Loi sur l'IA de l'UE (AI Act)

Fonctionnement

L'AI Act est entré en vigueur en août 2024 et il est mis en œuvre par phases jusqu'à la fin 2026. Le cadre classe les systèmes d'IA selon leur risque. Les systèmes interdits (reconnaissance faciale en masse, notation de crédit basée sur la classification systématique) ne peuvent pas être commercialisés dans l'UE. Les systèmes à risque élevé (évaluation de la solvabilité, gestion des ressources humaines, détection de fraude, évaluation des risques) exigent une conformité documentée avant la mise en œuvre : enregistrement dans une base de données de l'UE, évaluation d'impact ex ante, mise en place de mécanismes de suivi post-commercialisation, traçabilité complète des décisions.
Pour les auditeurs et les pratiques comptables, l'enjeu principal est de comprendre si le client utilise un système d'IA à risque élevé. Si c'est le cas, il y a deux implications. D'abord, le système doit être documenté et conforme au Règlement (UE) 2024/1689. Deuxièmement, si le système alimente les données ou les processus de contrôle interne (par exemple, un modèle d'IA qui classe les transactions comme suspectes pour la prévention de la fraude, ou qui évalue le risque de non-recouvrement de créances), l'auditeur doit évaluer la fiabilité des résultats du système dans le cadre de l'ISA 315 et de l'ISA 330. L'absence de documentation de conformité du client, ou un système d'IA qui n'a pas subi l'évaluation d'impact requise, signifie que le client opère en violation de la loi. Cela affecte directement l'évaluation de l'auditeur concernant le contrôle interne et le respect de la loi.
Le calendrier de mise en œuvre est progressif. Les obligations pour les systèmes à risque élevé s'appliquent à partir de juillet 2025 pour les entreprises nouvelles et déploiements nouveaux, et à partir de juillet 2026 pour les systèmes existants qui ne remplissaient pas les conditions avant juillet 2025. L'autorité responsable de l'application en France est la CNIL en coordination avec les régulateurs sectoriels. En Belgique et au Luxembourg, ce sont respectivement l'APD et la CNPD. L'application est décentralisée par État membre.

Exemple pratique : fabricant textile avec modèle d'IA de détection de fraude

Client : Moreau Textiles SARL, entreprise française basée à Lille, 65 M EUR de chiffre d'affaires, reporter IFRS.
En janvier 2024, Moreau a déployé un système d'IA pour détecter les transactions frauduleuses dans les cycles de ventes et de trésorerie. Le système classe chaque transaction comme normale, suspecte ou à risque élevé. Les transactions classées comme suspectes sont bloquées automatiquement jusqu'à approbation manuelle d'un contrôleur.
Étape 1 : identification du système d'IA comme risque élevé. Le modèle de détection de fraude est énuméré à l'article 6(3) du Règlement (UE) 2024/1689 comme système à risque élevé pour la prévention et la détection de la fraude.
Note de documentation : L'auditeur documente le système d'IA utilisé, son fabricant, sa classification de risque et sa date de déploiement dans le dossier de planification, rubrique « Utilisation de systèmes automatisés ».
Étape 2 : vérification de la conformité du client. L'auditeur demande le dossier de conformité du client : enregistrement auprès de la base de données de l'UE des systèmes d'IA à risque élevé, évaluation d'impact documentée, plan de gouvernance des risques du système d'IA. Moreau Textiles n'a pas de dossier de conformité. Le système a été déployé avant le 1er juillet 2025, donc en théorie le délai légal n'a pas expiré. Cependant, Moreau a manqué la fenêtre de transition d'un an qui s'est fermée le 1er juillet 2025. À partir de cette date, tous les systèmes d'IA à risque élevé en fonction exigent une documentation de conformité.
Note de documentation : L'auditeur enregistre : « Client opère un système d'IA à risque élevé (détection de fraude) sans documentation de conformité requise au 1er juillet 2025. Constitue violation du Règlement (UE) 2024/1689. »
Étape 3 : évaluation de l'impact sur les contrôles internes et l'assertion de complétude. Le système bloque les transactions classées comme suspectes. Cela signifie que certaines ventes légitimes peuvent être bloquées si le modèle génère un faux positif. L'auditeur évalue ISA 330.8 : comment tester que toutes les transactions légitimes ont été enregistrées ? Un modèle d'IA non documenté et non testé en conformité introduit un risque que les chiffres de ventes soient sous-déclarés.
L'auditeur vérifie la précision du modèle sur un échantillon de 200 transactions bloquées en 2024 : 18 faux positifs (transactions légitimes bloquées). Taux d'erreur : 9 %. Cela dépasse le taux de tolérabilité standard de 3-5 %.
Note de documentation : « Taux d'erreur du modèle d'IA de détection de fraude : 9 % sur échantillon de 200 transactions. Faux positifs documentés : 18 transactions légitimes bloquées sans justification. Impacte l'évaluation de l'assertion de complétude. »
Étape 4 : implication pour l'opinion d'audit. Un système d'IA à risque élevé opéré sans documentation de conformité, avec un taux d'erreur supérieur au taux de tolérabilité, et sans gouvernance documentée des risques, signifie que le contrôle interne est défaillant sur le cycle des ventes. L'auditeur doit documenter cela comme une carence matérielle du contrôle interne selon ISA 315.32.
Conclusion : Le déploiement par Moreau d'un système d'IA non conforme a créé une exposition légale (violation du Règlement de l'UE) et une faiblesse de contrôle interne mesurable (taux d'erreur 9 %). L'absence de documentation de conformité aurait pu être rectifiée avant le 1er juillet 2025. Après cette date, c'est une violation. L'auditeur doit évaluer si cela affecte l'opinion et la continuité de la relation avec le client.

