Conformité au règlement IA, conçue par des ingénieurs

Soyez prêt quand votre client grand compte demandera votre dossier technique IA.

Au forfait, en deux semaines. Rédigé à partir des artefacts déjà présents dans votre stack ML — pas à partir d’un modèle de politique.

La plupart des équipes ML ont déjà ce qu’il faut : exécutions de validation dans MLflow, métriques par tranche dans W&B, traces dans Langfuse. Nous les traduisons dans la documentation que la réglementation attend.

Réserver un appel de 30 minVoir un exemple de note → (bientôt disponible)

Pas de discours commercial. Nous confirmons la classification et les écarts pendant l’appel, gratuitement.

D’abord, le règlement en 60 secondes

Trois obligations. Le reste, c’est du détail.

Le règlement européen sur l’IA ne réglemente pas toute l’IA. Il vise des cas d’usage précis — tri RH, scoring de crédit, admission scolaire, triage médical, identification biométrique, et quelques autres — qu’il classe comme à haut risque. Si votre produit en fait partie, la loi vous impose trois choses.

  1. 01 / Classer

    Confirmer où vous vous situez

    Démontrer, par écrit, si chaque système d’IA que vous expédiez est à haut risque au titre de l’Annexe III — et sur quel paragraphe. C’est environ la moitié du travail d’un Diagnostic.

  2. 02 / Documenter

    Tenir un dossier de preuves

    Maintenir un dossier technique qui décrit le système, les données, ce que vous avez testé et ce que vous avez trouvé. La structure est fixée par l’Annexe IV ; le contenu vit déjà dans MLflow, W&B et Langfuse.

  3. 03 / Surveiller

    Le suivre après mise en production

    Disposer d’un plan de surveillance après commercialisation écrit et notifier les incidents graves selon les horloges de l’Article 73. Si vous avez de l’on-call, des alarmes de dérive et un processus d’incident, c’est principalement de la documentation par-dessus.

Les sanctions atteignent 35 M€ ou 7 % du chiffre d’affaires mondial au plafond. Un dossier technique défendable vous épargne cette exposition — et ce dossier est précisément notre travail. La plupart des clients arrivent néanmoins ici pour une autre raison : leurs clients grands comptes en Europe commencent à poser la question dans leurs achats. C’est ce qu’on regarde ensuite.

Ce qui figure déjà dans le RFP de votre client

Les achats grands comptes sont plus rapides que le régulateur.

La plupart des fournisseurs pensent avoir jusqu’au 2 août 2026. Ce n’est pas le cas. Les acheteurs grands comptes en Europe intègrent déjà des questions sur le règlement IA dans leurs appels d’offres et DDQ. L’Omnibus numérique pourra retarder l’application, mais pas les exigences d’achat. Les artefacts à produire sont les mêmes dans les deux cas.

DDQ représentatif §47.3 — ce que les achats grands comptes commencent à demander

Pour tout système d’IA utilisé dans la prestation, veuillez fournir :

  1. (a) la classification au titre de l’Annexe III du règlement européen sur l’IA
  2. (b) la documentation technique de l’Annexe IV, expurgée si nécessaire pour préserver la confidentialité
  3. (c) le plan de surveillance après commercialisation au titre de l’Article 72
  4. (d) le journal des notifications d’incidents graves les plus récentes

Tiré d’un véritable questionnaire fournisseur du T1 2026, paraphrasé pour préserver la confidentialité.

Le calendrier du régulateur

Quand chaque pièce devient applicable.

La date d’août 2026 est celle que la plupart des fournisseurs connaissent. Les dates antérieures s’appliquent aussi — les interdictions sont déjà en vigueur, et les règles GPAI sont entrées en application l’été dernier.

