Par David Joseph Atias, avocat au Barreau de Paris · LinkedIn · Juin 2026
La cartographie systèmes IA entreprise est devenue, en 2026, le socle obligatoire de toute stratégie de conformité AI Act. Sans inventaire structuré, aucune qualification, aucune FRIA, aucune gouvernance ne peut être conduite de manière sérieuse. Pourtant, peu d’entreprises disposent aujourd’hui d’un registre fiable de leurs systèmes d’IA. Or, l’AI Act est entré en vigueur et les contrôles se profilent. Cet article propose une méthode opérationnelle en six étapes, détaille les sept dimensions du registre et précise les pièges classiques.
SOMMAIRE
- Pourquoi la cartographie systèmes IA entreprise est devenue stratégique
- Le cadre juridique applicable
- Les 7 dimensions du registre IA
- Tableau de synthèse des dimensions et criticité
- La méthodologie en 6 étapes
- Pourquoi faire appel à Atias Avocats
- FAQ — Questions fréquentes
1. Pourquoi la cartographie systèmes IA entreprise est devenue stratégique
La cartographie systèmes IA entreprise n’est plus un sujet optionnel. C’est devenu le socle de toute la conformité AI Act, dont la mise en œuvre opérationnelle s’accélère en 2026. Trois dynamiques expliquent l’urgence de la démarche.
1.1 Une prolifération invisible des systèmes d’IA
Les entreprises sous-estiment massivement le nombre de systèmes d’IA qu’elles utilisent. Une ETI moyenne en compte entre 30 et 100, en incluant les outils SaaS du marché, les progiciels métiers et les outils d’IA générative. Cette prolifération est largement invisible : chaque direction achète ses propres outils, sans concertation centrale. Sans cartographie, l’entreprise pilote à l’aveugle un risque pourtant désormais réglementé.
1.2 Le phénomène du « shadow IA »
Le shadow IA désigne l’usage par les collaborateurs d’outils d’IA non déclarés ni validés (ChatGPT, Claude, Gemini, Copilot, outils marketing). Selon plusieurs études sectorielles, 60 à 80 % des collaborateurs utilisent au moins un outil d’IA générative dans leur travail, souvent sans information de la DSI. Ce shadow IA crée des risques majeurs de fuite de données, de confidentialité, et de manquements AI Act. La cartographie doit le faire émerger.
1.3 L’imminence des contrôles AI Act
Les autorités de surveillance désignées par chaque État membre se structurent en 2026. Les premiers contrôles ciblent en priorité les secteurs sensibles : banque, assurance, RH, santé, secteur public, modération de contenu. La première demande d’un contrôleur sera systématiquement la cartographie des systèmes d’IA. Une entreprise sans registre apparaît immédiatement comme non conforme, ce qui dégrade fortement la posture défensive. Pour aller plus loin, consultez nos services en matière de protection des données personnelles.
2. Le cadre juridique applicable
La cartographie systèmes IA entreprise s’inscrit dans un cadre juridique pluriel. Plusieurs textes en font, directement ou indirectement, une obligation de fait.
2.1 L’AI Act et ses obligations transversales
Le Règlement UE 2024/1689 (AI Act) impose à toute organisation d’identifier ses systèmes d’IA pour pouvoir appliquer les obligations correspondantes. L’article 6 impose la qualification haut risque ; l’article 4 impose la formation à la maîtrise de l’IA ; l’article 27 impose la FRIA pour certains déployeurs ; l’article 50 impose la transparence vis-à-vis des utilisateurs. Sans cartographie, aucune de ces obligations ne peut être conduite de manière documentée et défendable.
2.2 Le RGPD et l’article 30
L’article 30 du Règlement UE 2016/679 (RGPD) impose un registre des activités de traitement de données personnelles. Pour tout système d’IA traitant des données personnelles, ce registre doit être tenu et tenu à jour. L’article 35 ajoute l’AIPD (analyse d’impact relative à la protection des données) pour les traitements à risque élevé. La cartographie systèmes IA entreprise et le registre RGPD doivent donc s’articuler étroitement.
