Fiche – Audit des systèmes d’IA

22 juin 2026.

1. Présentation générale

L’audit des systèmes d’intelligence artificielle désigne l’ensemble des opérations permettant d’évaluer, de documenter et de vérifier qu’un système d’IA respecte des exigences juridiques, techniques, éthiques et organisationnelles. Il peut porter sur la conformité à l’AI Act, au RGPD, aux règles sectorielles, aux exigences de cybersécurité, à la gouvernance interne ou aux droits fondamentaux.

Dans la base Dabo Tibi Ius, le thème apparaît surtout à travers les notions de mise en conformité, gestion des risques, documentation technique, supervision humaine, transparence, gouvernance des systèmes d’IA et qualification des systèmes à haut risque. La fiche « Systèmes d’IA à haut risque » rappelle notamment que les systèmes à haut risque sont licites, mais soumis à une conformité renforcée sur l’ensemble de leur cycle de vie. (Dabo Tibi Ius)

L’audit n’est donc pas seulement un contrôle ponctuel : il devient un outil de pilotage continu des risques juridiques, techniques et réputationnels.

2. Points essentiels à retenir

Un audit d’IA doit d’abord qualifier le système : IA interdite, IA à haut risque, IA à risque limité, modèle d’IA à usage général ou usage non réglementé.

Il doit ensuite vérifier les obligations applicables : gestion des risques, qualité des données, documentation technique, traçabilité, transparence, supervision humaine, exactitude, robustesse et cybersécurité.

Pour les systèmes d’IA à haut risque, l’audit prépare ou accompagne l’évaluation de conformité, qui peut conduire au marquage CE lorsque les conditions sont remplies. (Dabo Tibi Ius)

L’audit doit aussi intégrer le RGPD lorsque le système traite des données personnelles : base légale, minimisation, information des personnes, droits des personnes, analyse d’impact, sécurité et encadrement des décisions automatisées.

3. Cadre juridique

AI Act

Le texte central est le règlement (UE) 2024/1689 du 13 juin 2024, dit AI Act. Il établit un cadre harmonisé pour l’intelligence artificielle dans l’Union européenne et repose sur une approche par les risques. (Eur-Lex)

L’audit est particulièrement important pour les systèmes d’IA à haut risque. Ceux-ci sont notamment soumis à des exigences relatives :

  • au système de gestion des risques ;
  • à la gouvernance et à la qualité des données ;
  • à la documentation technique ;
  • à la tenue de journaux ;
  • à la transparence envers les utilisateurs ;
  • à la supervision humaine ;
  • à l’exactitude, la robustesse et la cybersécurité.

La fiche Dabo Tibi Ius « Systèmes d’IA à haut risque : définition et obligations (AI Act) », publiée le 12 juin 2026, souligne que les obligations concernent l’ensemble du cycle de vie du système et que les autorités pourront exiger des preuves de conformité. (Dabo Tibi Ius)

Documentation technique

La documentation constitue l’un des piliers de l’audit. L’article Dabo Tibi Ius « Une analyse critique des exigences en matière de documentation technique de l’article 11 et de l’annexe IV du règlement européen sur l’intelligence artificielle (IA Act). 2025 », de Winston Maxwell et Alicia Breidenstein, publié à partir d’une version préliminaire HAL du 17 novembre 2025, met en évidence les difficultés pratiques liées à la documentation technique, notamment les redondances, incertitudes et difficultés de conformité lorsque le système intègre des modèles d’IA généraux développés par des tiers. (Dabo Tibi Ius)

RGPD

Lorsque le système d’IA traite des données personnelles, l’audit doit également couvrir le RGPD : licéité du traitement, information des personnes, sécurité, analyse d’impact, conservation, transferts, sous-traitance et décisions automatisées.

L’article 22 du RGPD demeure central pour les systèmes produisant des décisions individuelles automatisées. L’audit doit alors vérifier si une décision est fondée exclusivement sur un traitement automatisé, si elle produit des effets juridiques ou significatifs, et si des garanties existent.

