Tenue de dossiers IA pour les PME — Quoi conserver, combien de temps, et pourquoi

Le guide complet des obligations de tenue de dossiers de l'EU AI Act pour les petites et moyennes entreprises : 12 dossiers essentiels, des périodes de conservation précises, un processus de mise en place en 6 étapes, et les règles de proportionnalité pour les PME — révisé par un Gyoseishoshi certifié ayant publié plus de 100 ouvrages de conformité dans 14 pays.

Résumé rapide : En vertu de l'EU AI Act, toute organisation utilisant l'IA doit tenir des dossiers — mais la portée dépend de votre niveau de risque. Les PME bénéficient de règles de proportionnalité qui permettent des formats simplifiés. Ce guide couvre les 12 dossiers dont vous avez besoin, combien de temps conserver chacun, et un processus pratique en 6 étapes pour mettre en place votre système. Temps de mise en place estimé : 1 à 2 jours pour une PME typique.

Pourquoi les PME doivent tenir des dossiers IA

La tenue de dossiers n'est pas facultative en vertu de l'EU AI Act. Les articles 11, 12, 18 et 26 établissent des obligations de documentation spécifiques pour les fournisseurs et les déployeurs d'IA. Même si votre organisation n'utilise ChatGPT que pour rédiger des e-mails, l'Article 4 exige des mesures documentées de littératie en IA.

Trois raisons pour lesquelles la tenue de dossiers est importante pour les PME :

1. Obligation légale. L'EU AI Act impose des exigences de tenue de dossiers qui s'appliquent quelle que soit la taille de l'entreprise. Bien que les obligations soient proportionnelles au niveau de risque, aucune organisation n'en est totalement exemptée. Les déployeurs d'IA à haut risque doivent conserver des journaux opérationnels pendant au moins 6 mois (Article 26(6)). Les fournisseurs doivent conserver la documentation technique pendant 10 ans (Article 18).

2. Préparation aux audits. Les autorités nationales peuvent demander vos dossiers à tout moment. Si vous ne pouvez pas les produire, vous risquez des amendes allant jusqu'à 7,5 millions d'euros ou 1 % du chiffre d'affaires mondial pour avoir fourni des informations incomplètes (Article 99). Avoir des dossiers organisés avant qu'une demande d'audit n'arrive coûte beaucoup moins cher que de se précipiter après coup.

3. Renforcement de la confiance. Des dossiers organisés démontrent aux clients, partenaires et régulateurs que votre utilisation de l'IA est délibérée et encadrée. Pour les PME en concurrence avec des organisations plus grandes, les dossiers de conformité peuvent être un facteur de différenciation plutôt qu'un fardeau.

Obligation Article S'applique à Statut
Documentation de littératie IA Art. 4 Toutes les organisations Août 2026
Dossiers de transparence Art. 50 Déployeurs de GPAI En application
Documentation technique Art. 11 Fournisseurs d'IA à haut risque Déc 2027
Journaux opérationnels Art. 26(6) Déployeurs d'IA à haut risque Déc 2027
Signalement des incidents Art. 62 Fournisseurs d'IA à haut risque Déc 2027

Les 12 dossiers que chaque PME devrait tenir

Nous avons organisé les dossiers IA essentiels en quatre catégories. Toutes les PME n'auront pas besoin des 12 — vos obligations dépendent du fait que vous soyez fournisseur ou déployeur, et du niveau de risque de vos systèmes d'IA.

Catégorie A — Dossiers légalement requis
Dossiers imposés par l'EU AI Act

1. Registre des systèmes d'IA. Un inventaire complet de chaque système d'IA que votre organisation utilise ou fournit. Incluez le nom du fournisseur, l'objectif, les données d'entrée et de sortie, la classification des risques et la date de déploiement. C'est la base de tous les autres dossiers. Art. 49

2. Documentation technique. Pour les fournisseurs d'IA à haut risque : 11 catégories de documentation spécifiées dans l'Annex IV, incluant la description du système, les spécifications de conception, les détails des données d'entraînement, les résultats des tests et les indicateurs de performance. Doit être conservée pendant 10 ans à compter de la mise sur le marché. Art. 11 Art. 18 Annex IV

