En janvier 2026, une ETI française du secteur financier a reçu une demande de la CNIL : documenter l’ensemble des systèmes d’IA utilisés dans ses processus de décision. L’entreprise utilisait ChatGPT pour la rédaction, Copilot pour le code, un modèle de scoring crédit développé en interne, et trois outils SaaS intégrant de l’IA. Le problème : personne ne disposait d’une vue d’ensemble. Aucun inventaire, aucune évaluation des risques, aucune documentation de conformité.
L’entreprise a eu 30 jours pour produire cette documentation. Elle a mobilisé une équipe de 8 personnes pendant un mois. Coût estimé : 120 000 euros en urgence — un audit structuré en amont aurait coûté cinq fois moins.
Ce scénario va se multiplier. L’AI Act entre progressivement en application et les autorités de contrôle commencent à exercer leurs prérogatives. L’audit IA n’est plus un exercice académique — c’est une nécessité opérationnelle et réglementaire.
À retenir
- Un audit IA couvre quatre dimensions : inventaire des systèmes, évaluation des risques, conformité réglementaire, compétences des équipes
- L'AI Act impose un registre des systèmes IA à haut risque et une documentation technique détaillée
- Un audit préventif coûte 3 à 5 fois moins qu'un audit en urgence déclenché par une demande réglementaire
- La cartographie des usages IA révèle systématiquement 2 à 3 fois plus de systèmes que ce que la direction imagine
Pourquoi réaliser un audit IA maintenant
L’obligation réglementaire se concrétise
L’AI Act impose aux entreprises qui déploient des systèmes d’IA à haut risque de maintenir une documentation technique complète : description du système, données d’entraînement, mesures de performance, évaluation des risques, mesures de mitigation. Pour les systèmes d’IA à usage général (comme ChatGPT utilisé en entreprise), les obligations sont moins lourdes mais réelles — notamment la formation des utilisateurs.
Les premières obligations sont effectives depuis août 2025 (pratiques interdites). Les obligations sur les systèmes à haut risque s’appliquent pleinement à partir d’août 2026. Le temps de préparation est compté.
Le shadow AI rend l’audit indispensable
Chaque étude sur le sujet confirme le même constat : les entreprises sous-estiment massivement leurs usages IA. Une enquête Deloitte (2025) révèle que les organisations découvrent en moyenne 2,4 fois plus de systèmes d’IA lors d’un audit que ce que la direction avait identifié. Le shadow AI — l’utilisation d’outils IA non approuvés — est le premier résultat concret d’un audit.
Les incidents se multiplient
Hallucinations intégrées dans des livrables clients, biais dans les processus de recrutement, fuites de données confidentielles via des LLM — les incidents liés à l’IA non encadrée sont en hausse constante. L’audit identifie les vulnérabilités avant qu’elles ne se transforment en crises.
2,4x
plus de systèmes IA découverts lors d'un audit que ce que la direction avait identifié initialement
Source : Deloitte AI Governance Survey 2025
Les 4 phases d’un audit IA complet
Phase 1 : Cartographier les systèmes et usages IA
C’est la fondation de tout l’audit. L’objectif : identifier exhaustivement tous les systèmes d’IA utilisés dans l’organisation, qu’ils soient officiels ou non.
Ce qu’il faut recenser :
- Les outils d’IA générative — ChatGPT, Claude, Gemini, Midjourney, et les versions entreprise (Copilot, ChatGPT Enterprise)
- Les IA intégrées dans les logiciels métier — fonctionnalités IA de votre CRM (Salesforce Einstein), ERP (SAP Joule), SIRH, outils marketing
- Les modèles développés en interne — scoring, prédiction, classification, automatisation
- Les API et services tiers — tout service qui utilise de l’IA en back-end, même si ce n’est pas visible pour l’utilisateur
Méthode recommandée :
- Enquête auprès de tous les managers de direction (questionnaire structuré)
- Analyse réseau (identification des connexions vers les services IA connus)
- Revue des contrats fournisseurs (clauses IA dans les SaaS existants)
- Entretiens ciblés avec les utilisateurs avancés identifiés
Pour chaque système identifié, documentez : le nom, le fournisseur, le type de données traitées, les utilisateurs, la finalité, le volume d’utilisation, et le niveau d’intégration dans les processus décisionnels.
Commencez par les équipes les plus susceptibles d’utiliser l’IA sans cadre : marketing, commercial, développement, RH. Ce sont généralement les directions où le shadow AI est le plus répandu.
Phase 2 : Évaluer les risques par système
Une fois l’inventaire établi, évaluez les risques associés à chaque système selon la grille de l’AI Act.