4. Méthode d’audit

Phase 1 – Cartographie

L’audit commence par l’inventaire des systèmes d’IA utilisés ou développés par l’organisation. Il faut identifier :

  • le fournisseur ;
  • le déployeur ;
  • les utilisateurs ;
  • les finalités ;
  • les données traitées ;
  • les personnes affectées ;
  • les décisions assistées ou automatisées ;
  • les intégrations techniques.

Cette cartographie est essentielle pour déterminer si le système relève de l’annexe III de l’AI Act ou d’un produit réglementé. La fiche Dabo Tibi Ius sur les systèmes à haut risque insiste précisément sur l’importance de la qualification préalable. (Dabo Tibi Ius)

Phase 2 – Qualification juridique

L’auditeur doit ensuite déterminer le régime applicable :

  • système interdit ;
  • système à haut risque ;
  • système à risque limité ;
  • modèle d’IA à usage général ;
  • simple outil logiciel hors champ de certaines obligations de l’AI Act.

La qualification conditionne l’intensité de l’audit.

Phase 3 – Analyse des risques

L’audit doit examiner les risques pour la santé, la sécurité, les droits fondamentaux, la non-discrimination, la vie privée, la confidentialité, la cybersécurité et la responsabilité.

L’article Dabo Tibi Ius « À Sophia Antipolis, les entreprises s’organisent pour anticiper l’AI Act », publié en 2026 et issu des Petites Affiches des Alpes-Maritimes, montre que les entreprises se mobilisent déjà autour de la gouvernance, de la gestion des risques, de la documentation et de la transparence des modèles. (Dabo Tibi Ius)

Phase 4 – Vérification documentaire

L’audit doit vérifier l’existence et la qualité :

  • de la documentation technique ;
  • des instructions d’utilisation ;
  • des politiques de gouvernance ;
  • des registres ;
  • des contrats ;
  • des analyses d’impact ;
  • des journaux de fonctionnement ;
  • des procédures d’incident.

La documentation ne doit pas être purement formelle : elle doit permettre de comprendre le système, ses limites, ses performances et les conditions de son usage.

Phase 5 – Tests et contrôles

Selon le contexte, l’audit peut inclure des tests de performance, de biais, de robustesse, de cybersécurité, d’explicabilité ou de stabilité des résultats. Pour les IA génératives, il peut également porter sur les hallucinations, la traçabilité des sources, la qualité des réponses et le respect des consignes métiers.

Phase 6 – Plan de remédiation

L’audit doit déboucher sur un plan d’action : correction des données, renforcement de la supervision humaine, amélioration de la documentation, modification contractuelle, limitation des usages, formation des utilisateurs ou suspension du système.

5. Jurisprudence et décisions importantes

La jurisprudence directement consacrée à l’audit des systèmes d’IA reste encore limitée. Les décisions importantes concernent surtout les décisions automatisées, la protection des données et la transparence algorithmique.

L’arrêt CJUE, 7 décembre 2023, SCHUFA Holding, C-634/21 est particulièrement important : il renforce l’attention portée aux systèmes de scoring et aux décisions automatisées lorsqu’ils influencent de manière déterminante une décision affectant une personne. Pour l’audit, cet arrêt invite à examiner non seulement le système lui-même, mais aussi son rôle réel dans la chaîne décisionnelle.

En droit français, les obligations de transparence algorithmique des administrations et le contrôle de la CNIL constituent également des points d’attention, notamment lorsque l’IA intervient dans des décisions individuelles.

6. Acteurs principaux

Les acteurs de l’audit des systèmes d’IA sont multiples :

  • fournisseurs de systèmes d’IA ;
  • déployeurs professionnels ;
  • directions juridiques ;
  • DPO ;
  • RSSI ;
  • directions conformité ;
  • directions métiers ;
  • auditeurs internes ;
  • cabinets d’audit ;
  • organismes notifiés ;
  • autorités de surveillance ;
  • CNIL et autorités européennes.

La fiche Dabo Tibi Ius « Droit bancaire et financier » montre que la gouvernance algorithmique devient un enjeu majeur dans les secteurs réglementés, notamment lorsque l’IA intervient dans le crédit, la gestion des risques, la détection des fraudes ou le conseil automatisé. (Dabo Tibi Ius)

7. État actuel des débats

Le premier débat porte sur le niveau de preuve attendu. Les organisations doivent démontrer leur conformité, mais les standards techniques et pratiques d’audit sont encore en construction.

