Checklist interactive pour vérifier votre conformité AI Act selon votre rôle dans l'organisation. DPO, DRH, DSI, COMEX et dirigeants de PME.
L’erreur la plus fréquente face à l’AI Act : croire qu’un seul service peut porter la conformité. Le DPO ne peut pas tout faire seul. Le DSI non plus. La conformité AI Act mobilise des compétences juridiques, techniques, RH et stratégiques — elle ne peut réussir que si chaque rôle assume ses responsabilités spécifiques.
Ce chapitre vous propose une checklist interactive par rôle pour identifier précisément ce qui vous concerne et suivre votre progression.
Le DPO (ou le responsable conformité) joue un rôle central. Il doit inventorier l’ensemble des systèmes IA, les classifier selon les niveaux de risque définis par le règlement, et s’assurer que les pratiques interdites ne sont pas utilisées dans l’organisation.
Il est également le lien entre la direction, le DSI et le DRH : c’est lui qui coordonne les efforts et prépare les preuves en vue d’un éventuel audit.
Article 26, paragraphe 5 — Règlement (UE) 2024/1689
Les déployeurs de systèmes d’IA à haut risque surveillent le fonctionnement du système d’IA à haut risque sur la base de la notice d’utilisation et […] informent le fournisseur ou le distributeur et l’autorité de surveillance du marché compétente.
L’Article 4 place la formation IA au cœur de la conformité. Le DRH est la personne la mieux placée pour déployer un programme de montée en compétences adapté à chaque profil de collaborateur.
Cela ne se limite pas à organiser un webinaire. Il faut pouvoir documenter le parcours de formation, mesurer les acquis et produire des preuves que le niveau de maîtrise IA est proportionné au rôle de chacun.
📄AI Act Article 4 : l'obligation de formation IA expliquée→Le DSI a la responsabilité de cartographier tous les systèmes IA déployés — y compris ceux adoptés par les métiers sans validation (shadow AI). Pour chaque système classé haut risque, il doit mettre en place la documentation technique, garantir la traçabilité des décisions algorithmiques et intégrer les mécanismes de contrôle humain requis.
Le défi le plus courant : les outils IA embarqués dans des logiciels tiers (CRM, ERP, outils bureautiques). Le DSI doit identifier ces composants IA « invisibles » et vérifier leur niveau de risque.
📄Shadow IT en entreprise : risques et solutions en 2026→La direction générale doit valider la stratégie de conformité, allouer les budgets (notamment pour la formation Article 4) et nommer un responsable AI Act. Elle suit l’avancement via un tableau de bord de conformité et anticipe les échéances réglementaires pour éviter les mauvaises surprises.
Le risque principal pour le COMEX : la sous-estimation budgétaire. La conformité AI Act a un coût — mais il est bien inférieur aux sanctions potentielles (jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial).
Les PME ne sont pas exemptées de l’AI Act. Mais l’approche doit être proportionnée : identifier si l’entreprise utilise des systèmes IA (même indirectement via des logiciels tiers), former les équipes aux bons réflexes, vérifier la conformité des fournisseurs et documenter les usages.
Pour une PME, la priorité absolue est l’Article 4 : un programme de formation documenté, même simple, suffit à démontrer la bonne foi de l’organisation.
Sélectionnez votre rôle et cochez les actions déjà réalisées. Votre progression est sauvegardée localement dans votre navigateur — vous pouvez y revenir à tout moment.
Selectionnez votre role :
La checklist par rôle est utile pour clarifier les responsabilités individuelles. Mais la conformité AI Act exige une coordination active entre les fonctions. Voici les mécanismes essentiels.
Réunissez DPO, DRH, DSI et un membre du COMEX dans un comité dédié qui se réunit mensuellement. L’objectif : partager l’avancement, lever les blocages et arbitrer les priorités. Sans ce comité, chaque fonction avance en silo et les angles morts se multiplient.
Le DPO coordonne, le DSI fournit la cartographie technique, le DRH identifie les usages métier. L’inventaire doit être unique, partagé et mis à jour régulièrement. Un tableau Excel peut suffire pour commencer — l’important est qu’il existe et qu’il soit complet.
Le programme de formation piloté par le DRH doit être calibré en fonction de la classification des risques établie par le DPO. Les collaborateurs qui utilisent des systèmes à haut risque ont besoin d’une formation plus approfondie que ceux qui utilisent un simple assistant conversationnel.
N’attendez pas un contrôle pour constituer votre dossier. Chaque action de conformité doit être documentée avec date, responsable et livrable. La charge de la preuve repose sur l’organisation : c’est à vous de démontrer que vous avez agi.
📄Gouvernance IA en entreprise : 5 étapes pour structurer→L'enjeu de la traçabilité
L’AI Act ne demande pas la perfection — il demande la preuve de l’effort. Un programme de formation documenté, un inventaire des systèmes IA tenu à jour, des comptes-rendus de comité conformité : ces éléments constituent votre première ligne de défense en cas de contrôle. L’absence totale de documentation est, en revanche, une faute caractérisée.