IgnitionAI

Gouvernance IA

Vos systèmes IA respectent vos règles d'accès, dès le premier jour

Un chatbot mal cadré peut exposer à un opérateur de production les salaires de l'équipe direction. Un RAG mal configuré peut révéler à un commercial des notes confidentielles du comité juridique. Chez IgnitionAI, le contrôle d'accès fait partie de l'architecture, pas d'une couche ajoutée après coup.

Les références réglementaires citées sur cette page renvoient au texte officiel sur EUR-Lex. Les estimations de coût et de durée sont taguées comme telles. Voir notre politique éditoriale.

Le Règlement (UE) 2024/1689 sur l'intelligence artificielle est entré en vigueur le 1er août 2024. Ses obligations entrent progressivement en application : les pratiques interdites de l'Article 5 depuis février 2025, les modèles à usage général depuis août 2025, les obligations de transparence Article 50 (chatbots, contenus générés) au 2 août 2026, les systèmes à risque élevé Annexe III au 2 décembre 2027 et les systèmes Annexe I au 2 août 2028. Les dates Annexe III et Annexe I ont été reportées par le Digital Omnibus (accord politique du 7 mai 2026) pour permettre la finalisation des normes techniques harmonisées.

Les ETI françaises qui déploient des systèmes IA en production doivent constituer un registre de leurs systèmes, classer chacun par niveau de risque, documenter les décisions automatisées et organiser la surveillance humaine. Les sanctions vont jusqu'à 35 millions d'euros ou 7% du chiffre d'affaires mondial pour les manquements aux pratiques interdites de l'Article 5 (Article 99 paragraphe 3).

Pour les secteurs régulés, ces obligations s'ajoutent à un cadre existant exigeant : ACPR pour la banque et l'assurance, HAS et HDS pour la santé, ANSSI pour la cybersécurité, CNIL pour la protection des données. Notre approche s'intègre à votre dispositif de conformité existant.

Quatre piliers

Le périmètre couvert par chaque mission

Héritage des autorisations existantes

Vos chatbots et RAG s'appuient sur votre Active Directory, votre IAM ou votre modèle RBAC métier. Un opérateur de production qui interroge un agent ne récupère que les documents qu'il pourrait déjà consulter dans vos applications. Pas de canal IA qui contourne vos règles d'accès.

Conformité AI Act et sectorielle

Documentation conforme au Règlement (UE) 2024/1689 : classification du système par niveau de risque (Articles 5, 6, 50), registre des systèmes IA, fiches techniques selon l'Annexe IV, traçabilité des décisions automatisées au titre de l'Article 12. Adaptations sectorielles pour banque et assurance (ACPR, DORA), santé (HAS, HDS), secteur public (RGS).

Data governance et RGPD

Lineage des données ingérées dans vos RAG. Mécanismes d'effacement ciblé pour répondre au droit à l'oubli (Article 17 du RGPD) sans réindexation totale. Anonymisation et pseudonymisation lors des phases de développement. Audit régulier des données accessibles aux systèmes.

Gouvernance technique et organisationnelle

Architecture organisationnelle à trois niveaux : comité stratégique au COMEX, comité de pilotage opérationnel mensuel, centre d'excellence technique. Application des 35 recommandations de sécurité de l'ANSSI pour les systèmes d'IA générative. Processus de mise à jour des modèles et de retrait d'un système IA défaillant.

Standards et référentiels

Sur quoi nous nous appuyons

Notre méthodologie agrège les exigences des principaux référentiels qui s'appliquent à votre contexte. La certification ISO/IEC 42001:2023 constitue le socle opérationnel que nous recommandons : elle couvre 80 à 85% des exigences de l'AI Act et donne un cadre auditable indépendant du calendrier réglementaire européen.

Norme certifiable

ISO/IEC 42001:2023

Première norme internationale certifiable dédiée aux systèmes de management de l'IA. Couvre 80 à 85% des exigences de l'AI Act. Standard de référence pour démontrer une gouvernance IA structurée auprès d'auditeurs et de régulateurs.

