Checklist conformité IA 2026 pour entreprises françaises

Mis à jour avril 2026 · AI Compliance · Auteur Matteo Mirabelli

Cette checklist condense les exigences principales de conformité IA en France en avril 2026, articulant AI Act (Règlement UE 2024/1689), ISO/IEC 42001:2023, RGPD et doctrine CNIL, Code du travail. Elle est utilisable comme outil de diagnostic interne avant audit, ou comme cadre de pilotage pour une direction qui structure sa démarche. Disclaimer : informatif, pas conseil juridique.

Section 1 — Inventaire et classification

  • Inventaire complet des systèmes IA déployés ou en projet
  • Classification AI Act de chaque système (interdit / élevé / limité / minimal)
  • Documentation du raisonnement de classification
  • Identification des systèmes Annexe III (haut risque par domaine)
  • Identification des fournisseurs de modèles (GPAI utilisés)

Voir classification des risques AI Act.

Section 2 — Gouvernance organisationnelle

  • Politique IA documentée et validée par direction
  • Désignation d'un référent IA / responsable conformité
  • Comité gouvernance IA (réunion régulière)
  • Information / consultation CSE pour systèmes RH ou affectant les conditions de travail
  • Formation des équipes (article 4 AI Act — littératie IA)
  • Articulation avec DPO et conseil juridique

Section 3 — Documentation technique (risque élevé)

  • Documentation Annexe IV AI Act pour chaque système risque élevé
  • Description finalité, architecture, données utilisées
  • Évaluation des risques par cas d'usage
  • Mesures de mitigation documentées
  • Journaux automatiques activés et conservés
  • Procédures de gestion d'incident

Section 4 — Données et qualité

  • Gouvernance des données d'entraînement (gouvernance, qualité, biais)
  • Sources documentées et licences vérifiées
  • Audit de biais pour systèmes affectant des personnes
  • Durée de conservation justifiée
  • Mécanismes de droit RGPD (accès, rectification, effacement, opposition)

Section 5 — Contrôle humain

  • Mécanismes de supervision humaine documentés
  • Capacité effective de renversement / arrêt
  • Procédures d'escalade pour cas frontières
  • Information aux personnes concernées (RGPD article 13/14 + AI Act article 50)
  • Mécanisme de recours pour les personnes affectées

Section 6 — Transparence

  • Information utilisateurs lorsque interaction avec système IA (article 50)
  • Marquage des contenus générés par IA quand pertinent
  • Notice candidat / client / employé pour systèmes affectant les personnes
  • Politique de transparence publiée si pertinent

Section 7 — RGPD / CNIL spécifique

  • Base légale documentée par traitement
  • Registre des activités de traitement à jour
  • DPIA pour traitements à risque élevé
  • Sous-traitants documentés avec DPA en règle
  • Mécanismes de droits des personnes effectifs
  • Conformité doctrine CNIL spécifique (RH, prospection, biométrie)

Voir CNIL et AI Act articulation.

Section 8 — Sécurité

  • Mesures de sécurité techniques et organisationnelles
  • Tests de robustesse et adversarial
  • Plan de réponse aux incidents
  • Hébergement et résidence des données documentés
  • SecNumCloud ou équivalent pour systèmes sensibles. Voir SecNumCloud qualification.

Section 9 — Fournisseurs et partenaires

  • Évaluation des fournisseurs IA
  • Contrats avec clauses AI Act et conformité
  • Audit fournisseurs périodique
  • Plan de réversibilité / portabilité
  • Compatibilité Mistral et écosystème souverain

Section 10 — ISO 42001 / audit

  • Système de management de l'IA structuré (cadre ISO 42001)
  • Audit interne périodique
  • Plan d'audit externe / certification
  • Indicateurs de performance et conformité suivis
  • Revue de direction annuelle
  • Plan d'amélioration continue

Voir ISO 42001 France mise en œuvre.

AI Act + ISO 42001 en pratique

Cette checklist est structurée pour pouvoir être mappée directement aux exigences AI Act et aux contrôles ISO 42001. Une entreprise qui coche systématiquement les 10 sections est en position défendable face à un audit AI Act et a la quasi-totalité des éléments d'un SMIA ISO 42001. Le coût de la non-conformité (sanction, contentieux, réputation) excède dans la quasi-totalité des cas le coût de la mise en conformité.

CNIL : coexistence avec RGPD obligatoire ; les sections 4, 5, 6 et 7 sont les plus directement RGPD-touchées. Voir conformité AI Act guide.

Knowlee porte la majorité de ces contrôles dans son design. Informatif, pas conseil juridique.

FAQ

Combien de temps pour cocher la checklist ? 6-18 mois pour une ETI démarrant de zéro.

Coût total ? Voir TCO IA — la conformité représente 5-30 % du TCO.

Faut-il tout cocher avant de déployer ? Sections 1, 2, 7 et l'essentiel de 3-6 minimum avant déploiement.

Périmètre minimum pour ISO 42001 ? Au moins un cas d'usage majeur documenté ; extension progressive ensuite.

Combien de signataires de la politique IA ? DG, DSI, DRH, DPO au minimum.

Renouvellement audit ? Surveillance annuelle, recertification 3 ans pour ISO 42001.

Conclusion

Une checklist régulièrement parcourue est l'outil le plus efficace pour piloter la conformité IA. Knowlee — plateforme souveraine européenne, conforme by-design AI Act + ISO 42001, compatible Mistral, alignée CNIL — porte la majorité des contrôles par construction. Cochez les sections une à une.