Offre de lancement : -20% sur l'abonnement Starter en plus du premier audit gratuit avec le code NEW20

← Retour au blog

Comment préparer un audit interne AI Act en 4 semaines

Un plan de préparation structuré en quatre semaines pour votre audit interne AI Act : de la constitution de votre inventaire des systèmes d'IA en semaine 1 à la production d'un rapport d'actions priorisées en semaine 4. Inclut les livrables, les responsables et les outils pour chaque phase.

25 mai 2026DILAIG

Les audits internes ne sont pas optionnels sous l'AI Act. L'article 9 exige que les fournisseurs de systèmes d'IA à haut risque maintiennent un système de management de la qualité incluant des mécanismes d'audit interne. Pour les déployeurs, les articles 26(5) et 26(7) établissent des obligations de surveillance continue et de revue interne qui n'ont de sens que si quelqu'un vérifie périodiquement et systématiquement la conformité.

Mais le mot « audit » peut paralyser les équipes aussi facilement qu'il peut les protéger. L'objectif de ce guide est de rendre la phase de préparation concrète : quatre semaines, quatre livrables, et un ensemble clair de responsabilités qui s'intègrent dans la capacité organisationnelle normale. Ce n'est pas une méthodologie d'audit complète — c'est un plan de préparation qui permet à une équipe compétente d'entrer dans un audit avec confiance plutôt qu'avec improvisation.

Si vous n'avez pas encore lu notre article précédent sur les dix questions clés que votre auditeur interne devrait poser (article 20 de la série de blog DILAIG), c'est un contexte utile avant de commencer la semaine trois.

Semaine 1 — Inventaire des systèmes d'IA

Objectif : Savoir quels systèmes d'IA votre organisation utilise, où, et dans quel rôle.

Vous ne pouvez pas auditer ce que vous n'avez pas cartographié. Les organisations sous-estiment systématiquement le nombre de systèmes d'IA en usage actif. Beaucoup ont été achetés par des services individuels sans visibilité centrale. La phase d'inventaire est donc davantage un exercice de découverte qu'un exercice administratif.

Méthode

Partez de trois sources simultanément :

  1. Registres des achats et des actifs informatiques : Extrayez tous les contrats logiciels des trois dernières années faisant référence à l'apprentissage automatique, l'analytique prédictive, la prise de décision automatisée, les moteurs de recommandation ou les scores algorithmiques.
  2. Autodéclaration départementale : Envoyez un court questionnaire (cinq questions maximum) à chaque unité opérationnelle en demandant : Utilisez-vous un outil produisant des recommandations ou décisions automatisées ? Implique-t-il des sorties au niveau individuel ? Est-il fourni par un prestataire externe ou construit en interne ?
  3. Vérification croisée avec l'annexe III : Pour chaque système identifié, vérifiez si son cas d'usage correspond aux huit catégories de l'annexe III de l'AI Act (identification biométrique, infrastructure critique, éducation, emploi, services essentiels, maintien de l'ordre, migration, administration de la justice). Toute correspondance justifie un examen approfondi.

Qui impliquer

  • Équipe IT / RSSI (registres des actifs, contrats fournisseurs)
  • Responsables RH, Juridique, Finance, Opérations (autodéclaration)
  • Conformité ou DPD (identification des chevauchements RGPD)
  • Achats (revue des contrats)

Modèle

Un tableur simple avec les colonnes suivantes suffit pour la semaine 1 : Nom du système | Fournisseur | Unité opérationnelle | Description du cas d'usage | Catégorie annexe III (le cas échéant) | Construit en interne ou fourni par prestataire | Personnes concernées impliquées (oui/non) | Documentation actuellement détenue.

Livrable semaine 1

Un inventaire provisoire des systèmes d'IA répertoriant chaque outil d'IA en usage, avec les indicateurs annexe III le cas échéant. Ce document devient le périmètre de l'audit pour la suite.

Semaine 2 — Classification des risques

Objectif : Attribuer un niveau de risque réglementaire à chaque système de l'inventaire.

