Auto-Évaluation IA Act : Self-Assessment
Chiffre révélateur
82% des fournisseurs de systèmes IA pensent que l’auto-évaluation est « optionnelle » ou « moins rigoureuse » qu’une certification externe. Erreur fatale : une auto-évaluation bâclée engage votre responsabilité de la même manière qu’une certification défaillante.
Vous développez ou déployez des systèmes IA ? Bonne nouvelle : la majorité d’entre eux n’exigent pas de certification par un organisme externe. L’auto-évaluation suffit.
Mauvaise nouvelle : « auto » ne veut pas dire « facile » ou « sans conséquence ». L’auto-évaluation est un processus formel et documenté qui engage votre responsabilité juridique.
Une auto-évaluation insuffisante expose aux mêmes sanctions qu’une absence totale de conformité : jusqu’à 15 millions d’euros.
Ce guide vous donne la méthodologie complète, les templates et la checklist pour réaliser une auto-évaluation rigoureuse et défendable en cas de contrôle.
Par Loïc Gros-Flandre
Directeur de Modernee – Agence IA et Soignant Voice Application médical. Expert en conformité IA et transformation digitale des entreprises.
Dans ce guide complet
- → La définition exacte de l’auto-évaluation selon l’IA Act
- → Quels systèmes peuvent (et ne peuvent pas) faire l’objet d’une auto-évaluation
- → La méthodologie en 7 étapes avec templates
- → La checklist complète par niveau de risque
- → 3 cas pratiques avec documentation réelle
- → Les erreurs fatales à éviter absolument
Infographie : Les 7 étapes du processus d’auto-évaluation IA Act
🔍 Qu’est-ce que l’Auto-Évaluation selon l’IA Act ?
L’auto-évaluation (ou « self-assessment » en anglais) est le processus interne par lequel un fournisseur vérifie lui-même la conformité de son système IA.
Photo par Campaign Creators sur Unsplash
📖 Définition Officielle
Auto-évaluation (Self-Assessment)
Processus par lequel le fournisseur d’un système IA évalue lui-même la conformité de son système aux exigences applicables de l’IA Act, sans recourir à un organisme notifié externe.
Le fournisseur documente son évaluation et signe une déclaration de conformité UE sous sa propre responsabilité juridique.
⚖️ Auto-Évaluation vs Certification Externe
| Critère | Auto-Évaluation | Certification Externe |
|---|---|---|
| Qui évalue ? | Le fournisseur lui-même | Organisme notifié indépendant |
| Systèmes concernés | Risque minimal, limité, certains haut risque | Haut risque Annexe III uniquement |
| Coût | 2 000€ – 15 000€ (interne) | 20 000€ – 100 000€+ (externe) |
| Durée | 2-6 semaines | 3-12 mois |
| Valeur juridique | Équivalente (quand autorisée) | Équivalente |
| Responsabilité | 100% fournisseur | Partagée avec organisme |
✅ Systèmes Éligibles à l’Auto-Évaluation
- ✅ Tous les systèmes à risque minimal : Filtres anti-spam, jeux vidéo, optimisation logistique interne
- ✅ Tous les systèmes à risque limité : Chatbots, IA générative, deepfakes, détection d’émotions
- ✅ Certains systèmes haut risque : Dispositifs médicaux (si déjà couverts par règlement DM), machines (si déjà couvertes par directive machines)
❌ Systèmes Nécessitant une Certification Externe
- ❌ Haut risque Annexe III – Section A : Biométrie temps réel, infrastructures critiques
- ❌ Haut risque Annexe III – Autres : RH (recrutement, évaluation), crédit, justice, éducation, migration
Pour réaliser une évaluation des risques IA complète, vous devez d’abord déterminer le niveau de risque de chaque système.
« L’auto-évaluation n’est pas un passe-droit. C’est une responsabilité assumée. En cas de contrôle, nous examinons les auto-évaluations avec la même rigueur que les certifications externes. »
— Dr. Isabelle Falque-Pierrotin, Experte régulation IA, ancienne Présidente CNIL
📋 Checklist Complète par Niveau de Risque
Chaque niveau de risque a des exigences spécifiques. Voici les checklists détaillées pour guider votre auto-évaluation.
