Checklist 90 jours : votre plan de mise en conformité EU AI Act

1. Pourquoi 90 jours — et pourquoi maintenant

La deadline haut risque de l'EU AI Act est le 2 août 2026. Pourtant, la grande majorité des PME n'ont pris aucune mesure de conformité. Pire, certaines obligations sont déjà en vigueur depuis février 2025 — notamment l'Article 4 sur la littératie IA. Si vous lisez cet article, vous êtes probablement en retard. Ce plan est conçu pour rattraper ce retard.

Pourquoi 90 jours et pas 12 mois ? Parce qu'une PME n'a pas les ressources d'un grand groupe. Vous n'avez pas de département conformité de 10 personnes. Ce qu'il vous faut, c'est un plan d'action réaliste, exécutable en parallèle de votre activité, et suffisamment structuré pour produire des résultats concrets en 3 mois.

En aéronautique, la mise en conformité d'un système suit toujours la même logique : identifier, documenter, former, surveiller. L'EU AI Act n'est pas différent. Cette checklist applique exactement cette méthodologie — éprouvée sur des milliers de systèmes aéronautiques — à la gouvernance IA de votre entreprise.

2. Avant de commencer : les 3 pré-requis

Avant de lancer le chrono des 90 jours, trois éléments doivent être en place :

Un responsable identifié

Quelqu'un doit porter le sujet. Dans une PME, c'est souvent le dirigeant, le DPO, le DSI, ou le responsable qualité. Ce n'est pas un poste à temps plein — comptez 2 à 4 heures par semaine pendant les 90 jours. L'important est qu'une personne soit clairement mandatée et que toute l'entreprise le sache.

Le soutien de la direction

La conformité IA n'est pas un projet informatique. Elle touche tous les services : RH, commercial, support, marketing. Le dirigeant doit communiquer explicitement que c'est une priorité d'entreprise, pas un projet du service IT.

Un état d'esprit "inventaire d'abord"

La première erreur des PME est de chercher à se conformer à des obligations qu'elles ne comprennent pas encore. Le mois 1 est entièrement consacré au diagnostic — comprendre ce que vous utilisez avant de documenter quoi que ce soit. C'est comme en aéronautique : on n'écrit pas une procédure de maintenance sans connaître l'avion.

3. Mois 1 — Diagnostic et inventaire

Semaine 1 : cartographie des outils IA

L'objectif est de dresser un inventaire complet de tous les systèmes IA utilisés dans l'entreprise, qu'ils soient officiels ou non. Pour une PME de 50 employés, attendez-vous à découvrir entre 5 et 15 outils IA — la plupart utilisés sans que la direction le sache.

• Sondage interne anonyme — Demandez à chaque service quels outils IA sont utilisés (ChatGPT, Copilot, MidJourney, outils intégrés aux SaaS existants)
• Audit des licences SaaS — Vérifiez les abonnements actifs qui intègrent des fonctionnalités IA (HubSpot, Salesforce, Zendesk, Notion, etc.)
• Identification des IA intégrées — Microsoft Copilot, Google Gemini, Notion AI, Slack AI, Canva AI — ces outils sont souvent activés par défaut sans que personne ne l'ait demandé

Pour un guide détaillé sur la détection des outils IA non approuvés dans votre entreprise, consultez notre article sur le Shadow AI et ses risques pour les PME.

Semaine 2 : classification par niveau de risque

L'EU AI Act définit 4 niveaux de risque. Chaque outil de votre inventaire doit être classé :

Pour la plupart des PME, la majorité des outils IA seront classés risque limité ou minimal. Si vous identifiez des outils haut risque (IA dans le recrutement, scoring client automatisé, aide au diagnostic médical), marquez-les comme prioritaires.

Semaine 3 : évaluation de l'impact

Pour chaque outil IA identifié, documentez son impact sur l'entreprise. C'est l'étape que beaucoup de PME sautent — et c'est exactement celle qui permet de prioriser les actions du mois 2.

