Quand la classification des systemes d IA s applique et que faire ensuite

La classification des systemes d IA s applique lorsqu une equipe SaaS developpe, achete, integre, vend ou utilise de maniere significative un systeme d IA dans un produit ou un workflow operationnel, et doit determiner la voie de gouvernance, l analyse reglementaire, les controles et les preuves applicables. La vraie question n est pas seulement la presence d IA. Il faut comprendre le but, les donnees, les personnes affectees, l impact decisionnel, la geographie et le role de l organisation.

L AI Act de l UE suit une approche fondee sur les risques. Certaines pratiques sont interdites, certains systemes peuvent etre a haut risque, d autres declenchent des obligations de transparence et de nombreux usages courants restent moins risques. Pour les equipes SaaS, l enjeu est de transformer cette analyse en processus repetable avec responsables, declencheurs, enregistrements de decision et controles.

Quand classifier

La classification devrait avoir lieu lorsque l IA entre dans un workflow pouvant affecter clients, utilisateurs, salaries, candidats, decisions reglementees, engagements contractuels ou comportement du produit. Cela inclut les nouvelles fonctions IA exposees aux clients, les modeles fournisseurs integres, les outils internes d aide a la decision, le scoring, le ranking, la moderation, les recommandations et l automatisation.

Elle s applique aussi lorsqu un usage existant change. Un outil qui resume des tickets pour des agents peut etre relativement limite si les agents relisent les sorties. Le meme modele connecte a l eligibilite client, a l evaluation de performance, a la fraude ou au credit demande une analyse plus profonde.

Que faire d abord

Commencez par un inventaire IA. Recensez les fonctions produit, outils fournisseurs, workflows internes, integrations de modeles, automatisations et processus d aide a la decision. Pour chaque element, documentez sa finalite, son proprietaire, son origine, les donnees traitees, les personnes affectees, l usage de la sortie, la revue humaine, la geographie et les contextes sensibles ou reglementes.

Utilisez ensuite un formulaire d intake court. Le produit decrit le cas d usage, les utilisateurs, les donnees, le modele, les marches, la sortie et la date prevue. L engineering ajoute l architecture et les flux de donnees. Juridique, compliance, privacy et securite examinent la voie lorsque les reponses indiquent un risque.

Signaux de revue approfondie

Une revue approfondie est indiquee lorsque l IA peut affecter droits, opportunites, securite, acces ou confiance. Selon l AI Act, l analyse haut risque peut etre pertinente pour certains produits reglementes et pour les domaines de l Annexe III: emploi, gestion des travailleurs, education, services essentiels, justice, migration, processus democratiques et certains usages biometriques.

Le nom du modele ne suffit pas. Un modele redigeant des notes internes n est pas equivalent a un workflow qui classe des candidats, note des utilisateurs, evalue un risque financier ou influence l acces a un service important. Le role compte aussi: fournisseur, deployeur ou autre acteur de la chaine de valeur.

Preuves et controles

Documentez la justification en langage clair. Une etiquette comme "pas haut risque" ne suffit pas. Un bon dossier explique les faits examines, le role suppose, les sources consultees, la decision, le reviewer et les declencheurs de reevaluation.

Reliez ensuite la classification aux controles: gestion des risques, gouvernance des donnees, revue fournisseur, supervision humaine, tests, logs, avis de transparence, documentation client, gestion des incidents, monitoring et reevaluation. Conservez l inventaire, l intake, les notes de flux de donnees, les documents fournisseur, la decision, l approbation, les controles et la prochaine date de revue.

Erreurs courantes

Les erreurs courantes consistent a classifier seulement selon le nom du modele, a considerer l IA fournisseur comme un probleme externe, a attendre le lancement et a ne pas revoir une decision lorsque les donnees, utilisateurs, marches, automatisations ou usages clients changent.

FAQ

Quel est l objectif pratique?

Determiner la voie de gouvernance applicable a un cas d usage IA et creer les preuves de cette decision.

Quand cela s applique aux equipes SaaS?

Lorsqu elles developpent, achetent, integrent, vendent ou utilisent de maniere importante un systeme d IA dans le produit ou les operations.

Que faut-il documenter en premier?

Finalite, donnees, personnes affectees, impact decisionnel, revue humaine, fournisseur, geographie, responsable, resultat, justification et controles declenches.

Sources

• Regulation (EU) 2024/1689 laying down harmonised rules on artificial intelligence.
• European Commission guidance on high-risk AI systems.
• NIST Artificial Intelligence Risk Management Framework.