3. Journaux opérationnels. Journaux générés automatiquement par les systèmes d'IA à haut risque, conservés par les déployeurs pendant au moins 6 mois. Incluez les horodatages, les entrées, les sorties et toute décision de dérogation humaine. Conservation recommandée : 3 ans pour la continuité de la piste d'audit. Art. 12 Art. 26(6)

4. Rapports d'incidents. Documentation de tout incident grave impliquant un système d'IA à haut risque. Doit être signalé aux autorités nationales dans les 15 jours suivant la prise de connaissance. Incluez l'identification du système, la description de l'incident, les mesures correctives et l'évaluation d'impact. Conservez les preuves pendant au moins 5 ans après la clôture de l'enquête. Art. 62

Catégorie B — Dossiers de gouvernance
Décisions, politiques et évaluations des risques

5. Politique d'utilisation de l'IA. Les règles de votre organisation concernant l'utilisation acceptable de l'IA, les utilisations interdites, le traitement des données, les exigences de surveillance humaine et les engagements de transparence. À revoir annuellement. Conservation recommandée : 5 ans à compter du remplacement.

6. Évaluations des risques. Évaluation documentée de l'impact potentiel de chaque système d'IA sur la sécurité, les droits et les opérations. Pour l'IA à haut risque, cela inclut une évaluation d'impact sur les droits fondamentaux (FRIA) selon l'Article 27. À conserver pendant la période opérationnelle plus 3 ans. Art. 9 Art. 27

7. Décisions de gouvernance. Registres de toutes les décisions d'adopter, modifier, suspendre ou abandonner un système d'IA. Incluez la justification de la décision, les considérations de risque, l'autorité d'approbation et les dates d'effet. Conservation recommandée : 5 ans.

Catégorie C — Dossiers relatifs au personnel
Formation, surveillance et responsabilité

8. Registres de formation à la littératie IA. Documentation attestant que le personnel a reçu une formation en littératie IA adaptée à son rôle : qui a été formé, le contenu couvert, les dates et les résultats de l'évaluation des compétences. Exigé en vertu de l'Article 4. À conserver pour la durée d'emploi plus 2 ans. Art. 4

9. Registres de surveillance humaine. Pour l'IA à haut risque : documentation de qui est désigné pour superviser le système d'IA, ses qualifications, son autorité de dérogation, et toute action de dérogation prise. Art. 14 Art. 26

Catégorie D — Dossiers de surveillance et d'audit
Preuves de conformité continue

10. Registres d'audit interne. Résultats des revues de conformité périodiques, couvrant l'exhaustivité des dossiers, le respect des politiques et la performance des systèmes. Documentez les constats, recommandations et mesures correctives. Conservation recommandée : 5 ans.

11. Données de surveillance après commercialisation. Pour les fournisseurs : collecte continue de données de performance, retours des utilisateurs et schémas d'incidents après le déploiement. Requis en vertu de l'Article 72 pour l'IA à haut risque. Art. 72

12. Registres de gouvernance des données. Documentation des mesures de qualité des données, des sources de données, des étapes de prétraitement et des tests de biais appliqués aux données d'entraînement et opérationnelles. Soutient également les obligations de registres de traitement de l'Article 30 du GDPR. Art. 10

6 étapes pour mettre en place votre système de tenue de dossiers IA

Suivez ces étapes pour construire un système de tenue de dossiers pratique et proportionné. Chaque étape inclut des conseils spécifiques pour les PME.

1
Faites l'inventaire de vos systèmes d'IA

Commencez par lister chaque outil d'IA que votre organisation utilise. Cela inclut les systèmes évidents comme ChatGPT, Microsoft Copilot, ou une IA spécifique à un secteur, mais aussi l'IA intégrée dans les logiciels existants (filtres anti-spam des e-mails, notation des prospects CRM, détection d'anomalies comptables).

Pour chaque système, documentez le fournisseur, l'objectif principal, quelles équipes l'utilisent, quelles données il traite, et quand il a été déployé.

