Offre · Sécurité IA et conformité

Conformité AI Act — gap analysis, classification, documentation, mise en conformité.

Application des systèmes à haut risque le 2 août 2026. Pour les fournisseurs et déployeurs de systèmes IA en Europe : audit, classification, documentation Annexe IV, ISO 42001. Conduit directement par une experte IA et cybersécurité.

Réserver une scope-call de 20 min

Êtes-vous concerné par l'AI Act ?

Vous êtes concerné si vous fournissez ou déployez un système IA dans l'Union européenne. La distinction clé :

  • Fournisseur (provider) : vous développez ou faites développer le système et le mettez sur le marché. Obligations lourdes pour les systèmes haut risque (système qualité, documentation Annexe IV, évaluation de conformité, marquage CE).
  • Déployeur (deployer) : vous utilisez un système IA tiers sous votre propre autorité. Obligations opérationnelles (surveillance, logs, transparence utilisateur, évaluation d'impact).

Le calendrier d'application :

  • 2 février 2025 : interdictions (Article 5 — manipulations cognitives, scoring social, certaines biométrique).
  • 2 août 2025 : obligations sur les modèles d'IA à usage général (GPAI).
  • 2 août 2026 : systèmes à haut risque (Annexe III) — c'est l'échéance critique.
  • 2 août 2027 : application complète.

Votre système est-il à haut risque ?

L'Annexe III définit 8 grands cas d'usage haut risque :

1. Biométrie (identification biométrique post-distance, catégorisation, reconnaissance d'émotions au travail/école).

2. Infrastructures critiques (gestion du trafic routier, eau, gaz, électricité).

3. Éducation et formation professionnelle (admission, évaluation, classement).

4. Emploi (recrutement, sélection, évaluation, attribution de tâches).

5. Accès aux services publics et privés essentiels (crédit, assurance, prestations sociales).

6. Application de la loi.

7. Migration, asile, contrôle aux frontières.

8. Justice et processus démocratiques.

De plus, un système est haut risque s'il est composant de sécurité d'un produit déjà réglementé (jouet, machine, dispositif médical, véhicule). La qualification est rarement triviale — elle nécessite une analyse cas par cas argumentée.

Méthode WeeSec en 4 phases

Phase 1 — Cartographie et classification (2 semaines). Inventaire des systèmes IA, classification AI Act (interdit / haut risque / risque limité / risque minimal), identification du rôle (fournisseur / déployeur), évaluation préliminaire d'impact. Livrable : registre AI Act et matrice de classification argumentée.

Phase 2 — Gap analysis (3 semaines). Pour chaque système haut risque, écart vs les exigences détaillées : Article 9 (gestion du risque), Article 10 (gouvernance des données), Article 11 (documentation Annexe IV), Article 13 (transparence utilisateur), Article 14 (surveillance humaine), Article 15 (robustesse, exactitude, cybersécurité). Livrable : rapport de conformité avec score par exigence.

Phase 3 — Mise en conformité (3 à 6 mois selon ampleur). Mise en place du système qualité (Article 17), rédaction de la documentation technique Annexe IV, déploiement de la surveillance humaine et du logging, intégration des contrôles de robustesse et de cybersécurité, préparation de l'évaluation de conformité.

Phase 4 — Préparation au marché (1 mois). Évaluation de conformité (auto-évaluation ou organisme notifié selon cas), préparation du marquage CE, enregistrement dans la base UE, plan de surveillance post-marché.

Articulation avec ISO 42001 et NIST AI RMF

ISO/IEC 42001:2023 est la première norme internationale de management de l'IA, publiée en décembre 2023. Reconnue comme moyen de présomption de conformité partielle pour le système qualité (Article 17 AI Act) et la gestion du risque (Article 9). Pour une organisation déjà certifiée ISO 27001, ISO 42001 réutilise 60-70% du système existant (Annex SL).

NIST AI RMF (Risk Management Framework) avec son Generative AI Profile (NIST AI 600-1, juillet 2024) fournit un cadre opérationnel pour la gestion du risque IA. Volontaire mais reconnu mondialement, il complète bien ISO 42001 sur les aspects techniques.

WeeSec articule les trois (AI Act + ISO 42001 + NIST AI RMF) dans une démarche unique pour éviter les redondances.

Conformité GPAI (modèles à usage général)

Si vous développez un modèle d'IA à usage général (foundation model), des obligations spécifiques s'appliquent depuis le 2 août 2025 :

  • Documentation technique conforme à l'Annexe XI.
  • Politique de respect du droit d'auteur.
  • Résumé public des données d'entraînement (Article 53).
  • Évaluation et atténuation des risques.

Pour les GPAI à risque systémique (FLOPs > 10^25, typiquement les très gros modèles) : obligations renforcées (tests adversariaux, suivi des incidents graves, mesures de cybersécurité du modèle).

