Services

Conseil en conformité EU AI Act pour les éditeurs SaaS, les fournisseurs d'IA et les entreprises américaines vendant dans l'UE

Le règlement (UE) 2024/1689 est désormais en vigueur. Les pratiques interdites s'appliquent depuis février 2025, les obligations GPAI depuis août 2025, et le régime complet à haut risque s'applique le 2 août 2026. Nous classifions vos systèmes d'IA par rapport aux annexes III et I, rédigeons la documentation technique annexe IV / annexe XI, mettons en place les systèmes de gestion des risques de l'article 9 et de gestion de la qualité de l'article 17, et assurons la surveillance post-commercialisation selon l'article 72 — intégrés à vos contrôles RGPD, ISO 27001 et SOC 2 existants au lieu d'être dupliqués à côté. Des preuves de qualité ingénierie, des notes lisibles par un juriste, un registre des risques prêt pour le conseil. À partir de 6 500 EUR pour l'Évaluation de préparation.

Conseil en conformité au règlement européen sur l'IA pour les produits SaaS et IA

L'EU AI Act a une portée extraterritoriale — si le résultat de votre IA est utilisé dans l'UE, vous êtes dans le périmètre quel que soit le lieu d'immatriculation de votre entreprise. Les amendes atteignent 35 millions EUR ou 7 pour cent du chiffre d'affaires mondial pour les pratiques interdites, 15 millions EUR ou 3 pour cent pour les violations à haut risque. Mais la plupart des produits SaaS ne sont pas à haut risque ; la valeur réside dans une note de classification défendable, un dossier de documentation propre et une bibliothèque de preuves qui sert aussi d'intrants pour vos démarches ISO 42001 et SOC 2. Nous l'avons fait pour des éditeurs SaaS, des startups nativement IA et des entreprises américaines entrant sur le marché de l'UE — le livrable est opérationnel, pas théâtral.

Ce que nous livrons

Note de classification des risques

Cartographie système par système par rapport à l'annexe III (huit domaines à haut risque), l'annexe I (produits réglementés), les interdictions de l'article 5 et les obligations à risque limité de l'article 50. Rédigée avec des citations au niveau de l'article afin que votre conseil puisse valider sans refaire le travail.

Documentation technique annexe IV

Le dossier complet pour les systèmes à haut risque : description du système, finalité prévue, gestion des risques, gouvernance des données, conception de la surveillance humaine, métriques d'exactitude/robustesse/cybersécurité, journalisation, plan de surveillance post-commercialisation. Markdown versionné dans votre dépôt, pas un PDF ponctuel.

Documentation des modèles GPAI

Si vous affinez un modèle GPAI, vous pouvez hériter d'obligations de fournisseur au titre de l'article 25(1)(c). Nous livrons le dossier annexe XI — carte de modèle, résumé des données d'entraînement, reporting énergétique, et la politique de droit d'auteur de l'article 53(1)(c) alignée sur le modèle du Bureau européen de l'IA.

Système de gestion des risques

Le SGR de l'article 9 comme système vivant, pas un classeur. Identification des dangers, évaluation du risque résiduel, suivi des mesures d'atténuation, et intégration à votre registre ISO 27001 pour qu'un même contrôle atteste des deux régimes.

Surveillance post-commercialisation

Plan de surveillance post-commercialisation de l'article 72, workflow de notification d'incident grave de l'article 73, tableaux de bord de dérive et d'exactitude, et le playbook pour notifier les autorités compétentes dans le délai légal de 15 jours en cas de besoin.

Artefacts destinés au déployeur

Instructions d'utilisation selon l'article 13, avis de transparence selon l'article 50, modèle d'AIDF (analyse d'impact sur les droits fondamentaux) du déployeur selon l'article 27 — prêts à être transmis aux clients grands comptes qui posent des questions sur l'AI Act dans leurs appels d'offres.

