La démarche d'implémentation, en 6 phases.

Une feuille de route pragmatique, inspirée des programmes RGPD et ISO 27001 : chaque phase produit des livrables concrets et prépare la suivante. Comptez 6 à 18 mois selon votre exposition, en itérant en mode PDCA (Plan-Do-Check-Act).

Cadrage & gouvernance

La conformité AI Act est un programme d'entreprise, pas un projet IT. Obtenez un sponsor de direction, nommez un référent AI Act (souvent proche du DPO ou du RSSI), constituez une équipe pluridisciplinaire (juridique, IT, métiers, achats, RH) et faites adopter une politique IA : usages permis, encadrés, interdits. Lancez sans attendre la maîtrise de l'IA (art. 4, applicable depuis février 2025) : sensibilisation générale + formations ciblées par rôle.

Livrables : mandat du programme, politique IA validée, matrice RACI, plan de formation, tableau de bord de pilotage.

Inventaire & cartographie

Impossible de se conformer à ce qu'on ne connaît pas. Recensez tous les systèmes d'IA : applications développées en interne, SaaS avec fonctions IA, modèles intégrés dans les produits, usages officieux (shadow AI). Sources utiles : interviews métiers, revue des contrats et des dépenses, CMDB, scans réseau. Pour chaque système, qualifiez le rôle de l'organisation (fournisseur, déployeur, importateur, distributeur) - il détermine vos obligations.

Livrables : registre des systèmes d'IA (propriétaire, finalité, données, fournisseur, rôle), processus d'entrée pour tout nouveau système, intégration aux achats.

Classification des risques

Passez chaque système au crible, dans l'ordre : (1) pratique interdite (art. 5) ? Arrêt immédiat. (2) Haut risque (annexe I ou III) ? Vérifiez le filtre de l'art. 6(3) et documentez l'analyse. (3) Obligation de transparence (art. 50) ? (4) Sinon, risque minimal. Utilisez un arbre de décision validé par le juridique et faites arbitrer les cas limites. Le résultat conditionne tout le plan d'action.

Livrables : registre enrichi de la classification, fiches d'analyse art. 6(3), liste des systèmes à haut risque priorisée, décisions d'arrêt éventuelles.

Analyse d'écarts & plan d'action

Pour chaque système à haut risque (et chaque obligation de transparence), comparez l'existant aux exigences applicables selon votre rôle : art. 9 à 15 côté fournisseur, art. 26-27 côté déployeur, art. 50 pour la transparence. Évaluez aussi les dépendances fournisseurs : documentation disponible ? notice exploitable ? clauses contractuelles ? Priorisez par échéance réglementaire, criticité métier et effort.

Livrables : matrice d'écarts par système, plan d'action priorisé et budgété, feuille de route alignée sur les échéances post-omnibus (février 2025, août 2025, août 2026 pour l'art. 50, décembre 2027 et août 2028 pour le haut risque).

Mise en conformité

Déroulez le plan : processus de gestion des risques IA (art. 9, appuyé sur ISO/IEC 23894 ou NIST AI RMF), gouvernance des données et tests de biais (art. 10), documentation technique (annexe IV) et journalisation (art. 12), supervision humaine outillée et formée (art. 14), FRIA et AIPD lorsque requises, mentions de transparence et marquage des contenus, clauses contractuelles IA avec les fournisseurs, évaluation de conformité et marquage CE si vous êtes fournisseur. Commencez par un périmètre pilote - un système à haut risque emblématique - puis industrialisez.

Livrables : dossiers de conformité par système, FRIA/AIPD, procédures de supervision, contrats amendés, déclarations UE de conformité le cas échéant.

Contrôle continu & amélioration

La conformité se maintient : surveillance post-commercialisation (art. 72) avec indicateurs de performance et de dérive, processus de signalement des incidents graves (art. 73) testé par exercice, revues périodiques des fournisseurs, veille réglementaire (actes délégués, normes harmonisées, lignes directrices de l'AI Office), audits internes et revue de direction. C'est la boucle Check-Act du PDCA - idéalement portée par un système de management conforme ISO/IEC 42001.

Livrables : tableau de bord de surveillance, procédure incidents testée, programme d'audit, plan d'amélioration continue, re-certification périodique des formations.

Jalons vs échéances réglementaires

ÉchéanceCe qui devient exigibleVous devez déjà avoir…
2 février 2025Pratiques interdites, AI literacyScreening art. 5 fait, sensibilisation lancée (phases 0-2)
2 août 2025GPAI, gouvernance, sanctionsClauses fournisseurs GPAI, registre à jour (phases 1-3)
2 août 2026Transparence (art. 50), bacs à sable réglementairesInformation des personnes et marquage des contenus en place (phase 4 engagée)
2 décembre 2027 (omnibus)Haut risque annexe III ; GPAI antérieurs conformes depuis août 2027Systèmes à haut risque conformes, FRIA réalisées (phase 4 aboutie)
2 août 2028 (omnibus)Haut risque intégré aux produits réglementés (annexe I)Produits réglementés couverts, contrôle continu opérationnel (phase 5)

