Comment conduire un audit de conformité AI Act en interne : méthode pas à pas (2026)
Avant de payer un cabinet juridique 20 000 €, faites d'abord votre propre cartographie. 80 % du travail de conformité AI Act peut être réalisé en interne — voici comment structurer ces 2-5 jours de travail.
1. Pourquoi un audit interne avant le cabinet
Un cabinet juridique ne peut pas auditer ce qu'il ne connaît pas. L'audit interne permet de cartographier vos systèmes IA, d'identifier les systèmes à haut risque, et de prioriser les actions. Le juriste intervient ensuite sur les points nécessitant une analyse légale (marquage CE haut risque, contrats fournisseurs, AIDA).
2. Étape 1 : Cartographier tous vos systèmes IA
- □ Cet outil utilise-t-il de l'IA/ML ? (souvent oui, même dans des SaaS classiques)
- □ Qui a développé ce système ? (fournisseur tiers ou développement interne)
- □ Quelles données entre en input ?
- □ Quelle décision ou output produit-il ?
- □ Qui est affecté par cette décision ?
Sources à explorer pour la cartographie :
- Liste des SaaS abonnés (outil de gestion des dépenses)
- Entretiens avec équipes RH, Commercial, IT, Marketing
- Audit du code : recherche des imports OpenAI, Anthropic, HuggingFace, AWS SageMaker, etc.
- Revue des contrats fournisseurs IT
3. Étape 2 : Qualifier votre rôle (fournisseur/déployeur)
- Votre entreprise a-t-elle développé le système elle-même ?
→ Oui : vous êtes FOURNISSEUR (obligations lourdes)
→ Non : passez à la question suivante - Utilisez-vous ce système dans le cadre de votre activité professionnelle ?
→ Oui : vous êtes DÉPLOYEUR (obligations allégées mais réelles)
→ Non : vous n'êtes pas concerné par ce système
4. Étape 3 : Classifier le niveau de risque
- Le système figure-t-il dans l'Annexe III ?
→ Oui : HAUT RISQUE → documentation Annexe IV obligatoire
→ Non : passez à la question suivante - Est-il interdit (scoring social, biométrie temps réel) ?
→ Oui : RISQUE INACCEPTABLE → cesser immédiatement
→ Non : passez à la question suivante - Génère-t-il du contenu ou interagit-il avec des humains ?
→ Oui : RISQUE LIMITÉ → obligations transparence Art. 50
→ Non : RISQUE MINIMAL → aucune obligation AI Act
5. Étape 4 : Gap analysis et plan de remédiation
- □ Documentation technique Annexe IV existante ? (oui/non/partielle)
- □ Supervision humaine effective implémentée ? (oui/non/à implémenter)
- □ Journalisation automatique active ? (oui/non/à activer)
- □ Contrat fournisseur avec clauses AI Act ? (oui/non/à négocier)
- □ Information des personnes concernées en place ? (oui/non/à faire)
6. Ce qui doit rester côté cabinet juridique
- ✓ Évaluation de conformité formelle haut risque (marquage CE)
- ✓ Rédaction des clauses contractuelles fournisseurs IA
- ✓ AIDA (Analyse d'Impact sur les Droits Fondamentaux) si organisme public
- ✓ Défense en cas de mise en demeure CNIL/autorité de surveillance
7. FAQ
Un audit AI Act interne remplace-t-il un cabinet juridique ?
Non, mais il est indispensable avant d'y aller. Un cabinet ne peut pas auditer ce qu'il ne connaît pas. L'audit interne permet de cartographier vos systèmes IA, identifier les systèmes à haut risque, et prioriser. Le juriste intervient ensuite sur les points nécessitant une analyse légale (marquage CE haut risque, contrats fournisseurs, AIDA).
Combien de temps prend un audit AI Act interne ?
Pour une PME avec 5-10 outils IA intégrés (SaaS, APIs, outils internes) : 2 à 5 jours de travail effectif répartis sur 2-4 semaines. La cartographie (Étape 1) est la plus longue si elle n'a jamais été faite.
Que doit contenir le registre des systèmes IA pour l'AI Act ?
Minimum : nom du système, fournisseur, description de l'usage, données traitées, décisions produites, classification de risque (Annexe III ou non), statut fournisseur/déployeur, date de dernière révision. Pour les systèmes haut risque : documentation technique Annexe IV en sus.
Quels outils utiliser pour un audit AI Act interne ?
L'outil officiel de la Commission européenne (AI Act Compliance Checker), les guidelines publiées par l'EDPB et la CNIL, et des outils SaaS spécialisés comme Complio pour automatiser la documentation et le suivi. Un tableau collaboratif (Notion, Airtable) peut suffire pour la cartographie initiale.