Offre de lancement : -20% sur l'abonnement Starter en plus du premier audit gratuit avec le code NEW20

← Retour au blog

Checklist déployeur haut-risque : 20 points avant la deadline d'août 2026

L'article 26 de l'AI Act UE définit précisément ce que les déployeurs de systèmes d'IA à haut risque doivent faire avant la mise en service. Cette checklist en 20 points, organisée autour de la vérification fournisseur, la supervision humaine, la gestion des données et les procédures internes, vous offre un plan d'action concret avec références réglementaires et niveaux de priorité.

25 mai 2026DILAIG

L'article 26 du règlement (UE) 2024/1689 définit les obligations des déployeurs de systèmes d'IA à haut risque. Contrairement aux fournisseurs — qui supportent les charges techniques et documentaires les plus lourdes — les déployeurs sont des organisations qui utilisent un système d'IA à haut risque dans un contexte professionnel. Ce périmètre est large : il couvre les services RH utilisant des outils de présélection IA, les hôpitaux utilisant une IA diagnostique, les banques utilisant des modèles de scoring de crédit, et toute autorité publique déployant l'IA dans l'allocation de prestations ou l'application de la loi.

Note sur la deadline d'août 2026 : Le calendrier original de l'AI Act fixait août 2026 comme date d'application intégrale des obligations pour les systèmes à haut risque. Le règlement omnibus IA proposé (en discussion depuis fin 2025) pourrait reporter cette échéance à décembre 2027. Jusqu'à l'adoption formelle de l'omnibus, août 2026 reste la cible de conformité opérationnelle. Ne comptez pas sur un report qui n'a pas encore force de loi.

Les 20 points ci-dessous sont organisés en quatre sections. Pour chaque point : l'article pertinent, l'action concrète requise, et le niveau de priorité (Critique / Important / Recommandé).

Section 1 — Vérification fournisseur (5 points)

Ces étapes doivent être complétées avant la signature d'un contrat ou la mise en service d'un système. Vous ne pouvez pas déléguer la conformité en vous contentant de pointer vers votre prestataire.

1. Confirmer l'enregistrement du système dans la base de données UE

  • Article : Art. 71, Art. 26(1)
  • Action : Demandez à votre fournisseur le numéro d'enregistrement dans la base de données UE. Vérifiez-le sur le portail officiel de la base de données de l'AI Act UE. Si le système n'est pas enregistré, il ne peut pas légalement être déployé pour un usage à haut risque.
  • Priorité : Critique

2. Obtenir et examiner la déclaration UE de conformité

  • Article : Art. 47, Art. 26(1)
  • Action : Demandez la déclaration de conformité signée au fournisseur. Vérifiez qu'elle couvre le cas d'usage spécifique que vous envisagez de déployer. Conservez une copie dans vos archives.
  • Priorité : Critique

3. Examiner les instructions d'utilisation du fournisseur

  • Article : Art. 13, Art. 26(1)
  • Action : Le fournisseur doit fournir des instructions couvrant la finalité prévue, les limites de performance, les besoins de maintenance et les exigences de supervision humaine. Confirmez que celles-ci sont complètes, à jour et dans une langue utilisable par votre personnel.
  • Priorité : Critique

4. Vérifier l'accessibilité de la documentation technique du fournisseur

  • Article : Art. 11, Annexe IV
  • Action : Vous n'avez pas besoin de détenir vous-même la documentation de l'annexe IV, mais vous devez pouvoir l'obtenir sur demande auprès du fournisseur et la produire aux autorités de surveillance dans un délai raisonnable.
  • Priorité : Important

5. Inclure des clauses de conformité à l'AI Act dans le contrat fournisseur

  • Article : Art. 26(1), Considérant 87
  • Action : Assurez-vous que votre contrat avec le fournisseur comprend : des obligations de vous notifier tout changement affectant la conformité, un engagement de fournir des instructions d'utilisation mises à jour, et un droit d'audit ou de demande de documentation. Ne vous fiez pas à une licence logicielle générique.
  • Priorité : Important

Section 2 — Mise en place de la supervision humaine (5 points)

L'article 14 exige que les systèmes d'IA à haut risque soient conçus pour permettre une supervision humaine. L'article 26(5) exige que les déployeurs confient cette supervision à des personnes spécifiques et qualifiées.