Photo par Scott Graham sur Unsplash
📝 Checklist Risque Minimal (8 points)
Exigences Risque Minimal
Aucune obligation spécifique, mais bonnes pratiques recommandées :
- ☐ Le système est documenté (finalité, fonctionnement général)
- ☐ Les données utilisées sont licites
- ☐ Le système ne peut pas basculer vers un usage à risque plus élevé
- ☐ Un responsable interne est identifié
- ☐ Les utilisateurs savent qu’ils utilisent l’IA (information interne)
- ☐ Pas de biais manifeste identifié
- ☐ Performances conformes aux attentes
- ☐ Fiche système mise à jour
📝 Checklist Risque Limité (15 points)
Exigences Risque Limité (Article 50)
Obligations de transparence obligatoires :
- ☐ CHATBOTS : Mention IA visible au début de l’interaction
- ☐ CHATBOTS : Option « parler à un humain » disponible
- ☐ CONTENU GÉNÉRÉ : Marquage technique (métadonnées/watermark)
- ☐ CONTENU GÉNÉRÉ : Mention visible quand diffusé publiquement
- ☐ DEEPFAKES : Identification claire comme contenu synthétique
- ☐ ÉMOTIONS : Information utilisateur sur l’analyse en cours
- ☐ Documentation technique du système
- ☐ Processus de transparence documenté
- ☐ Formation équipes réalisée
- ☐ Registre des systèmes à jour
- ☐ Procédure de mise à jour des mentions
- ☐ Test d’accessibilité des mentions
- ☐ Vérification multilingue (si applicable)
- ☐ Preuve de conformité archivée
- ☐ Déclaration de conformité signée
📝 Checklist Haut Risque Auto-Évaluable (35 points)
Exigences Haut Risque (Articles 9-15)
Obligations complètes même en auto-évaluation :
Système de Gestion des Risques (Article 9)
- ☐ Analyse des risques documentée
- ☐ Mesures de mitigation définies
- ☐ Risques résiduels acceptables identifiés
- ☐ Processus de suivi continu en place
Données et Gouvernance (Article 10)
- ☐ Données d’entraînement documentées
- ☐ Qualité des données vérifiée
- ☐ Biais potentiels analysés et mitigés
- ☐ Traçabilité des données assurée
Documentation Technique (Article 11)
- ☐ Description générale du système
- ☐ Éléments de conception détaillés
- ☐ Architecture technique documentée
- ☐ Processus de développement décrit
- ☐ Capacités et limites documentées
Tenue des Registres (Article 12)
- ☐ Logs automatiques activés
- ☐ Traçabilité des décisions IA
- ☐ Conservation conforme (durée légale)
- ☐ Accessibilité pour autorités
Transparence (Article 13)
- ☐ Instructions d’utilisation claires
- ☐ Informations aux déployeurs fournies
- ☐ Limitations du système communiquées
Supervision Humaine (Article 14)
- ☐ Mécanisme de supervision défini
- ☐ Capacité d’intervention humaine
- ☐ Possibilité d’arrêt du système
- ☐ Formation des superviseurs
Robustesse et Cybersécurité (Article 15)
- ☐ Tests de précision réalisés
- ☐ Tests de robustesse passés
- ☐ Protection cybersécurité implémentée
- ☐ Résilience aux attaques vérifiée
L’absence d’évaluation ou une évaluation manifestement insuffisante constitue une non-conformité sanctionnable.
🎯 Évaluez la Maturité de Votre Auto-Évaluation
🛠️ Méthodologie en 7 Étapes avec Templates
Photo par Carlos Muza sur Unsplash
Identifier les Systèmes Éligibles
Listez tous vos systèmes IA. Pour chacun, déterminez s’il relève de l’auto-évaluation ou de la certification externe. Utilisez l’arbre de décision : Risque minimal/limité → Auto-éval. Haut risque Annexe III → Certification externe. Durée : 1-2 jours.
