De plus en plus d'appels d'offres et de renouvellements de contrat arrivent avec une section nouvelle : « Décrivez vos systèmes d'IA et votre conformité à l'AI Act ». Parfois une ligne, parfois trois pages. Dans les deux cas, une réponse vague vous coûte le contrat · ou vous engage sur des affirmations intenables en cas d'audit.
Pourquoi vous recevez ça maintenant
Les grands comptes sont eux-mêmes sous AI Act. En tant que déployeurs, ils doivent documenter leur chaîne de valeur IA (Art.25, Art.26) · donc ils interrogent leurs fournisseurs. Si votre produit embarque de l'IA, vous êtes dans le périmètre, fournisseur ou déployeur.
Ce que contient un questionnaire IA
Inventaire
Quels systèmes d'IA composent votre produit ? Modèles, fournisseurs tiers, données utilisées ?
Classification
Vos systèmes relèvent-ils du haut risque (Annexe III) ? De la transparence (Art.50) ?
Documentation
Disposez-vous d'une documentation technique (Annexe IV) ? D'une AIPD / FRIA quand elle s'applique ?
Gouvernance
Qui supervise (Art.14) ? Vos équipes sont-elles formées (Art.4) ?
Données & robustesse
Qualité des données (Art.10), gestion des risques (Art.9), incidents.
Sécurité & souveraineté
Hébergement, sous-traitants, localisation des données.
Preuve
Pouvez-vous fournir des documents datés et vérifiables ?
Les 5 erreurs qui font perdre le contrat
- 1Répondre « oui » partout sans pouvoir le prouver · un auditeur le verra.
- 2Confondre « conforme RGPD » et « conforme AI Act » : deux régimes distincts qui se cumulent.
- 3Oublier les outils d'IA adoptés par les métiers sans passer par la DSI (ils sont dans le périmètre).
- 4Promettre une certification que vous n'avez pas (dites « en préparation », pas « certifié »).
- 5Joindre des documents non datés / non vérifiables.
Comment répondre de façon défendable
La logique attendue par un acheteur sérieux : un inventaire → une classification justifiée → des documents → une preuve qu'ils n'ont pas été fabriqués pour l'occasion. C'est exactement la chaîne qu'un outil de conformité structure. Avec EuroAIGuard :
- •Dossier de conformité IA par système, exporté en PDF, prêt à joindre à votre réponse : classification, transparence Art.50, fournisseurs liés, incidents et référentiels couverts.
- •Inventaire guidé des systèmes d'IA (8 étapes), y compris les outils SaaS embarquant de l'IA.
- •Classification automatique selon l'Annexe III (haut risque / limité / minimal).
- •Documents prêts à joindre : FRIA (Art.27), Registre (Art.49) PDF et Excel, documentation technique Annexe IV.
- •Score 0-100 par système et par référentiel.
- •Preuve d'intégrité SHA-256 : chaque document horodaté, vérifiable publiquement sur /verify sans compte.
Et si le questionnaire va au-delà de l'AI Act (NIS2 pour un secteur critique, DORA en finance), le même inventaire alimente ces réponses · sans ressaisie.
Questions fréquentes
Je suis « déployeur », pas « fournisseur » : suis-je concerné ?
Oui, dès que vous utilisez un système d'IA dans votre offre.
Faut-il une certification ISO 42001 pour répondre ?
Non, mais une démarche structurée et documentée fait la différence.
Combien de temps pour préparer la section IA ?
Un premier inventaire se fait en une session ; l'enjeu est la preuve, pas la vitesse.