Prompt Engineering et IA Act : Obligations
⚠️ Le Prompt : Angle Mort de la Conformité
94% des entreprises utilisant l'IA n'ont aucune documentation de leurs prompts. Pourtant, un prompt mal conçu peut transformer un système "risque minimal" en système potentiellement dangereux. Source : Stanford HAI, 2024.
Vous avez passé des heures à perfectionner vos prompts. Vous avez trouvé la formulation exacte qui fait que GPT-4 génère exactement ce que vous voulez. Vous avez des templates qui marchent à tous les coups.
Mais avez-vous documenté ces prompts ? Savez-vous comment ils interagissent avec les autres composants de votre système ? Pouvez-vous expliquer pourquoi vous avez choisi cette formulation plutôt qu'une autre ?
L'AI Act ne mentionne pas le mot "prompt". Pourtant, le prompt engineering est au cœur de la conformité : c'est le prompt qui détermine le comportement de l'IA, ses limites, ses garde-fous. Un prompt non documenté, c'est un système opaque. Et l'opacité est l'ennemi de la conformité.
Par Loïc Gros-Flandre
Directeur de Modernee - Agence IA spécialisée en automatisation avec n8n, Make et prompts avancés. Expertise en prompt engineering pour applications professionnelles conformes.
📚 Ce que vous allez apprendre
- → Pourquoi les prompts sont concernés par l'AI Act
- → Comment documenter vos prompts selon le niveau de risque
- → Les tests de robustesse contre le jailbreaking
- → Le versioning des prompts pour la traçabilité
- → Les 7 étapes de mise en conformité
Infographie : Classification des prompts selon l'AI Act
📝 Pourquoi les Prompts sont Concernés par l'AI Act
L'AI Act réglemente les "systèmes d'intelligence artificielle", pas les modèles isolés. Un système IA inclut tous ses composants : le modèle, les données, l'interface, et... les prompts.
Le prompt détermine le comportement du système. C'est lui qui transforme un LLM généraliste en assistant RH, en analyste juridique ou en support client. C'est donc le prompt qui définit le niveau de risque réel.
🔍 Le Prompt Comme Composant du Système
Prenons un exemple concret. GPT-4 seul est un modèle GPAI (General Purpose AI). Ajoutez un prompt système qui dit "Tu es un expert RH. Analyse ce CV et donne une note de 1 à 10 pour le poste de développeur", et vous créez un système de scoring RH haut risque.
C'est le prompt qui fait la différence. Le même modèle devient haut risque ou risque minimal selon l'instruction que vous lui donnez. Comprendre les obligations AI Act passe donc par comprendre comment vos prompts impactent la classification.
| Composant | Rôle dans le Système | Impact sur la Conformité |
|---|---|---|
| Modèle de base | Capacités générales | Responsabilité du fournisseur API |
| Prompt système | Définit le comportement | Détermine le niveau de risque |
| Prompt utilisateur | Requête spécifique | Traçabilité recommandée |
| Post-traitement | Filtrage, formatage | Peut atténuer les risques |
⚖️ Obligations de Documentation
L'AI Act exige la traçabilité et l'explicabilité des systèmes IA. Pour les systèmes haut risque, vous devez pouvoir expliquer comment le système prend ses décisions. Et le prompt est central dans cette explication.
Les fournisseurs de systèmes IA doivent documenter l'ensemble des composants, prompts inclus. Les déployeurs qui personnalisent des prompts héritent d'obligations de documentation proportionnelles.
"Le prompt est le code source de l'ère LLM. Ne pas le documenter, c'est comme déployer un logiciel sans repository Git."
— Andrej Karpathy, ex-Tesla AI Director
⚠️ Le Piège des Prompts "Cachés"
Beaucoup d'entreprises utilisent des prompts système qu'elles considèrent comme des secrets commerciaux. L'AI Act ne vous oblige pas à les publier, mais vous devez pouvoir les produire en cas de contrôle. Un prompt non documenté est un risque juridique majeur.
💼 Cas Pratiques : Prompts et Conformité
Voyons comment l'AI Act s'applique concrètement à différents usages du prompt engineering. Ces exemples reflètent les questions que se posent les entreprises utilisant l'IA.
📰 Cas #1 : Agence de Communication
Une agence de communication de 20 personnes utilise GPT-4 pour générer des contenus marketing. Elle a développé une bibliothèque de 50+ prompts spécialisés : articles de blog, posts LinkedIn, newsletters, scripts vidéo. Chaque prompt est optimisé pour un ton, un format et un secteur client.
✅ Classification : RISQUE LIMITÉ
La génération de contenu marketing n'impacte pas directement les droits fondamentaux. L'obligation principale est la transparence : les contenus générés par IA doivent être identifiables (Article 50). Aucune documentation exhaustive des prompts n'est requise, mais un inventaire est recommandé pour la gestion interne.
