La plupart des efforts de conformite a l'EU AI Act echouent a un endroit precis : le fosse entre connaitre les obligations et les transformer en regles internes reproductibles.
Les equipes essaient d'etre « conformes » mais ne documentent jamais comment. Les memes debats resurgissent a chaque projet. Les preuves finissent dispersees entre les tickets Jira, les dossiers SharePoint et la boite mail de quelqu'un. Puis les achats demandent une politique et quelqu'un en redige une a 2h du matin.
Cet article vous donne un pack de politiques minimal pour les deploieurs de systemes d'IA a haut risque, ancre directement aux articles de l'EU AI Act. Nous ajoutons ensuite les politiques supplementaires qui apparaissent regulierement dans quatre scenarios de deploiement courants : emploi, credit, infrastructures critiques et education.
Fournisseur vs deploieur : sachez quel chapeau vous portez
L'EU AI Act trace une ligne claire entre deux roles. Se tromper signifie construire le mauvais programme de conformite.
| Role | Ce que cela signifie en pratique | Reference EU AI Act |
|---|---|---|
| Fournisseur | Construit un systeme d'IA (ou le fait construire) et le met sur le marche ou le met en service sous son propre nom ou sa propre marque | Article 3(3) |
| Deploieur | Utilise un systeme d'IA sous son autorite dans le cadre d'une activite commerciale ou d'une fonction publique | Article 3(4) |
Si vous achetez un modele de recrutement aupres d'un fournisseur et que vous l'utilisez dans les RH, vous etes le deploieur. Si vous marquez ensuite ce modele en marque blanche et le vendez sous votre marque, vous pouvez egalement devenir fournisseur - selon la maniere dont vous le mettez sur le marche.
La plupart des entreprises sont des deploieurs. C'est ce que ce pack de politiques traite.
Quand le « haut risque » s'applique-t-il aux deploieurs ?
L'Annexe III enumere les cas d'usage a haut risque qui interessent la plupart des entreprises. Si votre systeme d'IA entre dans l'une de ces categories, les obligations du deploieur en vertu de l'Article 26 s'appliquent.
| Type de deploiement | Reference Annexe III | Ce qui le declenche |
|---|---|---|
| Infrastructures critiques | Annexe III(2) | Composants de securite dans la gestion et l'exploitation d'infrastructures numeriques critiques, de la circulation routiere, de l'eau, du gaz, du chauffage, de l'electricite |
| Education | Annexe III(3) | Decisions d'admission, notation, orientation des resultats d'apprentissage, surveillance des examens |
| Emploi | Annexe III(4) | Recrutement, filtrage des candidatures, evaluation des candidats, promotions, licenciements, suivi des performances |
| Credit et assurance | Annexe III(5)(b) et (c) | Evaluation de la solvabilite, notation de credit, evaluation et tarification des risques d'assurance vie et sante |
Si vous n'etes pas sur que votre systeme soit concerne, commencez par une evaluation de classification. Les categories de risque de l'EU AI Act ne sont pas des interpretations optionnelles - elles sont definies dans la reglementation.
Le pack de politiques minimal du deploieur
L'EU AI Act exige rarement « vous devez avoir une politique nommee X ». Ce qu'il exige, c'est que les deploieurs effectuent des actions specifiques de maniere coherente, avec une responsabilite claire et des preuves documentees.
L'Article 26 est la colonne vertebrale pour les deploieurs de systemes a haut risque. Voici un ensemble de politiques allege qui couvre les obligations fondamentales avec la plus petite surface possible :
| Politique | Ce qu'elle controle | Ancrage EU AI Act |
|---|---|---|
| Procedure de deploiement d'IA a haut risque | Comment les equipes approuvent un cas d'usage, confirment l'objectif prevu et s'assurent que l'utilisation est conforme aux instructions du fournisseur | Article 26(1) |
| Procedure de supervision humaine et de responsabilite | Qui a autorite pour superviser les resultats, quand les humains doivent intervenir, exigences de formation et de competence | Article 26(2) |
| Procedure de gouvernance des donnees d'entree | Regles de pertinence et de representativite des donnees d'entree que vous controlez, ainsi que la surveillance de la derive des donnees | Article 26(4) |
| Procedure de surveillance et d'escalade des incidents | Surveillance continue, chemins d'escalade internes, criteres de suspension, et comment notifier les fournisseurs et les autorites lorsqu'un risque ou un incident grave est detecte | Article 26(5) |
| Procedure de conservation et d'acces aux journaux | Quels journaux vous conservez, periodes de conservation, controles d'acces, et comment extraire des preuves pour les audits ou les enquetes d'incidents | Article 26(6) |
| Procedure de transparence envers les employes | Comment vous informez les employes et les representants du personnel lorsque l'IA a haut risque est utilisee sur le lieu de travail | Article 26(7) |
| Plan de litteratie en IA | Formation basee sur les roles pour le personnel qui opere ou interagit avec des systemes d'IA en votre nom | Article 4 |
Sept politiques. C'est la fondation.