Classification des risques AI Act :
| Niveau de risque | Exemples | Obligations |
|---|---|---|
| Inacceptable | Scoring social, manipulation subliminale | Interdit |
| Haut risque | Recrutement, crédit, justice, santé, éducation | Documentation complète, audit, marquage CE |
| Risque limité | Chatbots, deepfakes | Transparence (signaler que c’est de l’IA) |
| Risque minimal | Filtres anti-spam, jeux vidéo | Aucune obligation spécifique |
Pour chaque système, évaluez également :
- Le risque données — quelles données sont traitées ? Données personnelles ? Données sensibles ? Données confidentielles ?
- Le risque fiabilité — quel est le taux d’erreur acceptable ? Quelles sont les conséquences d’une erreur ?
- Le risque dépendance — quel est l’impact si le système tombe en panne ou si le fournisseur change ses conditions ?
- Le risque conformité — le système est-il conforme au RGPD ? À l’AI Act ? Aux réglementations sectorielles ?
Phase 3 : Évaluer les compétences et la gouvernance
Un système d’IA n’est aussi fiable que les personnes qui l’utilisent. Cette phase évalue :
Les compétences des utilisateurs : Vos collaborateurs comprennent-ils les limites de l’IA qu’ils utilisent ? Savent-ils détecter une hallucination ? Connaissent-ils les risques de biais ? L’article 4 de l’AI Act exige une « compréhension suffisante du fonctionnement de l’IA » — c’est mesurable.
Le cadre de gouvernance : Existe-t-il une politique IA ? Une charte d’utilisation ? Un comité de gouvernance ? Des processus de validation pour les nouveaux usages ? Des mécanismes de signalement des incidents ?
La documentation : Les décisions liées à l’IA sont-elles tracées ? Les évaluations de risques sont-elles documentées ? Les formations sont-elles enregistrées ?
120 000 €
coût estimé d'un audit IA réalisé en urgence suite à une demande réglementaire — un audit préventif coûte 3 à 5 fois moins
Source : Estimation sectorielle, cabinets de conseil conformité IA 2025
Phase 4 : Produire le rapport et le plan d’action
Le rapport d’audit doit être structuré et actionnable.
Structure recommandée :
- Synthèse exécutive — constats clés, niveau de risque global, recommandations prioritaires
- Inventaire des systèmes IA — tableau complet avec classification des risques
- Évaluation des risques — par système, avec score de criticité
- État de la gouvernance — forces et faiblesses du cadre existant
- État des compétences — niveau de formation des équipes, écarts par rapport aux exigences
- Plan d’action — recommandations priorisées, échéances, responsables, budgets estimés
Les actions prioritaires typiques :
- Déployer les outils IA approuvés pour remplacer le shadow AI
- Rédiger ou mettre à jour la charte d’utilisation de l’IA
- Lancer un programme de formation pour les collaborateurs
- Documenter les systèmes à haut risque conformément à l’AI Act
- Mettre en place un processus de validation pour les nouveaux usages IA
L’audit n’est pas un événement ponctuel. L’IA évolue trop vite pour qu’un audit annuel suffise. Prévoyez une revue trimestrielle de l’inventaire des systèmes et une mise à jour semestrielle de l’évaluation des risques.
Les outils pour faciliter l’audit
Plusieurs solutions aident à structurer et automatiser l’audit IA :
- Holistic AI — plateforme de gouvernance IA avec cartographie automatique et évaluation des risques
- Credo AI — gouvernance et conformité IA, intégrée aux workflows existants
- IBM AI FactSheets — documentation standardisée des systèmes d’IA
- AIShield — évaluation de la sécurité des systèmes d’IA
- Brain — formation des équipes et documentation de conformité pour l’article 4
Pour les PME et ETI sans budget dédié, un tableur structuré (inventaire + matrice de risques) reste un excellent point de départ. L’essentiel est de commencer, pas d’avoir l’outil parfait.
Évaluez votre préparation à l’audit IA
Structurez votre audit IA avec Brain
Brain est la plateforme de formation et de conformité IA qui vous prépare à l’audit. Des parcours de formation documentés pour chaque collaborateur, un suivi des compétences acquises, et les attestations nécessaires pour démontrer votre conformité à l’article 4 de l’AI Act.
Commencez par former vos équipes — c’est le pilier que chaque auditeur vérifie en premier.
Articles similaires
Cartographie IA entreprise : methode et template AI Act
Cartographiez vos usages IA en 5 etapes. Template telechargeable, categorisation des risques et mise en conformite AI Act inclus.
Certification IA : ISO 42001, CertAI et couts (2026)
Choisissez la bonne certification IA pour votre entreprise. ISO 42001, CertAI : processus, couts et avantages concrets compares.
Éthique IA en entreprise : cadre et principes clés
Construisez un cadre éthique IA concret pour votre entreprise. Principes, dilemmes réels, lien avec l'AI Act et la RSE en 2026.