Le questionnaire sécurité d'un grand compte évolue. À côté des chapitres habituels (chiffrement, gestion des accès, continuité), une section IA apparaît : « Décrivez vos systèmes d'IA, leur niveau de risque, votre gestion des incidents ». C'est le RSSI qui pilote · et il raisonne en preuves, pas en intentions.
Pourquoi le RSSI ajoute un volet IA
Le grand compte est lui-même sous AI Act. En tant que déployeur, il doit documenter sa chaîne de valeur IA (Art.25, Art.26) et la surveiller comme n'importe quel risque fournisseur. Votre IA devient donc une surface de risque qu'il doit cartographier · à travers vous. Pour la logique générale d'un tel questionnaire, voir notre guide pilier.
Lire le guide pilier : répondre à un questionnaire IA d'un clientCe qu'un RSSI veut voir dans le volet IA
Inventaire des systèmes IA
Quels modèles, fournisseurs tiers et données alimentent vos systèmes d'IA ? Le RSSI veut une liste, pas une promesse.
Classification du risque
Vos systèmes relèvent-ils du haut risque (Annexe III) ? De la transparence (Art.50) ? Une justification, pas un ressenti.
Gestion des incidents
Comment détectez-vous, tracez et notifiez un incident lié à l'IA ? Lien avec la gestion des risques (Art.9).
Hébergement & souveraineté
Où sont hébergées les données ? Dans quel pays ? Sous quelle juridiction ?
Sous-traitants
Quels fournisseurs interviennent dans votre chaîne IA, et comment les surveillez-vous (Art.25, Art.26) ?
Supervision humaine
Qui supervise les systèmes (Art.14) ? Vos équipes sont-elles formées (Art.4) ?
Preuve documentaire
Pouvez-vous fournir des documents datés, horodatés et vérifiables ?
Les 5 erreurs qui alertent un RSSI
- 1Traiter la section IA comme un simple addendum RGPD · ce sont deux régimes distincts qui se cumulent.
- 2Lister les systèmes IA « officiels » et oublier les outils SaaS adoptés par les métiers (ils sont dans le périmètre).
- 3Répondre « oui » à chaque case sécurité sans pouvoir produire la preuve · un RSSI vérifie.
- 4Ignorer la localisation des données et des sous-traitants alors que c'est la première question souveraineté.
- 5Annoncer une certification que vous n'avez pas (dites « en préparation », pas « certifié »).
Comment préparer un volet IA défendable
Un RSSI suit une chaîne logique : un inventaire → une classification justifiée → des documents → une preuve qu'ils n'ont pas été fabriqués pour l'occasion. C'est exactement la chaîne qu'un outil de conformité structure. Avec EuroAIGuard :
- •Inventaire guidé des systèmes d'IA (8 étapes), y compris les outils SaaS embarquant de l'IA.
- •Classification automatique selon l'Annexe III (haut risque / limité / minimal), avec justification.
- •Documents prêts à joindre : FRIA (Art.27), Registre (Art.49) PDF et Excel, documentation technique Annexe IV.
- •Score 0-100 par système et par référentiel, pour situer chaque réponse.
- •Preuve d'intégrité SHA-256 : chaque document horodaté, vérifiable publiquement sur /verify sans compte.
Et comme un RSSI raisonne souvent au-delà de l'AI Act, le même inventaire alimente les volets NIS2, DORA et CRA quand ils s'appliquent · sans ressaisie. La localisation est claire : hébergé en France sur OVH.
Questions fréquentes
Le RSSI me demande la localisation des données. Que répondre ?
Indiquez précisément l'hébergement et la juridiction · EuroAIGuard est hébergé en France sur OVH.
Faut-il une certification ISO 27001 ou 42001 pour répondre ?
Non, mais une démarche structurée et documentée pèse plus qu'un label absent.
Comment relier la section IA au reste de mon questionnaire sécurité ?
Le même inventaire alimente aussi les volets NIS2, DORA et CRA quand ils s'appliquent · sans ressaisie.