📋 CHECKLIST 35 points 15 min

Conformité IA Act 2026 : 35 points pour PME.

Deadline article 50 (transparence) : 2 août 2026. Cette checklist couvre les 35 points essentiels pour préparer votre PME : auto-évaluation, registre, transparence, sous-traitants, contrôle humain, formation équipe.

VOTRE PROGRESSION

0 / 35 (0%)

Vos cases sont sauvegardées localement dans votre navigateur (sans tracking serveur).

1. Auto-évaluation préalable (5 points)

Première étape : déterminer si votre entreprise est concernée et à quel niveau de risque. Beaucoup de PME pensent ne pas être concernées et le sont en réalité dès qu'elles utilisent ChatGPT, Claude ou un workflow n8n + IA dans leur métier.

1.1. Inventaire de tous les systèmes d'IA utilisés Listez tous les usages : ChatGPT en équipe, Claude API, workflows n8n appelant des LLM, chatbots site web, outils SaaS embarquant de l'IA (Notion AI, GitHub Copilot, etc.).

1.2. Classification par niveau de risque (4 catégories AI Act) Risque inacceptable (interdit), risque élevé (obligations strictes), risque limité (transparence art. 50), risque minimal (libre). 95% des usages PME = risque limité ou minimal.

1.3. Identification des systèmes interagissant avec des humains Tout système où un humain (client, prospect, candidat, salarié) reçoit un contenu généré par IA → article 50 transparence applicable.

1.4. Vérification absence de systèmes "haut risque" Recrutement automatisé, scoring crédit, évaluation salariés, biométrie, accès à l'éducation. Ces usages déclenchent des obligations beaucoup plus lourdes (analyse d'impact, marquage CE).

1.5. Désignation d'un responsable IA en interne Une personne (souvent le DPO ou le dirigeant) référente sur tous les sujets IA. Pas un poste à temps plein, mais un point de contact unique.

2. Registre des systèmes d'IA (8 points)

Le registre est l'outil de base de la conformité. Il documente chaque système d'IA utilisé, comme le registre RGPD (article 30). Voir notre template prêt à l'emploi.

2.1. Création du registre formalisé Format libre (Notion, Google Sheets, .md dans un repo, document Word). L'important est qu'il existe et soit accessible à votre responsable IA.

2.2. Une entrée par système d'IA Pas une entrée globale "on utilise ChatGPT" mais une par usage spécifique : "ChatGPT pour rédaction newsletter", "Claude API pour support client", "Copilot pour développement", etc.

2.3. Documentation modèle, fournisseur, version Pour chaque système : "Claude Sonnet 4.5 (Anthropic, version d'avril 2026)" ou "GPT-5 (OpenAI, mai 2026)". Permet la traçabilité en cas de mise à jour.

2.4. Documentation finalité Pourquoi utilisez-vous ce système ? "Pré-rédaction des réponses email client", "Synthèse hebdomadaire des leads", "Aide à la rédaction de propositions commerciales".

2.5. Documentation données traitées Quelles données envoyez-vous au modèle ? "Contenu des emails clients (nom, adresse, message)", "Profils LinkedIn des prospects", "Documents internes anonymisés".

2.6. Documentation base légale RGPD Si données personnelles : article 6 RGPD applicable (intérêt légitime, consentement, contrat...). Pour la plupart des cas B2B : intérêt légitime (art. 6.1.f).

2.7. Mesures de transparence Comment informez-vous les utilisateurs/clients de l'usage de l'IA ? "Mention dans signature email", "Information sur la page de contact", "Disclaimer dans le chatbot".

2.8. Mesures de contrôle humain (HITL) Quels garde-fous humains ? "Validation manuelle systématique avant envoi", "Audit a posteriori 5% échantillon", "Bouton de rejet en un clic".

3. Transparence article 50 (7 points)

Article 50 de l'AI Act : "obligation d'informer les personnes physiques qu'elles interagissent avec un système d'IA". Applicable au 2 août 2026. Concerne quasiment toutes les PME utilisant un chatbot ou des réponses email IA.

3.1. Page de transparence IA publique Page dédiée sur votre site (cf. notre exemple) listant tous vos systèmes d'IA, leur finalité, et vos engagements.

3.2. Mention IA dans les signatures email automatisées "Cette réponse a été pré-rédigée par un assistant IA et revue par notre équipe avant envoi." En signature ou en footer de chaque email IA.

3.3. Disclaimer chatbot dès la première interaction "Vous interagissez avec un assistant IA. Pour parler à un humain, [lien vers contact humain]." À afficher dès l'ouverture du chatbot.

3.4. Mention dans la politique de confidentialité Section dédiée dans votre privacy-policy expliquant l'usage de l'IA, les données envoyées, les sous-traitants impliqués (OpenAI, Anthropic...).