Le modèle de risque à quatre niveaux de l'AI Act (interdit / haut risque / risque limité / risque minimal) est défini aux articles 5, 6 et 7, et dans les annexes I et III. La classification n'est pas toujours évidente — un seul système d'IA peut servir plusieurs cas d'usage, dont certains déclenchent la classification haut risque et d'autres non.

Arbre de décision pour la classification

Travaillez sur chaque système en suivant cette logique :

  1. Est-il interdit ? Examinez l'article 5 (notation sociale, identification biométrique à distance en temps réel dans les espaces publics, manipulation subliminale, exploitation des vulnérabilités). Si oui, arrêtez immédiatement le déploiement et remontez au conseil juridique.
  2. S'agit-il d'un modèle d'IA à usage général ? Si le système est un modèle de fondation ou un modèle intégré dans plusieurs produits en aval, les articles 51–55 s'appliquent séparément. Signalez pour une revue spécifique MSIG.
  3. Relève-t-il de l'annexe III ? Si le cas d'usage correspond à l'une des huit catégories de l'annexe III, il est provisoirement à haut risque. Appliquez le test de minimis de l'article 6(3) : si le système n'effectue qu'une tâche préparatoire étroite sans effet direct sur une décision substantielle, il peut être exempté.
  4. Ne comporte-t-il que des obligations de transparence ? Les systèmes qui génèrent du contenu synthétique, interagissent avec des utilisateurs en tant que chatbots ou produisent des deepfakes sont soumis aux exigences de divulgation de l'article 50 mais ne sont pas à haut risque, sauf s'ils répondent également aux critères de l'annexe III.
  5. Tout le reste : Risque minimal. Aucune obligation obligatoire au-delà des bonnes pratiques générales.

Documentation

Pour chaque système classifié, enregistrez : le résultat de la classification, l'entrée spécifique de l'annexe III ou la disposition de l'article 5 invoquée (ou la raison de l'exclusion), et la date de classification. Ce relevé constitue une preuve fondamentale dans toute enquête des autorités de surveillance.

Qui impliquer

  • Juridique / conformité (validation finale de la classification)
  • Responsable de l'unité opérationnelle (clarification du cas d'usage)
  • DPD (chevauchement avec l'analyse d'impact sur la protection des données)

Livrable semaine 2

Un registre classifié des systèmes d'IA : chaque système assigné à un niveau de risque, avec justification écrite et validation juridique ou conformité.

Semaine 3 — Analyse des écarts par rapport aux exigences de l'AI Act

Objectif : Pour chaque système à haut risque, identifier ce qui est requis, ce qui existe et ce qui manque.

C'est le travail analytique central du processus de préparation. Une analyse des écarts est une comparaison structurée entre ce que la réglementation exige et ce que votre organisation a actuellement en place.

Grille d'évaluation

Construisez une grille avec les lignes suivantes pour chaque système à haut risque. Évaluez chacune comme Conforme / Partiel / Non conforme / Non applicable.

Exigence Article Statut actuel Preuve détenue Écart
Système de gestion des risques Art. 9
Gouvernance des données Art. 10
Documentation technique (Annexe IV) Art. 11
Tenue de registres / journalisation Art. 12, Art. 19
Transparence envers les utilisateurs Art. 13
Mesures de supervision humaine Art. 14
Exactitude, robustesse, cybersécurité Art. 15
Obligations du déployeur (Art. 26) Art. 26
Analyse d'impact sur les droits fondamentaux Art. 27
Enregistrement dans la base de données UE Art. 71

Dix questions clés (référence croisée avec l'article 20 du blog DILAIG)

Notre article précédent sur les audits internes AI Act identifie dix questions diagnostiques qui révèlent les lacunes de conformité les plus courantes. Au minimum, votre revue de la semaine trois devrait répondre à :

  1. Disposons-nous de la documentation technique annexe IV pour ce système ?
  2. Détenons-nous la déclaration UE de conformité du fournisseur ?
  3. Le système est-il enregistré dans la base de données UE ?
  4. Les mesures de supervision humaine sont-elles formellement documentées et les formations dispensées ?
  5. Avons-nous un processus de notification des incidents graves à l'autorité de surveillance ?

Les réponses à ces cinq questions seules révéleront si un système est matériellement conforme ou nécessite une remédiation urgente.