Dates d’application

  1. Févr. 2025

    Interdictions en vigueur

  2. Août 2025

    Règles GPAI en vigueur

  3. Août 2026

    Obligations Annexe III à haut risque en vigueurVous êtes ici

  4. Août 2027

    Annexe I (route produit) en vigueur

Sanctions au titre de l’Art. 99

Jusqu’à 15 M€ ou 3 % du chiffre d’affaires mondial pour les obligations applicables aux systèmes à haut risque · Jusqu’à 35 M€ ou 7 % pour les pratiques d’IA interdites.

Avec qui nous travaillons

Quatre formes de produits. Si la vôtre y figure, vous êtes concerné.

Ces quatre cas d’usage concentrent l’essentiel de nos missions parce que le régulateur les a nommément listés. Si votre produit en fait partie, l’exemption pour faible risque vous protège rarement, vos acheteurs grands comptes commencent à poser la question, et la charge documentaire est réelle.

RH-tech

Mise en relation candidats · sourcing · tri de CV · évaluations de performance

Le profilage s’applique d’emblée dès que vous classez ou filtrez des candidats. L’exemption pour faible risque est rarement disponible parce que la sortie influe matériellement sur qui est embauché.

Concerné · classé · Annexe III §4

Assurtech

Tarification vie & santé · souscription · tri des sinistres · dispatch d’urgences

La vie et la santé sont explicitement listées. L’IARD et l’auto sont en général hors champ, sauf si le modèle s’appuie sur des signaux de santé ou de vie.

Concerné · classé · Annexe III §5(c)

Edtech

Classement à l’admission · évaluation automatisée · surveillance d’examens · attribution de cours

Tout ce qui note, classe ou oriente un apprenant — surtout au franchissement d’un seuil institutionnel — entre dans le champ.

Concerné · classé · Annexe III §3

Crédit & financement

Évaluation de la solvabilité · scoring de crédit · souscription BNPL · décisions automatisées d’octroi

Même un modèle qui ne fait que proposer une décision validée par un humain est concerné. L’Article 22 du RGPD le couvrait déjà partiellement ; le règlement IA ajoute la couche documentaire.

Concerné · classé · Annexe III §5(b)

En dehors de ces quatre ? La santé, l’identification biométrique, les infrastructures critiques et l’accès aux services publics sont aussi à haut risque au titre de l’Annexe III — même type d’engagement, analyse de périmètre légèrement différente.

Si vous ne faites rien

La sanction n’est pas une amende. C’est un cycle de vente.

La plupart des équipes redoutent le régulateur. Le régulateur est lent. Les équipes sécurité et achats de vos clients grands comptes ne le sont pas — et elles sont déjà en mouvement. Le scénario réaliste pour le T3 2026, par ordre de probabilité :

  1. Le plus probable

    Vos deals stagnent un trimestre

    Une section IA/ML apparaît dans la revue sécurité fournisseurs de votre prospect. Vous ne pouvez pas y répondre. Le deal repart en seconde lecture aux achats. Vous perdez le trimestre, parfois le deal.

  2. Probable

    Vos renouvellements ajoutent un cran

    Vos clients existants ajoutent un avenant règlement IA au renouvellement. « Fournir votre documentation technique Annexe IV sur demande. » Si vous ne le pouvez pas, ça devient une exception contractuelle, puis un risque au renouvellement.

  3. Possible

    Un client UE déclenche un audit

    Une plainte ou un incident dans l’organisation d’un déployeur vous embarque dans une revue d’autorité nationale. Vous passez un trimestre à répondre à des questions au lieu de livrer du produit.

  4. En dernier

    Et puis, les amendes

    Jusqu’à 15 M€ ou 3 % du chiffre d’affaires mondial pour les obligations à haut risque, 35 M€ ou 7 % pour les pratiques interdites. Le temps que ça devienne contraignant, vous avez déjà perdu plus en pipeline bloqué.

Rien de tout cela ne dépend de l’arrivée de la date d’août 2026. Les achats fixent leur propre calendrier — et ils ont 9 à 12 mois d’avance sur le régulateur.

Trois façons de commencer

Choisissez l’engagement qui correspond à votre situation.

Diagnostic

3 500 € · 3 à 5 jours

Vous vous demandez encore — est-ce que cela nous concerne ?

