Solution française • Hébergement souverain • Conformité européenne Blog IA souveraine
Conformité & Droit 7 avril 2026 8 min de lecture

Audit IA interne : la checklist complète pour RSSI et DPO

L'EU AI Act impose aux déployeurs de systèmes d'IA à haut risque de maintenir un système de gestion des risques (article 9) et une documentation technique (article 11). Mais même pour les systèmes à risque limité, un audit interne régulier est la meilleure façon d'anticiper les contrôles et de prouver votre bonne foi réglementaire. Voici la méthode, étape par étape.

Ce qu'il faut retenir

  • L'EU AI Act exige documentation technique, gestion des risques et supervision humaine pour les systèmes à haut risque
  • La classification correcte de vos systèmes IA est la première étape — et la plus souvent mal faite
  • Le RGPD s'applique à tout système IA traitant des données personnelles, indépendamment de l'AI Act
  • Un audit interne annuel (minimum) est la norme pour prouver la conformité continue

Étape 1 : définir le périmètre d'audit

Avant d'auditer quoi que ce soit, cartographiez exhaustivement vos systèmes IA. Posez-vous ces questions pour chaque outil IA utilisé dans l'entreprise :

  • Qui l'utilise ? (département, nombre d'utilisateurs)
  • Quelles données traite-t-il ? (personnelles, sensibles, confidentielles)
  • Quelle est sa fonction ? (décision automatisée, aide à la décision, génération de contenu)
  • Qui le fournit ? (SaaS externe, open source, développé en interne)
  • A-t-il accès à des systèmes critiques ? (ERP, CRM, bases de données clients)

N'oubliez pas le shadow AI : les outils IA non déclarés à la DSI. Une enquête interne anonyme révèle souvent 3 à 5 fois plus d'usages IA que ce que la DSI connaît. Incluez-les dans le périmètre.

Art. 9AI Act : système de gestion des risques
Art. 11AI Act : documentation technique
Art. 17AI Act : système de management qualité
Art. 26AI Act : obligations du déployeur

Étape 2 : classification des risques EU AI Act

Pour chaque système IA identifié, déterminez sa catégorie de risque :

CatégorieExemplesObligations
Risque inacceptableScore social, manipulation subliminaleInterdit — décommissionnement obligatoire
Haut risqueIA RH, scoring crédit, IA médicale, IA sécuritéDocumentation complète, supervision humaine, enregistrement EUDB
Risque limitéChatbot client, génération de contenuTransparence sur l'usage de l'IA
Risque minimalFiltre anti-spam, jeux vidéo IAAucune obligation spécifique

Attention : un système que vous pensez à "risque minimal" peut être à "haut risque" si son output influence une décision impactant des droits fondamentaux (emploi, crédit, santé, éducation).

Checklist : systèmes à haut risque

Pour chaque système classé haut risque, vérifiez point par point :

Documentation technique (Art. 11)

  • ☐ Description de la finalité et du fonctionnement du système
  • ☐ Données d'entraînement documentées (sources, méthodes, biais testés)
  • ☐ Architecture du modèle (ou description du modèle tiers utilisé)
  • ☐ Métriques de performance et de précision
  • ☐ Limitations connues et cas d'usage non couverts

Gestion des risques (Art. 9)

  • ☐ Registre des risques identifiés et des mesures d'atténuation
  • ☐ Tests de robustesse et de sécurité documentés
  • ☐ Tests anti-discrimination (données sensibles : genre, âge, origine)
  • ☐ Procédure de gestion des incidents

Supervision humaine (Art. 14)

  • ☐ Interface de supervision humaine opérationnelle
  • ☐ Procédure de recours / révision humaine documentée
  • ☐ Formation des opérateurs à la supervision du système
  • ☐ Mécanisme d'arrêt d'urgence fonctionnel

Logs et traçabilité (Art. 12)

  • ☐ Logs automatiques de toutes les décisions/outputs
  • ☐ Rétention des logs ≥ durée légale applicable
  • ☐ Accessibilité des logs pour audit réglementaire

Volet RGPD : ce qui s'applique à tout système IA

Indépendamment de la catégorie AI Act, tout système IA traitant des données personnelles déclenche des obligations RGPD :

  • ☐ Base légale du traitement identifiée et documentée dans le registre des traitements
  • ☐ AIPD (Analyse d'Impact) réalisée si traitement à risque élevé (profilage, décision automatisée)
  • ☐ Information des personnes concernées (mentions légales, politique de confidentialité)
  • ☐ Droit d'accès et d'effacement techniquement implémenté
  • ☐ Sous-traitants IA couverts par DPA (Data Processing Agreement)
  • ☐ Transferts hors UE documentés et justifiés (Cloud Act, Schrems II)

Volet NIS 2 : pour les entités essentielles et importantes

Si votre entreprise est couverte par NIS 2 (secteurs énergie, transport, santé, finance, numérique, etc.) :

  • ☐ Systèmes IA intégrés dans la cartographie des actifs critiques
  • ☐ Analyse de risque cybersécurité incluant les vecteurs d'attaque spécifiques aux LLM
  • ☐ Plan de continuité incluant la défaillance des systèmes IA
  • ☐ Procédure de notification d'incident applicable aux incidents IA

Documentation à produire pour l'audit

  • Registre de tous les systèmes IA (inventaire complet)
  • Fiche de classification risque pour chaque système
  • Documentation technique complète pour les systèmes haut risque
  • Registre des risques et mesures d'atténuation
  • Rapports de tests (performance, biais, sécurité)
  • Procédures de supervision humaine et d'arrêt d'urgence
  • Registre RGPD des traitements mis à jour
  • Contrats fournisseurs IA (DPA, SLA, clauses conformité)

Calendrier et fréquence d'audit recommandés

  • Audit initial : dès maintenant si pas encore fait, avant fin 2026 (pleine application AI Act)
  • Audit annuel : minimum pour les systèmes haut risque
  • Audit déclenché : à chaque mise à jour majeure d'un système IA, incident, ou changement réglementaire
  • Revue continue : monitoring des logs et des indicateurs de dérive du modèle (model drift)

Audit AI Act : faites-vous accompagner

Intelligence Privée livre votre documentation technique EU AI Act complète avec chaque déploiement. Audit ready dès le premier jour — sans cabinet de conseil externe.

Démarrer votre audit IA →

Continuer la lecture

Conformité

EU AI Act : vos obligations en 2026

Les exigences concrètes de l'AI Act pour chaque niveau de risque.

10 min
Conformité

RGPD, NIS 2 et IA : le guide de conformité

Toutes vos obligations légales quand vous déployez de l'IA en entreprise.

6 min
Gouvernance

Charte IA entreprise : le guide complet

Rédiger une charte IA robuste et conforme à l'EU AI Act.

7 min