Plan d'Action IA Act : Roadmap Conformité
🚨 78% des Entreprises Pas Prêtes
Selon une étude KPMG 2024, 78% des entreprises européennes n'ont pas encore de plan d'action AI Act. L'échéance approche. Ce guide vous donne la roadmap complète pour être conforme à temps.
L'AI Act entre progressivement en vigueur. Les premières obligations (systèmes interdits, formation) s'appliquent dès août 2025. Les systèmes haut risque suivent en août 2026.
Sans plan d'action structuré, vous risquez de vous retrouver hors délai. Sanctions, interdiction de mise sur le marché, recours des personnes affectées : les conséquences sont lourdes.
Ce guide vous présente une roadmap en 7 étapes éprouvée, avec les délais, budgets et ressources pour chaque phase.
Par Loïc Gros-Flandre
Directeur de Modernee - Agence IA & Fondateur de Soignant Voice Application médical. Expert en conformité IA et transformation digitale des entreprises.
📚 Ce que vous allez apprendre
- → Les 7 étapes de la roadmap conformité
- → La timeline détaillée avec deadlines
- → Le budget par phase et par taille d'entreprise
- → Les priorités et quick wins
- → Les outils et ressources recommandés
- → Les erreurs fatales à éviter
Infographie : Roadmap conformité AI Act en 7 étapes
🎯 Pourquoi un Plan d'Action AI Act Est Indispensable
L'AI Act n'est pas un projet qu'on improvise. Sans roadmap structurée, vous risquez de manquer les deadlines et de vous exposer à des sanctions.
⏰ Les 3 Deadlines Critiques
Systèmes interdits — Arrêt immédiat des systèmes IA proscrits (scoring social, manipulation subliminale)
Formation Article 4 — Toutes les équipes IA doivent être formées et certifiées
Systèmes haut risque — Conformité complète pour les IA Annexe III
💰 Les Risques Sans Plan d'Action
- 💸 Sanctions financières — Jusqu'à 35M€ ou 7% du CA mondial
- 🚫 Interdiction de mise sur le marché — Vos systèmes IA retirés
- ⚖️ Recours des personnes affectées — Les victimes peuvent agir collectivement via une action collective IA
- 📉 Atteinte réputationnelle — Image de marque dégradée
"Les entreprises qui n'ont pas de plan d'action structuré à ce stade prennent un risque majeur. Le temps de mise en conformité est incompressible."
— Marc Dupont, Directeur Conformité, Bureau Veritas France
📊 Étape 1 : Cartographie des Systèmes IA (2-4 semaines)
Tout commence par un inventaire exhaustif. Vous ne pouvez pas mettre en conformité ce que vous ne connaissez pas.
🔍 Que Cartographier ?
- 🏠 IA développées en interne — Modèles ML, algorithmes maison
- 🛒 IA achetées — Solutions éditeurs, licences
- ☁️ IA SaaS — ChatGPT, copilotes, outils cloud
- 🔗 IA embarquées — Dans des produits tiers utilisés
📋 Fiche d'Inventaire Type
Pour chaque système IA, documentez :
| Champ | Description | Exemple |
|---|---|---|
| Nom du système | Identifiant unique | IA-RH-001 |
| Type | Développé / Acheté / SaaS | SaaS |
| Fournisseur | Éditeur / Prestataire | HireVue Inc. |
| Cas d'usage | À quoi sert-il ? | Présélection CV |
| Données traitées | Quelles données en entrée ? | CV, lettres motivation |
| Personnes affectées | Qui est impacté par les décisions ? | Candidats à l'emploi |
| Volume | Nombre de décisions/an | 10 000 CV/an |
| Responsable | Propriétaire métier | DRH |
💡 Astuce : Shadow AI
N'oubliez pas la "Shadow AI" : les outils IA utilisés par vos équipes sans validation IT (ChatGPT personnel, Midjourney, etc.). Interrogez les métiers directement.
⚠️ Étape 2 : Classification des Risques (1-2 semaines)
L'AI Act définit 4 niveaux de risque. La classification détermine les obligations applicables.
📊 Matrice de Classification
| Niveau | Exemples | Obligations | Sanction max |
|---|---|---|---|
| 🚫 INTERDIT | Scoring social, manipulation subliminale | Arrêt immédiat | 35M€ / 7% CA |
| ⚠️ HAUT RISQUE | RH, crédit, santé, justice, éducation | Documentation complète, tests, supervision humaine | 15M€ / 3% CA |
| 📢 RISQUE LIMITÉ | Chatbots, deepfakes, IA générative | Transparence, information utilisateurs | 7.5M€ / 1.5% CA |
| ✅ RISQUE MINIMAL | Filtres spam, jeux vidéo, recommandations | Aucune obligation spécifique | - |
🎯 Comment Classifier ?