Conseil pratique pour les PME
Une feuille de calcul fonctionne parfaitement pour la plupart des PME. Créez des colonnes pour : Nom du système, Fournisseur, Objectif, Types de données, Utilisateurs, Niveau de risque et Date de déploiement. La plupart des PME découvrent 5 à 15 systèmes d'IA lorsqu'elles effectuent un inventaire approfondi.
2 à 4 heures
2
Classez chaque système par niveau de risque

Associez chaque système d'IA aux catégories de risque de l'EU AI Act. Cela détermine lesquels des 12 dossiers vous devez tenir pour ce système.

Niveau de risque Exemples Dossiers requis
Haut risque (Annex III) Présélection RH pour le recrutement, notation de crédit, systèmes de sécurité Les 12 dossiers
Risque limité (Art. 50) Chatbots, contenu généré par IA, deepfakes Dossiers 1, 5, 6, 7, 8, 10
Risque minimal Filtres anti-spam, correction orthographique, moteurs de recommandation Dossiers 1, 5, 8
Question clé
Le système d'IA prend-il ou assiste-t-il des décisions qui affectent significativement les droits, la sécurité ou l'accès aux services des individus ? Si oui, il est probablement à haut risque selon l'Annex III.
1 à 2 heures
3
Créez des modèles de dossiers pour chaque catégorie

Des modèles standardisés garantissent la cohérence et réduisent l'effort de la tenue de dossiers continue. Créez un modèle par type de dossier, préalablement rempli avec les détails de votre organisation.

Concentrez-vous d'abord sur les dossiers requis pour vos systèmes à plus haut risque. Pour l'IA à risque minimal, une simple entrée d'inventaire plus un journal de formation suffit.

Simplification pour les PME
Vous n'avez pas besoin de logiciel dédié. Une structure de dossiers partagée avec des modèles de documents fonctionne pour la plupart des PME. Le Bureau de l'IA devrait publier des modèles officiels — en attendant, utilisez le plan de modèle de dossier de ce guide.
3 à 4 heures
4
Attribuez des responsables de dossiers et des contrôles d'accès

Chaque catégorie de dossiers a besoin d'un responsable — une personne chargée de la maintenir à jour, complète et accessible. Pour les PME, un coordinateur de conformité peut être responsable de plusieurs catégories.

Définissez des contrôles d'accès afin que les dossiers soient disponibles pour : le responsable du dossier, le responsable de la gouvernance IA, les auditeurs externes (en cas de besoin), et les régulateurs sur demande.

Conseil pratique pour les PME
Dans une entreprise de moins de 50 employés, le coordinateur de conformité, le délégué à la protection des données et le responsable de la gouvernance IA sont souvent la même personne. Cela est parfaitement acceptable selon le principe de proportionnalité.
1 à 2 heures
5
Définissez les périodes de conservation et le stockage sécurisé

Appliquez les périodes de conservation légalement obligatoires du tableau ci-dessous. Pour les dossiers sans exigence légale spécifique, appliquez les périodes recommandées basées sur les meilleures pratiques d'audit.

Stockez les dossiers dans un emplacement sécurisé et sauvegardé. Assurez-vous que les dossiers ne peuvent pas être altérés — le contrôle de version ou le stockage protégé en écriture est recommandé pour les documents critiques.

Exigences de stockage
Les dossiers doivent être : accessibles dans un délai raisonnable sur demande réglementaire, protégés contre les accès et modifications non autorisés, sauvegardés régulièrement, et stockés dans un format qui reste lisible pendant toute la période de conservation.
1 à 2 heures
6
Planifiez les révisions et mises à jour

La tenue de dossiers n'est pas une tâche ponctuelle. Établissez des cycles de révision pour maintenir vos dossiers à jour et complets :

  • Mensuellement : Vérifiez que les journaux opérationnels sont bien collectés pour les systèmes à haut risque
  • Trimestriellement : Révisez l'inventaire des systèmes d'IA pour détecter les nouveaux systèmes ou ceux retirés
  • Annuellement : Mettez à jour les évaluations des risques, les politiques de gouvernance et les programmes de formation
  • Immédiatement : Après tout incident, changement réglementaire ou modification importante du système
Important
Documentez chaque révision — y compris les révisions qui ne nécessitent aucun changement. La révision elle-même est un dossier de conformité qui démontre une diligence continue.
Continu : 30 à 60 minutes par cycle de révision

Modèle de conservation des dossiers

Utilisez ce modèle comme point de départ pour la structure de vos dossiers de tenue de registres. Adaptez-le à la taille de votre organisation et à son profil de risque IA.