6. Désigner des responsables nommés de la supervision humaine

  • Article : Art. 26(5), Art. 14(1)
  • Action : Identifiez par nom et rôle les personnes chargées de surveiller le système pendant son fonctionnement. Documentez formellement cette désignation (description de rôle, relevé de formation, autorité d'escalade).
  • Priorité : Critique

7. Former le personnel de supervision aux limites et aux modes de défaillance du système

  • Article : Art. 14(4)(c), Art. 26(6)
  • Action : Le personnel de supervision doit comprendre ce que le système peut et ne peut pas faire, comment détecter les anomalies, et quand ignorer ou outrepasser une sortie. Délivrez une formation documentée avant le déploiement. Enregistrez les complétions.
  • Priorité : Critique

8. Établir des procédures de dérogation et d'escalade

  • Article : Art. 14(4)(d)
  • Action : Rédigez et testez une procédure spécifiant : comment une personne de supervision peut arrêter ou outrepasser la sortie du système, dans quelles conditions c'est obligatoire (ex. lorsque le système indique une faible confiance), et qui doit être notifié après une dérogation.
  • Priorité : Critique

9. Mettre en place une révision humaine significative pour les décisions à conséquences

  • Article : Art. 14(5)
  • Action : La « supervision humaine » n'est pas une validation automatique. Si la sortie du système alimente une décision qui affecte significativement une personne (emploi, crédit, prestations), documentez comment le réviseur humain évalue réellement cette sortie — et ne se contente pas de l'approuver.
  • Priorité : Important

10. Définir ce qui constitue une « décision automatisée » vs une « décision assistée par l'humain » pour votre cas d'usage

  • Article : Art. 14, Considérant 48
  • Action : Clarifiez en interne — et documentez — la frontière entre recommandations automatisées et décisions finales. Cette distinction affecte à la fois vos obligations de supervision et tout chevauchement avec l'article 22 du RGPD.
  • Priorité : Recommandé

Section 3 — Gestion des données et des journaux (5 points)

Les articles 26(5) et 26(6) imposent des obligations spécifiques en matière de qualité des données et de journalisation opérationnelle. Ces éléments alimentent directement les enquêtes sur les incidents et les audits des autorités de surveillance.

11. Mettre en place des contrôles de qualité des données d'entrée

  • Article : Art. 26(4), Art. 10(3)
  • Action : Établissez des contrôles garantissant que les données introduites dans le système respectent les conditions de qualité décrites dans les instructions d'utilisation du fournisseur. Documentez qui est responsable de la préparation des données et quelles étapes de validation interviennent avant l'entrée.
  • Priorité : Critique

12. Activer et configurer la journalisation du système

  • Article : Art. 19, Art. 26(5)
  • Action : Lorsque le système dispose de capacités de journalisation automatique (requises des fournisseurs en vertu de l'art. 12), confirmez qu'elles sont actives et correctement configurées pour votre déploiement. Les journaux doivent couvrir les périodes d'exploitation et être conservés pendant au moins six mois (vérifiez avec le fournisseur si une durée plus longue est requise).
  • Priorité : Critique

13. Définir une politique de conservation des journaux et des contrôles d'accès

  • Article : Art. 19(3), Art. 26(5)
  • Action : Documentez qui peut accéder aux journaux opérationnels, dans quelles conditions et pendant combien de temps ils sont conservés. Assurez-vous que les journaux sont infalsifiables. Alignez les durées de conservation avec les obligations de minimisation des données du RGPD.
  • Priorité : Important

14. Établir un processus de détection et de signalement des incidents graves

  • Article : Art. 73(6) (obligations de notification du déployeur)
  • Action : Définissez ce qui constitue un incident grave ou un quasi-accident pour votre cas d'usage IA. Créez un flux de travail pour documenter les incidents, notifier l'autorité nationale de surveillance du marché compétente dans le délai requis (généralement 15 jours pour les incidents graves), et préserver les journaux.
  • Priorité : Critique

