Cartographie Systèmes IA : Méthodologie
Statistique révélatrice
73% des entreprises sous-estiment le nombre de systèmes IA qu’elles utilisent. En moyenne, une ETI découvre 3 fois plus de systèmes IA lors d’une cartographie rigoureuse que ce qu’elle pensait avoir initialement.
Vous pensez utiliser 5 systèmes IA ? Vous en avez probablement 15. C’est le constat que font la majorité des entreprises lors de leur première cartographie.
ChatGPT utilisé par le marketing. Un outil de scoring dans les RH. Une fonction IA cachée dans votre CRM. Des algorithmes de recommandation sur votre site web. L’IA est partout, souvent sans que vous le sachiez.
Le problème ? L’IA Act impose des obligations différentes selon le niveau de risque de chaque système. Sans inventaire complet, impossible d’appliquer les bonnes règles aux bons systèmes.
Ce guide vous donne la méthodologie complète pour cartographier tous vos systèmes IA, du plus évident au plus caché.
Par Loïc Gros-Flandre
Directeur de Modernee – Agence IA et Soignant Voice Application médical. Expert en conformité IA et transformation digitale des entreprises.
Dans ce guide complet
- → La définition exacte d’un « système IA » selon l’IA Act
- → La méthodologie en 7 étapes pour une cartographie exhaustive
- → Les 12 catégories de systèmes IA à ne pas oublier
- → Le template Excel complet et prêt à l’emploi
- → 3 cas pratiques avec retours d’expérience
- → Les erreurs courantes et comment les éviter
Infographie : Processus de cartographie IA en 7 étapes
🔍 Qu’est-ce qu’un « Système IA » selon l’IA Act ?
Avant de cartographier, vous devez savoir quoi chercher. L’IA Act donne une définition précise qu’il faut maîtriser.
Photo par Campaign Creators sur Unsplash
📖 La Définition Officielle (Article 3)
Selon l’IA Act, un système d’IA est :
Définition IA Act
« Un système basé sur une machine conçu pour fonctionner avec différents niveaux d’autonomie et qui peut, pour des objectifs explicites ou implicites, générer des sorties telles que des prédictions, des recommandations ou des décisions influençant des environnements physiques ou virtuels. »
✅ C’est une IA si…
- 🤖 Le système apprend à partir de données (machine learning)
- 🤖 Il s’adapte sans reprogrammation explicite
- 🤖 Il génère des prédictions, recommandations ou décisions
- 🤖 Il fonctionne avec un degré d’autonomie
❌ Ce n’est PAS une IA si…
- ⚙️ C’est un algorithme déterministe (règles fixes if/then/else)
- ⚙️ C’est une simple automatisation sans apprentissage
- ⚙️ C’est un calcul statistique basique (moyennes, pourcentages)
- ⚙️ C’est un logiciel traditionnel avec comportement prévisible
⚠️ Cas Limites à Évaluer
| Système | IA ? | Explication |
|---|---|---|
| Filtre anti-spam | ✅ Oui | Apprentissage sur les patterns de spam |
| Règle Excel complexe | ❌ Non | Logique déterministe, pas d’apprentissage |
| Chatbot FAQ simple | ⚠️ Dépend | IA si NLP/ML, non si mots-clés fixes |
| Reconnaissance faciale | ✅ Oui | Deep learning pour identification |
| Segmentation marketing | ⚠️ Dépend | IA si clustering ML, non si règles manuelles |
| AutoML / No-Code IA | ✅ Oui | Génère des modèles ML automatiquement |
« Le piège classique : penser que les outils ‘no-code’ ou les fonctionnalités IA intégrées dans les SaaS ne comptent pas. Ils comptent. Vous êtes déployeur dès que vous les utilisez. »
— Me Caroline Durand, Avocate spécialisée RGPD et IA Act
📋 Les 12 Catégories de Systèmes IA à Inventorier
Pour ne rien oublier, passez en revue chacune de ces catégories dans votre organisation.