Constituer l’Équipe d’Évaluation
Réunissez les compétences : technique (développeur/data scientist), juridique (DPO, juriste), métier (utilisateur principal), qualité (si existant). Désignez un responsable d’évaluation qui coordonne et signe. Durée : 1 jour.
Rassembler la Documentation
Collectez : spécifications fonctionnelles, architecture technique, données d’entraînement (si applicable), résultats de tests existants, procédures d’utilisation. Si la doc n’existe pas, c’est le moment de la créer. Durée : 3-5 jours.
Appliquer la Checklist
Parcourez systématiquement chaque point de la checklist applicable (voir section précédente). Pour chaque critère : Conforme / Non conforme / Non applicable. Documentez les preuves de conformité. Durée : 2-5 jours.
Identifier les Écarts (Gap Analysis)
Pour chaque non-conformité identifiée : Décrivez l’écart précisément, évaluez la criticité (bloquant/majeur/mineur), identifiez la cause racine, définissez l’action corrective. Priorisez par criticité. Durée : 2-3 jours.
Implémenter les Corrections
Corrigez les non-conformités identifiées. Documentez chaque correction avec preuve (capture d’écran, code modifié, document mis à jour). Faites valider par un pair. Re-testez si nécessaire. Durée : Variable (1-4 semaines).
Rédiger le Rapport et Signer
Formalisez le rapport d’auto-évaluation : résumé exécutif, méthodologie, résultats par critère, actions correctives, conclusion. Signez la déclaration de conformité UE. Archivez pendant 10 ans. Durée : 2-3 jours.
Réaliser un auto-diagnostic IA préalable peut accélérer considérablement cette phase en identifiant les zones de risque.
Template Rapport d’Auto-Évaluation
Structure recommandée pour votre rapport :
- Page de garde (système, date, responsable)
- Résumé exécutif (1 page)
- Périmètre de l’évaluation
- Méthodologie appliquée
- Résultats détaillés par critère
- Écarts identifiés et actions correctives
- Conclusion et déclaration de conformité
- Annexes (preuves, captures, documents)
« Une auto-évaluation bien documentée vaut mieux qu’une certification externe bâclée. Ce qui compte, c’est la rigueur du processus, pas qui le réalise. »
— Marc Rees, Journaliste spécialisé réglementation numérique, Next INpact
🏢 3 Cas Pratiques d’Auto-Évaluation
📋 Cas #1 : Éditeur SaaS – Chatbot Support Client
Contexte
Entreprise : Éditeur SaaS B2B (logiciel de comptabilité, 45 employés)
Système : Chatbot Intercom avec IA pour support client niveau 1
Niveau de risque : Risque limité (interaction directe avec utilisateurs)
Auto-évaluation réalisée :
- ✅ Équipe : CTO + Responsable Support + DPO (3 personnes)
- ✅ Durée : 4 jours
- ✅ Checklist risque limité : 15 points évalués
Non-conformités identifiées :
- ❌ Mention IA absente au démarrage (critique)
- ❌ Option « humain » difficile à trouver (majeur)
- ⚠️ Documentation technique incomplète (mineur)
Actions correctives (1 semaine) :
- ✅ Message d’accueil modifié : « Je suis l’assistant IA ComptaPro »
- ✅ Bouton « Parler à un conseiller » ajouté en permanence
- ✅ Documentation technique complétée
Coût total : 2 500€ (temps interne + configuration Intercom)
📋 Cas #2 : Industriel – Maintenance Prédictive
Contexte
Entreprise : Fabricant de machines industrielles (ETI, 800 employés)
Système : IA de maintenance prédictive intégrée aux machines vendues
Niveau de risque : Haut risque (machines – mais couvert par directive machines)
Type d’évaluation : Auto-évaluation autorisée (déjà conforme directive machines)
Auto-évaluation réalisée :
- ✅ Équipe : Ingénieur R&D + Responsable Qualité + Juriste + Data Scientist (4 personnes)
- ✅ Durée : 3 semaines
- ✅ Checklist haut risque : 35 points évalués
Points forts identifiés :
- ✅ Documentation technique existante (norme ISO 13849)
- ✅ Tests de robustesse déjà réalisés (certification CE machines)
- ✅ Supervision humaine intégrée (maintenance validée par technicien)
Lacunes comblées :
- ⚠️ Analyse des biais à formaliser (données d’entraînement)
- ⚠️ Logs IA à améliorer (traçabilité des prédictions)
- ⚠️ Instructions utilisateur à compléter (spécifique IA)
Coût total : 12 000€ (temps interne + consultant externe ponctuel)
📋 Cas #3 : Agence Marketing – IA Générative Multi-Outils
Contexte
Entreprise : Agence de communication digitale (25 employés)
Systèmes : ChatGPT, Claude, Midjourney, ElevenLabs (4 outils)
Niveau de risque : Risque limité (contenu généré pour clients)
Complexité : Utilisation de systèmes tiers, pas de développement interne
Problématique spécifique :
L’agence n’est pas fournisseur mais déployeur. Elle utilise des IA développées par d’autres. Ses obligations sont différentes mais réelles.