15. Mettre en place une surveillance périodique de la dérive des données

  • Article : Art. 26(5), Art. 9(7)
  • Action : Les distributions de données d'entrée peuvent évoluer au fil du temps, dégradant les performances du système. Désignez un responsable pour la surveillance périodique (minimum trimestrielle) et définissez un seuil à partir duquel le fournisseur doit être notifié ou le système mis hors service pour réévaluation.
  • Priorité : Recommandé

Section 4 — Procédures internes et formation (5 points)

La conformité n'est pas un exercice ponctuel. Les articles 26(7) et 26(9) exigent que les déployeurs disposent de procédures internes continues, documentées, maintenues et communiquées.

16. Réaliser une analyse d'impact sur les droits fondamentaux (AIDF) lorsque requise

  • Article : Art. 27
  • Action : Si vous êtes un organisme régi par le droit public, ou une entité privée fournissant des services publics, vous êtes tenu de réaliser une AIDF avant le déploiement. Même lorsqu'elle n'est pas strictement obligatoire, une AIDF est fortement recommandée pour tout système prenant des décisions à conséquences sur des individus. Documentez et conservez l'évaluation.
  • Priorité : Critique (obligatoire pour les organismes publics et certaines entités privées)

17. Établir une politique écrite d'utilisation du système IA pour le personnel interne

  • Article : Art. 26(7)
  • Action : Créez et distribuez une politique interne régissant : les cas d'usage approuvés pour le système, les usages interdits, les exigences de traitement des données, les voies d'escalade et les coordonnées du personnel de supervision. Obtenez une attestation signée de tous les utilisateurs.
  • Priorité : Important

18. Enregistrer le déploiement dans votre inventaire interne de systèmes IA

  • Article : Art. 26(8)
  • Action : Tenez un registre interne de tous les systèmes d'IA à haut risque en usage, mis à jour à chaque changement de contexte de déploiement. Ce registre doit faire référence : au nom du système, au fournisseur, à l'identifiant de la base de données UE, au personnel de supervision et à la date de révision.
  • Priorité : Important

19. Définir un déclencheur de réévaluation pour les modifications substantielles

  • Article : Art. 26(1), Art. 43(4)
  • Action : Si vous modifiez substantiellement la finalité prévue d'un système d'IA à haut risque, une nouvelle évaluation de conformité peut être requise. Documentez en interne ce qui constitue une « modification substantielle » pour votre contexte de déploiement et créez un déclencheur de révision lorsque ces conditions sont réunies.
  • Priorité : Important

20. Planifier une revue de conformité annuelle

  • Article : Art. 26(5), Art. 9(1)
  • Action : La conformité des systèmes d'IA à haut risque n'est pas statique. Planifiez une revue interne annuelle couvrant : l'analyse des journaux, les rapports d'incidents, l'efficacité de la supervision, la validité des formations et la notification par le fournisseur de tout changement pertinent. Documentez le résultat.
  • Priorité : Recommandé

Tableau récapitulatif

# Domaine Priorité
1–5 Vérification fournisseur 3 Critique / 2 Important
6–10 Supervision humaine 3 Critique / 1 Important / 1 Recommandé
11–15 Gestion données et journaux 3 Critique / 1 Important / 1 Recommandé
16–20 Procédures internes 1 Critique / 3 Important / 1 Recommandé

Sept des vingt points sont classés Critique — ce qui signifie que le non-respect crée une exposition juridique directe en vertu de l'article 71 de l'AI Act. Complétez-les en priorité, avant tout autre travail.

DILAIG génère des rapports de conformité spécifiques aux déployeurs, pré-remplit votre plan d'action article 26 et suit votre progression sur chacun de ces 20 points. Lancez votre premier audit sur dilaig.com — cela prend moins de 20 minutes.

Votre système IA est-il conforme ?

Audit gratuit en 20 minutes.

Démarrer l'audit