La cartographie IA est-elle obligatoire pour toutes les entreprises ?

OUI, toute entreprise utilisant des systèmes IA dans l'UE doit pouvoir démontrer qu'elle connaît ses systèmes. Pour les systèmes haut risque, la documentation détaillée est explicitement requise par l'Article 11. Sans cartographie, impossible de prouver la conformité, ce qui expose à des sanctions.

Qui doit réaliser la cartographie IA dans l'entreprise ?

La cartographie doit être pilotée par un responsable désigné (DPO, DSI, Responsable IA), mais elle implique TOUS les métiers : IT pour l'inventaire technique, RH pour les outils de recrutement, Marketing pour les outils d'analytics, Finance pour les algorithmes de scoring, etc. C'est un projet transverse.

Peut-on utiliser un outil automatique pour la cartographie IA ?

OUI, des outils existent pour scanner les systèmes IT et identifier les composants IA. Mais attention : ces outils ne capturent pas les usages métiers (contexte, données traitées, risques). Une cartographie purement technique est insuffisante. L'intervention humaine reste indispensable pour la classification des risques.

Que se passe-t-il si ma cartographie est incomplète ?

Une cartographie incomplète expose à deux risques : 1) Sanction pour documentation insuffisante (jusqu'à 7,5M€), 2) Système non identifié qui s'avère haut risque ou interdit = sanctions aggravées. Les autorités considèrent qu'une cartographie partielle démontre une négligence, ce qui peut être un facteur aggravant.

À quelle fréquence faut-il mettre à jour la cartographie ?

La cartographie doit être un document vivant, mis à jour : à chaque nouveau déploiement IA, lors de changements significatifs d'usage, au minimum une fois par an pour révision complète, et lors de tout changement réglementaire. Une cartographie obsolète perd sa valeur probante.

absence cartographie - formation-ia-act

Q: Qu'est-ce que la cartographie IA au sens de l'AI Act ?

La cartographie IA est l'inventaire exhaustif de tous les systèmes d'intelligence artificielle utilisés dans une entreprise. Elle comprend : l'identification de chaque système, sa classification de risque (interdit, haut, limité, minimal), son usage métier, les données traitées, et les responsables. C'est la première étape obligatoire pour toute mise en conformité AI Act.

Q: Quelle est l'amende pour absence de cartographie IA ?

L'absence de cartographie constitue un défaut de documentation sanctionnable jusqu'à 7,5 millions d'euros ou 1,5% du chiffre d'affaires mondial annuel (le montant le plus élevé). Si cette absence conduit à utiliser un système interdit non identifié, l'amende peut atteindre 35 millions d'euros ou 7% du CA.

Q: Quels systèmes doivent être inclus dans la cartographie ?

TOUS les systèmes utilisant de l'IA : logiciels métiers avec IA intégrée (ERP, CRM), outils SaaS (ChatGPT, Copilot, outils de recrutement), algorithmes développés en interne, APIs IA tierces, automatisations intelligentes (RPA avec ML), et même les feuilles Excel avec macros prédictives. La définition AI Act est large.

Q: Combien de temps faut-il pour réaliser une cartographie IA ?

Comptez 2 à 4 semaines pour une PME (< 250 employés) et 2 à 3 mois pour une grande entreprise. Le temps dépend du nombre de systèmes, de la complexité de l'organisation, et de l'implication des équipes métiers. Une cartographie bâclée est pire que pas de cartographie.

Q: La cartographie IA remplace-t-elle le registre RGPD ?

NON, ce sont deux documents distincts mais complémentaires. Le registre RGPD recense les traitements de données personnelles. La cartographie IA recense les systèmes d'intelligence artificielle. Un système IA peut figurer dans les deux registres s'il traite des données personnelles. Les deux sont obligatoires.

📋 L'Erreur Fatale N°1

73% des entreprises ne savent pas combien de systèmes IA elles utilisent. Sans cartographie, impossible de prouver la conformité. Résultat : jusqu'à 7,5 millions d'euros d'amende pour défaut de documentation.