Réglementaire UE

Règlement (UE) 2024/1689 (AI Act)

Cadre réglementaire européen sur l'IA, modifié par le Digital Omnibus du 7 mai 2026. Classification par niveau de risque (inacceptable, élevé, limité, minimal), obligations spécifiques pour les modèles à usage général.

Secteur financier

Règlement (UE) 2022/2554 (DORA)

Digital Operational Resilience Act, applicable depuis le 17 janvier 2025 au secteur financier. Quatre piliers : gestion des risques TIC, notification des incidents, tests de résilience, gestion des tiers TIC. Renforce la supervision des systèmes IA bancaires et assurantiels.

Cybersécurité FR

35 recommandations ANSSI

Guide de sécurité pour un système d'intelligence artificielle générative publié par l'ANSSI en avril 2024, actualisé en 2025. Référence française pour la sécurisation des architectures IA depuis la conception jusqu'au déploiement.

Livrables standard

Huit documents inclus dans chaque mise en production

  • Registre des systèmes IA structuré pour répondre aux exigences AI Act (Articles 49, 71 du Règlement UE 2024/1689)
  • Classification du niveau de risque de chaque système livré (minimal, limité, élevé, inacceptable au sens des Articles 5, 6 et 50)
  • Dossier technique conforme à l'Annexe IV : description, données, performance, gestion des risques, modifications, cybersécurité
  • Cartographie des accès : qui peut interroger quoi, sur quelles données, dans quel contexte
  • Documentation des décisions automatisées et procédure d'explication aux personnes concernées
  • Charte d'usage et conditions d'utilisation pour les utilisateurs finaux
  • Plan de réponse aux incidents IA : détection, escalade, rollback, notification au titre de l'Article 33 du RGPD si applicable
  • Calendrier de revue et de mise à jour annuelle du système

Questions fréquentes

Ce que demandent les DPO, RSSI et comités d'audit

Comment un chatbot ou un RAG d'entreprise sécurise-t-il l'accès aux documents internes ?

Le contrôle d'accès se met en place à plusieurs niveaux. Au niveau du stockage vectoriel, chaque chunk de document est tagué avec ses ACL d'origine. Au moment de la requête, le système filtre les résultats selon les permissions de l'utilisateur authentifié, récupérées depuis votre Active Directory ou votre IAM. Aucun document hors périmètre n'est passé au LLM dans le contexte. Cette approche est détaillée dans notre article sur les architectures de contrôle d'accès RAG.

Qu'impose concrètement l'AI Act européen aux entreprises ?

Le Règlement (UE) 2024/1689 classe chaque système IA selon son niveau de risque. Les systèmes à risque élevé listés à l'Annexe III (emploi, scoring crédit, accès à des services essentiels, etc.) doivent respecter les Articles 9 à 15 : gestion des risques, gouvernance des données, documentation technique, journalisation, transparence, surveillance humaine, exactitude et cybersécurité. Les chatbots et systèmes génératifs ont une obligation de transparence au titre de l'Article 50. Le Digital Omnibus du 7 mai 2026 a reporté l'application des obligations Annexe III au 2 décembre 2027 (au lieu de 2 août 2026) pour permettre la finalisation des normes techniques. Les sanctions, prévues à l'Article 99, vont jusqu'à 35 millions d'euros ou 7% du chiffre d'affaires mondial pour les manquements à l'Article 5 (pratiques interdites), 15 millions d'euros ou 3% pour les autres obligations.

Faut-il un comité de pilotage IA dédié dans une ETI ?

Estimation IgnitionAI fondée sur 8 missions conduites en 2024-2025 : dès lors qu'au moins deux systèmes IA sont déployés en production, un comité de pilotage est utile. Il réunit typiquement le DPO, le RSSI, un représentant de la direction des risques, un sponsor métier et un référent technique. La fréquence varie selon le nombre de systèmes : trimestrielle pour deux à trois systèmes, mensuelle au-delà de cinq. Le règlement européen n'impose pas explicitement un tel comité aux utilisateurs ; il devient en pratique nécessaire pour répondre aux obligations Article 14 (surveillance humaine) et Article 9 (gestion des risques).

