Le guide complet des obligations de tenue de dossiers de l'EU AI Act pour les petites et moyennes entreprises : 12 dossiers essentiels, des périodes de conservation précises, un processus de mise en place en 6 étapes, et les règles de proportionnalité pour les PME — révisé par un Gyoseishoshi certifié ayant publié plus de 100 ouvrages de conformité dans 14 pays.
La tenue de dossiers n'est pas facultative en vertu de l'EU AI Act. Les articles 11, 12, 18 et 26 établissent des obligations de documentation spécifiques pour les fournisseurs et les déployeurs d'IA. Même si votre organisation n'utilise ChatGPT que pour rédiger des e-mails, l'Article 4 exige des mesures documentées de littératie en IA.
Trois raisons pour lesquelles la tenue de dossiers est importante pour les PME :
1. Obligation légale. L'EU AI Act impose des exigences de tenue de dossiers qui s'appliquent quelle que soit la taille de l'entreprise. Bien que les obligations soient proportionnelles au niveau de risque, aucune organisation n'en est totalement exemptée. Les déployeurs d'IA à haut risque doivent conserver des journaux opérationnels pendant au moins 6 mois (Article 26(6)). Les fournisseurs doivent conserver la documentation technique pendant 10 ans (Article 18).
2. Préparation aux audits. Les autorités nationales peuvent demander vos dossiers à tout moment. Si vous ne pouvez pas les produire, vous risquez des amendes allant jusqu'à 7,5 millions d'euros ou 1 % du chiffre d'affaires mondial pour avoir fourni des informations incomplètes (Article 99). Avoir des dossiers organisés avant qu'une demande d'audit n'arrive coûte beaucoup moins cher que de se précipiter après coup.
3. Renforcement de la confiance. Des dossiers organisés démontrent aux clients, partenaires et régulateurs que votre utilisation de l'IA est délibérée et encadrée. Pour les PME en concurrence avec des organisations plus grandes, les dossiers de conformité peuvent être un facteur de différenciation plutôt qu'un fardeau.
| Obligation | Article | S'applique à | Statut |
|---|---|---|---|
| Documentation de littératie IA | Art. 4 | Toutes les organisations | Août 2026 |
| Dossiers de transparence | Art. 50 | Déployeurs de GPAI | En application |
| Documentation technique | Art. 11 | Fournisseurs d'IA à haut risque | Déc 2027 |
| Journaux opérationnels | Art. 26(6) | Déployeurs d'IA à haut risque | Déc 2027 |
| Signalement des incidents | Art. 62 | Fournisseurs d'IA à haut risque | Déc 2027 |
Nous avons organisé les dossiers IA essentiels en quatre catégories. Toutes les PME n'auront pas besoin des 12 — vos obligations dépendent du fait que vous soyez fournisseur ou déployeur, et du niveau de risque de vos systèmes d'IA.
1. Registre des systèmes d'IA. Un inventaire complet de chaque système d'IA que votre organisation utilise ou fournit. Incluez le nom du fournisseur, l'objectif, les données d'entrée et de sortie, la classification des risques et la date de déploiement. C'est la base de tous les autres dossiers. Art. 49
2. Documentation technique. Pour les fournisseurs d'IA à haut risque : 11 catégories de documentation spécifiées dans l'Annex IV, incluant la description du système, les spécifications de conception, les détails des données d'entraînement, les résultats des tests et les indicateurs de performance. Doit être conservée pendant 10 ans à compter de la mise sur le marché. Art. 11 Art. 18 Annex IV
3. Journaux opérationnels. Journaux générés automatiquement par les systèmes d'IA à haut risque, conservés par les déployeurs pendant au moins 6 mois. Incluez les horodatages, les entrées, les sorties et toute décision de dérogation humaine. Conservation recommandée : 3 ans pour la continuité de la piste d'audit. Art. 12 Art. 26(6)
4. Rapports d'incidents. Documentation de tout incident grave impliquant un système d'IA à haut risque. Doit être signalé aux autorités nationales dans les 15 jours suivant la prise de connaissance. Incluez l'identification du système, la description de l'incident, les mesures correctives et l'évaluation d'impact. Conservez les preuves pendant au moins 5 ans après la clôture de l'enquête. Art. 62
5. Politique d'utilisation de l'IA. Les règles de votre organisation concernant l'utilisation acceptable de l'IA, les utilisations interdites, le traitement des données, les exigences de surveillance humaine et les engagements de transparence. À revoir annuellement. Conservation recommandée : 5 ans à compter du remplacement.