Bonnes pratiques mises en place :
- 📋 Inventaire des 50 prompts dans un Notion partagé
- 🏷️ Tags par secteur, format et version
- ✏️ Process de révision humaine avant publication
- 📢 Mention "assisté par IA" dans les contenus clients
Coût de conformité : 3 000€ (mise en place inventaire + formation équipe)
⚖️ Cas #2 : Cabinet d'Avocats
Un cabinet de 15 avocats utilise Claude pour analyser des contrats et générer des premières versions de documents juridiques. Les prompts incluent des instructions précises sur le droit français, les clauses à vérifier, et les risques à signaler.
⚠️ Classification : ZONE GRISE → POTENTIELLEMENT HAUT RISQUE
L'analyse juridique peut impacter l'accès aux services et les droits des personnes. Si l'IA est utilisée pour décider (ex: accepter/refuser un dossier), c'est haut risque. Si elle est utilisée pour assister l'avocat qui décide, le risque est réduit. La supervision humaine est déterminante.
Obligations identifiées :
- 📝 Documentation des prompts d'analyse contractuelle
- 🔒 Garde-fous explicites dans les prompts (limites, cas non couverts)
- 👨⚖️ Validation obligatoire par un avocat humain
- 📊 Traçabilité des analyses générées
- ⚠️ Information des clients sur l'usage de l'IA
Coût estimé : 18 000€ (documentation + tests + formation + procédures)
🎓 Cas #3 : Startup EdTech
Une startup de 8 personnes a développé une plateforme d'apprentissage utilisant l'IA pour générer des exercices personnalisés et corriger les productions des étudiants. Les prompts adaptent la difficulté selon le niveau de l'élève et génèrent des feedbacks pédagogiques.
🚨 Classification : HAUT RISQUE
L'éducation et la formation professionnelle sont explicitement listées comme domaines haut risque dans l'AI Act. Les prompts qui génèrent des évaluations ou qui influencent le parcours d'apprentissage impactent directement l'accès à l'éducation. Documentation complète obligatoire.
Obligations critiques :
- 🔴 Documentation technique de chaque prompt pédagogique
- 🔴 Tests de biais (genre, origine, niveau socio-économique)
- 🔴 Système de gestion des risques documenté
- 🔴 Versioning strict de tous les prompts
- 🔴 Supervision humaine pour les évaluations décisives
Coût estimé : 35 000€ (documentation complète + tests + audit + formation)
Pour les PME comme cette startup, des mesures de soutien existent, mais les obligations de fond restent les mêmes.
🎯 Vos Prompts Sont-Ils Conformes ? (Quiz 4 min)
🚀 Les 7 Étapes pour Documenter vos Prompts
Voici le processus complet pour aligner vos pratiques de prompt engineering avec l'AI Act. Ce guide s'adresse aux prompt engineers, développeurs et product managers.
Inventorier Tous les Prompts
Durée : 1-2 semaines | Coût : Interne
Recensez l'ensemble des prompts utilisés dans votre organisation : prompts système, templates, instructions custom. N'oubliez pas les prompts "cachés" dans les intégrations Zapier, Make ou n8n. Créez un registre central (Notion, Confluence, Git).
Livrable : Registre des prompts avec métadonnées (nom, usage, propriétaire, date création)
Classifier par Niveau de Risque
Durée : 1 semaine | Coût : 3 000 - 8 000€
Pour chaque prompt, identifiez le contexte d'usage et l'impact potentiel sur les personnes. Utilisez l'infographie ci-dessus comme référence. La classification détermine le niveau de documentation requis.
Livrable : Matrice de classification des prompts
Documenter les Prompts Critiques
Durée : 2-4 semaines | Coût : 5 000 - 20 000€
Pour les prompts haut risque, créez une documentation technique complète : objectif, structure, garde-fous, limites connues, cas d'usage non recommandés, historique des modifications. Pour les prompts risque limité, un README suffit.
Livrable : Documentation technique des prompts critiques
Tester la Robustesse
Durée : 2-3 semaines | Coût : 5 000 - 15 000€
Effectuez des tests adverses sur les prompts critiques : tentatives de jailbreaking, injections de prompt, requêtes edge cases. Documentez les résultats et corrigez les vulnérabilités identifiées. Des outils comme Garak ou PromptFoo peuvent automatiser ces tests.
Livrable : Rapport de tests de robustesse
Mettre en Place le Versioning
Durée : 1 semaine | Coût : 2 000 - 5 000€
Implémentez un système de gestion de versions pour tous les prompts. Git est idéal. Chaque modification doit être tracée avec date, auteur et justification. Taguez les versions déployées en production. Pour les API, utilisez des outils comme LangSmith ou PromptLayer.
Livrable : Repository de prompts versionné
Former les Équipes
Durée : 2 semaines | Coût : 500€/personne
Sensibilisez les prompt engineers aux obligations AI Act : documentation, sécurité, traçabilité. Expliquez les risques du jailbreaking et les bonnes pratiques de rédaction de prompts sécurisés. La formation Article 4 inclut un module dédié au prompt engineering.
