Absence Évaluation Risques IA : Sanctions
⚠️ L'Erreur la Plus Coûteuse
L'absence d'évaluation risques IA est l'une des infractions les plus sanctionnées. 15 millions d'euros ou 3% du CA mondial pour une simple omission de processus.
Vous déployez un système IA à haut risque. Recrutement. Crédit. Santé. Éducation.
Vous n'avez pas réalisé d'évaluation des risques formelle. Ou pire : vous avez fait une analyse superficielle qui ne couvre pas tous les risques requis.
Résultat ? Une non-conformité majeure qui peut vous coûter des millions.
L'évaluation des risques n'est pas une formalité administrative. C'est le cœur de la conformité IA Act. Sans elle, tout le reste s'écroule.
Par Loïc Gros-Flandre
Directeur de Modernee - Agence IA et Soignant Voice Application médical. Expert en conformité IA et transformation digitale des entreprises.
📚 Ce que vous allez découvrir
- → Ce qu'est réellement l'évaluation des risques IA
- → Différence avec le PIA RGPD
- → Les sanctions en cas d'absence ou d'insuffisance
- → Cas concrets d'entreprises sanctionnées
- → Guide complet pour réaliser votre évaluation
- → Erreurs à éviter absolument
Infographie : Comparaison avec et sans évaluation des risques
📋 Qu'est-ce que l'Évaluation des Risques IA ?
L'évaluation des risques IA (aussi appelée AIPD - AI Impact Assessment) est un processus systématique d'identification et d'analyse des risques d'un système IA.
📜 Base Légale : Article 9 de l'IA Act
L'Article 9 du Règlement (UE) 2024/1689 impose aux fournisseurs de systèmes IA à haut risque de :
- 📋 Identifier les risques : Pour les droits fondamentaux, la santé et la sécurité
- 📊 Évaluer les risques : Probabilité d'occurrence × gravité de l'impact
- 🛡️ Atténuer les risques : Mesures techniques et organisationnelles
- 📝 Documenter : Tout le processus dans un rapport formel
- 🔄 Réviser : À chaque modification significative
⚠️ PIA RGPD ≠ Évaluation IA Act
Attention à ne pas confondre ! Le PIA (Privacy Impact Assessment) du RGPD et l'évaluation IA Act sont différents.
| Critère | PIA RGPD | Évaluation IA Act |
|---|---|---|
| Périmètre | Données personnelles uniquement | Droits fondamentaux, sécurité, santé, discrimination |
| Déclencheur | Traitement à risque élevé | Système IA haut risque (Annexe III) |
| Responsable | Responsable de traitement | Fournisseur ET déployeur |
| Sanctions | 20M€ ou 4% CA (RGPD) | 15M€ ou 3% CA (IA Act) |
💡 Important
Avoir fait un PIA RGPD ne vous dispense pas de l'évaluation IA Act. Les deux sont complémentaires, pas substituables. L'absence cartographie IA peut également compliquer votre conformité.
"L'évaluation des risques IA est plus large que le PIA RGPD. Elle couvre des risques que le RGPD n'aborde pas : discrimination algorithmique, sécurité physique, autonomie humaine."
— Expert conformité IA, Commission européenne
💰 Sanctions en Cas d'Absence d'Évaluation
L'absence d'évaluation des risques est une non-conformité majeure aux yeux de l'IA Act.
📊 Grille des Sanctions
| Type de Manquement | Sanction | Exemple (CA 50M€) |
|---|---|---|
| Absence totale d'évaluation | 15M€ ou 3% CA | 1,5M€ |
| Évaluation incomplète | 15M€ ou 3% CA | 1,5M€ |
| Évaluation non mise à jour | 15M€ ou 3% CA | 1,5M€ |
| Documentation absente | 7,5M€ ou 1,5% CA | 750K€ |
🔴 Circonstances Aggravantes
Les sanctions peuvent être augmentées si :
- ❌ Récidive : Déjà sanctionné pour non-conformité IA Act
- ❌ Mauvaise foi : Dissimulation ou obstruction aux contrôles
- ❌ Dommages réels : Le système a causé des préjudices
- ❌ Absence formation IA : Équipes non formées
🟢 Circonstances Atténuantes
Les sanctions peuvent être réduites si :
- ✅ Coopération : Collaboration active avec les autorités
- ✅ Correction rapide : Mise en conformité immédiate
- ✅ Bonne foi : Effort documenté de conformité
- ✅ Auto-déclaration : Signalement proactif du manquement
📋 Quiz : Évaluation des Risques IA
🏢 Cas Pratiques : Erreurs Coûteuses
Voici des scénarios réalistes d'entreprises qui ont négligé l'évaluation des risques.
📋 Cas 1 : Hôpital et Diagnostic IA
❌ Situation
Un hôpital déploie un logiciel IA d'aide au diagnostic radiologique. Aucune évaluation des risques formelle. Le logiciel est utilisé pendant 18 mois.
- ⚠️ Problème : Système IA santé = haut risque (Annexe III)
- ❌ Conséquence : Contrôle → Non-conformité majeure
- 💰 Sanction : 500K€ (3% CA de l'hôpital)
- 📋 Leçon : Même les établissements publics sont concernés
📋 Cas 2 : Cabinet RH et Tri de CV
❌ Situation
Un cabinet de recrutement utilise un outil IA de tri des CV. L'évaluation existe mais est incomplète : elle ne couvre pas les risques de discrimination.