Photo par Scott Graham sur Unsplash
🏢 Catégorie 1 : Outils de Productivité IA
- 📝 ChatGPT, Claude, Gemini (génération de texte)
- 📝 Copilot (Microsoft 365, GitHub)
- 📝 Grammarly, LanguageTool (correction intelligente)
- 📝 Notion AI, Coda AI (assistants rédactionnels)
🎨 Catégorie 2 : Génération de Contenu Visuel
- 🖼️ Midjourney, DALL-E, Stable Diffusion (images)
- 🖼️ Canva Magic, Adobe Firefly (design assisté)
- 🖼️ Runway, Synthesia (vidéo)
- 🖼️ ElevenLabs, Murf (voix synthétique)
💼 Catégorie 3 : CRM et Ventes
- 📊 Salesforce Einstein (scoring, prédictions)
- 📊 HubSpot IA (lead scoring, suggestions)
- 📊 Gong, Chorus (analyse conversations)
- 📊 Outreach, Salesloft (séquençage intelligent)
👥 Catégorie 4 : Ressources Humaines
Attention : Souvent Haut Risque
Les systèmes IA RH (recrutement, évaluation, licenciement) sont classés haut risque par l’IA Act. Documentation technique complète obligatoire.
- 👤 ATS avec tri automatique (Workday, Lever, Greenhouse)
- 👤 Outils d’évaluation des candidats (HireVue, Pymetrics)
- 👤 Analyse de CV automatisée
- 👤 Prédiction de turnover
💳 Catégorie 5 : Finance et Risque
- 💰 Scoring de crédit automatisé
- 💰 Détection de fraude (transactions, déclarations)
- 💰 Trading algorithmique
- 💰 Prévisions financières ML
🛒 Catégorie 6 : Marketing et E-commerce
- 🎯 Ciblage publicitaire IA (Meta Ads, Google Ads)
- 🎯 Moteurs de recommandation produits
- 🎯 Personnalisation dynamique (Dynamic Yield, Optimizely)
- 🎯 Pricing dynamique
🤖 Catégorie 7 : Service Client
- 💬 Chatbots conversationnels (Intercom, Drift, Zendesk)
- 💬 Voicebots et serveurs vocaux intelligents
- 💬 Routage intelligent des tickets
- 💬 Analyse de sentiment sur les avis
🏭 Catégorie 8 : Production et Logistique
- 🔧 Maintenance prédictive
- 🔧 Optimisation de supply chain
- 🔧 Contrôle qualité par vision IA
- 🔧 Planification de production ML
🔒 Catégorie 9 : Sécurité
- 🛡️ Détection d’intrusion IA (SIEM)
- 🛡️ Analyse comportementale (UEBA)
- 🛡️ Vidéosurveillance intelligente
- 🛡️ Reconnaissance biométrique
📊 Catégorie 10 : Analytics et BI
- 📈 Fonctionnalités ML dans Power BI, Tableau
- 📈 Prédictions automatiques (Google Analytics 4)
- 📈 Clustering et segmentation automatique
- 📈 Détection d’anomalies
⚕️ Catégorie 11 : Santé (si applicable)
- 🏥 Aide au diagnostic médical
- 🏥 Analyse d’imagerie médicale
- 🏥 Prédiction de risques patients
- 🏥 Robots chirurgicaux assistés
🧩 Catégorie 12 : IA Embarquée et IoT
- 📱 Assistants vocaux (Alexa for Business, Google Assistant)
- 📱 Capteurs intelligents avec edge AI
- 📱 Véhicules autonomes ou semi-autonomes
- 📱 Robots de service
🎯 Évaluez la Maturité de Votre Cartographie IA
📝 Méthodologie en 7 Étapes pour une Cartographie Exhaustive
Photo par Carlos Muza sur Unsplash
Définir le Périmètre
Listez toutes les entités à inclure : siège, filiales, succursales, départements. Définissez les exclusions éventuelles (filiales hors UE non concernées ?). Durée : 2-3 jours.
Constituer l’Équipe Projet
Réunissez : DSI (inventaire technique), Métiers (usages), Juridique/DPO (conformité), Achats (contrats fournisseurs). Désignez un responsable cartographie. Durée : 1 semaine.
Collecter les Données Brutes
Sources à exploiter : inventaire logiciels IT, contrats fournisseurs SaaS, factures IT des 2 dernières années, questionnaires départements, interviews responsables. Durée : 2-4 semaines.
Identifier les Systèmes IA
Pour chaque outil collecté, posez-vous la question : « Répond-il à la définition IA Act ? » Utilisez les critères vus plus haut. En cas de doute, incluez-le puis affinez. Durée : 1-2 semaines.
Documenter Chaque Système
Créez une fiche par système avec les informations minimales (voir template ci-dessous). Pour les systèmes critiques, ajoutez les informations techniques. Durée : 2-4 semaines.