• Qui l'utilise ? — Quel service, combien de personnes, à quelle fréquence
• Quelles données sont traitées ? — Données clients, employés, financières, confidentielles. Un chatbot qui traite des données de santé ≠ un outil de correction orthographique
• Quel niveau de dépendance ? — Critique (l'activité s'arrête sans), important (impact significatif), accessoire (confort)
• Y a-t-il des décisions automatisées ? — Des décisions prises sans intervention humaine (tri de CV, scoring client, approbation automatique) déclenchent des obligations renforcées

En aéronautique, cette étape s'appelle l'analyse de criticité — déterminer quel système, s'il défaille, a le plus d'impact. La même logique s'applique ici : un outil IA utilisé pour filtrer des candidatures est infiniment plus critique qu'un assistant de rédaction d'emails.

Semaine 4 : rapport de diagnostic

Compilez les résultats dans un rapport de diagnostic qui servira de base pour les 60 jours suivants. Ce rapport doit contenir l'inventaire complet des outils IA, la classification de risque pour chaque outil, les écarts identifiés par rapport aux obligations de l'EU AI Act, et les actions prioritaires recommandées.

4. Mois 2 — Documentation et formalisation

Semaine 5 : Registre des Systèmes IA

Le Registre des Systèmes IA est le document central de votre conformité. Il recense tous les outils IA utilisés dans l'entreprise avec leur classification de risque, leur statut de conformité, et les mesures prises. Mettez à jour ce registre chaque trimestre.

• Créer le registre — Un tableur structuré (Excel/Google Sheets) avec une ligne par outil IA
• Renseigner les champs obligatoires — Nom de l'outil, fournisseur, niveau de risque, usage, données traitées, responsable, statut de conformité
• Appliquer un code couleur — Rouge (non conforme), orange (en cours), vert (conforme) pour une vision instantanée

Pour un guide pas à pas sur la création de votre registre, avec template Excel gratuit et exemples concrets, consultez notre article dédié au Registre des Systèmes IA.

Semaine 6 : Politique d'Utilisation de l'IA

Ce document interne définit les règles d'utilisation de l'IA dans votre entreprise. Il doit couvrir les outils autorisés et interdits, les types de données que les employés peuvent (ou non) partager avec des outils IA, le processus d'approbation pour adopter un nouvel outil IA, et les sanctions en cas de non-respect.

Semaine 7 : Guide de Sensibilisation IA (Article 4)

L'Article 4 de l'EU AI Act impose une obligation de littératie IA. Votre guide de sensibilisation doit expliquer ce qu'est l'intelligence artificielle en termes simples, quels sont les risques (hallucinations, biais, fuite de données), quelles sont les 7 règles d'or d'utilisation de l'IA dans l'entreprise, et comment signaler un incident IA.

Ce guide doit être accompagné d'une attestation de lecture signée par chaque employé — c'est votre preuve documentaire de conformité à l'Article 4.

Semaine 8 : Évaluation des risques (si haut risque)

Si votre inventaire a identifié des systèmes IA classés haut risque (recrutement, scoring, médical), vous devez produire une Évaluation des Risques (FRIA) pour chaque système. Ce document analyse les risques spécifiques, les mesures de mitigation, et les procédures de supervision humaine.

Pour les PME sans système haut risque (la majorité), cette étape peut être sautée. Concentrez la semaine 8 sur la relecture et la validation des trois documents précédents.

5. Mois 3 — Formation, gouvernance et suivi

Semaine 9 : déploiement du guide de sensibilisation

Distribuez le guide de sensibilisation à tous les employés qui utilisent ou interagissent avec des systèmes IA. Organisez une session de présentation (30 minutes suffisent pour une PME), collectez les attestations de lecture signées, et archivez les attestations — ce sont vos preuves de conformité en cas de contrôle.