Ce que nous couvrons

Classification annexe III Cartographie annexe I Interdictions article 5 Transparence article 50 GPAI article 53 Gestion des risques article 9 Gouvernance des données article 10 Surveillance humaine article 14 Exactitude/Cyber article 15 SGQ article 17 Doc technique annexe IV Doc GPAI annexe XI AIDF article 27 SPC article 72 Incidents article 73 Accompagnement marquage CE Liaison organisme notifié Alignement ISO/IEC 42001 Intégration ISO 27001 AIPD article 35 RGPD Correspondance NIS2 / DORA Correspondance CRA CEN-CENELEC JTC 21 Liaison Bureau européen de l'IA

Comment se déroule une mission

  1. 01

    Cadrer & classifier

    Semaine 1 : inventaire de chaque système d'IA et modèle GPAI de votre stack, classification par rapport aux annexes III/I, identification des pratiques interdites et rédaction de la note de classification. La plupart des clients découvrent que deux tiers de leur IA sont à risque limité ou hors périmètre — de manière défendable.

  2. 02

    Analyse d'écart

    Semaine 2 : analyse de l'écart de chaque système dans le périmètre par rapport aux articles pertinents, notation de chaque écart par échéance et effort, et production d'une feuille de route de remédiation alignée sur les jalons des 2 février 2025, 2 août 2025, 2 août 2026 et 2 août 2027.

  3. 03

    Construire le dossier

    Semaines 3–8 : mise en place du SGR de l'article 9 et du SGQ de l'article 17, rédaction de la documentation annexe IV (ou annexe XI pour le GPAI) dans votre dépôt, mise en œuvre de la journalisation selon l'article 12, et livraison des instructions d'utilisation de l'article 13 et des avis de transparence de l'article 50.

  4. 04

    Exploiter

    À partir du troisième mois : actualisation trimestrielle des preuves, veille réglementaire (orientations du Bureau européen de l'IA, normes harmonisées au fur et à mesure de leur publication, autorités nationales compétentes), exercices d'incident selon l'article 73, et une répétition d'audit annuelle prête pour un tiers.

Forfaits d'engagement

Évaluation de préparation

Deux semaines, périmètre fixe. Note de classification, analyse d'écart par rapport aux articles applicables, feuille de route de remédiation alignée sur les échéances de l'AI Act, et un briefing de direction de 60 minutes avec le fondateur et le conseil juridique. 6 500 EUR forfaitaires.

Dossier de documentation

Six à huit semaines. Documentation technique complète annexe IV ou annexe XI, SGR de l'article 9, politique de gouvernance des données de l'article 10, plan de surveillance post-commercialisation de l'article 72, instructions d'utilisation de l'article 13, avis de transparence de l'article 50, et la carte de modèle publique. 18 000 EUR forfaitaires.

Opérations de conformité

Forfait mensuel continu. Actualisation trimestrielle des preuves, veille réglementaire, support de notification d'incidents de l'article 73, répétition d'audit annuelle, maintenance du dossier de réponses aux appels d'offres déployeurs/clients. 4 500 EUR/mois.

L'évaluation de conformité avec un organisme notifié (article 43, voie via l'annexe VII) est chiffrée séparément lorsque le système requiert une évaluation par un tiers. Minimum de trois mois sur les Opérations de conformité, puis au mois le mois avec un préavis de 30 jours. NDA, DPA et cession de propriété intellectuelle signés avant le lancement.

Pourquoi les fondateurs et les juristes choisissent YuSMP pour les travaux AI Act

Conforme au RGPD · prêt pour ISO 27001 · SOC 2 Type II en cours · compatible HIPAA · aligné ISO/IEC 42001

Des ingénieurs, pas des consultants en politiques

Nous lisons le code du modèle, le pipeline de données et la suite d'évaluation avant de rédiger une note. Nos livrables tiennent la route parce qu'ils reflètent ce que le système fait réellement, et non ce qu'une présentation prétend qu'il fait.