Si vous utilisez un GPAI tiers (OpenAI, Anthropic, Google, Mistral) en production, vous devez auditer le fournisseur (DDQ structurée). WeeSec dispose d'un canevas DDQ aligné sur l'AI Act.

Sanctions — pourquoi ne pas attendre

Les sanctions prévues par l'AI Act sont parmi les plus lourdes du droit européen :

  • Pratiques interdites (Article 5) : jusqu'à 35 M€ ou 7% du CA mondial annuel.
  • Obligations systèmes haut risque et GPAI : jusqu'à 15 M€ ou 3% du CA mondial.
  • Information incorrecte aux autorités : jusqu'à 7,5 M€ ou 1%.

En France, les autorités compétentes sont la CNIL (libertés fondamentales, données personnelles), la DGCCRF (consommateurs) et l'Arcom (audiovisuel et plateformes en ligne). Ces autorités peuvent inspecter, sanctionner et exiger la suspension d'un système non conforme.

Le risque opérationnel est aussi commercial : un client enterprise demandera votre conformité AI Act avant d'intégrer votre système — la non-conformité ferme des marchés.

Cadrage direct, sans engagement.

Une scope-call de 20 minutes pour qualifier votre besoin et vous fournir un devis ferme.

Réserver un échange Calendly

Articles connexes

ConformitéAI Act haut risque : application au 2 août 2026 ConformitéISO 42001 : norme management de l'IA Sécurité IAAudit fournisseur LLM tiers : checklist DDQ ConformitéNIST AI RMF : cadre pour startups françaises ConformitéAI Act fournisseurs amont : obligations partielles
FAQ

Questions fréquentes.

Comment savoir si mon système IA est haut risque selon l'AI Act ?

Un système est haut risque s'il relève d'un cas d'usage de l'Annexe III (biométrie, infrastructures critiques, éducation, recrutement, services essentiels, application de la loi, migration, justice) OU s'il est composant de sécurité d'un produit déjà réglementé. La qualification doit être argumentée par écrit, idéalement avec une analyse juridique et technique conjointe — c'est la première phase de l'audit WeeSec.

Combien coûte une mise en conformité AI Act ?

Pour une scale-up avec 1-3 systèmes IA, la mise en conformité complète coûte 40 à 80 K€ sur 4 à 6 mois (cartographie, gap analysis, documentation, mise en place du système qualité, préparation à l'évaluation). Pour un fournisseur de plusieurs systèmes haut risque ou un acteur GPAI : 80 à 200 K€. Pour une simple cartographie / gap analysis : 12 à 25 K€.

ISO 42001 dispense-t-elle des obligations AI Act ?

Non, mais ISO 42001 est explicitement reconnue comme moyen de présomption de conformité partielle pour le système qualité (Article 17) et la gestion du risque (Article 9). Une certification ISO 42001 facilite considérablement la démonstration de conformité AI Act et est très valorisée par les clients enterprise sensibles à l'IA responsable.

Qui est l'autorité française pour l'AI Act ?

L'AI Act est mis en œuvre en France par plusieurs autorités selon le périmètre : la CNIL (données personnelles, libertés fondamentales), la DGCCRF (protection des consommateurs), l'Arcom (audiovisuel, plateformes), l'ANSSI (cybersécurité du modèle pour les GPAI à risque systémique). Une coordination interministérielle est en place. Le choix de l'autorité compétente dépend du cas d'usage.

Quelle différence entre AI Act et RGPD ?

Les deux règlements sont complémentaires : RGPD couvre les données personnelles, AI Act couvre les systèmes IA. Si votre système IA traite des données personnelles, vous êtes soumis aux deux. L'AI Act introduit des exigences spécifiques aux systèmes IA (documentation technique, surveillance humaine, robustesse, transparence sur la nature IA) qui n'existent pas dans le RGPD.

Mon SaaS utilise OpenAI / Anthropic en backend — suis-je concerné ?

Vous êtes déployeur d'un système IA et concerné si votre cas d'usage relève de l'Annexe III (recrutement, scoring crédit, biométrie, etc.). Vous devez aussi vérifier que votre fournisseur GPAI (OpenAI, Anthropic, Google, Mistral) respecte ses obligations Article 53 — documentation technique, résumé des données d'entraînement, droit d'auteur. WeeSec dispose d'un canevas DDQ aligné AI Act pour qualifier ces fournisseurs.

À propos

Aroua Biri — fondatrice WeeSec, ingénieure docteure en cybersécurité

Aroua Biri

Fondatrice de WeeSec. Ingénieure docteure en cybersécurité (Télécom SudParis), MIT Applied AI certified. 15+ ans d'expérience auprès de BNP Paribas, Société Générale, ENEDIS, Engie, TOTAL, LVMH, Thales, AXA, EDF, L'Oréal, Allianz.

Profil complet · LinkedIn · Malt