Ce que les auditeurs et les examinateurs ne saisissent pas

• Considération réglementaire niée: Nombreux sont les praticiens qui considèrent l'AI Act comme une obligation autonome de conformité qui incombe uniquement au client et qui n'affecte pas l'audit. Ce n'est pas correct. L'absence de documentation de conformité pour un système d'IA à risque élevé signifie que le client opère en violation de la loi, ce qui est un respect de la loi (ISA 250.6). L'auditeur doit l'évaluer.
• Portée incohérente de "risque élevé": Beaucoup d'auditeurs comprennent que les systèmes d'IA à risque élevé sont "l'apprentissage automatique avancé" et excluent les modèles simples ou les règles basées sur des décisions. Ce n'est pas exact. L'article 6(3) énumère explicitement les cas d'usage : si le système prend une décision concernant la solvabilité, l'embauche, le droit d'accès aux services, la détection de fraude ou l'évaluation des risques d'assurance, il est à risque élevé indépendamment de sa complexité. Un système de notation de crédit simple basé sur des règles est toujours à risque élevé.
• Fenêtre de transition mésinterprétée: L'AI Act a une fenêtre de transition de 12 mois pour les systèmes en fonction avant juillet 2025. Beaucoup de cabinets ont cru à tort que cela signifiait que la conformité était une "obligation future" jusqu'à juillet 2026. Ce n'est pas correct. Le délai de juillet 2025 s'est écoulé en 2025. Tous les systèmes à risque élevé en fonction après cette date sont assujettis à la conformité documentée. Il n'y a pas de délai de grâce supplémentaire.

Termes liés

---

• Évaluation du contrôle interne : la mise en œuvre d'un système d'IA sans évaluation d'impact ni suivi post-déploiement affecte directement la conclusion de l'auditeur sur l'efficacité du contrôle interne.
• ISA 315 (révisée) : norme qui régit l'évaluation des risques liés aux systèmes d'information automatisés, y compris ceux fondés sur l'IA.
• CSRD : directive dont les exigences d'assurance imposent l'évaluation de la fiabilité des données de durabilité, y compris celles générées par des systèmes d'IA.
• Piste d'audit CSRD : exigence de traçabilité qui s'applique aux pipelines de données alimentés par des modèles d'IA.