Inventaire IA : Liste Exhaustive
👻 Le Shadow IT IA : L’Ennemi Invisible
67% des systèmes IA utilisés en entreprise ne sont pas connus de la DSI.
ChatGPT personnel, extensions Chrome, APIs cachées dans les SaaS…
Sans inventaire exhaustif, vous ne savez pas ce que vous devez mettre en conformité.
L’AI Act impose des obligations différentes selon le niveau de risque de chaque système IA. Mais pour classifier, il faut d’abord connaître. Et pour connaître, il faut recenser.
L’inventaire IA est la première étape obligatoire de toute démarche de conformité. Sans liste exhaustive, impossible de classifier correctement, de documenter, ou de former les bonnes personnes.
Dans ce guide complet, découvrez la méthodologie pour réaliser un inventaire exhaustif, détecter le shadow IT IA, et mettre en place une gouvernance durable.
Par Loïc Gros-Flandre
Directeur de Modernee – Agence IA. Accompagnement de +50 entreprises dans leur inventaire et mise en conformité AI Act.
📋 Ce que vous allez maîtriser
- → Définition d’un système IA selon l’AI Act
- → Méthodologie d’inventaire en 7 étapes
- → Techniques de détection du shadow IT IA
- → Template de fiche d’inventaire par système
- → Mise en place de la gouvernance continue
Infographie : Les 4 sources indispensables pour un inventaire IA exhaustif
🔍 Qu’est-ce qu’un Système IA selon l’AI Act ?
Avant de recenser, il faut définir. Qu’est-ce qui constitue un « système IA » à inventorier ?
Photo par Campaign Creators sur Unsplash
📖 Définition Officielle AI Act
Selon l’Article 3 du Règlement 2024/1689, un système d’IA est :
« Un système basé sur une machine qui est conçu pour fonctionner avec différents niveaux d’autonomie et qui peut, pour des objectifs explicites ou implicites, générer des résultats tels que des prédictions, recommandations ou décisions influençant des environnements physiques ou virtuels. »
✅ Ce qui EST un Système IA à Inventorier
- 🤖 Chatbots et assistants : ChatGPT, Claude, Copilot, assistants intégrés
- 📊 Systèmes de scoring : Scoring crédit, scoring candidats, scoring leads
- 🔮 Prédiction et forecasting : Prévision de demande, maintenance prédictive
- 🎯 Recommandation : Moteurs de recommandation produits, contenus
- 👁️ Vision par ordinateur : Reconnaissance faciale, OCR, analyse d’images
- 🗣️ Traitement du langage : NLP, analyse de sentiment, traduction automatique
- ⚙️ Automatisation intelligente : RPA avec composant ML, agents autonomes
❌ Ce qui N’EST PAS un Système IA
- 📐 Règles métier simples : IF/THEN, arbres de décision codés en dur
- 📈 Statistiques descriptives : Moyennes, tableaux croisés, reporting BI
- 🔢 Calculs déterministes : Formules Excel, algorithmes mathématiques
- 🔍 Recherche par mots-clés : Moteur de recherche full-text classique
⚠️ Zone Grise : En Cas de Doute, Inventoriez
Si vous hésitez sur la nature « IA » d’un système, incluez-le dans l’inventaire.
Mieux vaut trop recenser que pas assez. Le tri se fera à l’étape classification.
« Le premier réflexe des entreprises est de sous-estimer le périmètre. En moyenne, elles découvrent 3x plus de systèmes IA que prévu initialement. »
— Consultant Senior, Cabinet Big Four spécialisé AI Act
👻 Le Shadow IT IA : Comment le Détecter ?
Le shadow IT IA désigne tous les usages d’intelligence artificielle non déclarés, non connus de la DSI, non encadrés par la gouvernance IT.
Photo par Scott Graham sur Unsplash
📊 L’Ampleur du Phénomène
| Type de Shadow IT IA | % Entreprises Concernées | Risque Principal |
|---|---|---|
| ChatGPT personnel | 78% | Fuite de données confidentielles |
| Extensions Chrome IA | 54% | Capture d’écran, données web |
| Comptes SaaS IA perso | 43% | Données client sur compte privé |
| APIs IA cachées dans logiciels | 67% | Système haut risque non identifié |
| Scripts Python/ML locaux | 31% | Modèles non documentés, non testés |
🔍 Techniques de Détection
Analyse des Logs Réseau
Identifier les connexions vers les domaines IA : openai.com, anthropic.com, huggingface.co, api.cohere.ai, etc. La DSI peut extraire ces données du firewall ou proxy.
