Être en règle avec l’AI Act ne suffit pas.
Il faut pouvoir le PROUVER — preuves, registres, documentation datée.
Sans documentation, vous êtes considéré comme non-conforme, même si vous faites tout bien.
À retenir :
- 35 millions d’euros d’amende maximum pour non-conformité AI Act
- 73% des entreprises européennes utilisent au moins un système IA soumis au règlement
- 5 registres obligatoires à tenir pour prouver votre conformité
- 10 ans minimum de conservation des documents AI Act
- 89% des PME françaises ignorent leurs obligations de formation IA
Pourquoi la documentation détermine votre conformité AI Act
L’AI Act fonctionne sur un principe simple : pas de preuve = pas de conformité. Même si vous formez vos équipes, évaluez vos risques et utilisez l’IA de manière responsable, les autorités de contrôle (ANSSI, CNIL) ne peuvent pas le vérifier sans documentation.
Le règlement européen 2024/1689 impose une obligation de traçabilité pour tous les déployeurs d’IA — c’est-à-dire toute entreprise qui utilise des systèmes d’intelligence artificielle. Cette traçabilité passe par des registres précis, datés et régulièrement mis à jour.
Concrètement, lors d’un contrôle, les autorités vont demander : « Montrez-nous vos preuves de conformité. » Si vous n’avez rien à présenter, vous êtes automatiquement en infraction, avec des sanctions pouvant atteindre 35 millions d’euros ou 7% du chiffre d’affaires mondial annuel.
Les 5 registres obligatoires pour votre conformité AI Act
1. Registre des systèmes IA utilisés (inventaire exhaustif)
Ce registre doit recenser tous les systèmes d’IA utilisés dans votre entreprise. Beaucoup d’entreprises sous-estiment cette liste : ChatGPT, Canva IA, outils de traduction automatique, assistants de programmation, logiciels de CRM avec IA prédictive…
Pour chaque système, documentez :
- Nom et version du système
- Fournisseur et date de mise en service
- Classification de risque (minimal, limité, élevé, inacceptable)
- Usage précis dans l’entreprise
- Nombre d’utilisateurs et départements concernés
2. Registre des formations dispensées (preuve de littératie IA)
L’article 4 de l’AI Act impose une formation minimale à toute personne utilisant des systèmes IA. Ce registre doit prouver que vos équipes ont reçu cette formation obligatoire.
Documentez pour chaque collaborateur :
- Date et durée de la formation (15 heures minimum pour les décideurs utilisant des systèmes à haut risque)
- Contenu de la formation : risques IA, bonnes pratiques, limites des systèmes
- Évaluation des acquis et certificat de validation
- Dates de recyclage (formation continue requise)
3. Registre des évaluations de risque par système IA
Chaque système IA doit faire l’objet d’une évaluation de risque documentée. Ce n’est pas une formalité : c’est l’analyse qui détermine vos obligations de conformité.
Consignez pour chaque évaluation :
- Date d’évaluation et responsable de l’analyse
- Méthodologie utilisée et critères appliqués
- Classification finale (risque minimal à inacceptable)
- Mesures de mitigation mises en place
- Planning de réévaluation (au minimum annuelle)
4. Registre des incidents et quasi-incidents
L’AI Act impose de tracer tous les dysfonctionnements des systèmes IA, même ceux qui n’ont pas causé de dommage. Cette traçabilité permet d’identifier les patterns de risque et d’améliorer la sécurité.
Documentez chaque incident :
- Date, heure et système concerné
- Description précise du dysfonctionnement
- Impact réel ou potentiel sur l’activité
- Actions correctives mises en œuvre
- Mesures préventives pour éviter la récidive
5. Journal des mises à jour et évolutions des systèmes IA
Les systèmes d’IA évoluent en permanence. Chaque modification peut changer leur niveau de risque et donc vos obligations de conformité. Ce journal trace toute évolution significative.
Enregistrez :
- Date et nature de la mise à jour
- Impact sur les fonctionnalités et les risques
- Nouvelle évaluation de conformité si nécessaire
- Formation complémentaire des utilisateurs
Outils et modèles pour documenter votre conformité
Solutions gratuites pour démarrer
Notion permet de créer une base de données complète avec des templates personnalisés. Vous pouvez structurer vos 5 registres dans des pages liées, avec des filtres et des vues par département ou niveau de risque.
Airtable offre une approche plus structurée avec des champs typés (dates, listes déroulantes, pièces jointes). Idéal pour les entreprises qui veulent une interface simple mais professionnelle.