Semaine 10 : mise en place de la gouvernance

Définissez le processus de gouvernance IA qui vivra au-delà des 90 jours :

• Processus d'approbation — Qui valide l'adoption d'un nouvel outil IA, en combien de temps, avec quels critères
• Calendrier de mise à jour du registre — Trimestriel recommandé, avec un responsable désigné et une date fixe
• Procédure de signalement d'incident IA — Que faire si un outil IA produit un résultat incorrect, biaisé, ou expose des données
• Révision annuelle de la politique — Date fixe, déclenchée aussi par tout changement réglementaire ou ajout de système IA

Semaine 11 : vérification de la transparence

Pour les systèmes IA classés risque limité, vérifiez que l'obligation de transparence est respectée. Auditez chaque point de contact IA avec vos clients et employés :

• Chatbot site web — Un message clair informe-t-il l'utilisateur qu'il interagit avec une IA ? (ex : "Cet assistant est propulsé par l'intelligence artificielle")
• Contenu généré par IA — Les emails, documents ou communications rédigés principalement par IA sont-ils identifiés comme tels quand c'est pertinent ?
• Décisions assistées par IA — Les personnes concernées (candidats, clients, employés) savent-elles quand une IA a contribué à une décision les affectant ?

Semaine 12 : bilan et plan de suivi

Produisez un bilan de conformité qui résume ce qui a été fait, ce qui reste à faire, et le calendrier de suivi. Ce bilan sert de tableau de bord pour les mois suivants et de preuve de diligence en cas de contrôle.

6. La checklist complète

Voici la checklist consolidée des 90 jours. Imprimez-la et cochez chaque élément au fur et à mesure :

Pour comprendre en détail chaque obligation mentionnée dans cette checklist, consultez notre guide complet sur la conformité EU AI Act pour les PME.

7. Les 5 erreurs qui font échouer la mise en conformité

Erreur #1 : commencer par la documentation

Beaucoup d'entreprises rédigent une politique d'utilisation de l'IA avant de savoir quels outils sont utilisés. C'est comme écrire un règlement intérieur pour un bâtiment dont on n'a pas le plan. L'inventaire vient toujours en premier.

Erreur #2 : ignorer le Shadow AI

Si vous n'incluez pas les outils IA non approuvés dans votre inventaire, vous ne serez jamais conforme. La quasi-totalité des organisations ont des employés qui utilisent des applications IA non autorisées. Les ignorer ne les fait pas disparaître. Pour comprendre l'ampleur du phénomène, consultez notre article dédié au Shadow AI dans les PME.

Erreur #3 : traiter l'IA comme un projet IT

La conformité IA touche tous les services. Le service RH utilise probablement de l'IA pour le recrutement. Le marketing utilise ChatGPT pour la rédaction. Le service client a un chatbot. Si seul le DSI est impliqué, des angles morts apparaissent.

Erreur #4 : viser la perfection du premier coup

Un inventaire imparfait révisé trimestriellement vaut infiniment mieux qu'un inventaire parfait jamais terminé. L'objectif des 90 jours est d'atteindre un niveau de conformité opérationnel — pas la perfection. Vous itérerez ensuite.

Erreur #5 : oublier le suivi

La conformité n'est pas un projet ponctuel. De nouveaux outils IA sont adoptés chaque mois, les règlements évoluent, les équipes changent. Sans processus de suivi (mise à jour trimestrielle du registre, révision annuelle de la politique), tout le travail des 90 jours devient obsolète en 6 mois.

8. Combien ça coûte

9. Questions fréquentes

10. Passer à l'action

Vous avez maintenant un plan clair. La question n'est plus "quoi faire" mais "quand commencer". Trois options s'offrent à vous :

1. Évaluez votre situation — notre questionnaire gratuit prend 10 minutes et vous recevrez un rapport personnalisé avec vos priorités.
2. Téléchargez le guide PDF — notre guide complet de 8 pages détaille chaque étape avec les documents modèles et les checklists.
3. Échangez avec un expert — réservez 30 minutes pour discuter de votre situation spécifique, sans engagement.

Chaque semaine qui passe sans action est une semaine de plus d'exposition aux risques de non-conformité. Le premier pas — l'inventaire — ne prend qu'une semaine. Commencez maintenant.

Ce contenu constitue un guide informatif et ne constitue pas un avis juridique. Pour toute question juridique spécifique relative à l'EU AI Act, consultez un avocat spécialisé.