- ⚠️ Problème : Évaluation bâclée = non-conformité
- ❌ Conséquence : Plainte d'un candidat → Enquête
- 💰 Sanction : 200K€ + obligation de refaire l'évaluation
- 📋 Leçon : Une évaluation incomplète vaut autant qu'aucune
📋 Cas 3 : Banque et Scoring Crédit
✅ Situation (Bonne Pratique)
Une banque déploie un système IA de scoring crédit. Elle réalise une évaluation complète avant la mise en production, incluant analyse de biais, tests adversariaux, plan de monitoring.
- ✅ Coût évaluation : 25K€ (cabinet externe + interne)
- ✅ Durée : 6 semaines
- ✅ Résultat : Conformité + confiance des clients
- 💰 Économie : 15M€ de sanctions évitées
Pour comprendre toutes vos obligations, notre évaluation conformité IA peut vous aider à identifier les lacunes.
🛠️ Guide : Réaliser Votre Évaluation des Risques
Voici les 7 étapes pour une évaluation conforme à l'IA Act.
Identifier le Système IA
Documentez les caractéristiques : finalité, données utilisées, algorithme, contexte d'utilisation, utilisateurs finaux.
Classifier le Niveau de Risque
Vérifiez si le système est listé à l'Annexe III (haut risque). Utilisez notre auto-évaluation IA gratuite.
Identifier les Risques
Listez tous les risques potentiels : discrimination, sécurité, droits fondamentaux, santé, autonomie humaine.
Évaluer Probabilité × Gravité
Pour chaque risque, estimez la probabilité (1-5) et la gravité (1-5). Score = P × G. Priorisez les scores élevés.
Définir les Mesures d'Atténuation
Pour chaque risque significatif, proposez des contrôles : techniques (design), organisationnels (processus), humains (formation).
Documenter l'Évaluation
Rédigez le rapport complet avec tous les éléments. C'est ce document qui sera vérifié lors des contrôles. L'absence documentation IA est aussi sanctionnée.
Planifier les Révisions
Prévoyez des mises à jour : minimum annuelles, et systématiquement après tout changement significatif du système.
📊 Matrice d'Évaluation des Risques
| Probabilité ↓ / Gravité → | Mineure (1) | Modérée (2) | Sérieuse (3) | Grave (4) | Critique (5) |
|---|---|---|---|---|---|
| Très probable (5) | 5 | 10 | 15 | 20 | 25 |
| Probable (4) | 4 | 8 | 12 | 16 | 20 |
| Possible (3) | 3 | 6 | 9 | 12 | 15 |
| Peu probable (2) | 2 | 4 | 6 | 8 | 10 |
| Rare (1) | 1 | 2 | 3 | 4 | 5 |
Légende : 1-6 = Risque acceptable (vert) | 7-12 = Risque à surveiller (orange) | 13+ = Risque critique (rouge)
📋 Simulateur : Évaluation de Vos Risques
❓ Questions Fréquentes - Évaluation Risques IA
C'est un processus obligatoire pour identifier, analyser et atténuer les risques d'un système IA à haut risque. Elle couvre les risques pour les droits fondamentaux, la sécurité et la santé.
Jusqu'à 15 millions d'euros ou 3% du CA mondial (le montant le plus élevé étant retenu). C'est une non-conformité majeure.
Le fournisseur du système IA est responsable principal. Mais le déployeur doit aussi évaluer les risques spécifiques à son usage. Responsabilité partagée.
Non. Le PIA couvre uniquement les données personnelles. L'évaluation IA Act est plus large : discrimination, sécurité physique, autonomie humaine. Les deux sont complémentaires.
Lors de modifications significatives du système. En pratique, révision annuelle minimum recommandée, et systématiquement après tout changement majeur.
Oui. Une évaluation bâclée qui ne couvre pas tous les risques requis peut être considérée comme non-conformité. Mêmes sanctions : 15M€ ou 3% CA.
Oui, mais la responsabilité légale reste celle du fournisseur/déployeur. L'externalisation ne dégage pas de la responsabilité en cas de sanction.
Tous les systèmes IA à haut risque (Annexe III) : RH, crédit, santé, éducation, justice, biométrie, infrastructures critiques. Vérifiez avec les sanctions absence tests IA.
Système simple : 2-4 semaines. Système complexe : 2-3 mois. Prévoyez du temps pour les itérations et validations internes.
L'obligation entre en vigueur le 2 août 2025. Les contrôles et sanctions peuvent s'appliquer dès cette date.
"L'évaluation des risques n'est pas une case à cocher. C'est le fondement de toute la conformité IA Act. Sans elle, tout le reste n'a aucune valeur."
— Responsable conformité, Grande entreprise du CAC40
🎯 Conclusion : L'Évaluation, Pilier de la Conformité
L'évaluation des risques n'est pas optionnelle. C'est le pilier central de la conformité IA Act.
✅ Ce Qu'il Faut Retenir
- Obligation : Évaluation formelle pour tous les systèmes haut risque
- Différent du PIA : Plus large que le RGPD (droits, sécurité, discrimination)
- Sanction absence : 15M€ ou 3% du CA mondial
- Évaluation incomplète : Sanctionnée comme l'absence
- 7 étapes : Identification → Classification → Risques → Analyse → Atténuation → Documentation → Révision
- Coût : 5-25K€ selon complexité (vs 15M€ de sanction)
Ne prenez pas le risque. Commencez votre évaluation dès maintenant.
Maîtrisez l'Évaluation des Risques IA
Apprenez à réaliser une évaluation conforme en formation.
Me former → 500€Sources Officielles Citées
- Règlement (UE) 2024/1689 - IA Act (Article 9 sur l'évaluation des risques) • Texte officiel
- CNIL - Dossier Intelligence Artificielle • Guide PIA et IA
- Commission européenne - Cadre réglementaire IA • Documentation officielle