Classifier les Niveaux de Risque
Attribuez à chaque système son niveau de risque IA Act : Interdit (à stopper), Haut risque, Risque limité, Risque minimal. Cette classification détermine vos obligations. Durée : 1-2 semaines.
Valider et Maintenir
Faites valider par la Direction. Intégrez la cartographie dans vos processus achats IT. Planifiez des revues trimestrielles. Nommez un responsable de la maintenance. Durée : continu.
📊 Template de Fiche Système IA
Voici les informations minimales à documenter pour chaque système identifié :
| Champ | Description | Exemple |
|---|---|---|
| ID Système | Identifiant unique interne | IA-2024-015 |
| Nom | Nom commercial du système | Salesforce Einstein Lead Scoring |
| Fournisseur | Éditeur ou prestataire | Salesforce Inc. |
| Type de contrat | SaaS, On-premise, API, Développement interne | SaaS (abonnement annuel) |
| Finalité | À quoi sert le système | Priorisation des leads commerciaux |
| Département utilisateur | Qui utilise le système | Direction Commerciale |
| Données traitées | Types de données en entrée | Coordonnées prospects, historique interactions |
| Criticité métier | Faible / Moyenne / Haute / Critique | Haute |
| Niveau de risque IA Act | Minimal / Limité / Haut / Interdit | Risque limité |
| Responsable | Contact interne référent | Jean Dupont (Dir. Commercial) |
| Date de mise en service | Depuis quand utilisé | Mars 2023 |
| Documentation existante | Oui/Non + localisation | Oui – SharePoint IT/IA/SF-Einstein |
Conseil Pratique
Créez un fichier Excel partagé avec ces colonnes. Chaque département peut contribuer en ajoutant ses systèmes. Le responsable cartographie valide et complète les informations manquantes.
⏱️ Estimez le Temps de Votre Cartographie
🏢 3 Cas Pratiques de Cartographie IA
📋 Cas #1 : Cabinet d’Architecture (PME – 45 employés)
Contexte
Secteur : Architecture et BTP
Estimation initiale : « On n’utilise pas vraiment d’IA »
Résultat cartographie : 11 systèmes IA identifiés
Systèmes découverts :
- 🤖 Autodesk Revit (fonctionnalités IA de conception)
- 🤖 ChatGPT (rédaction CCTP, réponses AO)
- 🤖 Midjourney (visualisations projets)
- 🤖 Grammarly (corrections textes)
- 🤖 Calendly (planification intelligente)
- 🤖 Adobe Firefly (retouches visuelles)
- 🤖 + 5 autres outils SaaS avec fonctions IA
Durée cartographie : 2 semaines (1 personne à 50%)
📋 Cas #2 : Société de Logistique (ETI – 800 employés)
Contexte
Secteur : Transport et logistique
Estimation initiale : « Environ 8-10 systèmes IA »
Résultat cartographie : 34 systèmes IA identifiés
Surprises majeures :
- ⚠️ WMS avec optimisation trajets IA (non déclaré comme IA)
- ⚠️ Système RH avec scoring candidats (haut risque)
- ⚠️ Maintenance prédictive flotte véhicules
- ⚠️ 12 outils utilisés par les équipes sans validation IT
Durée cartographie : 6 semaines (équipe de 3 personnes)
📋 Cas #3 : Réseau de Cliniques (Grande Entreprise – 2500 employés)
Contexte
Secteur : Santé privée (12 établissements)
Estimation initiale : « 15-20 systèmes IA »
Résultat cartographie : 67 systèmes IA identifiés
Dont : 8 systèmes haut risque (aide au diagnostic)
Complexités rencontrées :
- 🔍 Équipements médicaux avec IA embarquée (IRM, scanners)
- 🔍 IA intégrée aux logiciels de gestion patients
- 🔍 Double réglementation : IA Act + Dispositifs Médicaux
- 🔍 Systèmes différents par établissement
Durée cartographie : 12 semaines (équipe dédiée de 5 personnes)
L’absence de cartographie peut aggraver significativement les sanctions en cas de non-conformité constatée.
« La cartographie nous a ouvert les yeux. On pensait être une entreprise traditionnelle avec peu d’IA. En réalité, l’IA était partout, cachée dans nos outils quotidiens. »
— Directeur Qualité d’une ETI industrielle
❓ Questions Fréquentes sur la Cartographie IA
La cartographie IA est l’inventaire exhaustif et documenté de tous les systèmes d’intelligence artificielle utilisés, développés ou déployés par une organisation.