Structure de dossiers de tenue de registres IA pour les PME
1. Registre des systèmes d'IA
Feuille de calcul d'inventaire principale. Mise à jour trimestrielle.
2. Évaluations des risques
Un fichier par système d'IA. Inclure la FRIA si applicable. Mise à jour annuelle.
3. Politiques et gouvernance
Politique d'utilisation de l'IA, registre des décisions de gouvernance et registres de révision.
4. Registres de formation
Journal de formation à la littératie IA avec dates, participants, contenu et résultats d'évaluation.
5. Journaux opérationnels
Journaux automatisés des systèmes d'IA à haut risque. Archives mensuelles.
6. Rapports d'incidents
Un fichier par incident. Inclure la chronologie, la réponse et la résolution.
7. Évaluations des fournisseurs
Registres de diligence raisonnable pour chaque fournisseur d'IA. Mise à jour lors du renouvellement du contrat.
8. Piste d'audit
Rapports d'audit interne, constats et mesures correctives.
9. Gouvernance des données
Sources de données, mesures de qualité et registres de traitement GDPR.
10. Rapports de surveillance
Données de performance après déploiement et synthèses des retours utilisateurs.

Périodes de conservation des dossiers en un coup d'œil

# Type de dossier Période minimale Recommandé Base légale
1 Documentation technique (haut risque) 10 ans 10 ans Art. 18
2 Journaux opérationnels (déployeur haut risque) 6 mois 3 ans Art. 26(6)
3 Registres de formation à la littératie IA Emploi + 2 ans Emploi + 2 ans Art. 4
4 Évaluations des risques / FRIA Période opérationnelle + 3 ans Période opérationnelle + 3 ans Art. 9 Art. 27
5 Rapports d'incidents et preuves Enquête + 5 ans Enquête + 5 ans Art. 62
6 Décisions de gouvernance 5 ans Meilleure pratique
7 Politique d'utilisation de l'IA 5 ans à compter du remplacement Meilleure pratique
8 Registres d'audit interne 5 ans Meilleure pratique
9 Données de surveillance après commercialisation Période opérationnelle Période opérationnelle + 2 ans Art. 72
10 Registres de gouvernance des données Période de traitement Période de traitement + 3 ans Art. 10 + GDPR Art. 30
11 Évaluations des fournisseurs Période du contrat + 3 ans Meilleure pratique
12 Registres de surveillance humaine Période opérationnelle Période opérationnelle + 3 ans Art. 14

Proportionnalité pour les PME — Ce que vous pouvez simplifier

L'EU AI Act reconnaît explicitement que les PME ne devraient pas supporter la même charge de conformité que les grandes entreprises. Le considérant 141 établit le principe de proportionnalité, et plusieurs dispositions offrent un allègement pratique :

Formats simplifiés. Vous n'avez pas besoin de logiciel de conformité d'entreprise. Une structure de dossiers bien organisée avec des modèles standardisés satisfait les exigences de documentation. Le Bureau de l'IA prévoit de publier des modèles officiels adaptés aux PME.

Rôles consolidés. Dans les grandes organisations, le coordinateur de conformité, le délégué à la protection des données et le responsable de la gouvernance IA sont des rôles distincts. Pour les PME de moins de 50 employés, une seule personne qualifiée peut assumer les trois responsabilités. Documentez clairement cette nomination.

Approche basée sur le risque. Vous n'êtes pas tenu d'appliquer le même niveau de détail à chaque système d'IA. Concentrez votre tenue de dossiers la plus détaillée sur vos systèmes d'IA à plus haut risque. L'IA à risque minimal (filtres anti-spam, correction orthographique, recommandations de base) ne nécessite qu'une entrée d'inventaire et des registres de formation.

Frais réduits. Les PME peuvent bénéficier de frais d'évaluation de conformité réduits lorsqu'elles travaillent avec des organismes notifiés.