6. Évaluations des risques. Évaluation documentée de l'impact potentiel de chaque système d'IA sur la sécurité, les droits et les opérations. Pour l'IA à haut risque, cela inclut une évaluation d'impact sur les droits fondamentaux (FRIA) selon l'Article 27. À conserver pendant la période opérationnelle plus 3 ans. Art. 9 Art. 27
7. Décisions de gouvernance. Registres de toutes les décisions d'adopter, modifier, suspendre ou abandonner un système d'IA. Incluez la justification de la décision, les considérations de risque, l'autorité d'approbation et les dates d'effet. Conservation recommandée : 5 ans.
8. Registres de formation à la littératie IA. Documentation attestant que le personnel a reçu une formation en littératie IA adaptée à son rôle : qui a été formé, le contenu couvert, les dates et les résultats de l'évaluation des compétences. Exigé en vertu de l'Article 4. À conserver pour la durée d'emploi plus 2 ans. Art. 4
9. Registres de surveillance humaine. Pour l'IA à haut risque : documentation de qui est désigné pour superviser le système d'IA, ses qualifications, son autorité de dérogation, et toute action de dérogation prise. Art. 14 Art. 26
10. Registres d'audit interne. Résultats des revues de conformité périodiques, couvrant l'exhaustivité des dossiers, le respect des politiques et la performance des systèmes. Documentez les constats, recommandations et mesures correctives. Conservation recommandée : 5 ans.
11. Données de surveillance après commercialisation. Pour les fournisseurs : collecte continue de données de performance, retours des utilisateurs et schémas d'incidents après le déploiement. Requis en vertu de l'Article 72 pour l'IA à haut risque. Art. 72
12. Registres de gouvernance des données. Documentation des mesures de qualité des données, des sources de données, des étapes de prétraitement et des tests de biais appliqués aux données d'entraînement et opérationnelles. Soutient également les obligations de registres de traitement de l'Article 30 du GDPR. Art. 10
Suivez ces étapes pour construire un système de tenue de dossiers pratique et proportionné. Chaque étape inclut des conseils spécifiques pour les PME.
Commencez par lister chaque outil d'IA que votre organisation utilise. Cela inclut les systèmes évidents comme ChatGPT, Microsoft Copilot, ou une IA spécifique à un secteur, mais aussi l'IA intégrée dans les logiciels existants (filtres anti-spam des e-mails, notation des prospects CRM, détection d'anomalies comptables).
Pour chaque système, documentez le fournisseur, l'objectif principal, quelles équipes l'utilisent, quelles données il traite, et quand il a été déployé.
Associez chaque système d'IA aux catégories de risque de l'EU AI Act. Cela détermine lesquels des 12 dossiers vous devez tenir pour ce système.
| Niveau de risque | Exemples | Dossiers requis |
|---|---|---|
| Haut risque (Annex III) | Présélection RH pour le recrutement, notation de crédit, systèmes de sécurité | Les 12 dossiers |
| Risque limité (Art. 50) | Chatbots, contenu généré par IA, deepfakes | Dossiers 1, 5, 6, 7, 8, 10 |
| Risque minimal | Filtres anti-spam, correction orthographique, moteurs de recommandation | Dossiers 1, 5, 8 |
Des modèles standardisés garantissent la cohérence et réduisent l'effort de la tenue de dossiers continue. Créez un modèle par type de dossier, préalablement rempli avec les détails de votre organisation.
Concentrez-vous d'abord sur les dossiers requis pour vos systèmes à plus haut risque. Pour l'IA à risque minimal, une simple entrée d'inventaire plus un journal de formation suffit.
Chaque catégorie de dossiers a besoin d'un responsable — une personne chargée de la maintenir à jour, complète et accessible. Pour les PME, un coordinateur de conformité peut être responsable de plusieurs catégories.
Définissez des contrôles d'accès afin que les dossiers soient disponibles pour : le responsable du dossier, le responsable de la gouvernance IA, les auditeurs externes (en cas de besoin), et les régulateurs sur demande.
Appliquez les périodes de conservation légalement obligatoires du tableau ci-dessous. Pour les dossiers sans exigence légale spécifique, appliquez les périodes recommandées basées sur les meilleures pratiques d'audit.
Stockez les dossiers dans un emplacement sécurisé et sauvegardé. Assurez-vous que les dossiers ne peuvent pas être altérés — le contrôle de version ou le stockage protégé en écriture est recommandé pour les documents critiques.