Audit des Extensions Navigateur
Déployer un inventaire des extensions Chrome/Edge installées sur le parc. Rechercher : « AI », « GPT », « Assistant », « Copilot », « Writer », « Grammarly »…
Revue des Notes de Frais
Analyser les remboursements d’abonnements : ChatGPT Plus, Claude Pro, Jasper, Copy.ai… Les collaborateurs paient parfois de leur poche.
Interviews Confidentielles
Poser des questions ouvertes sans jugement : « Quels outils utilisez-vous pour être plus productif ? » Promettre l’absence de sanction pour les déclarations.
Déclaration Anonyme Volontaire
Ouvrir un canal de déclaration anonyme : « Signalez vos usages IA sans crainte ». L’amnistie encourage la transparence.
💡 Approche Positive, Pas Punitive
Le shadow IT IA existe souvent par besoin métier non couvert.
Plutôt que sanctionner, proposez des alternatives conformes : version entreprise de ChatGPT, outils validés par la DSI, formation aux bonnes pratiques.
📋 Quiz : Votre Inventaire IA est-il Complet ?
Évaluez l’exhaustivité de votre recensement
📋 Méthodologie d’Inventaire en 7 Étapes
Photo par Carlos Muza sur Unsplash
Voici la méthodologie éprouvée pour réaliser un inventaire IA exhaustif en 2-4 semaines selon la taille de l’entreprise.
Définir le Périmètre (Jour 1-2)
Actions : Clarifier la définition « système IA » pour l’équipe. Lister tous les départements, filiales, prestataires à couvrir. Identifier les sponsors COMEX.
Livrable : Document de cadrage avec périmètre et planning.
Analyser les Sources Techniques (Semaine 1)
Actions : Extraire la liste des applications du SI (CMDB). Auditer les abonnements SaaS (Achats). Lister les APIs tierces connectées. Scanner les dépendances logicielles.
Livrable : Liste brute des systèmes potentiellement IA.
Mener les Interviews Métiers (Semaine 2)
Actions : Interviewer chaque responsable de département. Poser des questions ouvertes sur les outils utilisés. Demander des démonstrations si nécessaire.
Livrable : Compte-rendu d’interview par département.
Détecter le Shadow IT (Semaine 2-3)
Actions : Analyser les logs réseau. Auditer les extensions navigateur. Lancer la déclaration anonyme. Croiser avec les notes de frais.
Livrable : Liste des usages non déclarés identifiés.
Documenter Chaque Système (Semaine 3)
Actions : Remplir une fiche d’inventaire par système identifié. Collecter : nom, éditeur, usage, données, département, responsable, niveau de risque pressenti.
Livrable : Fiches d’inventaire complétées.
Consolider et Valider (Semaine 3-4)
Actions : Fusionner toutes les sources. Éliminer les doublons. Faire valider par chaque responsable de département. Arbitrer les cas litigieux.
Livrable : Registre IA centralisé validé.
Mettre en Place la Gouvernance (Semaine 4)
Actions : Définir le processus de déclaration de tout nouveau système IA. Planifier les revues trimestrielles. Nommer le responsable du registre.
Livrable : Procédure de gouvernance du registre IA.
