En résumé : Un audit de conformité IA passe en revue, un par un, les outils d'intelligence artificielle utilisés par votre entreprise afin de vérifier s'ils respectent le Règlement européen sur l'IA (l'AI Act, UE 2024/1689). L'examen comporte des parties déjà obligatoires : l'interdiction de certaines pratiques et l'obligation de former votre personnel s'appliquent depuis février 2025, et les règles relatives aux modèles d'usage général depuis août 2025. Le rendez-vous majeur est août 2026, date à laquelle entrent en vigueur les obligations pour les systèmes à haut risque. En Espagne, l'autorité de surveillance est l'AESIA. Vous trouverez ci-dessous la checklist complète et le calendrier.
Qu'est-ce qu'un audit de conformité IA
Il s'agit d'une révision structurée de l'ensemble des systèmes d'intelligence artificielle que votre entreprise utilise, achète ou commercialise, afin de vérifier leur conformité aux exigences légales. Ce n'est pas un examen technique d'algorithmes ni un audit de cybersécurité. Il s'agit d'autre chose : savoir quelles IA vous déployez, à quelles fins, quel risque elles génèrent et si vous respectez les obligations qui vous incombent en fonction de ce risque.
J'explique souvent cela à mes clients de cette façon : c'est la même démarche que nous avons tous effectuée avec le RGPD en 2018, mais appliquée à l'IA. Vous commencez par dresser un inventaire honnête de ce que vous utilisez. Ensuite, vous classifiez chaque élément selon son niveau de risque. Puis vous vérifiez, cas par cas, si vous êtes en conformité. Et enfin, vous documentez tout pour pouvoir le démontrer si l'on vous interroge.
La différence avec un projet interne improvisé réside dans la rigueur. Un audit véritable laisse une trace écrite : un rapport avec les constats, un niveau de risque attribué à chaque système et un plan d'action avec des dates et des responsables. Sans cette documentation, vous n'avez pas de conformité, vous avez de bonnes intentions.
Pourquoi maintenant : l'AI Act est déjà en vigueur
Le Règlement sur l'IA (AI Act, Règlement UE 2024/1689) a été publié en 2024 et ce n'est pas une promesse pour l'avenir : certaines de ses dispositions s'appliquent déjà. Beaucoup pensent avoir jusqu'en 2026 pour s'y pencher. Ce n'est pas exact, et ce malentendu est précisément ce qui expose les entreprises à des risques.
Le règlement se déploie par phases. Depuis février 2025, certaines pratiques d'IA sont interdites (article 5) et l'obligation de formation à l'IA existe (article 4), c'est-à-dire former le personnel qui travaille avec ces systèmes. Depuis août 2025, les obligations relatives aux modèles d'IA d'usage général s'appliquent (les GPAI, tels que les grands modèles de langage). Et la date phare pour la majorité des entreprises est août 2026, date d'entrée en vigueur des obligations pour les systèmes à haut risque.
C'est le même schéma par phases que nous avons analysé en détail dans l'article sur les obligations de l'AI Act en août 2026 pour les PME (petites et moyennes entreprises) en Espagne. Si votre entreprise envisage d'utiliser l'IA dans le recrutement, l'octroi de crédit ou tout processus affectant des droits des personnes, c'est votre rendez-vous, et il est préférable d'y arriver préparé.
Sur les sanctions, il convient d'être précis. Le règlement prévoit des amendes pouvant atteindre 35 millions d'euros ou jusqu'à 7 % du chiffre d'affaires annuel mondial pour les pratiques interdites, et des montants moindres pour d'autres manquements. Je cite le « jusqu'à » délibérément : ce sont des plafonds, pas des montants automatiques. Mais le message de fond est clair : cela est pris au sérieux.
Ce que couvre un audit de conformité IA
Un audit sérieux aborde sept volets. Je les explique un par un, car chacun réserve généralement une surprise.
