Audit IA : checklist conformité AI Act en 20 points

Avec l'AI Act en application progressive depuis 2024, les organisations qui utilisent ou développent des systèmes d'intelligence artificielle ont besoin d'une méthodologie d'audit structurée. Cette checklist en 20 points couvre les dimensions essentielles pour évaluer votre conformité et identifier les actions prioritaires.

Pourquoi auditer vos systèmes d'IA

Un audit IA sert plusieurs objectifs simultanément :

Conformité réglementaire : L'AI Act impose des obligations documentées — avoir réalisé un audit est la preuve que vous prenez vos responsabilités au sérieux.

Gestion des risques : Les systèmes IA peuvent produire des résultats biaisés, discriminatoires, ou erronés avec des conséquences réelles sur les personnes concernées. L'audit permet d'identifier ces risques avant qu'ils se matérialisent.

Confiance des parties prenantes : Clients, partenaires et régulateurs accordent de plus en plus d'importance à la gouvernance IA. Un audit documenté est un avantage concurrentiel.

Détection des dérives : Les systèmes IA évoluent avec le temps (dérive des données, changement de comportement). Un audit régulier détecte ces dérives avant qu'elles causent des dommages.

Phase 1 : Inventaire des systèmes IA

Point 1 — Cartographie complète

Listez exhaustivement tous les systèmes IA de votre organisation, y compris :

• Les outils SaaS avec fonctionnalités IA (CRM avec scoring, ATS, outils marketing...)
• Les APIs IA externes intégrées dans vos systèmes (OpenAI, Google Vertex AI, Azure AI...)
• Les modèles développés en interne
• Les systèmes automatisés de prise de décision, même sans IA traditionnelle

Documentation requise : Fiche descriptive pour chaque système (nom, fournisseur, date de déploiement, périmètre d'utilisation, utilisateurs).

Point 2 — Identification des finalités

Pour chaque système, documentez précisément ce qu'il fait : quelles décisions il prend ou influence, sur quelles personnes, avec quelles données en entrée.

Signal d'alerte : Si vous ne savez pas exactement ce que fait un système IA que vous utilisez, c'est un risque en soi.

Point 3 — Inventaire des données

Quelles données alimentent chaque système ? Données personnelles ? Données sensibles (santé, origine ethnique, opinions politiques) ? Données historiques potentiellement biaisées ?

Phase 2 : Classification des risques

Point 4 — Application de la matrice AI Act

Pour chaque système identifié, appliquez la grille de classification de l'AI Act :

• Appartient-il à la liste des pratiques interdites ?
• Relève-t-il d'un des 8 domaines à haut risque (Annexe III) ?
• Génère-t-il des contenus ou interagit-il directement avec des humains ?
• Par défaut : risque minimal

Output : Tableau de classification avec niveau de risque et justification pour chaque système.

Point 5 — Évaluation de l'impact sur les personnes

Indépendamment de la classification AI Act, évaluez l'impact potentiel sur les personnes concernées : quelle décision est prise ou influencée par le système ? Quelle est la conséquence pour la personne si la décision est erronée ?

Un système classé en risque minimal peut avoir un impact significatif sur des individus spécifiques.

Point 6 — Identification des fournisseurs et de leurs obligations

Pour chaque système à haut risque, identifiez si le fournisseur a effectué son évaluation de conformité. Vérifiez le marquage CE ou l'enregistrement dans la base de données européenne de l'AI Office (disponible à partir d'août 2026).

Phase 3 : Contrôles techniques

Point 7 — Évaluation des performances et des biais

Quelles sont les performances documentées du système (précision, rappel, taux d'erreur) ? Ces performances ont-elles été évaluées sur des sous-groupes représentatifs de votre population cible ?

Des performances globales satisfaisantes peuvent masquer des discriminations envers des sous-groupes minoritaires.

Point 8 — Robustesse et fiabilité

Le système se comporte-t-il de façon prévisible face à des données inhabituelles ou malformées ? Existe-t-il des tests de robustesse documentés ? Qu'arrive-t-il en cas de panne du système IA ?

Point 9 — Explicabilité des décisions

Dans quelle mesure est-il possible d'expliquer une décision produite par le système ? Pour les systèmes affectant des droits (crédit, emploi, assurance), l'Article 22 du RGPD impose un droit à l'explication pour les décisions entièrement automatisées.