2.3 Le devoir de gouvernance et l’article 1240 du Code civil
Au-delà des textes spécifiques, le droit commun impose un devoir de prudence et de gouvernance. L’article 1240 du Code civil engage la responsabilité de l’entreprise pour les dommages causés par sa négligence. En matière d’IA, l’absence de cartographie peut être analysée comme une faute de gouvernance, ouvrant droit à indemnisation des personnes lésées. La directive UE 2024/2853 sur la responsabilité du fait des produits défectueux, applicable à compter de 2026, renforce cette exposition.
2.4 Les obligations sectorielles
Certains secteurs ajoutent leurs propres obligations. La doctrine de l’ACPR pour la banque et l’assurance, les recommandations de l’AMF en matière d’IA, la doctrine CNIL sur l’IA, les textes spécifiques à la santé (HAS) et au secteur public (DINUM) imposent des inventaires plus précis. Pour aller plus loin, consultez nos services en matière de contrats informatiques.
3. Les 7 dimensions du registre IA
Une cartographie systèmes IA entreprise solide se structure autour de sept dimensions. Chacune couvre un angle précis et conditionne la valeur juridique du registre.
3.1 Identification et description du système
La première dimension identifie chaque système : nom, identifiant unique, fournisseur, version, date de mise en service, description fonctionnelle, technologie sous-jacente (machine learning, deep learning, IA générative, système expert). Cette identification doit permettre à un contrôleur de comprendre rapidement de quoi il s’agit. Un nom commercial seul ne suffit pas : la description fonctionnelle doit être précise.
3.2 Cas d’usage et processus métier concerné
La deuxième dimension documente l’usage réel : direction concernée, processus métier, périmètre géographique, fréquence d’utilisation, articulation avec les décisions humaines. Cette dimension est centrale pour la qualification haut risque ultérieure. Un même outil peut être à haut risque pour un usage et minimal pour un autre. La précision du cas d’usage conditionne directement la qualification juridique.
3.3 Qualification AI Act
La troisième dimension qualifie le système selon l’AI Act : risque inacceptable, haut risque (article 6 paragraphe 1 ou 2 + annexe III), risque limité (transparence), risque minimal. Chaque qualification est argumentée par une référence au texte. Cette qualification déclenche, ou non, les obligations correspondantes. Sans cette colonne, la cartographie reste descriptive et non opérationnelle.
3.4 Rôle de l’entreprise dans la chaîne
La quatrième dimension précise le rôle : fournisseur, déployeur, importateur, distributeur, mandataire. Une même entreprise peut cumuler plusieurs rôles selon les systèmes. Pour un système développé en interne, elle est fournisseur ; pour un SaaS du marché, elle est déployeur ; si elle rebrande un outil tiers, elle redevient fournisseur. Cette qualification conditionne précisément la liste des obligations à respecter.
3.5 Données et flux RGPD
La cinquième dimension articule l’IA avec le RGPD : nature des données traitées (personnelles ou non, sensibles ou non), catégories de personnes concernées, base légale, transferts hors UE éventuels, durées de conservation, référence au registre des traitements article 30. Cette articulation évite les angles morts entre les deux dispositifs et garantit la cohérence documentaire.
3.6 Risques identifiés et mesures de mitigation
La sixième dimension recense les risques : risques pour les droits fondamentaux, risques de biais, risques de cybersécurité, risques de fuite, risques opérationnels. Pour chaque risque significatif, les mesures de mitigation déjà en place sont documentées (supervision humaine, contrôles qualité, journalisation, restrictions d’accès, formation des utilisateurs). Cette dimension prépare directement la FRIA pour les systèmes à haut risque.
3.7 Responsable interne et gouvernance
La septième dimension identifie un responsable nommé pour chaque système : direction métier propriétaire, référent technique, référent juridique, date de revue prévue, comité de gouvernance compétent. Sans responsabilité nominale, la cartographie reste un document théorique. La désignation d’un responsable transforme l’inventaire en outil de pilotage opérationnel.