Auto-évaluation réalisée :
- ✅ Équipe : Directeur Créatif + Office Manager (2 personnes)
- ✅ Durée : 5 jours (4 systèmes à évaluer)
- ✅ Focus : Obligations de transparence vers clients
Résultats :
- ❌ Aucune mention IA dans les livrables clients
- ❌ Contrats ne mentionnent pas l’usage IA
- ❌ Pas de processus de marquage des images
Actions correctives :
- ✅ Clause ajoutée aux contrats : « Contenus pouvant inclure des éléments générés par IA »
- ✅ Processus de marquage métadonnées sur images Midjourney
- ✅ Guide interne « Usage IA conforme » distribué à l’équipe
- ✅ Formation équipe (8h certifiante)
Coût total : 4 500€ (temps interne + formation + révision contrats)
Pour savoir si l’auto-dénonciation d’une non-conformité peut réduire vos sanctions, consultez notre guide dédié.
💰 Estimez le Coût de Votre Auto-Évaluation
⚠️ 7 Erreurs Fatales à Éviter
Erreur #1 : Confondre auto-évaluation et absence d’évaluation
« Auto » ne signifie pas « optionnel ». L’auto-évaluation est un processus formel avec documentation obligatoire. L’absence d’évaluation est sanctionnable.
Erreur #2 : Évaluer sans équipe pluridisciplinaire
Une auto-évaluation réalisée uniquement par le développeur manque de recul. Intégrez juridique, métier, qualité pour une vision complète.
Erreur #3 : Sous-documenter
« On sait que c’est conforme » ne suffit pas. Chaque point de conformité doit avoir une preuve documentée. En cas de contrôle, c’est votre seule défense.
Erreur #4 : Ignorer les systèmes tiers (SaaS)
Utiliser ChatGPT ou Salesforce Einstein vous rend « déployeur » avec des obligations propres. Ces systèmes doivent être inclus dans votre évaluation.
Erreur #5 : Faire une évaluation « one-shot »
L’auto-évaluation doit être renouvelée : à chaque modification substantielle, lors de changements réglementaires, et au minimum tous les 2-3 ans.
Erreur #6 : Signer sans vérifier
Le signataire de la déclaration de conformité engage sa responsabilité personnelle (pour les dirigeants). Vérifiez chaque point avant de signer.
Erreur #7 : Ne pas former l’équipe
Une auto-évaluation par des personnes non formées aux exigences IA Act sera forcément incomplète. La formation est un prérequis.
Pour une évaluation de conformité IA complète, combinez l’auto-évaluation avec une formation certifiante de vos équipes.
❓ Questions Fréquentes sur l’Auto-Évaluation
L’auto-évaluation est le processus par lequel un fournisseur de système IA évalue lui-même la conformité de son système aux exigences de l’IA Act, sans recourir à un organisme notifié externe.
Elle est autorisée pour les systèmes à risque limité, minimal, et certains systèmes haut risque.
Le fournisseur documente son évaluation et signe une déclaration de conformité UE sous sa propre responsabilité.