Qui impliquer

  • Conformité / juridique (interprétation réglementaire)
  • Responsable du système / IT (documentation technique)
  • RH ou responsable de département concerné (procédures de supervision)
  • Conseil juridique externe (si la classification est contestée)

Livrable semaine 3

Une grille d'analyse des écarts complétée pour chaque système à haut risque, avec un résumé du statut de conformité global (nombre d'exigences Satisfaites / Partielles / Non satisfaites par système).

Semaine 4 — Priorisation et rapport d'audit interne

Objectif : Transformer l'analyse des écarts en un plan d'actions priorisé et un rapport écrit pouvant être présenté à la direction et utilisé comme preuve de bonne foi en matière de conformité.

Logique de priorisation

Tous les écarts ne sont pas équivalents. Utilisez une matrice à deux dimensions :

  • Gravité réglementaire : Critique (directement requis par un article contraignant, risque élevé d'amende) / Important (requis mais avec une certaine latitude dans la mise en œuvre) / Recommandé (bonne pratique, non explicitement mandaté).
  • Effort de mise en œuvre : Faible (moins d'une semaine, pas de dépendance tierce) / Moyen (deux à quatre semaines, coordination interne requise) / Élevé (nécessite la coopération du fournisseur, de nouveaux outils ou un changement structurel).

Concentrez les ressources en premier sur les écarts Critique-Faible et Critique-Moyen. Les écarts Critique-Élevé doivent être remontés à la direction avec un plan de remédiation défini et un calendrier.

Structure du rapport d'audit interne

Le rapport n'a pas besoin d'être volumineux. Un document bien structuré de 10–15 pages est plus utile qu'un dossier de 100 pages que personne ne lit. Structure recommandée :

  1. Périmètre et méthodologie : Quels systèmes ont été examinés, quel cadre a été utilisé, qui était impliqué, quelle période est couverte.
  2. Résumé de l'inventaire : Nombre de systèmes identifiés, répartition par niveau de risque.
  3. Principales conclusions : Les cinq principales lacunes dans le portefeuille de systèmes, avec références réglementaires.
  4. Conclusions par système : Une page par système à haut risque — classification, résumé de l'analyse des écarts, statut de conformité.
  5. Plan d'actions : Liste priorisée des actions de remédiation, avec responsable, date cible et critère de succès.
  6. Risques résiduels : Lacunes qui ne peuvent pas être comblées avant l'échéance de conformité, avec mesures d'atténuation.
  7. Validation : Révision et approbation par le DPD, le conseil juridique et la direction.

Qui impliquer

  • Conformité ou juridique (rédaction du rapport, validation)
  • DPD (sections de chevauchement RGPD)
  • Direction / conseil (approbation, allocation de ressources pour la remédiation)
  • RSSI (sections cybersécurité et journalisation)

Livrable semaine 4

Un rapport d'audit interne signé avec un plan d'actions priorisé en annexe. Ce document doit être conservé pendant au moins trois ans et produit sur demande aux autorités de surveillance du marché.

Après les quatre semaines

Le rapport d'audit interne est un point de départ, non un point d'arrivée. Le plan d'actions qu'il génère nécessite des responsables, des délais et un mécanisme de suivi. Nous recommandons un sprint de 30 jours axé sur les gains rapides des écarts Critique-Faible immédiatement après la signature du rapport, suivi de revues mensuelles d'avancement sur le plan d'actions complet.

Pour les fournisseurs de systèmes à haut risque, le processus d'audit s'intègre directement dans l'évaluation de conformité (article 43) et doit se refléter dans la documentation technique mise à jour. Pour les déployeurs, il s'intègre dans le cadre de conformité de l'article 26 et, le cas échéant, dans l'analyse d'impact sur les droits fondamentaux prévue à l'article 27.

DILAIG accompagne chaque phase de ce processus en quatre semaines — des modèles d'inventaire automatisés à la notation de l'analyse des écarts et à la génération de rapports. Réduisez quatre semaines à quatre jours. Démarrez sur dilaig.com.

Votre système IA est-il conforme ?

Audit gratuit en 20 minutes.

Démarrer l'audit