4. Tableau de synthèse des dimensions et criticité
Le tableau ci-dessous synthétise les sept dimensions du registre IA, leur rôle structurant et leur niveau de criticité pour la conformité AI Act.
| Dimension | Rôle | Criticité |
|---|---|---|
| 1. Identification du système | Recensement exhaustif | 🔴 Critique |
| 2. Cas d’usage métier | Base de la qualification | 🔴 Critique |
| 3. Qualification AI Act | Déclenche les obligations | 🔴 Critique |
| 4. Rôle dans la chaîne | Régime d’obligations | 🔴 Critique |
| 5. Données et flux RGPD | Cohérence avec art. 30 | 🟠 Élevée |
| 6. Risques et mitigation | Préparation FRIA | 🟠 Élevée |
| 7. Responsable interne | Gouvernance opérationnelle | 🟡 Moyenne |
5. La méthodologie en 6 étapes
Conduire une cartographie systèmes IA entreprise suit une démarche structurée. Six étapes successives transforment un projet perçu comme insurmontable en exercice de gouvernance maîtrisé et défendable.
5.1 Étape 1 — Désigner une gouvernance projet
La première étape constitue une équipe transversale : un référent IA central (souvent DPO ou direction juridique), un sponsor exécutif (DG ou COMEX), des correspondants par direction métier (RH, marketing, vente, finance, DSI, juridique). Sans cette gouvernance, la cartographie reste l’œuvre solitaire d’une fonction support, ce qui condamne sa qualité et son acceptation interne.
5.2 Étape 2 — Collecter par direction métier
La deuxième étape collecte les systèmes par direction métier, via un questionnaire structuré. La grille de questions doit être simple, accessible aux non-juristes, et inclure les SaaS utilisés, les fonctionnalités d’IA des progiciels, les outils d’IA générative, les modèles développés en interne. Cette collecte distribuée capte naturellement plus de systèmes qu’une démarche descendante.
5.3 Étape 3 — Détecter le shadow IA
La troisième étape complète l’inventaire par la détection du shadow IA. Plusieurs leviers se combinent : entretiens directs avec les équipes, analyse des logs réseau, audit des dépenses (cartes corporate, abonnements souscrits par les équipes), revue des intégrations API. Le shadow IA représente, dans la plupart des entreprises, 30 à 50 % de l’inventaire réel. L’ignorer fragilise toute la démarche.
5.4 Étape 4 — Qualifier juridiquement chaque système
La quatrième étape qualifie chaque système identifié : applicabilité AI Act, niveau de risque, rôle de l’entreprise, articulation RGPD. Cette qualification doit être documentée pour chaque système, avec une référence textuelle. Elle exige une expertise juridique précise, particulièrement pour les systèmes à la lisière de l’annexe III ou pour ceux relevant de l’exception de l’article 6 paragraphe 3.
5.5 Étape 5 — Documenter et formaliser
La cinquième étape formalise le registre dans un document opposable : tableur structuré, ou idéalement outil de gouvernance dédié. Chaque ligne correspond à un système ; chaque colonne couvre une des sept dimensions. Le registre est daté, signé par le référent IA et le sponsor exécutif. Cette formalisation transforme le travail d’inventaire en pièce maîtresse du dossier de conformité.
5.6 Étape 6 — Mettre en place une revue périodique
La dernière étape organise la mise à jour. Une cartographie figée perd rapidement sa valeur, car de nouveaux systèmes apparaissent en permanence. Une revue semestrielle minimum est recommandée, avec une procédure d’enrôlement systématique des nouveaux outils (achat SaaS, nouveau projet IA, intégration de fonctionnalités IA dans un progiciel existant). Sans cette routine, le registre redevient obsolète en quelques mois.
6. Pourquoi faire appel à Atias Avocats
Conduire une cartographie systèmes IA entreprise à la hauteur des enjeux exige une combinaison rare de compétences : maîtrise de l’AI Act et de sa structure normative, expertise du RGPD et de son articulation avec l’AI Act, compréhension opérationnelle des architectures d’IA et des cas d’usage métiers, pratique de la conduite de projets transversaux, capacité de défense face aux autorités de contrôle. Cette pluridisciplinarité est précisément la valeur ajoutée d’un cabinet spécialisé en droit du numérique avec une pratique active de la conformité IA.
Atias Avocats accompagne entreprises, scale-ups, banques, assureurs, mutuelles, organismes publics et entités privées de service public sur l’ensemble du sujet : cartographie initiale des systèmes d’IA, mise en place de la gouvernance IA, détection du shadow IA, qualification AI Act de chaque système identifié, articulation avec le registre RGPD, conduite des FRIA pour les systèmes haut risque, mise à jour annuelle et défense face à l’autorité de contrôle. Pour aller plus loin, consultez nos services en matière de protection des données personnelles.
