Quels règlements européens s'appliquent lors du déploiement de l'IA ?

Généralement plusieurs à la fois : l'AI Act de l'UE (sécurité spécifique à l'IA, niveau de risque, transparence, supervision humaine), le RGPD (toute donnée à caractère personnel dans l'entraînement, les entrées ou les sorties), NIS2 (cyber-résilience et gouvernance pour les entités essentielles/importantes) et DORA (le régime spécialisé pour les entités financières, notamment le risque lié aux tiers). Le NIST AI RMF est une méthode volontaire utile pour les gérer tous de manière cohérente.

Dois-je réaliser une DPIA et une évaluation selon l'AI Act séparément ?

Elles se recoupent largement. Une analyse d'impact relative à la protection des données (DPIA) bien menée selon le RGPD documente les flux de données, la base légale, la nécessité et les risques de biais et d'erreur — une grande partie de ce qui est également requis comme preuve de gestion des risques selon l'AI Act pour les systèmes à haut risque. Menez-les ensemble afin qu'une seule évaluation serve les deux régimes.

Quelles sont les erreurs de conformité les plus fréquentes dans les projets IA ?

Traiter un pilote comme exempt (les usages interdits et le devoir d'alphabétisation IA s'appliquent déjà), entraîner sur des données personnelles réaffectées sans vérification de la compatibilité des finalités, envoyer des données sensibles à une API de modèle tiers sans accord de traitement (DPA) ni contrôle de localisation, lancer des chatbots ou des deepfakes sans divulgation de l'IA, et ne laisser personne surveiller le modèle après la mise en production.

Comment rendre la conformité IA efficace sur les quatre régimes ?

Construisez un seul programme de gestion des risques IA sur le NIST AI RMF et votre cadre de sécurité existant, puis traitez l'AI Act, le RGPD, NIS2 et DORA comme quatre prismes sur le même travail. Maintenez un inventaire IA unique, un ensemble d'évaluations des risques et des contrôles partagés (supervision humaine, journalisation, clauses fournisseurs). Construire une fois, prouver plusieurs fois.

Déployer l’IA en conformité dans l’UE : la checklist complète

Déployer l’IA dans l’UE touche rarement à un seul règlement. Un projet typique implique l’AI Act (le système est-il sûr et légal à mettre sur le marché ?), le RGPD (le traitement des données à caractère personnel est-il licite ?), NIS2 (le système est-il résilient et bien gouverné ?) et — pour les entités financières — DORA. Cette checklist met en regard les quatre régimes et le cycle de vie de l’IA pour ne rien laisser passer. Utilisez le NIST AI RMF comme méthode opérationnelle sous-jacente.

En bref — qui gouverne quoi

AI Act → sécurité spécifique à l’IA, niveau de risque, transparence, supervision humaine.
RGPD → toute donnée à caractère personnel dans l’entraînement, les entrées ou les sorties.
NIS2 → cyber-résilience et gouvernance si vous êtes une entité essentielle ou importante.
DORA → idem, spécialisé, si vous êtes une entité financière (risque lié aux tiers en particulier).
Un seul programme NIST AI RMF peut générer la majeure partie des preuves attendues par les quatre régimes.

La checklist, par phase du cycle de vie

1. Périmètre & conception

Ajouter le système à votre inventaire IA ; désigner un responsable. (AI Act, NIST Govern)
Classer le niveau de risque selon l’AI Act ; arrêter immédiatement s’il s’agit d’une pratique interdite. (AI Act)
Identifier les données personnelles impliquées ; définir une base légale pour l’entraînement et l’inférence. (RGPD)
Choisir entre construction interne et achat — et déterminer si vous êtes fournisseur ou déployeur. (AI Act)
Point de vigilance : “c’est juste un pilote, la conformité peut attendre.” Les usages interdits et le devoir d’alphabétisation IA s’appliquent déjà.

