CHECKLIST 35 points 15 min

Conformité IA Act 2026 : 35 points pour TPE-PME.

Deadline article 50 (transparence) : 2 août 2026. Cette checklist couvre les 35 points essentiels pour préparer votre TPE-PME : auto-évaluation, registre, transparence, sous-traitants, contrôle humain, formation équipe.

VOTRE PROGRESSION

0 / 35 (0%)

Vos cases sont sauvegardées localement dans votre navigateur (sans tracking serveur).

1. Auto-évaluation préalable (5 points)

Première étape : déterminer si votre entreprise est concernée et à quel niveau de risque. Beaucoup de TPE-PME pensent ne pas être concernées et le sont en réalité dès qu'elles utilisent ChatGPT, Claude ou un workflow n8n + IA dans leur métier.

1.1. Inventaire de tous les systèmes d'IA utilisés Listez tous les usages : ChatGPT en équipe, OpenAI/Gemini/Mistral via API, workflows n8n appelant des LLM, chatbots site web, outils SaaS embarquant de l'IA (Notion AI, GitHub Copilot, etc.).

1.2. Classification par niveau de risque (4 catégories IA Act) Risque inacceptable (interdit), risque élevé (obligations strictes), risque limité (transparence art. 50), risque minimal (libre). 95% des usages TPE-PME = risque limité ou minimal.

1.3. Identification des systèmes interagissant avec des humains Tout système où un humain (client, prospect, candidat, salarié) reçoit un contenu généré par IA → article 50 transparence applicable.

1.4. Vérification absence de systèmes "haut risque" Recrutement automatisé, scoring crédit, évaluation salariés, biométrie, accès à l'éducation. Ces usages déclenchent des obligations beaucoup plus lourdes (analyse d'impact, marquage CE).

1.5. Désignation d'un responsable IA en interne Une personne (souvent le DPO ou le dirigeant) référente sur tous les sujets IA. Pas un poste à temps plein, mais un point de contact unique.

2. Registre des systèmes d'IA (8 points)

Le registre est l'outil de base de la conformité. Il documente chaque système d'IA utilisé, comme le registre RGPD (article 30). Voir notre template prêt à l'emploi.

2.1. Création du registre formalisé Format libre (Notion, Google Sheets, .md dans un repo, document Word). L'important est qu'il existe et soit accessible à votre responsable IA.

2.2. Une entrée par système d'IA Pas une entrée globale "on utilise ChatGPT" mais une par usage spécifique : "ChatGPT pour rédaction newsletter", "API OpenAI/Gemini/Mistral pour support client", "Copilot pour développement", etc.

2.3. Documentation modèle, fournisseur, version Pour chaque système : "Mistral Large 3 (Mistral AI, mai 2026)" ou "GPT-5.5 (OpenAI, mai 2026)" ou "Claude Opus 4.8 (Anthropic, mai 2026)". Permet la traçabilité en cas de mise à jour ou d'incident.

2.4. Documentation finalité Pourquoi utilisez-vous ce système ? "Pré-rédaction des réponses email client", "Synthèse hebdomadaire des leads", "Aide à la rédaction de propositions commerciales".

2.5. Documentation données traitées Quelles données envoyez-vous au modèle ? "Contenu des emails clients (nom, adresse, message)", "Profils LinkedIn des prospects", "Documents internes anonymisés".

2.6. Documentation base légale RGPD Si données personnelles : article 6 RGPD applicable (intérêt légitime, consentement, contrat...). Pour la plupart des cas B2B : intérêt légitime (art. 6.1.f).

2.7. Mesures de transparence Comment informez-vous les utilisateurs/clients de l'usage de l'IA ? "Mention dans signature email", "Information sur la page de contact", "Disclaimer dans le chatbot".

2.8. Mesures de contrôle humain (HITL) Quels garde-fous humains ? "Validation manuelle systématique avant envoi", "Audit a posteriori 5% échantillon", "Bouton de rejet en un clic".

3. Transparence article 50 (7 points)

Article 50 de l'IA Act : "obligation d'informer les personnes physiques qu'elles interagissent avec un système d'IA". Applicable au 2 août 2026. Concerne quasiment toutes les TPE-PME utilisant un chatbot ou des réponses email IA.

3.1. Page de transparence IA publique Page dédiée sur votre site (cf. notre exemple) listant tous vos systèmes d'IA, leur finalité, et vos engagements.

3.2. Mention IA dans les signatures email automatisées "Cette réponse a été pré-rédigée par un assistant IA et revue par notre équipe avant envoi." En signature ou en footer de chaque email IA.

3.3. Disclaimer chatbot dès la première interaction "Vous interagissez avec un assistant IA. Pour parler à un humain, [lien vers contact humain]." À afficher dès l'ouverture du chatbot.

3.4. Mention dans la politique de confidentialité Section dédiée dans votre privacy-policy expliquant l'usage de l'IA, les données envoyées, les sous-traitants impliqués (OpenAI, Anthropic, Google, Mistral...).

3.5. Mention dans les CGV/CGU Si vos services impliquent l'usage d'IA pour produire les livrables clients, le mentionner dans les CGV. Évite des conflits ultérieurs sur la "qualité humaine" du livrable.

3.6. Marquage des contenus générés (deepfakes) Si vous générez du contenu visuel/vidéo/audio synthétique destiné au public, obligation de marquage explicite "contenu généré par IA". Watermark visible.