La cartographie IA est la première étape obligatoire de toute mise en conformité AI Act. Sans inventaire de vos systèmes, vous ne pouvez pas les classifier, les documenter, ni former vos équipes correctement.

C'est aussi l'erreur la plus fréquente. Les entreprises pensent connaître leurs outils IA. En réalité, elles sous-estiment massivement leur nombre. ChatGPT, Copilot, outils RH, algorithmes marketing — l'IA est partout, souvent invisible.

Ce guide vous explique pourquoi l'absence de cartographie est si risquée, les sanctions encourues, et comment réaliser un inventaire complet en quelques semaines.

7,5M€ amende documentation

73% entreprises non cartographiées

227 jours restants

Par Loïc Gros-Flandre

Directeur de Modernee - Agence IA & Fondateur de Soignant Voice Application médical. Expert en conformité IA et transformation digitale des entreprises.

🎯 Spécialiste AI Act • 💼 Conseil stratégique IA • ✅ +50 entreprises accompagnées

                📚 Ce que vous allez apprendre
                → Ce qu'est une cartographie IA conforme
→ Les sanctions pour registre manquant
→ Pourquoi 73% des entreprises échouent
→ Les systèmes IA cachés à identifier
→ Comment réaliser une cartographie en 5 étapes
→ Les outils et templates disponibles
→ Évaluer votre situation actuelle

            

Infographie : Processus de cartographie IA et risques en cas d'absence

📋 Qu'est-ce que la Cartographie IA ?

La cartographie IA est l'inventaire exhaustif de tous les systèmes d'intelligence artificielle utilisés dans votre entreprise. C'est le document fondateur de votre conformité AI Act.

📝 Contenu d'une Cartographie Conforme

Une cartographie IA complète doit inclure pour chaque système :

🔍 Identification — Nom, version, fournisseur, date de déploiement
📊 Classification — Niveau de risque selon l'AI Act (interdit, haut, limité, minimal)
🎯 Usage métier — À quoi sert le système, qui l'utilise, dans quel processus
📁 Données traitées — Types de données, origine, sensibilité, volumes
👤 Responsable — Propriétaire métier, contact technique, décideur
📋 Documentation — Lien vers la documentation technique existante

⚠️ Différence avec le Registre RGPD

La cartographie IA ne remplace pas le registre RGPD. Ce sont deux documents distincts. Le registre RGPD recense les traitements de données personnelles. La cartographie IA recense les systèmes d'intelligence artificielle. Un système peut figurer dans les deux registres.

📊 Les Systèmes IA Souvent Oubliés

Beaucoup d'entreprises sous-estiment le nombre de leurs systèmes IA. Voici les catégories fréquemment oubliées :

Catégorie	Exemples	Fréquence d'oubli
Outils SaaS	ChatGPT, Copilot, Grammarly, Notion AI	🔴 Très élevée
IA embarquée	Salesforce Einstein, HubSpot AI, SAP ML	🔴 Très élevée
RH / Recrutement	Indeed, LinkedIn Recruiter, AssessFirst	🟠 Élevée
Marketing	Google Ads Smart, Meta Advantage+	🟠 Élevée
Support client	Chatbots, Zendesk Answer Bot	🟡 Moyenne
Finance	Scoring crédit, détection fraude	🟡 Moyenne

"Lors de notre audit, nous avons découvert 47 systèmes IA là où l'entreprise pensait en avoir 12. Les outils SaaS avec IA intégrée sont systématiquement oubliés."
— Rapport PwC sur la maturité IA des entreprises françaises, 2024

⚖️ Les Sanctions pour Absence de Cartographie

L'absence de cartographie n'est pas explicitement mentionnée dans l'AI Act. Mais elle constitue un défaut de documentation qui expose à des sanctions significatives.