Bacs à sable réglementaires. L'Article 62(4)(c) donne aux PME un accès prioritaire aux bacs à sable réglementaires, où vous pouvez tester des systèmes d'IA et développer des pratiques de conformité avec des conseils réglementaires avant l'application complète.

Conseils de coûts pour les PME : La mise en place initiale coûte généralement entre 5 000 et 25 000 EUR, avec une maintenance annuelle de 3 000 à 15 000 EUR. Ces chiffres incluent le temps du personnel, les modèles et les outils de base. Ils n'incluent pas le conseil externe ou les logiciels d'entreprise, dont la plupart des PME n'ont pas besoin. L'utilisation d'un OS de conformité comme ClearAI peut réduire considérablement ces coûts grâce à l'automatisation.

Sanctions en cas de tenue de dossiers inadéquate

L'EU AI Act établit des sanctions échelonnées en fonction de la gravité de l'infraction. Les manquements en matière de tenue de dossiers relèvent généralement des deuxième et troisième niveaux :

35 M EUR / 7 %
Violations des pratiques d'IA interdites (Article 5). Non directement lié à la tenue de dossiers, mais une absence complète de dossiers de gouvernance pourrait indiquer une utilisation interdite.
15 M EUR / 3 %
Non-respect des obligations du déployeur (Article 26), y compris la tenue de journaux opérationnels, la réalisation d'évaluations des risques et l'assurance de la surveillance humaine — tout cela nécessitant des dossiers.
7,5 M EUR / 1 %
Fournir des informations incorrectes, incomplètes ou trompeuses aux autorités nationales. Cela sanctionne directement une mauvaise tenue de dossiers — si vos dossiers sont manquants ou inexacts lorsque les régulateurs les demandent.

Pour les PME, les sanctions sont évaluées en fonction de pourcentages du chiffre d'affaires annuel mondial, ce qui signifie que les montants absolus peuvent être plus faibles — mais par rapport au chiffre d'affaires, ils peuvent être dévastateurs. Une amende minimale de 7,5 millions d'euros pour une entreprise réalisant 10 millions d'euros de chiffre d'affaires représenterait 75 % du chiffre d'affaires annuel.