2. Données & construction

Appliquer la gouvernance des données : qualité, représentativité, minimisation, conservation. (AI Act haut risque, RGPD)
Réaliser une DPIA pour le profilage/scoring ; la réutiliser comme élément de preuve de gestion des risques selon l’AI Act. (RGPD Art. 35)
Concevoir pour la précision, la robustesse et la sécurité (injection de prompt, empoisonnement des données, vol de modèle). (AI Act, NIS2/DORA)
Pour les RAG/LLMs, traiter les risques du profil GenAI (confabulation, propriété intellectuelle, fuite). (NIST 600-1)
Point de vigilance : entraînement sur des données personnelles réaffectées sans vérification de la compatibilité des finalités. (RGPD)

3. Fournisseurs & chaîne d’approvisionnement

Évaluer les fournisseurs d’IA/TIC ; inclure des clauses de sécurité et d’audit dans les contrats. (NIS2 chaîne d’approvisionnement)
Si vous êtes une entité financière, appliquer les clauses DORA Art. 30 et ajouter le fournisseur à votre registre d’informations. (DORA)
Vérifier où le modèle et les données sont hébergés — voir Cloud Act vs RGPD et cloud souverain. (Transferts RGPD)
Point de vigilance : envoi de données sensibles à une API de modèle tiers sans accord de traitement (DPA) ni contrôle de localisation.

4. Déploiement

Mettre en place une supervision humaine proportionnée au risque ; éviter les décisions significatives entièrement automatisées. (AI Act, RGPD Art. 22)
Respecter les obligations de transparence : indiquer l’interaction avec l’IA ; étiqueter les contenus générés par l’IA. (AI Act Art. 50)
Pour les systèmes à haut risque : compléter l’évaluation de conformité, la documentation technique et l’enregistrement dans l’UE. (AI Act)
Fournir aux personnes des informations claires et un moyen de contester les décisions. (RGPD)
Point de vigilance : lancer un chatbot ou une fonctionnalité deepfake sans divulgation de l’IA.

5. Opération & surveillance

Journaliser les opérations ; surveiller la dérive, les biais et les performances dans le temps. (AI Act, NIST Manage)
Intégrer les incidents IA dans la gestion des incidents et les obligations de notification. (NIS2 / DORA)
Honorer les droits des personnes concernées, y compris l’effacement touchant les données d’entraînement. (RGPD)
Maintenir une stratégie de sortie pour les services IA/TIC critiques. (DORA Art. 28(8))
Point de vigilance : personne ne surveille le modèle après la mise en production — la dégradation silencieuse est le mode d’échec le plus courant.

Responsabilités — qui tient la plume

Artefact	Responsable habituel	Sert
Inventaire IA & classification des risques	Responsable IA/Conformité	AI Act
DPIA / registres de traitement	DPO	RGPD (+ AI Act)
Tests de sécurité & de menaces	CISO / équipe sécurité	AI Act, NIS2, DORA
Contrats fournisseurs & registre	Achats + Juridique	NIS2, DORA
Conception supervision humaine & transparence	Product owner	AI Act, RGPD

La stratégie en une phrase

Gérez un seul programme de gestion des risques IA — fondé sur le NIST AI RMF et votre cadre de sécurité existant — et traitez l’AI Act, le RGPD, NIS2 et DORA comme quatre prismes sur le même travail plutôt que quatre projets séparés. Construire une fois, prouver plusieurs fois. C’est à la fois moins coûteux et plus défendable que de courir après chaque règlement en ordre dispersé.

Information générale, pas de conseil juridique. ICTLAB aide les organisations belges à déployer une IA conforme à l’AI Act, au RGPD, à NIS2 et à DORA — de la classification aux contrôles — consultez nos services IA & LLM et cybersecurité, ou parlez à notre équipe.

Besoin d'aide avec Intégration RAG & LLM ?

Libérez les connaissances de votre organisation avec l'IA. Nous construisons des systèmes de génération augmentée par la récupération qui connectent les grands modèles de langage à vos données propriétaires.

En savoir plus Nous contacter

Articles connexes

5 février 2025

Qu'est-ce que le DevSecOps ? Un guide pour les entreprises belges

Découvrez ce qu'est le DevSecOps, pourquoi c'est important et comment les entreprises belges peuvent intégrer la sécurité dans leurs pipelines de développement pour des releases plus rapides et plus sûres.

8 avril 2025

Checklist de migration cloud pour les entreprises belges

Une checklist pratique de migration cloud couvrant la planification, la sécurité, la conformité et les étapes d'exécution pour les organisations belges migrant vers le cloud.

Déployer l’IA dans l’UE : checklist de conformité (AI Act + RGPD + NIS2 + DORA)