Posez-vous ces questions pour chaque système :
- 1️⃣ Est-il dans la liste des interdits ? (Article 5) → INTERDIT
- 2️⃣ Est-il dans l'Annexe III ? (biométrie, RH, crédit, santé...) → HAUT RISQUE
- 3️⃣ Interagit-il avec des humains ? (chatbot, génération contenu) → RISQUE LIMITÉ
- 4️⃣ Aucun des cas précédents ? → RISQUE MINIMAL
🎯 Évaluez Votre Maturité AI Act (Quiz 5 min)
🎓 Étape 3 : Formation des Équipes (2-4 semaines)
L'Article 4 AI Act impose de former toutes les personnes impliquées dans l'IA. C'est la première obligation applicable (août 2025).
👥 Qui Former ?
- 👨💻 Développeurs / Data Scientists — Conception et développement IA
- 📋 Chefs de Produits — Spécification et déploiement
- 👔 Managers / Décideurs — Supervision et gouvernance
- 🛒 Acheteurs — Sélection des solutions IA
- ⚖️ Juristes / Conformité — Cadre réglementaire
- 🤝 Support / Utilisateurs — Usage quotidien des outils IA
⚠️ Formation = Certificat
La formation doit être documentée et certifiée. En cas de contrôle, vous devrez prouver que vos équipes ont été formées. Un simple email interne ne suffit pas.
Pour structurer cette démarche, intégrez-la à votre plan de développement des compétences IA existant.
🔍 Étape 4 : Gap Analysis (2-4 semaines)
Comparez votre situation actuelle aux exigences AI Act pour chaque système classifié.
📊 Grille d'Analyse
| Exigence AI Act | Statut Actuel | Écart | Priorité |
|---|---|---|---|
| Documentation technique | 🔴 Inexistante | Créer de zéro | HAUTE |
| Gestion des données | 🟡 Partielle | Compléter traçabilité | HAUTE |
| Tests d'équité | 🔴 Non réalisés | Mettre en place | MOYENNE |
| Supervision humaine | 🟢 En place | Formaliser processus | BASSE |
| Cybersécurité | 🟡 Partielle | Tests de robustesse | MOYENNE |
📄 Étape 5 : Documentation Technique (8-16 semaines)
La phase la plus longue. Pour chaque système haut risque, vous devez produire une documentation complète.
📁 Documents Requis
- 📋 Description générale — Finalité, fonctionnement, performances
- 💾 Gestion des données — Sources, qualité, représentativité, biais
- ⚠️ Évaluation des risques — Risques identifiés, mesures de mitigation
- 🧪 Résultats des tests — Équité, robustesse, précision
- 👁️ Supervision humaine — Processus, responsabilités, escalade
- 📖 Notice d'utilisation — Pour les déployeurs et utilisateurs
🧪 Étape 6 : Tests et Validation (4-8 semaines)
Avant déploiement ou mise à jour, testez systématiquement vos systèmes IA.
🔬 Types de Tests
| Type de Test | Objectif | Outils |
|---|---|---|
| Tests d'équité | Détecter les biais discriminatoires | AI Fairness 360, Fairlearn |
| Tests de robustesse | Résistance aux perturbations | Adversarial Robustness Toolbox |
| Tests de performance | Précision, rappel, F1-score | MLflow, Weights & Biases |
| Tests de sécurité | Résistance aux attaques | OWASP ML Top 10 |
| Tests utilisateurs | Supervision humaine effective | Scénarios de test, UAT |
✅ Étape 7 : Certification et Monitoring (2-4 semaines)
Dernière étape : certification (si requise) et mise en place du monitoring continu.
🏆 Certification
Selon le secteur et le type de système :
- 🏥 Dispositifs médicaux — Certification par organisme notifié obligatoire
- 🚗 Véhicules / Transport — Évaluation de conformité spécifique
- 🏢 Autres haut risque — Auto-évaluation possible, audit externe recommandé
📊 Monitoring Continu
La conformité n'est pas un état figé. Mettez en place :
- 📈 KPIs de performance — Surveillance des métriques clés
- ⚠️ Alertes dérive — Détection automatique des anomalies
- 🔄 Revue périodique — Audit interne trimestriel
- 📝 Logs d'incidents — Traçabilité des problèmes
💰 Simulateur Budget Conformité AI Act
🏢 Cas Pratiques par Secteur
🏥 Cas 1 : Établissement de Santé
Contexte
Un hôpital utilise 3 systèmes IA : aide au diagnostic radiologie, planification des lits, chatbot patient. 2 000 employés, 500 concernés par l'IA.