Excel/Google Sheets reste une option viable pour les petites structures. L’important est la rigueur du remplissage, pas la sophistication de l’outil.
Solutions dédiées à la conformité IA
Des plateformes spécialisées émergent pour automatiser la documentation AI Act. Elles proposent des templates pré-remplis, des workflows de validation et des alertes de mise à jour.
Ces solutions coûtent généralement entre 200 et 800€ par mois selon la taille de l’entreprise, mais elles simplifient considérablement la gestion de la conformité pour les organisations avec de nombreux systèmes IA.
Fréquence et durée de conservation des documents
L’AI Act impose un minimum de mise à jour annuelle pour tous les registres. Pour les systèmes à haut risque, cette fréquence peut être trimestrielle ou semestrielle selon les secteurs.
La durée de conservation varie selon le type de document :
| Type de document | Durée de conservation | Justification |
|---|---|---|
| Registre des systèmes IA | 10 ans après décommissionnement | Traçabilité historique |
| Formations dispensées | 10 ans après départ du collaborateur | Preuve de littératie IA |
| Évaluations de risque | 10 ans après dernière utilisation | Responsabilité juridique |
| Registre d’incidents | 15 ans après résolution | Analyse des patterns de risque |
Organisation interne : qui pilote votre conformité AI Act
La plupart des entreprises désignent un référent IA pour centraliser la documentation. Ce peut être le DPO existant (délégué à la protection des données) dont les missions s’étendent naturellement à l’IA, ou un nouveau poste dédié.
Ce référent coordonne :
- La tenue des 5 registres obligatoires
- Les formations IA des équipes
- Les évaluations de risque périodiques
- Les relations avec les autorités de contrôle
Pour les PME qui veulent améliorer leur efficacité avec l’IA, ce référent peut cumuler cette mission avec d’autres responsabilités digitales.
Ce que demandent les autorités lors des contrôles
L’ANSSI et la CNIL, principales autorités de contrôle en France, se coordonnent selon la nature des systèmes IA. L’ANSSI se concentre sur les aspects sécuritaires, la CNIL sur les données personnelles.
Lors d’un contrôle, elles demandent systématiquement :
- L’inventaire complet des systèmes IA utilisés
- Les preuves de formation des équipes (certificats, programmes, évaluations)
- Les évaluations de risque datées et signées
- Le registre des incidents sur les 3 dernières années
- La traçabilité des mises à jour système
Les 73% d’entreprises européennes qui utilisent au moins un système IA soumis à l’AI Act doivent pouvoir produire ces documents dans un délai de 15 jours maximum après la demande des autorités.
Checklist : démarrer votre documentation en 30 minutes
Voici un plan d’action immédiat pour lancer votre conformité AI Act :
Semaine 1 : Inventaire (30 minutes)
- Listez TOUS les outils IA utilisés dans l’entreprise (y compris les plus évidents comme ChatGPT)
- Identifiez qui les utilise et pour quels usages
- Créez votre premier registre (Excel suffit pour commencer)
Semaine 2 : Formation (1 heure)
- Vérifiez si vos équipes ont reçu une formation IA conforme
- Planifiez les formations manquantes (15 heures minimum pour les décideurs)
- Choisissez un organisme certifié pour développer les compétences IA de vos équipes
Semaine 3 : Évaluation des risques (2 heures)
- Classifiez chaque système IA selon le niveau de risque
- Documentez votre méthodologie d’évaluation
- Planifiez les réévaluations périodiques
Semaine 4 : Organisation (1 heure)
- Désignez votre référent IA interne
- Définissez les processus de mise à jour des registres
- Programmez les rappels automatiques pour la maintenance
L’investissement qui protège votre activité
Documenter sa conformité AI Act représente un investissement temps et parfois financier. Le coût estimé de mise en conformité s’élève à 2,3 milliards d’euros pour la France, mais ce chiffre inclut toutes les entreprises et tous les secteurs.
Pour une PME, compter entre 5 et 15 jours-homme pour mettre en place la documentation initiale, puis 1 à 2 jours par mois pour la maintenance. C’est négligeable comparé aux 35 millions d’euros d’amende que vous risquez en cas de non-conformité.
Surtout, cette documentation n’est pas qu’une contrainte : elle structure votre approche de l’IA, améliore la sécurité de vos processus et professionnalise votre utilisation des technologies d’intelligence artificielle.
L’AI Act transforme l’utilisation de l’IA d’un sujet technique en enjeu de gouvernance. Les entreprises qui anticipent cette transformation avec une formation adaptée à la création de contenus IA prennent une longueur d’avance sur leurs concurrents.