1. Inventaire des systèmes d'IA
Avant de pouvoir se conformer à quoi que ce soit, il faut savoir ce que vous avez. Et c'est là qu'apparaît presque toujours la première surprise : il y a plus d'IA que la direction ne le croit. Le chatbot du site web, le filtre de CV des ressources humaines, l'outil de scoring de leads, le module de prévision de l'ERP, les assistants que l'équipe utilise de son propre chef sans demander l'autorisation. L'inventaire les recense tous, avec leur fournisseur, leur finalité et les données qu'ils traitent.
2. Classification par niveau de risque
L'AI Act classe les systèmes par niveau de risque. Il existe des pratiques interdites (par exemple, certains usages de scoring social ou de manipulation), des systèmes à haut risque (ceux qui affectent l'emploi, l'éducation, le crédit, les services essentiels ou la sécurité), des systèmes soumis à des obligations de transparence et des systèmes à risque minimal. Chaque outil de votre inventaire reçoit une étiquette. Toutes les autres obligations découlent de cette étiquette, c'est donc l'étape qui mérite le plus d'attention.
3. Transparence
Certains usages de l'IA imposent d'en informer la personne concernée. Si un utilisateur interagit avec un chatbot, il doit pouvoir savoir qu'il ne s'agit pas d'un humain. Si vous publiez du contenu généré ou manipulé par l'IA, dans certains cas, cela doit être signalé. L'audit vérifie que ces avertissements existent et qu'ils sont compréhensibles.
4. Données et RGPD
L'IA se nourrit de données, et beaucoup d'entre elles sont des données personnelles. Ici, l'AI Act et le RGPD vont de pair : base légale du traitement, minimisation, information des personnes concernées et, le cas échéant, analyse d'impact. Si vous souhaitez approfondir la partie protection des données séparément, elle est développée dans le guide de conformité au RGPD pour les entreprises et ses sanctions. En pratique, un système d'IA mal gouverné présente presque toujours également un problème de données en arrière-plan.
5. Supervision humaine
Pour les systèmes à haut risque, une personne doit être en mesure de surveiller, de comprendre et, si nécessaire, d'arrêter le système. Le « c'est l'algorithme qui décide, un point c'est tout » n'est pas acceptable. L'audit examine qui supervise, avec quelle formation et avec quel pouvoir réel d'intervention. Cela rejoint l'obligation de formation de l'article 4 : si votre personnel ne comprend pas l'outil, il ne peut pas le superviser.
6. Documentation et traçabilité
Être conforme sans pouvoir le démontrer ne suffit pas. Les systèmes à haut risque exigent une documentation technique, des journaux de fonctionnement et une piste permettant de reconstituer ce qui s'est passé et pourquoi. L'audit vérifie que cette documentation existe et est à jour, et pas seulement que le système fonctionne correctement.
7. Gouvernance et management
Le septième volet est celui qui relie tous les précédents : politiques internes, responsables désignés, un processus pour évaluer chaque nouvel outil avant son acquisition et un système de management qui ne dépend pas de la mémoire d'une seule personne. Si vous souhaitez une structure formelle et certifiable à cet effet, la norme ISO 42001 relative au système de management de l'intelligence artificielle est le cadre de référence, et elle s'intègre très bien comme colonne vertébrale de la conformité à l'AI Act.
Checklist pratique d'audit de conformité IA
Voici la checklist que nous utilisons comme point de départ. Elle permet une première autoévaluation avant d'entamer l'audit formel.