Correspondance avec vos référentiels

PhaseISO/IEC 42001 (AIMS)Réflexe RGPD équivalent
0 - CadrageContexte, leadership, politique (§4-5)Nomination DPO, politique données
1 - InventairePlanification, inventaire des systèmes (§6)Registre des traitements (art. 30)
2 - ClassificationÉvaluation d'impact IA (§6.1.4, ISO 42005)Critères AIPD
3 - ÉcartsObjectifs et planification (§6.2)Plan de mise en conformité
4 - ConformitéSupport et opérations (§7-8)Privacy by design, contrats art. 28
5 - Contrôle continuÉvaluation de performance, amélioration (§9-10)Audits, gestion des violations

Organisation cible : comités, équipes et compétences

La conformité AI Act est un sport d'équipe. Voici les instances et rôles les plus adaptés, leur mission et les compétences requises pour la remplir - à dimensionner selon votre taille et votre maturité (l'auto-évaluation génère la recommandation adaptée à votre profil).

Instance / rôleMissionCompétences clésCadence
Sponsor exécutif
Rôle de direction
Porter le programme au niveau direction : arbitrer, allouer les ressources, lever les blocages, assumer la responsabilité finale. Leadership visible ; compréhension des enjeux réglementaires et business ; arbitrage budgétaire ; conduite du changement. Revue mensuelle
Comité de gouvernance IA
Comité transverse
Décider des usages autorisés, valider classifications et mises en production, suivre indicateurs, incidents et plan d'action. Risques et conformité ; architecture IA ; représentation métiers ; éthique et droits fondamentaux ; décision documentée. Mensuel à trimestriel
Référent AI Act
Rôle pivot (AI compliance lead)
Piloter la conformité au quotidien : registre, classifications, FRIA, préparation des comités, suivi du plan d'action. AI Act approfondi ; gestion des risques (ISO 23894, EBIOS RM) ; gestion de projet transverse ; bases techniques IA/ML ; pédagogie. Permanent
DPO & juridique
Équipe conformité/droit
Articuler RGPD et AI Act (AIPD + FRIA), valider l'arbre de classification, négocier les clauses contractuelles IA. RGPD et AIPD ; méthodologie FRIA (art. 27) ; droit des contrats ; veille réglementaire européenne. À chaque classification, FRIA, contrat
RSSI & sécurité
Équipe sécurité
Couvrir robustesse et cybersécurité (art. 15) : tests, durcissement, incidents IA branchés sur le SOC, exercices. Sécurité offensive ML (adversarial, data poisoning) ; réponse à incident ; ISO 27001/27005 ; architecture des pipelines IA. Avant chaque mise en prod + continu
Équipe Data & IA
Équipe technique
Mettre en œuvre les exigences techniques : données (art. 10), tests de biais, documentation (annexe IV), journaux, dérive. ML engineering et MLOps ; statistique des biais ; qualité et lignage des données ; explicabilité (XAI) ; model cards. Continu (cycle de vie des modèles)
Propriétaires métier
Réseau de correspondants
Déclarer les usages, appliquer les notices, assurer la supervision humaine au quotidien, remonter les incidents. Connaissance du processus métier ; formation au système supervisé ; vigilance au biais d'automatisation ; réflexe d'escalade. Au fil de l'eau + revue semestrielle
Achats & fournisseurs
Fonction support
Faire de l'achat le point de contrôle : clause AI Act, collecte documentation/notices, entrée au registre, revue des fournisseurs. Contractualisation réglementaire ; due diligence ; obligations par rôle (fournisseur, déployeur, importateur). À chaque contrat + revue annuelle
RH & formation
Fonction support
Déployer l'AI literacy (art. 4) par population, tracer les formations, organiser l'information des salariés (art. 26). Ingénierie pédagogique ; droit social et IRP ; conduite du changement. Plan annuel + à chaque déploiement
Audit interne
Troisième ligne de défense
Assurance indépendante : exhaustivité du registre, efficacité des contrôles, préparation aux contrôles des autorités. Méthodologie d'audit (ISO 19011) ; ISO/IEC 42001 ; échantillonnage et tests d'efficacité ; restitution direction. Audit annuel + suivi des plans
Adapter à votre taille

PME : mutualisez les rôles (le référent AI Act peut être le DPO ou le RSSI ; le comité IA peut être un point trimestriel du comité de direction élargi) - l'essentiel est que chaque mission ait un porteur nommé. ETI : référent dédié au moins à mi-temps, comité IA distinct, correspondants par direction. Grande organisation : instances par entité/BU avec consolidation groupe, équipe conformité IA pluridisciplinaire, intégration aux trois lignes de défense.

Facteurs de succès

Un sponsor exécutif visible · capitaliser sur l'existant (RGPD, ISO 27001) plutôt que créer un silo · un pilote avant l'industrialisation · les achats et le juridique embarqués dès la phase 0 · mesurer la progression (c'est exactement le rôle de l'auto-évaluation de maturité).