Une bibliothèque de preuves, plusieurs régimes

AI Act, RGPD, ISO 27001, ISO 42001, SOC 2, NIS2, CRA — les contrôles sous-jacents se recoupent. Nous construisons une bibliothèque de preuves versionnée unique qui acquitte les obligations de tous ces régimes au lieu de maintenir des classeurs parallèles.

Au sein de votre cadence opérationnelle

DPA et NDA signés avant le lancement, accès au dépôt, présence à votre réunion d'équipe d'ingénierie et à votre point juridique du conseil. La documentation vit dans votre stack et appartient à votre équipe après le transfert.

Pour l'évaluation de conformité, nous travaillons directement avec les organismes notifiés de l'UE (annexe VII, voie 2) et préparons le dossier selon la norme attendue par l'organisme — pas la norme qu'un consultant généraliste suppose.

Ce que disent nos clients

La signature de documents à distance est un champ de mines juridique. YuSMP a construit à la fois le parcours de signature mobile et le CRM Symfony dans une seule mission, a géré l'onboarding KYC et a livré une documentation d'API que notre équipe conformité a validée en quelques jours.
David Mercer, CEO, Signatory ProVoir le cas →
Un moteur de décision de crédit qui approuve dix fois plus vite n'arrive pas par hasard. YuSMP a construit le pipeline de scoring, l'intégration aux bureaux de crédit et un back-office que nos analystes prennent réellement plaisir à utiliser. Le délai d'approbation est passé de deux jours à moins de quatre heures.
Gregory Lawson, CTO, LoanFlowVoir le cas →

Questions fréquentes

Quand l'EU AI Act s'applique-t-il réellement à mon produit, et quelles échéances dois-je anticiper ?

L'EU AI Act (règlement (UE) 2024/1689) est entré en vigueur le 1er août 2024 et s'applique par tranches. Les pratiques d'IA interdites (article 5) sont applicables depuis le 2 février 2025. Les obligations relatives aux modèles d'IA à usage général (chapitre V) s'appliquent à partir du 2 août 2025, y compris la transparence, la documentation technique et la politique en matière de droit d'auteur. La plupart des obligations relatives aux systèmes d'IA à haut risque (chapitre III) s'appliquent à partir du 2 août 2026. Les obligations relatives aux systèmes d'IA à haut risque intégrés dans des produits réglementés au titre de l'annexe I (dispositifs médicaux, machines, jouets, diagnostics in vitro, etc.) s'appliquent à partir du 2 août 2027. Si vous vendez dans l'UE ou l'EEE, ou si votre résultat est utilisé dans l'UE, vous êtes dans le périmètre même si votre entreprise est immatriculée aux États-Unis — l'article 2 a une portée extraterritoriale.

Comment savoir si mon système d'IA est à haut risque, à risque limité ou hors périmètre ?

Nous classifions par rapport à l'annexe III (huit domaines à haut risque : biométrie, infrastructures critiques, éducation, emploi, services essentiels dont le scoring de crédit et la tarification de l'assurance vie/santé, maintien de l'ordre, migration/asile/contrôle aux frontières, administration de la justice et processus démocratiques) et à l'annexe I (l'IA comme composant de sécurité dans des produits réglementés). Les systèmes à risque limité au titre de l'article 50 (chatbots, reconnaissance des émotions, catégorisation biométrique, deepfakes) n'ont que des obligations de transparence. Les systèmes à risque minimal relèvent de codes volontaires. Nous livrons une note de classification écrite avec citations d'articles et un registre des risques lisible par le conseil d'administration. Environ 60 pour cent des produits SaaS que nous classifions s'avèrent à risque limité et n'ont besoin que d'avis de transparence et de filigranage — cette seule décision épargne un coût de conformité à six chiffres.

Nous construisons sur OpenAI, Anthropic ou Mistral — l'EU AI Act fait-il de nous un fournisseur GPAI ?