Questions fréquemment posées

Quels dossiers les PME doivent-elles tenir en vertu de l'EU AI Act ?
Les PME doivent tenir des dossiers proportionnés à leur utilisation de l'IA. Au minimum : un inventaire des systèmes d'IA, des évaluations des risques pour chaque système, des registres de formation à la littératie IA (Article 4), des journaux opérationnels pour les systèmes à haut risque (minimum 6 mois selon l'Article 26), des rapports d'incidents, et des décisions de gouvernance. Pour l'IA à haut risque, la documentation technique selon l'Annex IV doit être conservée pendant 10 ans (Article 18).
Combien de temps les dossiers IA doivent-ils être conservés ?
Les périodes de conservation varient selon le type de dossier : la documentation technique pour l'IA à haut risque doit être conservée pendant 10 ans à compter de la mise sur le marché (Article 18). Les journaux opérationnels nécessitent un minimum de 6 mois (Article 26(6)), bien que 3 ans soient recommandés. Les registres de formation doivent être conservés pour la durée d'emploi plus 2 ans. Les registres d'incidents et d'audit sont recommandés pour 5 ans.
Les règles de tenue de dossiers s'appliquent-elles aux PME qui n'utilisent que ChatGPT ?
Oui. Même si vous n'utilisez qu'une IA à usage général comme ChatGPT, l'Article 4 vous impose de documenter la formation à la littératie IA. L'Article 50 peut exiger des dossiers de transparence si un contenu généré par IA atteint vos clients. Cependant, en tant que déployeur d'un système à risque minimal, votre charge de tenue de dossiers est nettement plus légère que celle des fournisseurs d'IA à haut risque.
Quelle est la sanction pour ne pas tenir de dossiers IA appropriés ?
Le non-respect de l'obligation de tenir des dossiers requis peut entraîner des amendes allant jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial (Article 99), selon le montant le plus élevé. Fournir des dossiers faux ou incomplets aux autorités entraîne des amendes allant jusqu'à 7,5 millions d'euros ou 1 % du chiffre d'affaires. Les PME peuvent recevoir des sanctions proportionnées, mais la non-conformité reste coûteuse.
Les PME peuvent-elles utiliser des formats de tenue de dossiers simplifiés ?
Oui. Le considérant 141 de l'EU AI Act permet explicitement une mise en œuvre proportionnée. Les PME peuvent utiliser des modèles simplifiés, se concentrer d'abord sur leurs systèmes d'IA à plus haut risque, et consolider les dossiers lorsque cela est pratique. Le Bureau de l'IA devrait publier des modèles officiels adaptés aux PME. ISO 42001 soutient également une mise en œuvre proportionnée selon la taille de l'organisation.
Qu'est-ce qu'une évaluation d'impact sur les droits fondamentaux (FRIA) ?
Une FRIA (Article 27) est requise pour les déployeurs de systèmes d'IA à haut risque. Elle évalue comment le système d'IA peut affecter les droits fondamentaux tels que la non-discrimination, la vie privée et la liberté d'expression. L'évaluation doit être documentée, mise à jour lorsque le système change, et mise à disposition des régulateurs. Les organismes publics doivent également publier leurs FRIA.
À quelle vitesse les incidents d'IA doivent-ils être signalés ?
Les incidents graves impliquant une IA à haut risque doivent être signalés à l'autorité nationale compétente dans les 15 jours suivant la prise de connaissance de l'incident (Article 62). Le rapport doit inclure l'identification du système d'IA, la nature de l'incident, les mesures correctives prises, et l'évaluation d'impact. Toutes les preuves doivent être conservées pendant au moins 5 ans après la clôture de l'enquête.
Dois-je conserver des registres de formation IA pour les employés ?
Oui. L'Article 4 exige que les organisations veillent à ce que le personnel dispose d'une littératie IA suffisante. Vous devez documenter : qui a reçu la formation, ce qui a été couvert, quand cela s'est produit, et comment les compétences ont été évaluées. Ces registres démontrent la conformité en cas d'audit et devraient être conservés pour la durée de l'emploi plus 2 ans.
Quelle est la différence entre les obligations de dossiers des fournisseurs et des déployeurs ?
Les fournisseurs (qui développent ou mettent une IA sur le marché) ont des obligations étendues incluant une documentation technique complète selon l'Annex IV, des systèmes de gestion de la qualité, et des évaluations de conformité. Les déployeurs (qui utilisent des systèmes d'IA) ont des obligations plus légères : tenue de journaux opérationnels, réalisation d'évaluations des risques, assurance de la surveillance humaine, et conservation des registres de formation. La plupart des PME sont des déployeurs.
Comment ClearAI Trust OS peut-il aider à la tenue de dossiers IA ?
ClearAI Trust OS automatise le cycle de conformité quotidien : vérifications de littératie IA, surveillance des risques, collecte de preuves, et suivi du score de confiance. Il tient automatiquement à jour vos dossiers de conformité, génère des rapports prêts pour l'audit, et vous alerte lorsque des dossiers doivent être mis à jour — vous passez ainsi des minutes par jour plutôt que des heures par semaine sur la tenue de dossiers.

Êtes-vous prêt pour l'AI Act ?

Passez notre évaluation gratuite de 3 minutes pour découvrir où en est votre organisation.

Faire l'évaluation gratuite

UN MOT DE L'AUTEUR

“J'ai passé plus de 20 ans à examiner la conformité réglementaire au sein du gouvernement préfectoral d'Hiroshima. La plus grande erreur que je vois les entreprises commettre est de supposer que la conformité commence par la paperasse. Elle commence par des habitudes quotidiennes. Construisez d'abord l'habitude, et la paperasse suivra.”

— Takayuki Sawai, Gyoseishoshi (行政書士)

Commencez vos dossiers de conformité IA dès aujourd'hui

Ce guide montre quels dossiers conserver. ClearAI Trust OS les tient à jour automatiquement : vérifications quotidiennes, collecte de preuves, et rapports prêts pour l'audit — conçu pour les PME qui ont besoin de conformité sans département dédié à la conformité.

19 $/mois après la période gratuite. Aucune carte de crédit requise.