Conformité

AI Act août 2026 : checklist 30 jours quand vous découvrez que vous êtes concerné

Vous pensiez être hors scope. Un client vous demande votre conformité AI Act haut-risque. Plan d'action concret pour les 30 prochains jours sans tout casser.

Aroua Biri

C'est devenu un cas presque mensuel chez WeeSec : un CTO ou un DG nous appelle parce qu'un client lui a demandé "votre fournisseur d'IA est-il conforme AI Act ?" — et la réponse jusque-là tournait en "on ne pense pas être concerné". Sauf qu'à l'analyse, ils le sont, et l'échéance d'août 2026 arrive vite.

Pour rappel : à partir du 2 août 2026, les obligations sur les systèmes IA classés à haut-risque (annexe III) deviennent opposables. Si vous fournissez ou déployez un système qui tombe dans ces catégories, il faut un dossier qui tient.

Voici la checklist 30 jours qu'on déroule. Elle ne fait pas tout, mais elle vous met dans une posture défendable et vous donne un plan pour les 12 mois suivants.

Semaine 1 — Scoping honnête

J1 à J3 — Cartographier vos systèmes IA

Lister toute IA utilisée ou déployée dans votre offre :

  • Modèles tiers (OpenAI, Anthropic, Mistral, Gemini, etc.) consommés via API.
  • Modèles open-source fine-tunés en interne.
  • Workflows agentiques avec tool use.
  • IA embarquée dans un SaaS tiers (transcription, scoring, recommandation, etc.).

Pour chaque système : nom, fournisseur, finalité dans votre produit, type de données traitées, qui prend la décision finale (humain ou machine).

J4 à J5 — Classifier chaque système

Trois questions séquentielles :

  1. Interdit ? (article 5 : scoring social, manipulation subliminale, reconnaissance émotionnelle au travail/école, etc.). Si oui : arrêt immédiat ou exception légale documentée.
  2. Haut-risque ? (annexe III : RH/recrutement, éducation, services essentiels, services publics, justice, biométrie, infrastructures critiques). Si oui : passer à l'étape suivante.
  3. GPAI à risque systémique ? Concerne les fournisseurs de modèles de fondation. Si vous ne faites que consommer, vous n'êtes pas concerné directement.

Pour chaque haut-risque, deux statuts à distinguer : fournisseur (vous éditez le système IA, vous le mettez sur le marché) ou déployeur (vous l'utilisez dans votre activité). Les obligations diffèrent.

Semaine 2 — Gouvernance et organisation

J6 à J8 — Désigner les rôles

Pas besoin d'embaucher. Désigner des responsabilités existantes :

  • Responsable conformité IA (souvent le DPO ou le CISO, ou la fondatrice/fondateur si moins de 30 personnes).
  • Référent technique pour chaque système haut-risque (le tech lead qui maintient le code).
  • Approbateur métier qui signe l'usage (le directeur métier concerné).

Documenter dans une note interne d'une page. Ça sert si un régulateur ou un client demande.

J9 à J10 — Politique IA interne

Un document court (3-5 pages max) qui pose :

  • Liste des systèmes IA approuvés.
  • Procédure d'évaluation avant tout nouveau système.
  • Règles d'usage côté collaborateurs (shadow IA).
  • Procédure d'incident IA.
  • Engagement vis-à-vis des droits fondamentaux.

C'est exigible. C'est aussi ce que vos clients enterprise vont vous demander dans leurs questionnaires sécu.

Semaine 3 — Dossier technique et données

J11 à J17 — Constituer le dossier technique (annexe IV)

Pour chaque système haut-risque, un dossier qui décrit :

  • Description générale, finalité, contexte d'utilisation.
  • Architecture, composants tiers, données d'entraînement (si vous fine-tunez).
  • Méthodes de validation et de test.
  • Métriques de performance, biais identifiés, limites connues.
  • Mesures de cybersécurité (chiffrement, contrôle d'accès, robustesse adversariale).
  • Plan de surveillance post-déploiement.