La tenue de dossiers n'est pas une tâche ponctuelle. Établissez des cycles de révision pour maintenir vos dossiers à jour et complets :
Utilisez ce modèle comme point de départ pour la structure de vos dossiers de tenue de registres. Adaptez-le à la taille de votre organisation et à son profil de risque IA.
| # | Type de dossier | Période minimale | Recommandé | Base légale |
|---|---|---|---|---|
| 1 | Documentation technique (haut risque) | 10 ans | 10 ans | Art. 18 |
| 2 | Journaux opérationnels (déployeur haut risque) | 6 mois | 3 ans | Art. 26(6) |
| 3 | Registres de formation à la littératie IA | Emploi + 2 ans | Emploi + 2 ans | Art. 4 |
| 4 | Évaluations des risques / FRIA | Période opérationnelle + 3 ans | Période opérationnelle + 3 ans | Art. 9 Art. 27 |
| 5 | Rapports d'incidents et preuves | Enquête + 5 ans | Enquête + 5 ans | Art. 62 |
| 6 | Décisions de gouvernance | — | 5 ans | Meilleure pratique |
| 7 | Politique d'utilisation de l'IA | — | 5 ans à compter du remplacement | Meilleure pratique |
| 8 | Registres d'audit interne | — | 5 ans | Meilleure pratique |
| 9 | Données de surveillance après commercialisation | Période opérationnelle | Période opérationnelle + 2 ans | Art. 72 |
| 10 | Registres de gouvernance des données | Période de traitement | Période de traitement + 3 ans | Art. 10 + GDPR Art. 30 |
| 11 | Évaluations des fournisseurs | — | Période du contrat + 3 ans | Meilleure pratique |
| 12 | Registres de surveillance humaine | Période opérationnelle | Période opérationnelle + 3 ans | Art. 14 |
L'EU AI Act reconnaît explicitement que les PME ne devraient pas supporter la même charge de conformité que les grandes entreprises. Le considérant 141 établit le principe de proportionnalité, et plusieurs dispositions offrent un allègement pratique :
Formats simplifiés. Vous n'avez pas besoin de logiciel de conformité d'entreprise. Une structure de dossiers bien organisée avec des modèles standardisés satisfait les exigences de documentation. Le Bureau de l'IA prévoit de publier des modèles officiels adaptés aux PME.
Rôles consolidés. Dans les grandes organisations, le coordinateur de conformité, le délégué à la protection des données et le responsable de la gouvernance IA sont des rôles distincts. Pour les PME de moins de 50 employés, une seule personne qualifiée peut assumer les trois responsabilités. Documentez clairement cette nomination.
Approche basée sur le risque. Vous n'êtes pas tenu d'appliquer le même niveau de détail à chaque système d'IA. Concentrez votre tenue de dossiers la plus détaillée sur vos systèmes d'IA à plus haut risque. L'IA à risque minimal (filtres anti-spam, correction orthographique, recommandations de base) ne nécessite qu'une entrée d'inventaire et des registres de formation.
Frais réduits. Les PME peuvent bénéficier de frais d'évaluation de conformité réduits lorsqu'elles travaillent avec des organismes notifiés.
Bacs à sable réglementaires. L'Article 62(4)(c) donne aux PME un accès prioritaire aux bacs à sable réglementaires, où vous pouvez tester des systèmes d'IA et développer des pratiques de conformité avec des conseils réglementaires avant l'application complète.
L'EU AI Act établit des sanctions échelonnées en fonction de la gravité de l'infraction. Les manquements en matière de tenue de dossiers relèvent généralement des deuxième et troisième niveaux :
Pour les PME, les sanctions sont évaluées en fonction de pourcentages du chiffre d'affaires annuel mondial, ce qui signifie que les montants absolus peuvent être plus faibles — mais par rapport au chiffre d'affaires, ils peuvent être dévastateurs. Une amende minimale de 7,5 millions d'euros pour une entreprise réalisant 10 millions d'euros de chiffre d'affaires représenterait 75 % du chiffre d'affaires annuel.
Êtes-vous prêt pour l'AI Act ?
Passez notre évaluation gratuite de 3 minutes pour découvrir où en est votre organisation.
Faire l'évaluation gratuiteUN MOT DE L'AUTEUR
“J'ai passé plus de 20 ans à examiner la conformité réglementaire au sein du gouvernement préfectoral d'Hiroshima. La plus grande erreur que je vois les entreprises commettre est de supposer que la conformité commence par la paperasse. Elle commence par des habitudes quotidiennes. Construisez d'abord l'habitude, et la paperasse suivra.”
— Takayuki Sawai, Gyoseishoshi (行政書士)
Ce guide montre quels dossiers conserver. ClearAI Trust OS les tient à jour automatiquement : vérifications quotidiennes, collecte de preuves, et rapports prêts pour l'audit — conçu pour les PME qui ont besoin de conformité sans département dédié à la conformité.