💰 Barème des Sanctions

Situation	Article	Sanction
Défaut de documentation	Art. 99(4)	7,5M€ ou 1,5% CA
Système haut risque non documenté	Art. 99(3)	15M€ ou 3% CA
Système interdit non identifié	Art. 99(2)	35M€ ou 7% CA
Information fausse aux autorités	Art. 99(5)	7,5M€ ou 1% CA

📈 L'Effet Cascade de l'Absence de Cartographie

L'absence de cartographie crée un effet domino sur les autres obligations. Sans inventaire, vous ne pouvez pas :

Étape 1 manquée

Classification impossible — Vous ne savez pas quels systèmes sont haut risque. Résultat : absence d'évaluation conforme.

Étape 2 manquée

Documentation absente — Sans classification, pas de documentation technique. Résultat : non-conformité Article 11.

Étape 3 manquée

Formation inadaptée — Vos équipes ne sont pas formées sur les bons systèmes. Résultat : absence de formation Article 4.

Étape 4 manquée

Tests impossibles — Vous ne pouvez pas tester ce que vous n'avez pas identifié. Résultat : absence de tests conformité.

⚠️ Facteur Aggravant Reconnu

L'absence de cartographie est considérée comme un facteur aggravant par les autorités. Elle démontre une négligence systémique. Les sanctions peuvent être augmentées de 25 à 50% si l'entreprise n'a pas fait l'effort minimal de recenser ses systèmes.

🚫 Pourquoi 73% des Entreprises Échouent

La majorité des entreprises n'ont pas de cartographie IA complète. Voici les raisons principales :

❌ Erreur 1 : Sous-estimer le Nombre de Systèmes

Les entreprises pensent avoir 5-10 systèmes IA. En réalité, elles en ont souvent 30 à 100. L'IA est intégrée partout : ERP, CRM, outils marketing, RH, support client...

❌ Outils SaaS ignorés — ChatGPT utilisé par les équipes sans contrôle IT
❌ IA embarquée invisible — Salesforce, SAP, Oracle ont de l'IA par défaut
❌ Acquisitions récentes — Systèmes hérités non inventoriés

❌ Erreur 2 : Confier la Cartographie à l'IT Seul

L'IT peut scanner les systèmes techniques, mais ne connaît pas les usages métiers. Sans implication des équipes RH, Marketing, Finance, Legal, la cartographie reste superficielle.

❌ Erreur 3 : Faire une Cartographie "One-Shot"

Une cartographie figée est rapidement obsolète. Nouveaux outils, nouveaux usages, nouvelles versions — sans mise à jour régulière, le document perd sa valeur probante.

"Une cartographie datant de plus de 12 mois est considérée comme obsolète par les autorités de contrôle. Elle peut même jouer en votre défaveur."
— AI Office, Guidelines de contrôle, 2024

🎯 Comment Réaliser une Cartographie IA Conforme

Voici le processus en 5 étapes pour réaliser une cartographie exhaustive et conforme à l'AI Act.

Définir le Périmètre et Nommer un Pilote

Identifiez toutes les entités concernées (filiales, BU, sites). Nommez un responsable de projet avec autorité transverse. Communiquez sur le projet à tous les départements.

Durée : 1 semaine | Livrables : Note de cadrage, liste des interlocuteurs

Scanner l'Infrastructure IT

Utilisez des outils de discovery pour identifier les composants IA techniques : APIs appelées, bibliothèques ML installées, services cloud IA, modèles déployés.

Durée : 2 semaines | Outils : Scan réseau, CMDB, inventaire cloud

Collecter les Usages Métiers

Envoyez des questionnaires à chaque département. Organisez des ateliers par métier. Identifiez les shadow IT : outils IA utilisés sans validation IT.

Durée : 2 semaines | Livrables : Questionnaires remplis, comptes-rendus ateliers

Classifier les Risques

Pour chaque système identifié, déterminez sa classification selon l'Annexe III de l'AI Act : interdit, haut risque, risque limité, risque minimal. Documentez le raisonnement.