Après : vous savez si vous êtes concerné, où sont les écarts et ce que les 90 prochains jours devraient coûter.

Ce que nous livrons

  • Une note signée confirmant si chacun de vos trois systèmes d’IA est à haut risque, et sur quel paragraphe de l’Annexe IIINote de classification Annexe III
  • Une synthèse en une page de votre situation au regard des trois obligations principalesSynthèse d’écarts Annexe IV
  • Une restitution de 30 minutes à votre direction — réponses aux questions en directRestitution de Diagnostic
Commencer par Diagnostic
Le plus choisi

Sprint de mise en conformité

9 500 € · 2 à 3 semaines

Vous savez que vous êtes concerné. Il vous faut un plan crédible à présenter au board et aux clients.

Après : vous pouvez répondre à la section IA/ML de toute revue fournisseur grand compte — et vous avez un plan à 26 semaines qui dit comment vous comblez les écarts.

Ce que nous livrons

  • Une analyse complète de l’écart entre vos preuves et ce qu’exige le règlement, avec niveaux de criticitéAnalyse d’écarts Annexe IV
  • Un cadre réutilisable pour les revues de risque que les régulateurs (et les équipes sécurité grands comptes) vont demanderModèle de SGR (Article 9)
  • Un plan écrit de surveillance de l’IA en production et de réaction en cas de dérivePlan de surveillance après commercialisation (Article 72)
  • Une feuille de route de 26 semaines avec responsables nommés et effort d’ingénierie, jusqu’à l’échéance d’août 2026Feuille de route vers le 2 août 2026
Commencer par Sprint de mise en conformité

Programme

à partir de 30 000 € · 8 à 12 semaines

Vous voulez vendre à des grands comptes en Europe sans que les achats objectent.

Après : le dossier technique, la surveillance et le processus d’incident sont intégrés à votre workflow d’ingénierie — pas un classeur que l’on met à jour au moment de l’audit.

Ce que nous livrons

  • Tout ce qui est inclus dans le Sprint, plus —Livrables du Sprint
  • Systèmes de gestion des risques et de la qualité intégrés à votre processus d’ingénierieSGR + SMQ opérationnels
  • Déclaration UE de conformité rédigée, prête à signerDéclaration UE de conformité
  • Accompagnement à l’enregistrement des systèmes dans la base de données européenneEnregistrement base européenne
  • Workflow de notification d’incidents sur les horloges 15/10/2 jours, intégré à votre on-callWorkflow d’incidents Article 73
  • Formation des équipes ingénierie et produit pour que la documentation reste à jourFormation des équipes
Commencer par Programme

Les prix sont des planchers, pas des plafonds. Nous travaillons avec deux clients à la fois pour préserver la qualité — vérifiez le calendrier avant de présumer de notre disponibilité.

Comment le travail s’organise

L’Annexe IV ne demande pas des politiques. Elle demande des preuves.

L’essentiel de ce qu’exige le règlement existe déjà quelque part dans votre stack — mais pas sous la forme que le régulateur attend. Voici un aperçu représentatif de la correspondance, et ce qui change pendant un Sprint.

  • Journaux de validation et de tests, signés et datés

    Historique des exécutions MLflow / W&B, exporté avec sommes de contrôle

    Annexe IV §1(g)

  • Procédures de validation, mesures par sous-groupe démographique

    Métriques par tranche dans votre pipeline d’entraînement (fairlearn, evalml)

    Annexe IV §1(h)

  • Plan de surveillance après commercialisation et preuves opérationnelles

    Traces LangSmith / Langfuse, alarmes de dérive et journaux d’incidents

    Annexe IV §9 / Art. 72

  • Notification des incidents graves (échéances 15/10/2 jours)

    Intégrée à votre alerting et à votre on-call, pas un classeur

    Art. 73

Voir la correspondance complète Annexe IV (30 lignes) → (bientôt disponible — incluse dans chaque Sprint)

Nous travaillons toujours de la même façon, et nous tenons le dossier technique à jour à mesure que vos modèles évoluent. Le Sprint produit la première version du dossier ; le Programme installe le processus qui le maintient en vie.