Point 10 — Sécurité et résistance aux attaques

Le système est-il vulnérable aux attaques adversariales (inputs conçus pour tromper le modèle) ? Aux attaques par empoisonnement des données d'entraînement ? Les accès aux modèles sont-ils protégés ?

Phase 4 : Contrôles organisationnels

Point 11 — Gouvernance IA

Qui est responsable de chaque système IA ? Existe-t-il une politique de gouvernance IA documentée ? Y a-t-il un responsable IA ou un comité de validation pour les déploiements nouveaux ?

Point 12 — Supervision humaine effective

Pour les systèmes à haut risque, vérifiez que la supervision humaine est réelle, pas symbolique. Les opérateurs humains ont-ils les compétences pour comprendre et challenger les outputs du système ? Exercent-ils effectivement ce contrôle ?

Signal d'alerte : Si les humains approuvent systématiquement les recommandations du système IA sans les challenger, la supervision humaine est fictive.

Point 13 — Formation et AI Literacy

Les utilisateurs ont-ils été formés (obligation Article 4 depuis février 2025) ? La formation couvre-t-elle les limites du système, les cas où ne pas lui faire confiance, et la procédure en cas d'anomalie ?

Point 14 — Procédure de signalement des incidents

Existe-t-il une procédure interne pour signaler les anomalies, biais constatés ou décisions erronées ? Les incidents sont-ils documentés et analysés ? Pour les systèmes à haut risque, certains incidents doivent être signalés aux autorités.

Point 15 — Gestion des réclamations

Les personnes affectées par des décisions IA peuvent-elles contester ces décisions ? La procédure est-elle accessible et documentée ? Les réclamations sont-elles traitées dans un délai raisonnable ?

Phase 5 : Documentation et conformité

Point 16 — Documentation technique

Pour les systèmes à haut risque développés en interne, la documentation technique requise par l'Article 11 est-elle complète ? Elle doit couvrir : description du système, données d'entraînement, métriques de performance, limites connues, procédures de test.

Point 17 — Journalisation

Les systèmes à haut risque génèrent-ils automatiquement des journaux (logs) permettant de tracer les décisions ? Ces journaux sont-ils conservés le temps requis ? Sont-ils accessibles en cas d'audit externe ?

Point 18 — Registre des traitements RGPD mis à jour

Si le système IA traite des données personnelles, le registre des traitements RGPD est-il à jour avec les informations spécifiques à ce traitement ?

Point 19 — Contrats avec les fournisseurs IA

Les contrats avec vos fournisseurs IA incluent-ils les clauses requises par l'AI Act ? Le fournisseur vous communique-t-il la documentation technique ? Prévoit-il un mécanisme de notification en cas de modification substantielle du système ?

Point 20 — Plan de mise à jour et de revue

Un calendrier de revue périodique de l'audit est-il établi ? La revue est-elle déclenchée automatiquement lors de changements significatifs (mise à jour du modèle, nouvelles données, modification des finalités) ?

Documentation technique requise par l'AI Act

Pour les systèmes à haut risque, l'Annexe IV liste le contenu minimal de la documentation technique :

1. Description générale du système (finalité, version, date de déploiement)
2. Description des composants matériels et logiciels
3. Données d'entraînement : sources, méthodes de collecte, traitements appliqués
4. Description de l'architecture et des choix algorithmiques
5. Métriques de performance sur les données de test
6. Procédures de test (jeux de données, méthodes d'évaluation)
7. Limitations connues et conditions de défaillance
8. Mesures de surveillance post-déploiement
9. Instructions d'utilisation pour les déployeurs

Fréquence recommandée des audits

| Type d'audit | Fréquence | Déclencheur | |-------------|-----------|-------------| | Audit initial | Avant déploiement | Tout nouveau système IA | | Audit périodique | Annuel | Planifié | | Audit déclenché | Immédiat | Incident significatif, dérive constatée, changement majeur du système | | Revue légère | Trimestrielle | Vérification des métriques de performance |

WarDek AI Audit

WarDek intègre un module d'audit IA qui couvre les 20 points de cette checklist dans le contexte de vos systèmes détectés lors du scan. Le rapport d'audit IA généré par WarDek est directement utilisable comme documentation de diligence raisonnable en cas de contrôle.

Commencez par un scan WarDek pour identifier les systèmes IA actifs sur votre infrastructure web.

Pour aller plus loin

• Classification des risques AI Act : comprendre les 4 niveaux
• AI Act et PME : obligations spécifiques et exemptions
• Checklist sécurité avant production : sécurité technique de vos applications