Si vous êtes seulement déployeur d'un système tiers : vous demandez ces éléments au fournisseur. C'est le déclic du moment — les fournisseurs sérieux préparent ces docs, demandez-les par écrit avec une deadline.

J18 à J21 — Qualité des données

Pour les systèmes que vous entraînez ou fine-tunez : documenter la provenance, la gouvernance, les traitements appliqués. Si vous consommez de l'IA tierce sans fine-tuning, cette partie est à la charge du fournisseur — mais conservez ses attestations.

Semaine 4 — Surveillance et droits des personnes

J22 à J25 — Logs et monitoring

Le AI Act demande une journalisation automatique sur la durée d'usage. En pratique :

  • Logger les inputs/outputs des décisions impactant des personnes (avec hash si données sensibles).
  • Conserver 6 mois minimum (souvent plus selon votre métier).
  • Pouvoir requêter les logs pour produire un export en cas de demande.

C'est typiquement la couche qu'on bâcle. C'est aussi la première chose qu'un contrôle viendra creuser.

J26 à J28 — Information et transparence

Trois publics à servir :

  • Utilisateurs finaux : être informés qu'une IA est en jeu, comprendre les conséquences, pouvoir contester (article 26).
  • Personnes affectées : recevoir une explication intelligible des décisions individuelles (article 86).
  • Régulateur / autorité de surveillance : sur demande, fournir le dossier.

Souvent un avenant aux CGU + une mention dans l'interface + un canal de réclamation suffisent à passer la barre minimale.

J29 à J30 — Plan post-30 jours

À ce stade vous avez : scoping, organisation, dossier technique brouillon, politique interne, logs. Vous n'êtes pas conforme à 100%. Vous êtes défendable.

Le plan 6 à 12 mois qui suit :

  • Évaluation de conformité formelle (auto-évaluation pour les cas annexe III standard, organisme notifié pour la biométrie).
  • Système de gestion de la qualité (ISO 42001 ou équivalent).
  • Surveillance post-marché documentée.
  • Procédure d'incident grave (notification 15 jours).

Les pièges qu'on voit le plus

Penser qu'utiliser OpenAI/Anthropic vous protège

Le AI Act distingue fournisseur et déployeur. Quand vous mettez une décision RH automatisée en prod, vous êtes déployeur d'un système haut-risque même si le LLM sous-jacent est tiers. Les obligations déployeur s'appliquent à vous.

Confondre AI Act et RGPD

Le RGPD parle de données personnelles. L'AI Act parle de systèmes IA et de leurs impacts. Vous pouvez être 100% conforme RGPD et hors-clous AI Act, et inversement. Voir AI Act et RGPD articulation.

Attendre la jurisprudence

Plusieurs clients me disent "on attend de voir comment les autorités vont l'interpréter". Stratégie risquée : les clients enterprise commencent à exiger des attestations dès maintenant, et un deal qui se signe en septembre 2026 ne va pas attendre la jurisprudence de 2027.

Le contre-exemple instructif

Une scale-up EdTech française découvre en avril 2026 qu'elle déploie un système haut-risque (scoring d'élèves pour orientation). Aucun dossier technique, aucun log, aucune politique IA. Le premier comité d'achat enterprise du printemps 2026 leur a explicitement demandé un PIA + dossier AI Act. Sans ça, pas de contrat.

On a livré le squelette en 4 semaines avec la checklist ci-dessus. Le contrat a été signé. Le travail de fond a continué sur 8 mois supplémentaires pour solidifier. Ça aurait été beaucoup plus confortable de commencer 6 mois plus tôt — mais 30 jours suffisent à ne pas se faire éjecter d'un appel d'offres.

Pour le contexte des systèmes haut-risque, voir AI Act systèmes haut risque. Pour structurer durablement, voir ISO 42001.

Un sujet connexe chez vous ?

20 minutes pour cadrer ensemble. Aucune offre commerciale envoyée à froid.

Réserver un échange Calendly

À lire aussi

ArticleAi act systemes haut risque aout 2026 ArticleAi act daybreak mythos haut risque aout 2026 ArticleIso 42001 norme management ia