3.7. Possibilité de demander une intervention humaine Pour tout système IA en interaction avec un humain, l'utilisateur doit pouvoir demander à parler à un humain (formulaire, email, téléphone).

4. Sous-traitants IA et transferts (6 points)

Quand vous utilisez ChatGPT, Claude, Gemini ou Mistral, vous engagez un sous-traitant au sens du RGPD (article 28). Les obligations s'enchaînent.

4.1. CGU et clauses sous-traitant des API LLM consultées Pour chaque API utilisée (OpenAI, Google Gemini, Mistral) : lire les CGU et la politique de confidentialité du fournisseur. Vérifier que des clauses contractuelles types (SCCs) couvrent les transferts hors UE et que la politique de rétention/usage des données envoyées est documentée.

4.2. Anonymisation systématique des données sensibles avant envoi Avant tout appel à une API LLM externe : retirer ou pseudonymiser les noms propres, emails, numéros de téléphone, données financières, données de santé, secrets professionnels. Réflexe technique (workflow n8n, fonction de nettoyage) plutôt qu'organisationnel.

4.3. SCCs (Standard Contractual Clauses) pour transferts hors UE OpenAI et Google sont aux États-Unis. Vérifier que les CGU de l'API incluent les clauses contractuelles types de la Commission européenne pour les transferts hors UE (généralement présentes par défaut dans les CGU pro/business).

4.4. Paramètres d'usage des données vérifiés dans la console fournisseur Connectez-vous à la console de chaque API (OpenAI, Google AI Studio, Mistral) et vérifiez les paramètres : opt-out training si proposé, durée de rétention des logs, organisation du compte (entreprise vs personnel). Documentez l'état actuel par fournisseur.

4.5. Privacy policy mise à jour avec liste des sous-traitants Votre privacy-policy doit lister explicitement les fournisseurs d'API LLM utilisés (OpenAI, Anthropic, Google, Mistral, etc.) comme sous-traitants ultérieurs au sens de l'article 28 RGPD, avec leur juridiction.

4.6. Évaluation alternative souveraine envisagée Pour les données les plus sensibles, avoir évalué une option européenne (Mistral via API, ou auto-hébergement d'un modèle open-source comme Mistral/Llama/Gemma sur VPS France type Hostinger/OVH/Scaleway). En auto-hébergement, le pays d'origine du modèle est neutre côté RGPD : c'est votre infra qui compte. Décision documentée même si vous restez sur des API US.

5. Contrôle humain et garde-fous (5 points)

Article 14 de l'IA Act sur le contrôle humain. Pour la majorité des TPE-PME (risque limité), pas formellement obligatoire mais fortement recommandé pour la conformité RGPD article 22 (décisions automatisées).

5.1. Aucune décision juridique automatisée sans humain Refus de contrat, scoring crédit, évaluation candidature : interdit en 100% IA sans intervention humaine effective. RGPD art. 22.

5.2. Validation humaine systématique des contenus client Tout email, devis, document destiné à un client passe par un humain avant envoi (HITL : Human in the Loop).

5.3. Logs d'audit des interactions IA conservés 12 mois Trace de chaque interaction : qui, quand, quel modèle, hash du prompt et de la réponse. Permet la traçabilité en cas de contrôle CNIL.

5.4. Procédure de désactivation rapide Plan documenté : "si X arrive (hallucination grave, dérive, plainte), comment on coupe le système IA en moins de 30 minutes".

5.5. Audit a posteriori régulier Pour les workflows automatisés (niveau autonome), vérification mensuelle d'un échantillon de 5% des sorties par un humain.

6. Formation et gouvernance (4 points)

L'IA Act demande que les utilisateurs internes des systèmes IA aient un niveau de littératie suffisant. Pour une TPE-PME, ça veut dire former les collaborateurs.

6.1. Formation de l'équipe sur l'usage responsable de l'IA Au minimum 1h-2h par an sur : limites IA, hallucinations, données à ne pas envoyer, méthode de prompting (cf. CADRE).

6.2. Charte d'utilisation IA en interne Document court (1-2 pages) : ce qui est autorisé, ce qui ne l'est pas (ex: "interdit d'envoyer des documents clients dans ChatGPT version gratuite"), procédure de validation.

6.3. Revue annuelle du registre IA Rendez-vous récurrent (annuel minimum) pour mettre à jour le registre : nouveaux systèmes ajoutés, anciens supprimés, changements de fournisseurs.

6.4. Référent identifié pour contrôle d'autorité En cas de contrôle d'une autorité française compétente (CNIL pour la biométrie et les systèmes haut risque, DGCCRF/ARCOM pour la transparence article 50, désignations en cours de finalisation par la loi DDADUE en 2026), le responsable IA sait quoi présenter et où sont les documents (registre, CGU et clauses sous-traitant des fournisseurs API, page transparence, charte interne).

Pour aller plus loin.

📚 Cours gratuit complet "IA Act 2026 pour TPE-PME françaises" (8 chapitres, ~25 000 mots)
📋 Template registre AI Act prêt à l'emploi
🛡️ Audit-flash RGPD pour TPE-PME (25 questions)
🔍 Notre page de transparence IA (exemple concret)

BESOIN D'AIDE ?

Cadrons votre conformité IA Act en 45 min.

Audit gratuit pour identifier vos lacunes prioritaires et chiffrer un accompagnement clé en main jusqu'au 2 août 2026.

Réserver l'audit