Note réglementaire : L'AI Act (Règlement UE 2024/1689) impose de nouvelles obligations aux entreprises qui utilisent des outils IA. Les premières échéances sont arrivées dès février 2025 (pratiques interdites Art. 5) et août 2025 (IA générative). Les obligations de transparence Art. 50 (chatbots) sont applicables au 2 août 2026. Un accord provisoire du 7 mai 2026 pourrait reporter les obligations haut risque Annexe III à décembre 2027 sous réserve d'adoption formelle. Quelle que soit l'évolution du calendrier, documenter vos usages maintenant reste la bonne démarche.
Votre score : 0 / 20
Cochez les cases ci-dessus pour calculer votre score.
| 0 – 5 |
■ Critique |
Votre organisation n’a pas mis en place les fondamentaux de la gestion des risques IA. En cas de sinistre ou de contrôle réglementaire, vous seriez dans l’incapacité de justifier vos usages. Un audit d’urgence est recommandé avant tout renouvellement de contrat. |
| 6 – 10 |
■ Exposition élevée |
Quelques briques sont en place, mais les lacunes sont significatives. Un sinistre lié à un outil IA pourrait mettre en difficulté votre couverture. Votre assureur est susceptible de poser des questions précises auxquelles vous n’avez pas encore de réponse documentée. |
| 11 – 14 |
■ Exposition modérée |
Vous avez posé plusieurs fondations, mais des angles morts subsistent — notamment sur la documentation et les contrats fournisseurs. Votre niveau de préparation est insuffisant pour répondre sereinement à une demande de justification réglementaire ou assurantielle. |
| 15 – 17 |
■ Maîtrise partielle |
Vous avez une bonne conscience des enjeux et avez mis en place la plupart des éléments de base. Il reste quelques points à formaliser pour constituer un dossier documentaire solide et répondre sereinement à un questionnaire assurantiel. |
| 18 – 20 |
■ Bonne base documentée |
Vous disposez de la plupart des éléments attendus par un assureur ou un régulateur. Un audit complet permettra de valider formellement votre dispositif et de produire une documentation exploitable en cas de contrôle. |
Détail par section
| Section |
0 – 1 pt |
2 pts |
3 pts |
4 pts |
| S1 — Inventaire |
Inventaire inexistant. Vous ne savez pas quels outils IA opèrent dans votre organisation. Risque assurantiel maximal. |
Inventaire partiel. Les principaux outils sont identifiés, mais les usages SaaS et shadow AI restent dans l’angle mort. |
Bon inventaire des usages visibles. Quelques angles morts probables sur les intégrations natives et les usages personnels. |
Inventaire complet et structuré. Vous savez ce que vous utilisez, pourquoi, et pouvez le justifier. |
| S2 — Gouvernance |
Aucune gouvernance. Personne n’est responsable des usages IA. En cas de problème, la chaîne de responsabilité est introuvable. |
Gouvernance embryonnaire. Un responsable existe mais les règles d’usage et les procédures de contrôle restent informelles. |
Gouvernance en place mais non formalisée. Les règles existent, la supervision est assurée, mais la documentation est insuffisante. |
Gouvernance structurée : responsable identifié, règles écrites, supervision humaine des décisions IA, procédures en cas d’incident. |
| S3 — Données & contrats |
Vos données transitent vers des tiers sans contrôle ni contractualisation. Risque de violation de données et de responsabilité contractuelle très élevé. |
Vous avez commencé à cartographier les flux de données, mais les contrats fournisseurs n’ont pas été revus sous l’angle IA. |
Vous contrôlez globalement vos données et avez vérifié certains contrats. Il reste des zones grises sur les automatisations et les accès. |
Flux de données maîtrisés, contrats incluant des clauses IA, automatisations supervisées. Exposition contractuelle maîtrisée. |
| S4 — Documentation |
Aucune trace documentaire. En cas de contrôle ou de sinistre, vous ne pouvez pas démontrer ce que vous faites ni comment. |
Quelques éléments documentés mais pas de démarche structurée. La traçabilité est partielle et ne couvrirait pas une demande formelle. |
Documentation en cours. Vous pouvez rendre compte de vos principaux usages, mais il manque des éléments clés pour une justification complète. |
Documentation solide. Vous pouvez justifier vos usages IA face à un assureur ou une autorité de contrôle avec des preuves écrites. |
| S5 — Formation |
Collaborateurs non formés aux risques IA. Les usages non encadrés constituent le principal facteur de risque résiduel. |
Sensibilisation de base réalisée, mais les managers et utilisateurs ne sont pas en mesure d’appliquer des règles de bonne conduite. |
Collaborateurs informés et consignes transmises. Il reste à formaliser un programme de formation continue et un canal de remontée des incidents. |
Équipes formées, règles connues, canal de remontée des incidents en place. Maturité IA collective solide. |
Règles de plancher :
- S1 ≤ 1 — Si l’inventaire est inexistant, le niveau global est ramené à Critique quel que soit le total.
- S3 ≤ 1 — Si les données et contrats ne sont pas maîtrisés, le niveau global est plafonné à Exposition élevée au mieux.
- S4 ≤ 1 — Si la documentation est absente, le niveau global est plafonné à Exposition modérée au mieux.
La prochaine étape : savoir exactement où vous en êtes
Cette check-list vous donne une première lecture. Elle ne remplace pas un inventaire complet de vos systèmes IA, ni une analyse de vos contrats fournisseurs, ni la qualification de vos obligations réglementaires.
Le Diagnostic Automatisation IA Sécurisée MindRampart (à partir de 2 000 € HT) identifie vos 3 cas d’usage prioritaires, cartographie vos données sensibles et vous donne une décision claire : quoi automatiser, quoi éviter, quoi sécuriser.
L’Audit Flash IA (dès 4 500 € HT pour une TPE/petite PME) va plus loin : inventaire complet, classification réglementaire AI Act, analyse de vos contrats SaaS et rapport documenté exploitable en cas de contrôle.
mindrampart.com · contact@mindrampart.com · 30 min d’échange sans engagement