Liste de contrôle d'auto-audit : trente questions auxquelles répondre avant de commander un audit au titre du règlement sur l'IA
Tous les fondateurs de SaaS n'ont pas besoin d'un audit dès le premier jour. Certains doivent d'abord effectuer un triage. Nos évaluateurs ont rédigé ces trente questions pour permettre à tout fondateur de passer une heure à y répondre honnêtement et d'en ressortir avec une idée claire : l'audit complet de la prestation est-il la prochaine étape appropriée, le triage Annexe III est-il suffisant, ou le fondateur peut-il mettre en œuvre l'Article 50 lui-même à partir de la bibliothèque de modèles ?
Bloc A — Champ d'application et exposition (questions 1 à 6)
1. Une personne située dans l'Union européenne peut-elle s'inscrire et utiliser votre produit aujourd'hui ?
2. Votre formulaire d'inscription accepte-t-il des adresses e-mail se terminant par .eu, .de, .fr, .es, .it, ou tout autre TLD d'un État membre de l'UE ?
3. Avez-vous au moins un utilisateur payant ou gratuit situé dans l'UE ?
4. Une fonctionnalité de votre produit effectue-t-elle une prédiction, une recommandation, une décision, ou génère-t-elle du contenu sur la base d'un modèle d'apprentissage automatique, d'un appel d'inférence vers une API externe, ou d'un système à base de règles qui apprend à partir de données ?
5. L'une de ces fonctionnalités touche-t-elle l'entrée, la sortie ou le comportement d'un utilisateur ?
6. L'une de ces fonctionnalités est-elle accessible sans authentification, ou après une inscription à un niveau gratuit, permettant à une personne de l'utiliser sans être client payant ?
Si vous avez répondu « oui » aux questions 1, 4 et 5, votre produit entre dans le champ d'application du règlement sur l'IA en vertu de l'Article 2, paragraphe 1, point a). Continuez.
Bloc B — Transparence au titre de l'Article 50 (questions 7 à 14)
7. Votre produit dispose-t-il d'un chatbot, d'un assistant virtuel ou de toute interface conversationnelle dans laquelle une personne saisit du texte ou parle et reçoit une réponse générée par un modèle d'IA ?
8. Lorsqu'un utilisateur entame cette conversation pour la première fois, affichez-vous une mention visible indiquant qu'il s'adresse à une IA ?
9. Votre produit génère-t-il du contenu textuel, image, audio ou vidéo que l'utilisateur reçoit en sortie ?
10. Ce contenu généré est-il marqué d'un signal de provenance lisible par machine (par exemple, des informations d'identification de contenu C2PA intégrées dans le fichier) ?
11. Votre produit affiche-t-il une mention visible « généré par IA » sur ce contenu ou à côté de celui-ci au moment de sa délivrance ?
12. Votre produit produit-il un hypertrucage (deepfake), un clone vocal, une substitution de visage ou tout autre média synthétique représentant des personnes réelles ?
13. Si oui, indiquez-vous que ce contenu est généré ou manipulé artificiellement lorsqu'il est présenté à l'utilisateur ?
14. Votre produit propose-t-il des fonctionnalités permettant d'analyser l'état émotionnel, le sentiment ou les catégories biométriques des utilisateurs ?
Si vous avez répondu « oui » à la question 7 mais « non » à la question 8 : lacune au titre de l'Article 50, paragraphe 1. Si vous avez répondu « oui » à la question 9 mais « non » aux questions 10 et 11 : lacune au titre de l'Article 50, paragraphe 2. Si vous avez répondu « oui » à la question 12 mais « non » à la question 13 : lacune au titre de l'Article 50, paragraphe 4. Si vous avez répondu « oui » à la question 14 dans le cadre d'un déploiement en milieu professionnel ou éducatif : potentielle interdiction au titre de l'Article 5.
Bloc C — Haut risque au titre de l'Annexe III (questions 15 à 22)
15. Votre SaaS effectue-t-il une identification biométrique à distance ou une identification vocale à grande échelle ?
16. Votre SaaS fonctionne-t-il en tant que composant de sécurité dans des infrastructures routières, hydrauliques, gazières, électriques, thermiques ou numériques ?
17. Votre SaaS note-t-il automatiquement les travaux d'étudiants, surveille-t-il des examens ou détermine-t-il des admissions scolaires ?
18. Votre SaaS trie-t-il des CV, évalue-t-il des candidats, automatise-t-il des décisions de promotion ou de licenciement, ou surveille-t-il la productivité des travailleurs ?
19. Votre SaaS prend-il des décisions de crédit, fixe-t-il des primes d'assurance ou détermine-t-il l'éligibilité à des prestations sociales ou à des services essentiels ?
20. Votre SaaS prend-il en charge l'évaluation des risques en matière d'application de la loi, la pondération des éléments de preuve ou des fonctions de type polygraphe ?
21. Votre SaaS gère-t-il des questions relatives à la migration, à l'asile, au contrôle aux frontières ou à la délivrance de visas ?
22. Votre SaaS influence-t-il l'administration de la justice ou les processus démocratiques (conseils électoraux, aide au raisonnement judiciaire, sélection de jurés) ?