Elle constitue la première étape obligatoire de mise en conformité avec l’IA Act, car elle permet d’identifier les systèmes soumis à des obligations spécifiques selon leur niveau de risque.
Oui, implicitement. L’IA Act impose des obligations différenciées selon le niveau de risque des systèmes IA.
Pour appliquer ces obligations, vous devez d’abord savoir quels systèmes vous utilisez. Sans cartographie, impossible de démontrer votre conformité.
L’absence de cartographie peut aggraver les sanctions en cas de contrôle.
La durée varie selon la taille de l’organisation :
- PME (moins de 250 employés) : 2 à 4 semaines
- ETI (250-5000 employés) : 4 à 8 semaines
- Grande entreprise (plus de 5000 employés) : 8 à 16 semaines
Ces délais supposent une équipe dédiée et une méthodologie structurée.
Tous les systèmes utilisant des techniques de machine learning, deep learning, raisonnement logique ou approches statistiques pour générer des prédictions, recommandations ou décisions.
Cela inclut : outils de génération de contenu (ChatGPT), systèmes de scoring, algorithmes de recommandation, chatbots, outils d’analyse prédictive, etc.
Critères distinctifs d’un système IA selon l’IA Act :
- Capacité d’apprentissage à partir de données
- Adaptation du comportement sans reprogrammation explicite
- Génération de sorties (prédictions, recommandations, décisions)
Un algorithme déterministe (règles fixes if/then) n’est généralement pas considéré comme IA.
Oui, absolument. Vous êtes considéré comme « déployeur » des systèmes IA que vous utilisez, même s’ils sont fournis par des tiers (SaaS, API).
Vous devez cartographier : les outils IA de vos fournisseurs, les fonctionnalités IA intégrées dans vos logiciels métiers, les API IA que vous consommez.
Votre responsabilité est engagée.
Formats recommandés :
- PME : Tableur Excel ou Google Sheets (simple, accessible)
- ETI : Base de données relationnelle (requêtable, historisable)
- Grandes entreprises : Outil GRC (intégré aux processus existants)
L’essentiel est que le format permette la mise à jour facile et le suivi des modifications.
Informations minimales obligatoires :
- Identification (nom, version, fournisseur)
- Finalité et cas d’usage
- Données traitées (types, sources, volumes)
- Utilisateurs (internes, externes)
- Criticité métier et niveau de risque IA Act
- Documentation existante et contact responsable
Processus de maintenance recommandé :
- Revue trimestrielle obligatoire
- Mise à jour à chaque nouveau déploiement ou modification majeure
- Intégration dans le processus achats IT (validation IA Act avant acquisition)
- Responsable cartographie identifié et mandaté
L’absence de cartographie n’est pas directement sanctionnée, mais elle aggrave considérablement votre situation :
- Impossibilité de prouver la conformité
- Présomption de non-conformité généralisée
- Sanctions majorées en cas de violation (jusqu’à 35M€ ou 7% CA)
La cartographie est votre première ligne de défense.
🎯 Conclusion : La Cartographie, Fondation de Votre Conformité
La cartographie IA n’est pas une simple formalité administrative. C’est le socle de toute votre stratégie de conformité.
Trois points essentiels à retenir :
Vous avez plus d’IA que vous ne pensez
Les entreprises découvrent en moyenne 3 fois plus de systèmes IA lors d’une cartographie rigoureuse. L’IA est partout : dans vos SaaS, vos outils de productivité, vos équipements.
Sans cartographie, pas de conformité
Impossible d’appliquer les bonnes obligations aux bons systèmes si vous ne savez pas ce que vous avez. La cartographie est la condition préalable à toute mise en conformité.
Commencez maintenant
Avec 227 jours restants avant les premières obligations, le temps de cartographie (2-16 semaines selon votre taille) doit être planifié dès maintenant.
Formez-vous pour réussir votre cartographie
La formation IA Act vous donne la méthodologie complète, les templates et l’accompagnement pour réaliser votre cartographie sans rien oublier.
Accéder à la formation → 500€Sources Officielles Citées
- Règlement (UE) 2024/1689 – Texte officiel AI Act • Journal officiel de l’UE
- CNIL – Dossier Intelligence Artificielle • Autorité française
- Commission européenne – Cadre réglementaire IA • Documentation officielle