Le droit à l'oubli RGPD s'applique-t-il aux données indexées dans un RAG ?

Oui. L'Article 17 du Règlement (UE) 2016/679 (RGPD) prévoit le droit à l'effacement des données personnelles, applicable y compris quand ces données sont ingérées dans un vector store ou utilisées pour entraîner un modèle. Les architectures que nous concevons intègrent un mécanisme d'effacement ciblé qui supprime les vecteurs correspondants sans réindexation totale. Pour les modèles fine-tunés, la réponse dépend du type de donnée et du caractère identifiant des poids, et fait l'objet d'une analyse au cas par cas avec votre DPO.

Comment articuler la gouvernance IA avec la gouvernance data existante ?

La gouvernance IA s'appuie sur la gouvernance data en place. Le data catalog référence les datasets utilisés par les systèmes IA. Les politiques de classification (publique, interne, confidentielle, secrète) déterminent quels documents un système IA peut ingérer. Les processus de validation des accès s'étendent aux nouveaux canaux IA. Cette articulation est documentée dans une cartographie de gouvernance livrée avec chaque mission.

Quel coût représente la mise en conformité gouvernance d'un système IA existant ?

Estimation IgnitionAI fondée sur 8 missions 2024-2025 : un audit initial d'un système IA en production sans documentation de conformité dure deux à trois semaines et représente entre 12 000 et 25 000 euros selon la complexité. La mise en conformité elle-même varie de 15 000 euros pour une remise en ordre documentaire simple à 80 000 euros si une refonte de l'architecture d'accès est nécessaire. Ces fourchettes peuvent varier de ±30% selon votre contexte précis. Un devis ferme est établi après la phase d'audit.

L'ISO/IEC 42001 vaut-elle le coup pour une ETI ?

La norme ISO/IEC 42001:2023 est la première norme internationale certifiable dédiée aux systèmes de management de l'IA. Pour une ETI qui exploite au moins deux systèmes IA en production, l'investissement est rentable à trois titres : elle couvre 80 à 85% des exigences de l'AI Act et facilite donc la conformité réglementaire à venir ; elle constitue un signal d'assurance pour vos clients et partenaires, particulièrement sur les marchés régulés ; elle structure votre gouvernance IA selon un cadre auditable indépendant. Estimation IgnitionAI : une démarche complète de certification dure entre 8 et 14 mois pour une ETI, avec un investissement total (audit, mise en conformité, certification par organisme accrédité) entre 40 000 et 120 000 euros selon la maturité initiale.

Comment articuler AI Act, RGPD, DORA et NIS2 ?

Ces référentiels ne s'opposent pas mais se renforcent mutuellement. L'AI Act apporte la classification par risque et les obligations de documentation technique. Le RGPD couvre la protection des données personnelles utilisées par les systèmes IA. DORA s'applique au secteur financier et impose la résilience opérationnelle. NIS2 cible la cybersécurité des entités essentielles et importantes. Pour les ETI multi-référentiel, l'approche recommandée consiste à construire une couche de gouvernance unifiée qui agrège les exigences communes (registre des systèmes, journalisation, surveillance, plan d'incident) et identifie les spécificités sectorielles. La certification ISO/IEC 42001 sert souvent de squelette opérationnel à cette approche intégrée.

Sources et estimations. Réglementaire : Règlement (UE) 2024/1689 (AI Act, modifié par le Digital Omnibus du 7 mai 2026), Articles 5, 6, 9 à 15, 50, 70, 99, 113, Annexes III et IV ; Règlement (UE) 2016/679 (RGPD) Articles 17 et 33 ; Règlement (UE) 2022/2554 (DORA) ; Directive NIS2. Normes : ISO/IEC 42001:2023. Référentiels techniques : 35 recommandations ANSSI pour les systèmes d'IA générative (avril 2024, actualisé 2025). Autorités françaises : ACPR, HAS, HDS, ANSSI, CNIL. Estimations de coût et de durée : basées sur 8 missions IgnitionAI 2024-2025 (industrie, secteur public, assurance, santé privée). Variation possible ±30%. Voir notre politique éditoriale complète.
Demander un audit de gouvernance ->