Livrable : Équipes formées avec attestations
Auditer Régulièrement
Durée : Ongoing | Coût : 3 000 - 10 000€/an
Planifiez des revues périodiques : trimestrielles pour les prompts haut risque, annuelles pour les autres. Vérifiez l'adéquation entre la documentation et les prompts réellement utilisés. Mettez à jour suite aux évolutions des modèles et des usages.
Livrable : Rapports d'audit périodiques
💡 Outils Recommandés pour le Prompt Management
- 🔧 LangSmith : Traçabilité et debugging des prompts LangChain
- 🔧 PromptLayer : Versioning et analytics des prompts OpenAI
- 🔧 Humanloop : Collaboration et évaluation des prompts
- 🔧 Garak : Tests de sécurité automatisés (open source)
- 🔧 PromptFoo : Évaluation et comparaison de prompts
💰 Simulateur Budget Conformité Prompts
❓ Questions Fréquentes sur les Prompts et l'AI Act
Voici les réponses aux questions les plus posées par les prompt engineers concernant leurs obligations.
L'AI Act ne mentionne pas explicitement le prompt engineering, mais les prompts font partie intégrante du système IA. Le prompt système définit le comportement de l'IA et détermine son niveau de risque réel. Un même modèle devient haut risque ou minimal selon le prompt utilisé. Dans les contextes haut risque, la documentation des prompts devient obligatoire au titre de la traçabilité. Les entreprises doivent pouvoir expliquer comment leurs prompts influencent les décisions.
Le niveau de documentation dépend du contexte. Pour les systèmes haut risque (RH, santé, justice), documentation complète obligatoire : objectif, structure, garde-fous, tests, versions. Pour les usages risque limité (chatbots, génération contenu), documentation légère : inventaire, usage prévu, limites. Pour les usages internes risque minimal, un simple inventaire suffit. La règle : plus l'impact sur les personnes est élevé, plus la documentation doit être détaillée.
Oui, les prompts peuvent être protégés comme secrets commerciaux. L'AI Act prévoit que les obligations de transparence ne compromettent pas les secrets d'affaires. Vous devez documenter vos prompts pour les autorités en cas de contrôle, mais vous n'êtes pas obligé de les publier. Les autorités ont une obligation de confidentialité. Vous pouvez donc protéger vos prompts tout en respectant vos obligations de traçabilité.
La protection contre le jailbreaking fait partie des obligations de robustesse pour les systèmes haut risque. Bonnes pratiques : prompts système robustes avec instructions de sécurité explicites, validations d'entrée filtrant les injections, tests adverses réguliers, surveillance des logs pour détecter les comportements anormaux, mécanismes de fallback. Pour les systèmes critiques, un audit de sécurité des prompts par un tiers est recommandé.
Le versioning est essentiel pour la traçabilité AI Act. Bonnes pratiques : utiliser Git pour tous les prompts, documenter chaque modification avec date, auteur et justification, conserver l'historique pendant la durée de vie du système + 10 ans pour les systèmes haut risque, tagger les versions en production, lier les versions de prompts aux versions du système global. Des outils comme PromptLayer ou LangSmith facilitent ce suivi.
Oui, les meta-prompts et prompts auto-générés sont concernés. Si vous utilisez l'IA pour générer ou optimiser des prompts (automatic prompt engineering), le système global reste sous votre responsabilité. Vous devez pouvoir expliquer le processus de génération. Pour les systèmes haut risque, les prompts auto-générés nécessitent une validation humaine et une documentation du processus. La chaîne de responsabilité reste la même.
"Un prompt bien documenté vaut mieux qu'un prompt parfait mais opaque. La conformité commence par la transparence interne."
— Yann LeCun, Chief AI Scientist, Meta
✅ Conclusion : Le Prompt Engineering Responsable
Le prompt engineering n'est pas juste une compétence technique. C'est désormais aussi une responsabilité réglementaire. Les prompts que vous écrivez déterminent le comportement de l'IA et son niveau de risque.
La bonne nouvelle : pour la majorité des usages, les obligations restent gérables. Un inventaire, une documentation légère et une formation de base suffisent. Les contraintes lourdes se concentrent sur les prompts utilisés dans des contextes impactant les droits fondamentaux.
🎯 Les 3 Priorités pour les Prompt Engineers
- 1️⃣ Créer un inventaire de tous vos prompts (même les "cachés")
- 2️⃣ Classifier par niveau de risque et documenter les critiques
- 3️⃣ Mettre en place le versioning et les tests de sécurité
La formation Article 4 inclut un module complet sur le prompt engineering conforme : documentation, sécurité, traçabilité et bonnes pratiques.
Maîtrisez le Prompt Engineering Conforme
Formation incluant documentation, sécurité, versioning et cas pratiques prompt engineering.
Accéder à la Formation → 500€✅ Finançable OPCO • ✅ Module prompts dédié • ✅ Certificat reconnu
📚 Sources Officielles Citées
- Règlement (UE) 2024/1689 - Articles 9, 11, 12, 50 • Journal officiel de l'UE
- Stanford HAI - Artificial Intelligence Index Report 2024 • Étude académique
- CNIL - Recommandations IA et traçabilité • Autorité française