Si vous avez répondu « oui » à l'une des questions 15 à 22 : votre SaaS est à haut risque au titre de l'Annexe III. L'ensemble des obligations prévues aux Articles 9 à 15 s'applique, ainsi que les obligations de déployeur prévues à l'Article 26 et, potentiellement, l'évaluation de l'impact sur les droits fondamentaux prévue à l'Article 27.
Bloc D — Documentation et opérations (questions 23 à 30)
23. Disposez-vous d'une fiche de modèle (model card) rédigée pour chaque fonctionnalité d'IA de votre produit ?
24. Disposez-vous d'une page publique sur l'utilisation de l'IA à l'adresse /ai-use ou équivalente ?
25. Faites-vous référence aux déclarations de votre fournisseur GPAI en amont au titre de l'Article 53 dans votre propre documentation ?
26. Consignez-vous, par inférence, l'empreinte de l'entrée, l'empreinte de la sortie, la version du modèle, l'horodatage et le contexte du demandeur ?
27. Disposez-vous d'une procédure écrite de supervision humaine pour toute fonctionnalité d'IA à haut risque ?
28. Avez-vous évalué vos données d'entraînement, de validation et de test pour détecter les biais en vertu de l'Article 10 ?
29. Disposez-vous d'un avenant IA à votre accord de traitement des données (DPA) rédigé pour vos marchés publics d'entreprise ?
30. Disposez-vous d'une procédure documentée de déclaration d'incidents conforme à l'Article 73 ?
Le nombre de réponses « non » dans ce bloc, en particulier lorsqu'il est combiné à une classification à haut risque dans le Bloc C, constitue le signal le plus fort indiquant que vous devriez commander l'audit de la prestation avant le 30 juin 2026.
Comment s'auto-évaluer
0 lacune au total. Votre situation est satisfaisante. Commandez l'audit de la prestation uniquement pour constituer une piste documentaire à des fins d'approvisionnement ou de certification au niveau du conseil d'administration.
1 à 3 lacunes dans le Bloc B, aucune ailleurs. La mise en œuvre autonome à partir de notre bibliothèque de modèles peut suffire. Lisez la matrice article par article sur /eu-ai-act et déployez les modèles pertinents. Si vous souhaitez un livrable signé pour votre conseil juridique, commandez l'audit.
3 lacunes ou plus dans le Bloc B ou toute lacune dans le Bloc D. Commandez l'audit. Le temps d'évaluation nécessaire pour produire une mise en œuvre conforme sur plusieurs lacunes dépasse rapidement les frais d'audit de 997 €.
Tout « oui » dans le Bloc C. Commandez l'audit immédiatement. Les obligations à haut risque ne peuvent pas être mises en œuvre de manière sûre par soi-même ; les seules exigences documentaires justifient l'engagement.
Tout déclencheur au titre de l'Article 5. Il s'agit d'un risque d'exécution nécessitant une action immédiate, et non d'un audit. Cessez la pratique, puis engagez l'audit pour confirmer la cessation et documenter la remédiation.
Le formulaire d'intégration de la prestation est disponible sur disclos.eu → « Get audited — €997 ».
Frequently asked questions
Pouvez-vous m'évaluer via le formulaire d'intégration ?
Le formulaire d'intégration est destiné aux clients qui ont déjà payé et souhaitent commander un audit. La liste de contrôle d'auto-audit est un outil préalable à l'intégration — sans engagement, sans frais, simplement trente questions. Si vous souhaitez qu'un humain examine vos réponses sans commander un audit complet, envoyez les trente réponses à hello@disclos.eu et l'évaluateur principal vous répondra dans un délai d'un jour ouvrable avec une recommandation.
Répondre « oui » à la question 14 dans un contexte professionnel signifie-t-il immédiatement que nous sommes interdits ?
L'Article 5, paragraphe 1, point f), interdit la reconnaissance des émotions sur le lieu de travail et dans les établissements d'enseignement, sous réserve d'exceptions limitées à des fins médicales ou de sécurité. Si votre produit infère un état émotionnel dans ces contextes et n'entre pas dans le cadre de ces exceptions, il est non conforme au titre de l'Article 5. La divulgation ne remédie pas à une pratique interdite — seule la cessation de la pratique le fait. Nos évaluateurs examineront ce point lors de l'intégration si vous le signalez.
Que faire si je ne suis pas sûr(e) de ma réponse à une question ?
Par défaut, répondez « oui » pour le triage. Surestimer les lacunes au stade de l'auto-audit est sans risque ; les sous-estimer coûte de l'argent par la suite. L'audit complet permettra de les résoudre une à une, preuves à l'appui.
Cette liste de contrôle a-t-elle une valeur juridiquement contraignante ?
Non. Il s'agit d'un outil d'auto-triage que la prestation publie gratuitement. Il ne constitue pas un conseil juridique et ne nous engage pas à une conclusion spécifique dans le cadre d'un audit payant. L'audit est le livrable contraignant ; la liste de contrôle en est le point d'entrée.
La liste de contrôle sera-t-elle mise à jour lors des modifications du règlement ?
Oui. Le champ last_updated de la page reflète la modification la plus récente. Lorsque le Bureau de l'IA de l'UE publie des orientations affectant l'une des trente questions, nos évaluateurs mettent à jour le bloc concerné et republièrent la page.
Sources
Last updated: 2026-05-30