📄 Template Fiche d’Inventaire
Chaque système IA doit être documenté avec les informations suivantes :
| Champ | Description | Exemple |
|---|---|---|
| ID Système | Identifiant unique | IA-2025-001 |
| Nom du Système | Nom commercial ou interne | Salesforce Einstein |
| Éditeur/Fournisseur | Entreprise qui fournit le système | Salesforce Inc. |
| Type d’IA | Catégorie fonctionnelle | Scoring / Recommandation |
| Département Utilisateur | Service principal utilisateur | Commercial |
| Responsable Métier | Personne en charge côté métier | Jean Dupont, Dir. Commercial |
| Usage Principal | À quoi sert le système | Prédiction conversion leads |
| Données Traitées | Types de données en entrée | Données prospects, historique |
| Niveau de Risque Pressenti | Évaluation préliminaire | Limité / Haut risque |
| Date d’Entrée en Service | Depuis quand utilisé | Mars 2023 |
| Statut Conformité | État actuel | À classifier |
« Un bon inventaire IA se met à jour en continu. Ce n’est pas un exercice ponctuel, c’est une discipline permanente. »
— AI Officer, Groupe industriel européen
⏱️ Simulateur Temps d’Inventaire
❓ Questions Fréquentes – Inventaire IA
L’AI Act définit un système IA comme un logiciel développé avec des techniques d’apprentissage automatique, de logique, ou statistiques, capable de générer des résultats (prédictions, recommandations, décisions) influençant les environnements avec lesquels il interagit.
Pour une PME : 2-3 semaines. Pour une ETI : 4-6 semaines. Pour un grand groupe : 8-12 semaines. Le temps dépend du nombre de départements, de la complexité du SI, et de la maturité de la gouvernance IT.
Plusieurs méthodes : analyse des logs réseau (connexions à openai.com, anthropic.com…), audit des extensions navigateur, revue des notes de frais, interviews confidentielles, et déclaration anonyme volontaire.
Oui, absolument. L’AI Act ne distingue pas entre outils payants et gratuits. Un chatbot gratuit utilisé avec des données clients expose autant l’entreprise qu’un outil payant.
L’AI Act n’impose pas explicitement un « inventaire ». Cependant, les obligations de classification, documentation et formation supposent de connaître tous ses systèmes. En pratique, l’inventaire est un prérequis indispensable.
Idéalement, un binôme DSI + Conformité/Juridique, avec l’appui d’un sponsor au COMEX. L’AI Officer si nommé. La DSI apporte la vision technique, le juridique la vision réglementaire.
Ne pas sanctionner immédiatement. L’objectif est la transparence. Évaluer le risque de chaque usage, proposer des alternatives conformes si nécessaire, et intégrer dans la gouvernance.
Revue complète : annuelle minimum. Mise à jour continue : à chaque nouveau système IA. Revue de conformité : trimestrielle pour les systèmes à haut risque.
Oui. Si votre CRM utilise une API IA pour le scoring lead, si votre ERP intègre une prédiction de demande, ce sont des systèmes IA à inventorier. Contactez vos éditeurs pour identifier les composants IA inclus.
Non, ce sont deux étapes distinctes. L’inventaire recense TOUS les systèmes IA. La classification évalue le niveau de risque de CHAQUE système. L’inventaire est le prérequis de la classification.
🎯 Conclusion : L’Inventaire, Fondation de la Conformité
Sans inventaire exhaustif, toute démarche de conformité AI Act est construite sur du sable. Vous ne pouvez pas classifier ce que vous ne connaissez pas.
Le shadow IT IA représente jusqu’à 67% des usages dans certaines entreprises. Ignorer cette réalité expose à des sanctions sur des systèmes dont vous ignoriez l’existence.
- 1️⃣ 67% de shadow IT IA — La plupart des usages sont invisibles
- 2️⃣ 4 sources à croiser — DSI + Achats + Métiers + Shadow IT
- 3️⃣ 7 étapes en 2-4 semaines — Méthodologie éprouvée
La deadline approche. Lancez votre inventaire maintenant.
« L’inventaire n’est pas une corvée administrative. C’est l’occasion de découvrir comment l’IA s’est réellement déployée dans votre organisation. »
— Directeur Transformation Digitale, ETI industrielle
Formation Inventaire et Classification IA Act
Apprenez à réaliser un inventaire exhaustif, détecter le shadow IT, et classifier vos systèmes selon l’AI Act.
Me former à l’inventaire → 500€📋 Méthodologie complète • 👻 Détection shadow IT • ✅ Templates inclus
📚 Sources Officielles Citées
- Règlement (UE) 2024/1689 – AI Act • Article 3 (Définitions)
- Commission européenne – AI Office • Guidelines de mise en conformité
- ENISA – Agence européenne cybersécurité • Inventaire des risques IA