Complements conditionnels : quand vous en avez besoin de plus
Selon votre deploiement, deux politiques supplementaires peuvent devenir obligatoires :
| Politique | Quand requise | Ancrage EU AI Act |
|---|---|---|
| Procedure d'evaluation de l'impact sur les droits fondamentaux (FRIA) | Requise pour les organismes publics et certaines entites privees fournissant des services publics avant le deploiement de la plupart des systemes a haut risque. Egalement requise pour les deploieurs de systemes de notation de credit et certains systemes d'assurance | Article 27 |
| Procedure de transparence et de divulgation a l'utilisateur | Requise si votre IA interagit directement avec des personnes, utilise la reconnaissance des emotions ou la categorisation biometrique, genere des medias synthetiques de type deepfake, ou publie du texte genere par IA sur des sujets d'interet public | Article 50 |
| Procedure de gestion des explications | Requise si vous utilisez des systemes a haut risque de l'Annexe III pour prendre des decisions ayant des effets juridiques ou similairement significatifs sur les individus (sauf les systemes du point 2 de l'Annexe III) | Article 86 |
Complements de politiques specifiques au deploiement
Le pack minimal couvre la conformite de base. Les deploiements concrets dans des domaines reglementes necessitent des controles supplementaires. Voici les complements qui apparaissent regulierement dans les deploiements en entreprise.
Deploiements dans l'emploi
Les systemes d'IA lies a l'emploi relevent de l'Annexe III(4). Ces deploiements touchent le recrutement, les evaluations de performance, les promotions et les licenciements — des domaines avec une exposition juridique significative et une sensibilite des employes.
| Politique supplementaire | Objectif | Base |
|---|---|---|
| Procedure de gouvernance des decisions d'emploi | Definit quelles decisions RH peuvent incorporer des resultats d'IA, les seuils de revue humaine, les voies de recours et la cadence de surveillance des biais | Devoirs de supervision et de surveillance de l'Article 26 |
| Procedure d'impact et de consultation des travailleurs | Operationnalise les exigences de transparence sur le lieu de travail specifiquement pour les contextes RH | Article 26(7) |
| Procedure FRIA | Obligatoire lorsque le deploieur est un organisme public ou une entite privee fournissant des services publics | Article 27(1) |
Deploiements dans le credit
La notation de credit et l'evaluation de la solvabilite sont explicitement listees dans l'Annexe III(5)(b). L'Article 27 exige specifiquement que les deploieurs de ces systemes conduisent des evaluations de l'impact sur les droits fondamentaux.
| Politique supplementaire | Objectif | Base |
|---|---|---|
| Procedure FRIA | Obligatoire avant la premiere utilisation, avec des mises a jour requises lorsque des elements cles du systeme changent | Article 27 |
| Procedure d'explication des decisions defavorables | Operationnalise la maniere dont vous fournissez des explications significatives lorsque des decisions informees par l'IA affectent significativement les individus | Article 86 |
| Runbook de surveillance et de suspension | Fait de « cesser de l'utiliser » une option concrete avec des declencheurs definis, des proprietaires et des procedures de repli | Article 26(5) |
Deploiements dans les infrastructures critiques
Les infrastructures critiques apparaissent dans l'Annexe III(2). Ces deploiements privilegient la securite operationnelle et la resilience du systeme avant tout.
| Politique supplementaire | Objectif | Base |
|---|---|---|
| Procedure de securite operationnelle et de neutralisation | Definit les etats surs, les procedures de repli manuelles, qui peut neutraliser les resultats de l'IA, et les exigences de temps de reponse | Devoirs de supervision et de surveillance de l'Article 26 |
| Procedure d'integration de la reponse aux incidents | Connecte les incidents specifiques a l'IA aux cadres existants de gestion et d'escalade des incidents operationnels | Article 26(5) |
| Procedure de conservation des journaux et de preparation forensique | Garantit que les journaux supportent l'analyse post-incident dans des environnements avec des contraintes strictes de disponibilite et de temps de fonctionnement | Article 26(6) |
Deploiements dans l'education
L'education et la formation professionnelle relevent de l'Annexe III(3). Ces systemes impliquent souvent des mineurs ou des etudiants dans des relations de desequilibre de pouvoir, ce qui exige une documentation et une transparence plus strictes.
| Politique supplementaire | Objectif | Base |
|---|---|---|
| Procedure de gouvernance de l'evaluation des etudiants | Regles pour la notation assistee par IA, les resultats de surveillance, les seuils de revue humaine et le traitement des litiges | Devoirs de supervision et de surveillance de l'Article 26 |
| Procedure de transparence et de divulgation | Garantit que les individus comprennent quand ils interagissent avec l'IA, y compris les divulgations pour la generation de contenu synthetique | Article 50 |
| Procedure FRIA | Obligatoire lorsque le deploieur est un organisme public ou une entite privee fournissant des services publics | Article 27(1) |
De la politique a la pratique
Les politiques sans mise en oeuvre ne sont que des PDF qui prennent la poussiere. Chaque politique necessite :
- Responsabilite claire : Qui la maintient, qui approuve les modifications
- Exigences de preuves : Quelle documentation prouve la conformite
- Cadence de revision : A quelle frequence vous la revisitez et la mettez a jour
- Points d'integration : Comment elle se connecte a vos flux de travail existants
L'EU AI Act vous donne les ancrages juridiques. Vos systemes internes — plateformes GRC, gestion documentaire ou outils de gouvernance de l'IA dedies — fournissent le flux de travail, le versionnement, les approbations et la piste d'audit. Si des employes adoptent des outils d'IA en dehors des canaux approuves, la detection de Shadow AI peut identifier cette utilisation avant qu'elle ne cree des lacunes de conformite dans votre programme de deploieur.
Commencez a construire votre programme de conformite deploieur
Si vous deployez des systemes d'IA a haut risque dans l'UE, le temps presse. Le pack de politiques minimal ci-dessus vous donne un point de depart concret. Les complements specifiques au deploiement vous aident a adapter la conformite a vos cas d'usage reels.
Besoin d'aide pour transformer ces politiques en flux de travail operationnels ? Commencez avec VerifyWise pour gerer votre programme de gouvernance de l'IA, ou contactez notre equipe pour discuter de vos scenarios de deploiement specifiques.