3.5. Mention dans les CGV/CGU Si vos services impliquent l'usage d'IA pour produire les livrables clients, le mentionner dans les CGV. Évite des conflits ultérieurs sur la "qualité humaine" du livrable.

3.6. Marquage des contenus générés (deepfakes) Si vous générez du contenu visuel/vidéo/audio synthétique destiné au public, obligation de marquage explicite "contenu généré par IA". Watermark visible.

3.7. Possibilité de demander une intervention humaine Pour tout système IA en interaction avec un humain, l'utilisateur doit pouvoir demander à parler à un humain (formulaire, email, téléphone).

4. Sous-traitants IA et transferts (6 points)

Quand vous utilisez ChatGPT, Claude, Gemini ou Mistral, vous engagez un sous-traitant au sens du RGPD (article 28). Les obligations s'enchaînent.

4.1. DPA (Data Processing Agreement) signé avec OpenAI Si vous utilisez ChatGPT API : DPA OpenAI à signer (téléchargeable depuis platform.openai.com).

4.2. DPA signé avec Anthropic (si Claude) Si vous utilisez Claude API : DPA Anthropic à signer (depuis console.anthropic.com → Settings → Legal).

4.3. SCCs (Standard Contractual Clauses) pour transferts hors UE OpenAI et Anthropic sont aux États-Unis. Le DPA doit inclure les clauses contractuelles types de la Commission européenne.

4.4. Opt-out training désactivé Vérifier que les données envoyées à l'API ne sont pas utilisées pour entraîner les futurs modèles. Mode "API" garantit cela chez OpenAI et Anthropic (mais à confirmer dans les paramètres compte).

4.5. Privacy policy mise à jour avec liste des sous-traitants Votre privacy-policy doit lister Anthropic PBC, OpenAI, Google (si Gemini), Mistral AI, etc., comme sous-traitants ultérieurs.

4.6. Évaluation alternative souveraine envisagée Pour les données les plus sensibles, avoir évalué Mistral (français) ou Aleph Alpha (allemand) comme alternative aux LLM US. Décision documentée même si vous restez sur US.

5. Contrôle humain et garde-fous (5 points)

Article 14 de l'AI Act sur le contrôle humain. Pour la majorité des PME (risque limité), pas formellement obligatoire mais fortement recommandé pour la conformité RGPD article 22 (décisions automatisées).

5.1. Aucune décision juridique automatisée sans humain Refus de contrat, scoring crédit, évaluation candidature : interdit en 100% IA sans intervention humaine effective. RGPD art. 22.

5.2. Validation humaine systématique des contenus client Tout email, devis, document destiné à un client passe par un humain avant envoi (HITL : Human in the Loop).

5.3. Logs d'audit des interactions IA conservés 12 mois Trace de chaque interaction : qui, quand, quel modèle, hash du prompt et de la réponse. Permet la traçabilité en cas de contrôle CNIL.

5.4. Procédure de désactivation rapide Plan documenté : "si X arrive (hallucination grave, dérive, plainte), comment on coupe le système IA en moins de 30 minutes".

5.5. Audit a posteriori régulier Pour les workflows automatisés (niveau autonome), vérification mensuelle d'un échantillon de 5% des sorties par un humain.

6. Formation et gouvernance (4 points)

L'AI Act demande que les utilisateurs internes des systèmes IA aient un niveau de littératie suffisant. Pour une PME, ça veut dire former les collaborateurs.

6.1. Formation de l'équipe sur l'usage responsable de l'IA Au minimum 1h-2h par an sur : limites IA, hallucinations, données à ne pas envoyer, méthode de prompting (cf. CADRE).

6.2. Charte d'utilisation IA en interne Document court (1-2 pages) : ce qui est autorisé, ce qui ne l'est pas (ex: "interdit d'envoyer des documents clients dans ChatGPT version gratuite"), procédure de validation.

6.3. Revue annuelle du registre IA Rendez-vous récurrent (annuel minimum) pour mettre à jour le registre : nouveaux systèmes ajoutés, anciens supprimés, changements de fournisseurs.

6.4. Référent CNIL identifié pour contrôle En cas de contrôle CNIL (autorité française AI Act selon DDADUE), le responsable IA sait quoi présenter et où sont les documents (registre, DPA, page transparence, charte interne).

Pour aller plus loin.

📚 Cours gratuit complet "IA Act 2026 pour PME françaises" (8 chapitres, ~25 000 mots)
📋 Template registre AI Act prêt à l'emploi
🛡️ Audit-flash RGPD pour PME (25 questions)
🔍 Notre page de transparence IA (exemple concret)

BESOIN D'AIDE ?

Cadrons votre conformité IA Act en 45 min.

Audit gratuit pour identifier vos lacunes prioritaires et chiffrer un accompagnement clé en main jusqu'au 2 août 2026.

Réserver l'audit