Peuvent faire l’objet d’une auto-évaluation :
- Tous les systèmes à risque minimal (filtres spam, jeux vidéo)
- Tous les systèmes à risque limité (chatbots, IA générative)
- Certains systèmes haut risque (dispositifs médicaux, machines – si déjà couverts par autre réglementation)
Les systèmes haut risque de l’Annexe III (RH, crédit, justice) requièrent une certification externe.
Oui, juridiquement, pour les systèmes où elle est autorisée.
L’auto-évaluation engage la responsabilité du fournisseur de la même manière qu’une certification externe.
En cas de contrôle, les autorités examinent la rigueur de votre auto-évaluation. Une évaluation bâclée = non-conformité = sanctions jusqu’à 15M€.
- Auto-diagnostic : Première analyse rapide pour identifier vos systèmes IA et leur niveau de risque (quelques heures)
- Auto-évaluation : Processus formel et documenté de vérification de conformité (plusieurs jours à semaines)
L’auto-diagnostic est préparatoire, l’auto-évaluation est la démarche officielle qui aboutit à la déclaration de conformité.
Documents minimaux requis :
- Fiche d’identité du système IA
- Documentation technique (architecture, algorithmes, données)
- Analyse des risques réalisée
- Mesures de mitigation des risques
- Résultats des tests
- Checklist d’évaluation complétée
- Rapport d’auto-évaluation
- Déclaration de conformité UE signée
Durée selon le niveau de risque :
- Risque minimal : 1-2 jours par système
- Risque limité : 3-5 jours par système
- Haut risque auto-évaluable : 2-4 semaines par système
Ces durées supposent une documentation technique existante. Sans doc préalable, doublez ces délais.
Oui, l’auto-évaluation n’interdit pas l’accompagnement externe.
Vous pouvez faire appel à des consultants pour : guider méthodologiquement, vérifier documentation, challenger conclusions.
Ce qui compte : la déclaration de conformité est signée par le fournisseur (vous), pas par un tiers.
L’auto-évaluation doit être renouvelée :
- À chaque modification substantielle du système
- Lors de changements réglementaires
- Au minimum tous les 2 ans (haut risque)
- Au minimum tous les 3 ans (risque limité)
Tenez un registre des évaluations et modifications.
Une auto-évaluation insuffisante = non-conformité.
Sanctions possibles :
- Systèmes haut risque : jusqu’à 15M€ ou 3% CA
- Systèmes risque limité : jusqu’à 7,5M€ ou 1% CA
Circonstance aggravante si l’évaluation est manifestement bâclée ou frauduleuse.
Pas encore de templates officiels UE (décembre 2025).
Ressources disponibles :
- Guides de la Commission européenne
- Templates des organismes de normalisation (CEN/CENELEC)
- Modèles des associations professionnelles
- Frameworks des cabinets spécialisés
La formation certifiante inclut des templates prêts à l’emploi.
🎯 Conclusion : L’Auto-Évaluation, Votre Responsabilité Assumée
L’auto-évaluation est une opportunité : pas de certification externe coûteuse, pas de délais longs, processus maîtrisé en interne.
Mais c’est aussi une responsabilité : vous engagez votre entreprise sur la conformité de vos systèmes IA.
Trois points essentiels à retenir :
L’auto-évaluation n’est pas « optionnelle »
Pour les systèmes éligibles, c’est la procédure de conformité obligatoire. Pas d’évaluation = pas de conformité = sanctions.
La rigueur est votre meilleure défense
Une auto-évaluation bien documentée vaut mieux qu’une certification externe bâclée. Suivez la méthodologie, conservez les preuves, signez en connaissance de cause.
La formation est un prérequis
Impossible de réaliser une auto-évaluation rigoureuse sans maîtriser les exigences IA Act. La formation des équipes est le premier investissement à faire.
Formez vos équipes pour des auto-évaluations rigoureuses
La formation certifiante IA Act vous donne la méthodologie complète, les templates prêts à l’emploi et les checklists par niveau de risque.
Accéder à la formation → 500€Sources Officielles Citées
- Règlement (UE) 2024/1689 – Articles 43 et 49 (Évaluation de conformité) • Journal officiel de l’UE
- CNIL – Dossier Intelligence Artificielle • Autorité française
- Commission européenne – Cadre réglementaire IA • Documentation officielle