Checklist conformité RGPD et AI Act pour votre déploiement IA.

30 questions à se poser avant de mettre une IA en production dans une PME française. Couvre les obligations RGPD, AI Act, et bonnes pratiques de souveraineté. Imprimable et utilisable comme support de réunion DSI/DPO.

Bloc A, Identification des données traitées (5 questions)

1. Avez-vous recensé toutes les données personnelles traitées par votre système IA (clients, salariés, fournisseurs, candidats, prospects) ?
2. Pour chaque catégorie de données, la finalité du traitement est-elle clairement documentée ?
3. La minimisation est-elle appliquée (vous ne traitez que ce qui est strictement nécessaire) ?
4. La durée de conservation de chaque catégorie est-elle définie et justifiée ?
5. Avez-vous identifié les éventuelles données sensibles (santé, religion, opinion politique, biométrique) ?

Bloc B, Base légale et information (4 questions)

6. La base légale du traitement est-elle documentée pour chaque finalité (intérêt légitime, contrat, consentement) ?
7. Si intérêt légitime : la mise en balance avec les droits des personnes a-t-elle été tracée ?
8. Les personnes concernées sont-elles informées de l'usage d'IA (mention CGV, notice, message en début d'interaction) ?
9. Une procédure d'exercice des droits (accès, rectification, effacement, opposition) est-elle en place ?

Bloc C, Sous-traitance et transferts (5 questions)

10. Avez-vous la liste exhaustive des sous-traitants dans la chaîne IA (prestataire, hébergeur, services tiers) ?
11. Pour chaque sous-traitant, un contrat conforme à l'article 28 RGPD est-il signé ?
12. Les éventuels transferts hors UE sont-ils encadrés (DPF, CCT, dérogations) ?
13. Avez-vous une cartographie des flux de données entre les acteurs ?
14. Une clause de notification des sous-traitants ultérieurs est-elle en place ?

Bloc D, Sécurité et conservation (5 questions)

15. Les données sont-elles chiffrées au repos et en transit (TLS, AES-256) ?
16. Qui détient les clés de chiffrement ? Sont-elles séparées des données ?
17. Les accès sont-ils journalisés (qui a accédé à quoi, quand) ?
18. Une procédure de gestion des incidents et notification CNIL (72h) existe-t-elle ?
19. La suppression effective des données à terme est-elle vérifiable ?

Bloc E, DPIA et AI Act (6 questions)

20. L'usage IA tombe-t-il dans une catégorie obligeant une DPIA (article 35 RGPD) ?
21. Si oui, la DPIA est-elle produite et tenue à jour ?
22. Le système IA est-il classé selon les 4 catégories AI Act (interdit / haut risque / limité / minimal) ?
23. Pour les usages à risque élevé : la documentation technique conforme est-elle disponible ?
24. La supervision humaine est-elle effective (la décision finale reste humaine, pas seulement validation automatique) ?
25. Une procédure de recours pour les personnes concernées est-elle en place ?

Bloc F, Souveraineté et choix techniques (5 questions)

26. Le modèle d'IA utilisé est-il open-weight ou européen (Mistral, Llama déployé localement, Qwen on-prem) ?
27. L'hébergement est-il sur cloud souverain européen (OVH, Scaleway, Outscale) ou on-premise ?
28. Aucune donnée identifiante n'est transmise hors UE sans encadrement juridique documenté ?
29. Le code, les prompts et la configuration sont-ils la propriété du client (pas de lock-in) ?
30. Une procédure de migration vers un autre prestataire est-elle documentée ?

Scoring de votre conformité

Comptez vos « OUI » :

• 27-30 OUI : conformité solide. Audit annuel suffisant pour maintenir.
• 22-26 OUI : conformité acceptable mais perfectible. Identifier les 2-3 points faibles et planifier les actions.
• 15-21 OUI : conformité fragile. Risque CNIL en cas de contrôle. Plan d'action prioritaire à 3 mois.
• Moins de 15 OUI : conformité insuffisante. Intervention urgente recommandée, ne pas mettre l'IA en production avant de combler les écarts.