| Domaine | Ce qu'il faut vérifier | Statut |
|---|---|---|
| Inventaire | Il existe une liste complète des systèmes d'IA utilisés, achetés ou développés, avec fournisseur et finalité | Oui / Non / Partiel |
| Classification | Chaque système s'est vu attribuer un niveau de risque conformément à l'AI Act | Oui / Non / Partiel |
| Pratiques interdites | Il a été vérifié qu'aucun système ne relève de l'article 5 (interdites depuis février 2025) | Oui / Non / Partiel |
| Formation | Le personnel utilisant l'IA a reçu une formation (article 4, depuis février 2025) | Oui / Non / Partiel |
| Transparence | Les utilisateurs savent quand ils interagissent avec une IA ou avec du contenu généré par une IA | Oui / Non / Partiel |
| Données et RGPD | Il existe une base légale, une minimisation des données et une information des personnes concernées ; analyse d'impact le cas échéant | Oui / Non / Partiel |
| Supervision humaine | Une personne peut surveiller, comprendre et arrêter les systèmes à haut risque | Oui / Non / Partiel |
| Documentation | Il existe une documentation technique et des journaux pour les systèmes à haut risque | Oui / Non / Partiel |
| Modèles GPAI | Si des modèles d'usage général sont utilisés, leurs obligations sont respectées (depuis août 2025) | Oui / Non / Partiel |
| Gouvernance | Il existe des politiques, des responsables et un processus pour évaluer les nouveaux outils | Oui / Non / Partiel |
Si vous cochez « Non » ou « Partiel » sur plusieurs lignes, ne vous inquiétez pas : c'est la situation normale aujourd'hui. La valeur de cette checklist est de vous confronter à la réalité pour décider par où commencer.
Calendrier des obligations de l'AI Act
Voici les dates importantes pour planifier l'audit. Je les présente dans l'ordre afin de visualiser le rythme du règlement.
| Date | Ce qui entre en vigueur |
|---|---|
| 2024 | Publication du Règlement UE 2024/1689 (AI Act) |
| Février 2025 | Interdiction des pratiques d'IA visées à l'article 5 et obligation de formation à l'IA de l'article 4 |
| Août 2025 | Obligations pour les modèles d'IA d'usage général (GPAI) |
| Août 2026 | Obligations pour les systèmes à haut risque |
Mon analyse pratique : si vous avancez déjà sur l'article 5 et la formation, l'urgence aujourd'hui est l'inventaire et la classification. Et si votre secteur implique des systèmes à haut risque, août 2026 est plus proche qu'il n'y paraît lorsqu'il faut documenter, former et mettre en place une supervision.
Qui supervise en Espagne : l'AESIA
L'Espagne a été l'un des premiers pays à créer une autorité dédiée. L'AESIA (Agencia Española de Supervisión de la Inteligencia Artificial), dont le siège est à La Coruña, est l'organisme national chargé de superviser l'application du règlement. Disposer d'une autorité propre et opérationnelle change la donne : la surveillance n'est pas une abstraction émanant de Bruxelles, c'est une agence avec un nom et une adresse.
Comment se préparer sans se perdre
La bonne nouvelle, c'est que cela peut être organisé. Il n'est pas nécessaire de tout résoudre en une semaine ; il faut commencer dans le bon ordre.
La première étape est l'inventaire, car sans savoir ce que vous avez, vous ne pouvez rien faire d'autre. La deuxième est la classification par risque, qui détermine l'ampleur réelle du travail à venir. Si aucun système à haut risque n'apparaît lors de cette classification, votre charge de travail est considérablement réduite. Si des systèmes à haut risque apparaissent, vous savez où concentrer vos efforts et vous avez jusqu'à août 2026 pour les obligations les plus lourdes.
Ensuite, il s'agit de combler les lacunes : avertissements de transparence, articulation avec le RGPD, supervision humaine là où elle est requise, documentation et une gouvernance minimale qui évite de repartir de zéro chaque fois que quelqu'un installe un nouvel outil. Et la formation de l'article 4, que beaucoup d'entreprises négligent en pensant que c'est un détail, alors qu'elle est déjà obligatoire.
Si vous préférez ne pas avancer à l'aveugle, dans mon service de conseil en conformité réglementaire j'accompagne l'ensemble du processus, de l'inventaire au plan d'action. L'objectif n'est pas de générer de la peur ni de la paperasse pour la paperasse, mais de mettre votre usage de l'IA en conformité et de pouvoir le démontrer.
Si vous souhaitez un premier état des lieux de votre situation, écrivez-moi depuis la page de contact et nous verrons par où commencer dans votre cas concret.