Ce qui nous distingue

Trois choses entre lesquelles vous hésitez peut-être. Voici notre place.

La conformité au règlement IA est un problème de traduction. La réglementation est écrite en langage juridique ; les preuves vivent dans les systèmes d’ingénierie. La plupart des cabinets savent faire un côté. Nous faisons les deux.

vs. Big 4 / conseil en management

Capgemini · PwC · Deloitte AI risk practices

Ils ont la marque et la taille. Ils sont lents, chers, et l’équipe senior touche rarement au livrable. Nous sommes plus rapides, moins chers, et la personne qui anime le kickoff est celle qui rédige le dossier technique.

vs. plateformes de gouvernance IA

Credo AI · Holistic AI · Trustible

Ils vendent un logiciel avec des packs de politiques. Le client doit toujours faire le travail ; la plateforme l’organise. Nous faisons le travail. Nous sommes complémentaires — beaucoup de clients utiliseront les deux.

vs. cabinets RGPD / DPO en pivot vers le règlement IA

DPO Consulting · GDPR Local · VeraSafe · Dynamic Comply

Ils ont le cadre juridique, mais pas l’expertise ML. Ils produisent des politiques, pas des journaux de tests. Nous nous installons là où vivent réellement les artefacts — dans MLflow, W&B, Langfuse — et nous rédigeons le dossier technique à partir de là.

Pourquoi ce cabinet existe

Pourquoi ce cabinet existe

La plupart du conseil en règlement IA aujourd’hui est de forme GRC : questionnaires, modèles de politiques, workflows d’attestation. Cela fonctionne pour une checklist article par article.

Mais l’Annexe IV ne demande pas des politiques. Elle demande des preuves. Journaux de tests par sous-groupe. Procédures de validation avec métriques. Modifications prédéterminées. Des signes que le système fonctionne réellement comme documenté.

Ces artefacts existent déjà — dans vos exécutions MLflow, vos expériences W&B, vos traces Langfuse. Le travail n’est pas d’inventer une documentation de conformité de zéro. C’est de traduire ce qui est déjà là dans la forme qu’exige l’Annexe IV, et de continuer à le faire à mesure que vos modèles évoluent.

Questions qu’on nous pose

Ce que les gens demandent avant de réserver.

Le règlement européen sur l’IA, c’est quoi en français simple ?

C’est un règlement européen de 2024 (Règlement (UE) 2024/1689) qui hiérarchise l’IA par le risque. La majorité de l’IA n’est pas réglementée. Quelques usages sont interdits (notation sociale, identification biométrique en temps réel dans l’espace public). Une liste précise — tri RH, scoring de crédit, admission scolaire, triage médical, identification biométrique et quelques autres — est « à haut risque » et entraîne des obligations de documentation, de surveillance et de notification d’incidents. C’est le bucket dans lequel atterrissent presque tous nos clients.

Comment savoir si mon IA est « à haut risque » ?

Deux questions, dans l’ordre. (1) Votre IA relève-t-elle de l’une des huit catégories de l’Annexe III — RH, éducation, identification biométrique, infrastructures critiques, services publics, application de la loi, migration, justice ? Si non, vous n’êtes pas à haut risque au titre de l’Annexe III. Si oui, passez à (2). (2) Votre cas d’usage spécifique se contente-t-il de travail procédural étroit, prépare-t-il une revue humaine, ou détecte-t-il des écarts ? La plupart des IA de classement et de scoring N’y sont PAS éligibles. Nous le confirmons en 30 minutes pendant l’appel.

À quoi ressemble vraiment un dossier technique Annexe IV ?