Plan d'action spécifique :
- 🎯 Priorité 1 — Diagnostic radiologie (haut risque, dispositif médical → certification obligatoire)
- 🎯 Priorité 2 — Planification lits (haut risque santé)
- 🎯 Priorité 3 — Chatbot patient (risque limité, transparence)
Budget estimé : 80 000€ - 150 000€ | Durée : 10-12 mois
Pour les établissements du secteur social, consultez nos ressources spécifiques sur l'IA dans l'action sociale.
🏭 Cas 2 : Industrie Manufacturière
Contexte
Un industriel automobile utilise l'IA pour : maintenance prédictive, contrôle qualité visuel, optimisation supply chain. 5 000 employés.
Plan d'action spécifique :
- 🔧 Maintenance prédictive — Risque minimal (pas de décision sur personnes)
- 👁️ Contrôle qualité — Risque minimal si pas de sécurité critique
- 📦 Supply chain — Risque minimal
Focus : Formation Article 4 uniquement. Documentation allégée.
Budget estimé : 25 000€ - 50 000€ | Durée : 4-6 mois
🏦 Cas 3 : Banque / Assurance
Contexte
Une banque utilise l'IA pour : scoring crédit, détection fraude, chatbot client, KYC automatisé. 3 000 employés, 800 concernés.
Plan d'action spécifique :
- 💳 Scoring crédit — HAUT RISQUE (Annexe III, évaluation solvabilité)
- 🔍 KYC automatisé — HAUT RISQUE (identification biométrique)
- 🚨 Détection fraude — Risque limité à haut selon usage
- 💬 Chatbot — Risque limité (transparence)
Budget estimé : 150 000€ - 300 000€ | Durée : 12 mois
❓ Questions Fréquentes - Plan d'Action IA
Par la CARTOGRAPHIE. Inventoriez tous vos systèmes IA (développés, achetés, SaaS). Documentez usage, données, personnes affectées. Cette étape prend 2-4 semaines et constitue le fondement de tout le reste.
Comptez 6 à 12 mois selon la complexité. Les systèmes haut risque nécessitent plus de temps (documentation, tests, certification). La formation peut démarrer immédiatement en parallèle.
Fourchettes indicatives : PME (1-5 systèmes) : 15K€-50K€, ETI (5-20 systèmes) : 50K€-200K€, Grande entreprise (20+ systèmes) : 200K€-1M€+. Formation = 30%, Documentation = 40%, Audit = 20%.
Priorité 1 : Formation Article 4 (deadline août 2025). Priorité 2 : Systèmes haut risque. Priorité 3 : Supervision humaine et processus qualité. Priorité 4 : Documentation complète.
Désignez un responsable IA (AI Officer) ou confiez au DPO, directeur juridique ou DSI. Il doit avoir une vision transverse, un mandat de la direction, et pouvoir mobiliser métiers et technique.
Non obligatoire pour tous, mais fortement recommandé pour les systèmes haut risque. Certains secteurs (dispositifs médicaux, transports) l'imposent. Budget : 10K€-50K€.
Utilisez une matrice Risque/Impact. Classez selon : niveau de risque AI Act, impact business, nombre de personnes affectées. Traitez d'abord les systèmes interdits puis les haut risque critiques.
Par phase : Cartographie (Excel, Airtable), Documentation (templates AI Act, Notion), Tests équité (AI Fairness 360, Fairlearn), Monitoring (MLflow, Weights & Biases).
"Un plan d'action bien structuré réduit de 40% le coût de mise en conformité par rapport à une approche improvisée."
— Étude Deloitte, AI Governance Survey 2024
✅ Conclusion : Lancez Votre Plan d'Action Maintenant
Le temps est compté. Chaque semaine de retard augmente le risque de non-conformité.
🚀 Vos 3 Prochaines Actions
- 1️⃣ Cette semaine : Lancez la cartographie de vos systèmes IA
- 2️⃣ Ce mois-ci : Formez vos équipes (certificat Article 4)
- 3️⃣ Ce trimestre : Complétez la classification et le gap analysis
La formation est la première étape concrète, applicable immédiatement et finançable par votre OPCO.
🚀 Démarrez Votre Plan d'Action Aujourd'hui
Notre formation certifiante AI Act est le point de départ idéal. Formez vos équipes, obtenez votre certificat, et lancez votre roadmap conformité.
Accéder à la Formation Certifiante → 500€✅ Finançable OPCO • ✅ Certificat nominatif • ✅ Templates plan d'action inclus
L'échéance approche. Structurez votre plan d'action maintenant !
📚 Sources Officielles
- Règlement (UE) 2024/1689 - AI Act • Journal officiel de l'UE
- Commission européenne - Cadre réglementaire IA • Documentation officielle
- ISO 42001 - Système de management de l'IA • Norme internationale