Comment préparer un audit AI Act interne : les 10 questions à se poser

L'échéance de conformité d'août 2026 pour les systèmes d'IA à haut risque approche. Pour la plupart des organisations qui développent, déploient ou intègrent des systèmes d'IA, la réponse honnête à « sommes-nous conformes ? » est : nous ne savons pas entièrement encore. Un audit AI Act interne est la façon de le découvrir — de manière systématique, avant qu'une autorité nationale de surveillance du marché ne le fasse à votre place.

Ce guide fournit dix questions diagnostiques couvrant l'ensemble des obligations de l'AI Act. Parcourez-les honnêtement. Les lacunes que vous découvrez sont exactement ce que votre programme de conformité doit combler.

Avant de commencer : cartographiez vos systèmes d'IA

Avant de répondre à toute question, vous avez besoin d'un inventaire précis des systèmes d'IA de votre organisation. Cela semble évident mais est fréquemment ignoré.

Votre inventaire d'IA doit inclure chaque système qui :

Utilise l'apprentissage automatique, la modélisation statistique ou le raisonnement basé sur des règles pour générer des sorties influençant les décisions du monde réel
Traite des données sur des individus — clients, employés, citoyens, patients
Automatise ou soutient substantiellement des décisions affectant les droits, les intérêts ou l'accès aux services des individus

Les 10 questions d'audit

Question 1 : L'une de nos IA est-elle couverte par la liste des pratiques interdites ?

Pourquoi c'est important : L'article 5 de l'AI Act interdit certaines pratiques d'IA purement et simplement, sans voie de conformité. Elles sont interdites depuis février 2025. Si votre organisation utilise l'un des éléments suivants, arrêtez immédiatement :

Systèmes de notation sociale qui évaluent les individus dans plusieurs domaines de la vie
IA exploitant les vulnérabilités psychologiques de groupes spécifiques
IA manipulant des personnes par des techniques subliminales
La plupart des systèmes d'identification biométrique à distance en temps réel dans les espaces publics
Catégorisation biométrique inférant des caractéristiques sensibles (race, opinion politique, orientation sexuelle)
Reconnaissance des émotions sur les lieux de travail et dans les établissements d'enseignement (avec exceptions étroites)

Question 2 : Lesquels de nos systèmes d'IA sont à haut risque ?

Pourquoi c'est important : La classification à haut risque déclenche la pleine suite d'obligations des articles 9 à 15.

Test diagnostique : Appliquez l'article 6 à chaque système de votre inventaire.

Le système :

Fait-il partie d'un produit couvert par la législation d'harmonisation de l'UE listée à l'annexe I ?
Entre-t-il dans l'une des huit catégories de l'annexe III (identification biométrique, infrastructures critiques, éducation, emploi, services essentiels, application de la loi, migration, administration de la justice) ?

Si oui à l'un ou l'autre : haut risque.

Question 3 : Pour chaque système à haut risque, qui est le fournisseur et qui est le déployeur ?

Test diagnostique : Pour chaque système d'IA à haut risque :

Si vous l'avez construit ou mis sur le marché de l'UE sous votre propre nom : vous êtes le fournisseur. Les articles 9 à 17 s'appliquent.
Si vous utilisez un système d'IA tiers dans vos opérations : vous êtes le déployeur. L'article 26 s'applique.
Si vous avez apporté des modifications substantielles à un système tiers : vous pouvez être devenu fournisseur en vertu de l'article 25.

Question 4 : Disposons-nous des quatre documents obligatoires pour chaque système d'IA à haut risque que nous fournissons ?

Document	Requis par	Avons-nous ce document ?	Est-il à jour ?
Documentation Technique (Annexe IV)	Article 11
Déclaration de Conformité UE	Article 47, Annexe V
Instructions d'utilisation	Article 13
Évaluation de conformité réalisée	Article 43

Question 5 : Notre processus de gestion des risques est-il documenté et opérationnel ?

Test diagnostique :

Y a-t-il un processus documenté pour identifier les risques prévisibles tout au long du cycle de vie du système ?
Les mesures de contrôle des risques sont-elles mises en œuvre et leur efficacité suivie ?
Le dossier de gestion des risques est-il mis à jour lorsque le système change ?

Question 6 : Notre gouvernance des données d'entraînement satisfait-elle à l'article 10 ?

Test diagnostique :

Avons-nous une documentation des jeux de données utilisés pour l'entraînement, incluant leur source et provenance ?
Avons-nous évalué les jeux de données pour détecter des biais potentiels ?
Les jeux de données sont-ils représentatifs des contextes où le système sera déployé ?

Question 7 : Y a-t-il une fonction de supervision humaine significative en place ?