Conclusion
La cartographie systèmes IA entreprise est l’exercice fondateur de la conformité AI Act. Sans elle, toutes les obligations qui en découlent — qualification haut risque, FRIA, formation, supervision humaine, gouvernance — restent inopérantes. La méthode en six étapes présentée ici, articulée avec les sept dimensions du registre, offre un référentiel directement utilisable par les directions juridiques, DPO, RSSI et fondateurs.
Pour les DG, directions juridiques, DPO et fondateurs, le réflexe doit être clair : cartographier d’abord, qualifier ensuite, et seulement après dimensionner les programmes de conformité spécifiques. C’est précisément à cette étape inaugurale que se construit la maîtrise réelle de la conformité IA et la sérénité opérationnelle pour les années à venir.
FAQ — Questions fréquentes
La cartographie des systèmes d’IA est-elle vraiment obligatoire ?
Oui, en pratique. L’AI Act (Règlement UE 2024/1689) n’impose pas un registre formel dans les mêmes termes que l’article 30 du RGPD. Cependant, plusieurs obligations rendent la cartographie inévitable : l’identification des systèmes à haut risque (article 6), la documentation de la qualification, la conduite des FRIA (article 27), la supervision humaine (article 14), la transparence (article 50), la formation à la maîtrise de l’IA (article 4). Aucune de ces obligations ne peut être satisfaite sans un inventaire structuré préalable. La cartographie systèmes IA entreprise est donc, de facto, le socle obligatoire de toute conformité AI Act. En cas de contrôle, c’est le premier document que l’autorité demandera.
Quels systèmes faut-il inclure dans la cartographie ?
Tous les systèmes répondant à la définition de l’article 3 de l’AI Act doivent être recensés, indépendamment de leur classification de risque. Cela inclut : les outils développés en interne (modèles propriétaires, scripts ML), les solutions SaaS intégrant de l’IA (ATS, CRM, marketing automation, détection de fraude, modération), les composants d’IA embarqués dans des progiciels (ERP, outils financiers, RH, supply chain), les agents conversationnels (chatbots, assistants), les outils d’IA générative (Copilot, ChatGPT, Claude, Gemini en usage professionnel), les modèles d’IA fournis par des sous-traitants. Le shadow IA (utilisation non déclarée par les collaborateurs) doit aussi être recensé via une démarche participative. La cartographie systèmes IA entreprise est exhaustive ou n’a pas de valeur juridique.
Quelle est la différence entre cartographie IA et registre des traitements RGPD ?
Les deux outils sont complémentaires mais distincts. Le registre des traitements de l’article 30 du RGPD recense les traitements de données personnelles, indépendamment de la technologie utilisée. La cartographie systèmes IA entreprise recense les systèmes d’IA, qu’ils traitent ou non des données personnelles. Un système d’IA d’optimisation logistique sans données personnelles entre dans la cartographie mais pas nécessairement dans le registre RGPD. Inversement, un traitement de paie classique sans IA entre dans le registre RGPD mais pas dans la cartographie IA. Quand un système d’IA traite des données personnelles, il doit figurer dans les deux documents avec des références croisées. Cette double inscription facilite les contrôles CNIL et autorité IA et garantit la cohérence documentaire.
Qui est responsable de la cartographie dans l’entreprise ?
La responsabilité juridique incombe à l’entreprise en tant que personne morale, mais l’exécution opérationnelle requiert une organisation transversale. Plusieurs profils sont mobilisés : le DPO (qui maîtrise l’inventaire des traitements de données), le RSSI (qui connaît les systèmes IT), la DSI (qui contrôle l’achat des SaaS et progiciels), les directions métiers (qui utilisent les outils au quotidien), le service juridique (qui qualifie). La gouvernance type combine un référent IA central (souvent rattaché au DPO ou à la direction juridique), des correspondants par direction métier et un comité IA décisionnaire. La cartographie systèmes IA entreprise ne peut pas être conduite par une seule fonction : c’est un exercice intrinsèquement transversal.
Contact : david@atiasavocats.com | LinkedIn: David Joseph Atias | https://www.atiasavocats.com | 42 rue de la Clef, 75005 Paris
Atias Avocats — Droit du numérique, AI Act, RGPD, Gouvernance IA
