I
Impetora
Article

Liste de contrôle Règlement européen sur l'IA pour le DSI.

Le calendrier d'application du Règlement (UE) 2024/1689 est connu. Les obligations applicables aux systèmes à haut risque de l'annexe III entrent en application le 2 août 2026. Pour un DSI qui pilote un portefeuille IA mature, ces vingt points couvrent la quasi-totalité des contrôles à instruire avant cette date.

Cartographie et qualification (1 à 5)

  • 1. Inventaire complet des systèmes IA en production et en projet.
  • 2. Pour chaque système, qualification du rôle de l'entreprise (fournisseur, déployeur, importateur, distributeur).
  • 3. Pour chaque système, classification de risque documentée (interdit, haut, limité, minimal).
  • 4. Identification des systèmes annexe III à venir, avec planification de mise en conformité avant août 2026.
  • 5. Pour les modèles à usage général utilisés en interne, qualification au regard du chapitre V du Règlement européen sur l'IA.

Documentation et fiche modèle (6 à 10)

  • 6. Documentation technique de l'annexe IV produite pour chaque système à haut risque.
  • 7. Fiche modèle publique le cas échéant, alignée sur les attentes de transparence.
  • 8. Système de gestion des risques (article 9) tenu pendant tout le cycle de vie.
  • 9. Gouvernance des données (article 10) : provenance, qualité, représentativité documentées.
  • 10. Système qualité du fournisseur (article 17) formalisé et auditable.

Contrôles techniques (11 à 15)

  • 11. Journaux automatiques (article 12) chaînés et conservés.
  • 12. Supervision humaine effective (article 14) outillée et démontrable.
  • 13. Tests d'exactitude, de robustesse et de cybersécurité (article 15) versionnés.
  • 14. Plan de surveillance après commercialisation (article 72) opérationnel.
  • 15. Procédure de signalement d'incident grave (article 73) avec délais respectés.

Articulation transversale (16 à 20)

  • 16. Articulation avec le RGPD : AIPD à jour, base légale documentée, article 22 traité.
  • 17. Articulation avec DORA si vous êtes dans la finance : registre TIC, plan de sortie, droits d'audit activables.
  • 18. Articulation avec NIS2 si vous êtes une entité essentielle : mesures de l'article 21, signalement de l'article 23 préparés.
  • 19. Sous-traitants IA : registre, clauses contractuelles à jour, devoir de diligence formalisé.
  • 20. Comité IA au plus haut niveau qui revoit ces points trimestriellement.

Comment industrialiser

Les vingt points ne se cochent pas en série : ils se traitent en parallèle, par regroupement logique. Notre recommandation est de constituer trois groupes : cartographie et qualification (points 1 à 5), documentation (points 6 à 10), contrôles techniques (points 11 à 15). Le groupe transversal (points 16 à 20) capitalise sur les trois autres et clôt le dispositif. Pour un portefeuille de 20 systèmes d'IA, le travail s'étend généralement sur 6 à 9 mois, ce qui impose un démarrage immédiat si la date d'août 2026 est ferme.

Préparons votre dispositif Règlement européen sur l'IA.

Soumettre un projet
Appel de découverte

Réserver un appel de découverte

Dites-nous ce que vous souhaitez construire. Nous répondons sous un jour ouvré.

Appel de 30 minutes. Sans frais. Sans engagement.