Le deuxième débat concerne la documentation technique. L’article de Winston Maxwell et Alicia Breidenstein souligne les incertitudes liées à l’article 11 et à l’annexe IV de l’AI Act, notamment lorsque le fournisseur du système dépend d’un modèle tiers. (Dabo Tibi Ius)

Le troisième débat concerne l’audit des modèles opaques. Plus un système est complexe, plus il est difficile d’expliquer ses résultats, de tester tous ses comportements et de garantir sa stabilité.

Le quatrième débat concerne les coûts de conformité. Les petites structures, PME, legaltechs ou cabinets indépendants peuvent rencontrer des difficultés pour financer des audits complets. La base Dabo Tibi Ius montre plus largement que l’IA peut creuser l’écart entre grands acteurs dotés de moyens importants et structures plus modestes. (Dabo Tibi Ius)

8. Actualité récente

L’actualité récente montre une montée en puissance des démarches d’anticipation de l’AI Act. L’article « À Sophia Antipolis, les entreprises s’organisent pour anticiper l’AI Act », publié en 2026, illustre cette mobilisation autour de la mise en conformité, de la documentation, de la gouvernance et de la transparence. (Dabo Tibi Ius)

La fiche Dabo Tibi Ius « Systèmes d’IA à haut risque : définition et obligations (AI Act) », publiée le 12 juin 2026, constitue une ressource structurante pour tout audit, car elle présente les critères de qualification, les obligations des fournisseurs, des déployeurs, des importateurs et des distributeurs, ainsi que les exigences de documentation et d’évaluation de conformité. (Dabo Tibi Ius)

9. FAQ

L’audit d’un système d’IA est-il obligatoire ?

Il n’existe pas une obligation générale d’audit pour tous les systèmes d’IA. En revanche, pour les systèmes à haut risque, les exigences de conformité, de documentation, de gestion des risques et d’évaluation rendent l’audit pratiquement indispensable.

Qui doit auditer un système d’IA ?

Selon les cas, l’audit peut être mené par le fournisseur, le déployeur, un auditeur interne, un tiers spécialisé ou un organisme notifié.

L’audit concerne-t-il uniquement les systèmes à haut risque ?

Non. Les systèmes non qualifiés de haut risque peuvent aussi devoir être audités pour des raisons de RGPD, de cybersécurité, de responsabilité, de déontologie ou de gouvernance interne.

Que faut-il auditer en priorité ?

La qualification du système, les données, la documentation, les risques, les biais, la supervision humaine, la sécurité, les contrats et les usages réels.

Un audit peut-il garantir l’absence de risque ?

Non. Il réduit les risques et documente la conformité, mais ne garantit jamais l’absence totale d’erreur, de biais, d’incident ou de contentieux.

10. Ressources essentielles

Articles Dabo Tibi Ius mobilisés :

  • « Fiche – Systèmes d’IA à haut risque (AI Act) », 12 juin 2026. (Dabo Tibi Ius)
  • « Systèmes d’IA à haut risque : identification, obligations des différents acteurs », Bertrand Cassar, Lamy Liaisons, Le Lamy Droit de l’IA, 2025, cité dans la base. (Dabo Tibi Ius)
  • « Une analyse critique des exigences en matière de documentation technique de l’article 11 et de l’annexe IV du règlement européen sur l’intelligence artificielle (IA Act). 2025 », Winston Maxwell et Alicia Breidenstein, HAL, version préliminaire du 17 novembre 2025. (Dabo Tibi Ius)
  • « À Sophia Antipolis, les entreprises s’organisent pour anticiper l’AI Act », Les Petites Affiches des Alpes-Maritimes, 2026. (Dabo Tibi Ius)
  • « Fiche – Droit bancaire et financier », 2026. (Dabo Tibi Ius)

Méthodologie : Cette fiche a été générée avec l’assistance de l’intelligence artificielle à partir de la base documentaire Dabo Tibi Ius et de sources complémentaires sélectionnées. Elle a vocation à fournir une synthèse informative et ne constitue pas un avis juridique.

Fiches Dabo Tibi Ius associées :