.
  • 14. Plan de surveillance après commercialisation (article 72) opérationnel.
  • 15. Procédure de signalement d'incident grave (article 73) avec délais respectés.

Articulation transversale (16 à 20)

  • 16. Articulation RGPD : AIPD à jour, base légale documentée, article 22 traité.
  • 17. Articulation DORA si finance : registre TIC, plan de sortie, droits d'audit activables.
  • 18. Articulation NIS2 si entité essentielle : mesures article 21, signalement article 23 préparés.
  • 19. Sous-traitants IA : registre, clauses contractuelles à jour, due diligence formalisée.
  • 20. Comité IA au plus haut niveau qui revoit ces points trimestriellement.

Comment industrialiser

Les vingt points ne se cochent pas en série, ils se travaillent en parallèle par regroupement logique. Notre recommandation est de constituer trois groupes : cartographie et qualification (points 1 à 5), documentation (points 6 à 10), contrôles techniques (points 11 à 15). Le groupe transversal (points 16 à 20) tire le meilleur des trois autres et clôt le dispositif. Pour un portefeuille de 20 systèmes IA, le travail s'étend généralement sur 6 à 9 mois, ce qui exige un démarrage immédiat si la date d'août 2026 est ferme.

Préparons votre dispositif Règlement IA.

Soumettre un projet
Appel de découverte

Réserver un appel de découverte

Dites-nous ce que vous souhaitez construire. Nous répondons sous un jour ouvré.

Appel de 30 minutes. Sans frais. Sans engagement.