Durée : 1 semaine | Livrables : Matrice de classification argumentée

Formaliser et Valider

Créez le registre officiel. Faites valider par la direction et le DPO. Définissez le processus de mise à jour continue. Intégrez au système de gestion documentaire.

Durée : 1 semaine | Livrables : Cartographie validée, procédure de mise à jour

💡 Conseil : Intégrez la Cartographie aux Processus Existants

Liez la cartographie IA aux processus d'achat (validation IA avant acquisition), de développement (revue IA avant déploiement), et de gouvernance données (coordination avec registre RGPD).

📋 Évaluez Votre Niveau de Cartographie

Avez-vous un inventaire de vos systèmes IA ?

Vos systèmes sont-ils classifiés par risque ?

Quand a été mise à jour la dernière fois ?

Les métiers ont-ils été impliqués ?

❓ Questions Fréquentes - Cartographie IA

Qu'est-ce que la cartographie IA au sens de l'AI Act ?

La cartographie IA est l'inventaire exhaustif de tous les systèmes d'intelligence artificielle utilisés. Elle comprend : identification, classification de risque, usage métier, données traitées, et responsables. C'est la première étape de toute mise en conformité.

Quelle est l'amende pour absence de cartographie ?

Jusqu'à 7,5 millions d'euros ou 1,5% du CA pour défaut de documentation. Si un système interdit est découvert non identifié, l'amende peut atteindre 35 millions d'euros ou 7% du CA.

La cartographie est-elle obligatoire pour toutes les entreprises ?

OUI. Toute entreprise utilisant des systèmes IA dans l'UE doit pouvoir démontrer qu'elle connaît ses systèmes. Sans cartographie, impossible de prouver la conformité. L'Article 11 exige une documentation pour les systèmes haut risque.

Quels systèmes doivent être inclus ?

TOUS les systèmes utilisant de l'IA : outils SaaS (ChatGPT, Copilot), IA embarquée dans les logiciels métiers (ERP, CRM), algorithmes développés en interne, APIs IA tierces, et même les automatisations avec ML. La définition AI Act est large.

Combien de temps pour réaliser une cartographie ?

Comptez 2 à 4 semaines pour une PME et 2 à 3 mois pour une grande entreprise. Le temps dépend du nombre de systèmes, de la complexité de l'organisation, et de l'implication des équipes métiers.

Qui doit réaliser la cartographie ?

Un pilote désigné (DPO, DSI, Responsable IA) avec implication de tous les métiers : IT pour l'inventaire technique, RH, Marketing, Finance, Legal pour les usages métiers. C'est un projet transverse.

À quelle fréquence mettre à jour ?

La cartographie doit être mise à jour : à chaque nouveau déploiement IA, lors de changements significatifs, au minimum une fois par an, et lors de tout changement réglementaire. Une cartographie obsolète perd sa valeur.

La cartographie remplace-t-elle le registre RGPD ?

NON. Ce sont deux documents distincts mais complémentaires. Le registre RGPD recense les traitements de données personnelles. La cartographie IA recense les systèmes d'intelligence artificielle. Les deux sont obligatoires.

✅ Conclusion : La Cartographie, Fondation de la Conformité

L'absence de cartographie IA est l'erreur fondamentale qui condamne toute démarche de conformité AI Act. Sans inventaire, impossible de classifier, documenter, former, ou tester correctement.

                🎯 3 Points à Retenir
                📋 Étape N°1 obligatoire — Sans cartographie, toutes les autres obligations deviennent impossibles
💰 Sanctions significatives — Jusqu'à 7,5M€ pour défaut de documentation, aggravé si systèmes interdits découverts
⏱️ Délai réaliste — Comptez 2 à 8 semaines selon la taille de l'entreprise

            

La bonne nouvelle : une cartographie bien faite est réutilisable. Elle sert de base pour le registre RGPD, les audits de sécurité, la gouvernance des données, et bien sûr la conformité AI Act.