Non, vous restez un fournisseur en aval ou un déployeur, pas un fournisseur GPAI. Les obligations du fournisseur GPAI (article 53) s'appliquent au créateur du modèle — OpenAI, Anthropic, Google DeepMind, Mistral. Mais vous héritez d'obligations en aval : tenir à jour les instructions d'utilisation, surveiller les risques systémiques, et si vous affinez un modèle GPAI sur vos données, vous pouvez devenir le fournisseur d'un modèle GPAI dérivé au titre de l'article 25(1)(c). Nous cartographions la frontière amont/aval, la documentons dans votre contrat avec le fournisseur du modèle, et rédigeons la politique de fine-tuning qui vous tient à l'écart des obligations de la classe fournisseur, à moins que vous ne souhaitiez réellement être fournisseur.

Que contient un dossier de documentation technique EU AI Act complet ?

L'annexe IV le définit pour les systèmes à haut risque : une description générale du système et de sa finalité prévue ; une description détaillée des composants et du processus de développement ; la surveillance, le fonctionnement et le contrôle ; le système de gestion des risques selon l'article 9 ; les données d'entraînement, de validation et de test selon l'article 10 ; les moyens techniques de surveillance humaine selon l'article 14 ; les métriques d'exactitude, de robustesse et de cybersécurité selon l'article 15 ; le système de gestion de la qualité selon l'article 17 ; les journaux et le plan de surveillance post-commercialisation selon l'article 72. Pour les modèles GPAI, l'annexe XI s'applique — carte de modèle, résumé des données d'entraînement, consommation d'énergie et politique de conformité au droit d'auteur. Nous livrons le dossier complet sous forme de Markdown versionné dans votre dépôt, ainsi qu'une carte de modèle publique et une fiche d'instructions destinée au déployeur.

Comment l'EU AI Act recoupe-t-il le RGPD, le Data Act et ISO 42001 — et comment éviter de dupliquer le travail ?

Fortement, et l'astuce est une carte de contrôles intégrée unique. Le système de gestion des risques de l'article 9 peut réutiliser votre registre des risques ISO 27001. Les exigences de gouvernance des données de l'article 10 s'alignent étroitement sur les articles 5, 25 et 32 du RGPD — même cadre d'AIPD avec une documentation supplémentaire sur l'équité et les biais. Le système de management de l'IA ISO/IEC 42001:2023 couvre environ 70 pour cent des exigences de gestion de la qualité de l'article 17 ; si vous visez la certification ISO 42001, nous la séquençons pour acquitter les obligations de l'AI Act en même temps. Le Data Act, NIS2 et le Cyber Resilience Act ajoutent des obligations connexes qui partagent les mêmes preuves — nous livrons une bibliothèque de preuves unifiée, pas cinq bibliothèques dupliquées.

À quoi ressemble la tarification, et qu'est-ce qui est inclus ou exclu du périmètre ?

Trois forfaits. L'Évaluation de préparation est à 6 500 EUR fixe (deux semaines) : note de classification, analyse d'écart par rapport aux articles pertinents, feuille de route de remédiation et un briefing pour la direction. Le Dossier de documentation est à 18 000 EUR fixe (six à huit semaines) : documentation complète annexe IV ou annexe XI, système de gestion des risques, politique de gouvernance des données, plan de surveillance post-commercialisation, instructions d'utilisation et carte de modèle publique. Les Opérations de conformité continues sont à 4 500 EUR/mois : actualisation trimestrielle des preuves, veille réglementaire (Bureau européen de l'IA, autorités nationales compétentes, normes harmonisées du CEN-CENELEC JTC 21), support de notification d'incidents selon l'article 73, et une répétition d'audit annuelle prête pour un tiers. L'évaluation de conformité avec un organisme notifié est chiffrée séparément lorsqu'elle est requise.

Besoin d'une note de classification AI Act avant votre prochain conseil d'administration ?

Réserver un appel de préparation

Demander une proposition

Partagez quelques détails et un consultant senior vous répondra sous un jour ouvré.

Vous préférez échanger directement ? ☎ Appeler le +374 44 871 811 ✉ sales@yusmpgroup.com