C’est un dossier documentaire — typiquement 30 à 80 pages plus annexes — couvrant : description du système, finalité, lignée des données d’entraînement et de test, architecture du modèle et résultats de validation, gestion des risques, plan de surveillance après commercialisation, dispositif de supervision humaine. Vous le tenez à jour et le produisez sur demande d’une autorité nationale ou des achats d’un client grand compte. Ce n’est pas un seul PDF — c’est un ensemble maintenu de documents qui pointent vers les artefacts qui vivent déjà dans votre stack.

Sommes-nous « fournisseur » ou « déployeur » ?

Si vous concevez l’IA et la mettez sur le marché sous votre nom (la plupart des SaaS, la plupart des startups IA), vous êtes fournisseur. Si vous ne faites qu’utiliser l’IA d’un tiers en interne (par ex. un recruteur utilisant un outil de tri tiers), vous êtes déployeur — obligations plus légères. La zone grise : si vous fine-tunez un modèle de fondation et expédiez le résultat, vous devenez fournisseur de ce système fine-tuné.

Et si on ne fait simplement… rien ?

Par ordre de probabilité : les deals stagnent en revue sécurité fournisseurs, les renouvellements ajoutent un avenant règlement IA auquel vous ne pouvez pas répondre, et finalement un incident côté client vous embarque dans une revue d’autorité nationale. Les amendes arrivent en dernier et nécessitent une véritable enquête. Le risque réaliste à 12 mois pour un éditeur IA en série B/C, ce n’est pas une amende — c’est de perdre un trimestre de pipeline parce que les achats ont ajouté une colonne que vous ne savez pas remplir.

Nous ne sommes pas dans l’UE. Le règlement IA s’applique-t-il à nous ?

Probablement oui. Le règlement s’applique à tout fournisseur dont la sortie d’un système d’IA est utilisée dans l’UE, peu importe où le fournisseur est établi (Règlement (UE) 2024/1689, Article 2). Si vous avez des clients, des déployeurs ou des utilisateurs dans l’UE, vous êtes dans le champ.

L’Omnibus numérique pourrait reporter l’échéance. Faut-il attendre ?

Non. Les artefacts à produire sont les mêmes, peu importe quand ils seront exigés par le régulateur, et vos clients grands comptes les demandent déjà dans leurs achats. Les échéances peuvent glisser ; les exigences d’achat, non.

Un cabinet d’avocats ne pourrait-il pas le faire ?

Les cabinets d’avocats rédigent l’interprétation juridique. Ils ne rédigent pas les journaux de tests Annexe IV §2(g) à partir de vos exécutions MLflow. Nous faisons les deux. La plupart des missions ont besoin des deux couches — et nous travaillons volontiers aux côtés de vos conseils existants.

En quoi est-ce différent de Credo AI ou Holistic AI ?

Ce sont des plateformes logicielles. Nous sommes consultants. Notre livrable est un dossier technique défendable, pas un tableau de bord. Nous nous intégrons à l’outillage que vous utilisez déjà.

Que produit concrètement un Sprint ?

Une note de classification Annexe III signée par système, une analyse d’écarts Annexe IV avec niveaux de criticité, une feuille de route de remédiation à 26 semaines, et des modèles pour votre système de gestion des risques (Art. 9) et votre plan de surveillance après commercialisation (Art. 72). Délai : deux semaines.

Couvrez-vous aussi le RGPD ?

Là où il recoupe le règlement IA — Article 22 RGPD, profilage, AIPD pour les systèmes à haut risque, gouvernance des données. Pour des sujets purement RGPD sans dimension IA, nous vous orientons.

Avons-nous besoin d’un organisme notifié ?

La plupart des systèmes Annexe III relèvent de l’évaluation interne de la conformité au titre de l’Annexe VI — pas d’organisme notifié requis. L’identification biométrique à distance est la principale exception. Nous le confirmons lors du premier appel.

Sous quel délai pouvez-vous démarrer ?

Les Diagnostics démarrent sous une semaine. Les Sprints sous deux semaines après signature de la SOW. Nous travaillons avec deux clients à la fois pour préserver la qualité, donc vérifiez le calendrier avant de présumer de notre disponibilité.