Accueil/EU AI Act Compliance

EU AI Act Compliance

Gouvernance IA & conformité réglementaire

Cartographie des modèles IA par niveau de risque, AI Risk Register complet, et checker interactif de conformité EU AI Act. Cas d'usage fictif BNP Paribas avec 10 systèmes IA analysés.

EU AI ActAI RiskModel GovernanceIA éthique

Contexte réglementaire

L'EU AI Act (Règlement (UE) 2024/1689) est entré en vigueur le 1er août 2024. C'est le premier cadre réglementaire mondial dédié à l'intelligence artificielle. Il adopte une approche basée sur le risque : plus le risque potentiel d'un système IA est élevé, plus les obligations sont strictes. Les amendes peuvent atteindre 35M€ ou 7% du CA mondial pour les violations les plus graves. Les systèmes à risque élevé dans le secteur financier (scoring crédit, détection fraude, KYC) sont soumis aux obligations les plus contraignantes dès 2026.

Classification des risques — 4 niveaux

Tout système IA doit être classifié selon cette hiérarchie avant déploiement.

Risque inacceptable

Systèmes interdits par l'EU AI Act. Manipulation subliminale, scoring social gouvernemental, surveillance biométrique en temps réel dans les espaces publics.

Scoring social des citoyensManipulation comportementaleExploitation des vulnérabilités

Risque élevé

Systèmes soumis aux obligations strictes de l'EU AI Act : évaluation de conformité, enregistrement, transparence, supervision humaine, robustesse.

Scoring crédit (banque)Détection de fraude (assurance)Recrutement automatisé (RH)Scoring médical (santé)Contrôle aux frontièresNotation étudiants

Risque limité

Obligations de transparence. L'utilisateur doit être informé qu'il interagit avec un système d'IA (chatbot, deepfake).

Chatbots service clientGénération de contenuSynthèse vocale

Risque minimal

Aucune obligation spécifique. La grande majorité des systèmes IA actuels (filtres spam, recommandations, jeux vidéo).

Filtres spam emailRecommandations produitsIA dans les jeux vidéo

AI Risk Register — Cas fictif BNP Paribas

Inventaire structuré des systèmes IA par niveau de risque EU AI Act. Template opérationnel applicable à tout établissement financier.

ID	Système IA	Département	Risque EU AI Act	Statut	AI Owner	Dernière revue
AI-001	Scoring crédit retail	Risk Management	Élevé	Non conforme	CDO Finance	Jan 2026
AI-002	Détection fraude carte	Sécurité financière	Élevé	En cours	CDO Ops	Fév 2026
AI-003	KYC — Vérification identité	Conformité	Élevé	Conforme	CCO	Mar 2026
AI-004	Chatbot service client	Digital	Limité	Conforme	CDO Digital	Jan 2026
AI-005	Recommandations produits	Marketing	Minimal	Conforme	CMO	Déc 2025
AI-006	Scoring comportemental	Crédit consommation	Élevé	Non conforme	CDO Finance	Nov 2025

Obligations clés pour les systèmes à risque élevé

Enregistrement dans la base EU AI Act

2026

Les systèmes IA à risque élevé doivent être enregistrés dans la base de données EU gérée par la Commission européenne avant mise sur le marché.

Évaluation de conformité

2026

Réalisation d'une évaluation de conformité (auto-évaluation ou tierce partie selon le secteur) documentée selon les exigences techniques de l'annexe IV.

Documentation technique complète

En continu

Maintenir une documentation couvrant : description du système, données d'entraînement, métriques de performance, mesures de robustesse, logs de tests.

Supervision humaine

2026

Les systèmes à risque élevé doivent permettre une supervision humaine effective. Les décisions automatiques sur des droits significatifs doivent pouvoir être contestées.

Transparence & explainabilité

2026

Les personnes concernées par une décision prise par un système IA à risque élevé ont le droit d'obtenir une explication compréhensible.

Monitoring post-déploiement

En continu

Surveillance continue des performances, détection des dérives (data drift, concept drift), alertes automatiques en cas de dégradation significative.

Modèle de gouvernance IA

L'EU AI Act ne prescrit pas d'organisation type, mais la mise en conformité requiert une gouvernance claire avec des rôles définis et une chaîne de responsabilité traçable.

Chief AI Officer (CAIO)

Piloter la stratégie IA, présider le comité de gouvernance IA, porter la conformité EU AI Act au COMEX.

AI Owner (Métier)

Responsable d'un système IA dans son domaine. Valide les cas d'usage, les données d'entrée, les critères de performance et assume la responsabilité business.

AI Steward (Technique)

Gère le cycle de vie du modèle : entraînement, validation, déploiement, monitoring, retraite. Maintient la documentation technique requise par l'EU AI Act.

AI Ethics Committee

Évalue les risques éthiques, les biais, les impacts sociaux. Valide les systèmes IA à risque élevé avant déploiement.

DPO / Juriste conformité

Vérifie l'articulation EU AI Act / RGPD, conseille sur les obligations légales, coordonne les enregistrements réglementaires.

Projet précédent

Audit de maturité Data & IA

Projet suivant

Gouvernance Solvency II