Test diagnostique :

Y a-t-il une personne supervisant désignée pour chaque déploiement d'IA à haut risque ?
Cette personne a-t-elle l'autorité d'invalider, mettre en pause ou escalader les sorties de l'IA ?
Les interventions de supervision (y compris les invalidations) sont-elles journalisées et conservées ?

Question 8 : Y a-t-il un processus de surveillance post-commercialisation en place ?

Test diagnostique :

Y a-t-il un ensemble défini de métriques de performance suivies pour chaque système d'IA à haut risque en production ?
Y a-t-il un seuil défini en dessous duquel les performances déclenchent une action corrective ?
Y a-t-il un processus pour signaler les incidents graves aux autorités nationales en vertu de l'article 73 ?

Question 9 : Les déployeurs reçoivent-ils des informations adéquates de la part des fournisseurs ?

Test diagnostique pour les fournisseurs :

Les instructions d'utilisation couvrent-elles tous les éléments requis par l'article 13(3) ?

Test diagnostique pour les déployeurs :

Avez-vous vérifié que le fournisseur a émis une Déclaration de Conformité UE ?
Disposez-vous d'instructions d'utilisation actuelles pour chaque système à haut risque déployé ?

Question 10 : Si nous sommes déployeur d'un service public ou d'intérêt public, avons-nous réalisé des FRIA ?

Test diagnostique :

Votre organisation est-elle un organisme public ou un prestataire de services d'intérêt général public ?
Si oui : avez-vous réalisé une FRIA pour chaque système d'IA à haut risque déployé ?

Que faire avec vos réponses

Après avoir parcouru les dix questions, vous aurez une carte claire des lacunes de conformité. Priorisez les lacunes dans cet ordre :

Critique : Toute découverte affirmative sur la Question 1 (IA interdite) ou tout système à haut risque sans documentation de conformité (Questions 4, 5)
Haute priorité : Supervision humaine manquante ou inadéquate (Question 7), FRIA manquantes pour les déployeurs concernés (Question 10)
Priorité moyenne : Lacunes dans la surveillance post-commercialisation (Question 8)
Maintenance continue : Gouvernance des données d'entraînement (Question 6)

Comment Dilaig vous aide

L'audit en 50 questions de Dilaig couvre chaque domaine d'obligation cartographié dans ce guide d'audit interne. Compléter l'audit produit les quatre documents obligatoires pour les fournisseurs d'IA à haut risque en un seul flux automatisé.

Lancez votre audit AI Act gratuit sur dilaig.com et combler vos lacunes de conformité avant août 2026.

FAQ : Audits internes AI Act

Q : À quelle fréquence devons-nous effectuer un audit AI Act interne ? Au minimum annuellement, et en plus chaque fois que : un nouveau système d'IA est déployé, un système existant est substantiellement modifié, un nouveau cas d'usage est ajouté, ou le rôle de votre organisation change.

Q : Quelle est la différence entre un audit AI Act et un audit RGPD ? Un audit RGPD se concentre sur le traitement des données personnelles, les bases légales et les droits des personnes concernées. Un audit AI Act se concentre sur la classification des systèmes d'IA, la gestion des risques, la documentation technique, l'évaluation de conformité et la supervision humaine.

Points clés à retenir

Un audit AI Act interne commence par un inventaire précis de tous les systèmes d'IA.
Les dix questions couvrent le spectre complet des obligations : IA interdite, classification à haut risque, rôle fournisseur/déployeur, documentation, gestion des risques, données d'entraînement, supervision humaine, surveillance post-commercialisation, information du déployeur et FRIA.
Priorisez les découvertes d'IA interdite et l'absence de documentation comme critiques.

Avant de commencer : cartographiez vos systèmes d'IA

Les 10 questions d'audit

Question 1 : L'une de nos IA est-elle couverte par la liste des pratiques interdites ?

Question 2 : Lesquels de nos systèmes d'IA sont à haut risque ?

Question 3 : Pour chaque système à haut risque, qui est le fournisseur et qui est le déployeur ?

Question 4 : Disposons-nous des quatre documents obligatoires pour chaque système d'IA à haut risque que nous fournissons ?

Question 5 : Notre processus de gestion des risques est-il documenté et opérationnel ?

Question 6 : Notre gouvernance des données d'entraînement satisfait-elle à l'article 10 ?

Question 7 : Y a-t-il une fonction de supervision humaine significative en place ?

Question 8 : Y a-t-il un processus de surveillance post-commercialisation en place ?

Question 9 : Les déployeurs reçoivent-ils des informations adéquates de la part des fournisseurs ?

Question 10 : Si nous sommes déployeur d'un service public ou d'intérêt public, avons-nous réalisé des FRIA ?

Que faire avec vos réponses

Comment Dilaig vous aide

FAQ : Audits internes AI Act

Points clés à retenir

Pour aller plus loin