Conformité · AI Act

Conformité AI Act : sécurisez vos systèmes d'IA
Galadrim vous accompagne, de la cartographie de vos systèmes d'IA à leur mise en conformité technique, en partenariat avec un cabinet d'avocats pour le volet juridique.
Discuter de mon projet
DSC7347
02/08/26
Application complète du règlement
35 M€
Sanction maximale (ou 7% du CA mondial)
4
Niveaux de risque encadrés
30+
Ingénieurs IA mobilisables chez Galadrim

L'AI Act, une nouvelle réalité pour toutes les entreprises qui utilisent l'IA

Le règlement européen sur l'IA (UE 2024/1689) sera pleinement applicable le 2 août 2026.
Service Picture
Adopté en juin 2024 et entré en vigueur le 1er août 2024, l'AI Act est le premier cadre juridique mondial dédié à l'IA. Il classe les systèmes en 4 niveaux de risque (inacceptable, haut, limité, minimal) et impose des obligations aux fournisseurs comme aux déployeurs.

Il s'applique à toute organisation qui développe, commercialise ou utilise un système d'IA dans l'UE, y compris les entreprises hors UE dont les systèmes y produisent des effets.

Chronologie : pratiques interdites depuis février 2025, obligations GPAI depuis août 2025, et l'essentiel des obligations applicable au 2 août 2026.

Les sanctions montent jusqu'à 35 M€ ou 7% du CA mondial. Mais l'enjeu n'est pas que financier : il est aussi réputationnel et concurrentiel. Démontrer une IA digne de confiance devient un argument commercial fort, à l'image du label CE.
Nos services
Une approche complète, de l'audit à la mise en conformité, en s'appuyant sur notre expertise technique IA et notre cabinet d'avocats partenaire pour le volet juridique.
Cartographie & audit de conformité
Nous identifions tous vos systèmes d'IA (Shadow AI comprise), les classons selon les 4 niveaux de risque de l'AI Act et produisons un rapport d'écart entre votre situation et les exigences.
Discutons-en
Mise en conformité technique
Nous déployons les briques techniques exigées : gestion des risques, contrôle humain, journalisation, monitoring, cybersécurité et hébergement européen (Paris, Belgique).
Discutons-en
Documentation & gouvernance
Nous produisons la documentation technique, la déclaration de conformité, les politiques d'usage IA et structurons une gouvernance pérenne (rôles, comités, revues).
Discutons-en
Volet juridique avec notre cabinet partenaire
Avec un cabinet d'avocats partenaire, nous couvrons le juridique : qualification fournisseur/déployeur, articulation RGPD, clauses contractuelles, PI des outputs, responsabilité.
Discutons-en
Formation & AI literacy
L'article 4 impose un minimum de littératie IA depuis février 2025. Nous concevons des formations sur mesure : collaborateurs, dirigeants, métiers, techniques.
Discutons-en
Veille réglementaire continue
Le cadre évolue (lignes directrices, normes CEN/CENELEC, Omnibus). Nous assurons une veille active et mettons à jour vos systèmes pour rester conforme.
Discutons-en

Pourquoi anticiper votre mise en conformité

L'AI Act ne concerne pas que les fournisseurs de modèles. Si vous déployez ou utilisez un système d'IA dans votre activité, vous êtes très probablement concerné.
Éviter des sanctions lourdes
Jusqu'à 35 M€ ou 7% du CA mondial (pratiques interdites), 15 M€ ou 3% (transparence). Les contrôles montent en puissance dès août 2026.
Encadrer la Shadow AI
ChatGPT, Copilot, Claude, Mistral sans gouvernance = risque majeur. L'AI Act impose littératie IA et contrôle humain sur les décisions clés.
Sécuriser vos systèmes à haut risque
RH, scoring crédit, santé, éducation, infrastructures critiques, justice (annexe III) : documentation, gestion des risques, tests et surveillance humaine obligatoires.
Faire de la conformité un avantage commercial
Prouver votre conformité AI Act devient différenciant, surtout face aux grands comptes qui l'exigent dans leurs appels d'offres.

Notre méthodologie en 5 étapes

Une démarche structurée et pragmatique pour atteindre la conformité dans les délais, sans bloquer votre roadmap produit.
Service Picture
1. Cadrage & cartographie
1. Cadrage & cartographie
Atelier de lancement avec vos équipes (DSI, DPO, métiers, juridique). Identification exhaustive des systèmes d'IA, y compris ceux des prestataires et la Shadow AI.
2. Classification des risques
2. Classification des risques
Pour chaque système, nous déterminons sa qualification (interdit, haut risque, risque limité, risque minimal) et votre rôle (fournisseur, déployeur, importateur, distributeur).
3. Analyse d'écart & plan d'action
3. Analyse d'écart & plan d'action
Production d'un rapport d'écart par système et d'une feuille de route priorisée, articulée avec vos contraintes business et la roadmap réglementaire (février 2025, août 2025, août 2026, août 2027).
4. Mise en conformité
4. Mise en conformité
Implémentation technique (logging, contrôle humain, mesures de cybersécurité, hébergement EU) et production des livrables documentaires (dossiers techniques, déclarations de conformité, registres).
5. Gouvernance & maintien
5. Gouvernance & maintien
Mise en place d'un comité de gouvernance IA, formation des équipes (AI literacy), procédures de revue lors des modifications substantielles, veille réglementaire continue.
Une expertise technique et juridique combinée
L'AI Act est d'abord un règlement technique (qualité des données, robustesse, cybersécurité, traçabilité, contrôle humain) : c'est notre cœur de métier. On accompagne déjà grands groupes, ETI et startups, sur des missions de RGPD + AI Act pour des projets en production.
Mais l'AI Act, c'est aussi du droit. Pour le volet juridique (qualification, contrats, RGPD, incidents, responsabilité), on s'associe à un cabinet spécialisé : un interlocuteur unique côté Galadrim, une couverture end-to-end technique et juridique.
Les fondateurs
Jean, CEO
Jean a travaillé chez IBM. Il est diplômé de l'École polytechnique et de l'EPFL.
Arnaud, CTO
Arnaud a travaillé chez Facebook et Microsoft. Il est diplômé de l'École polytechnique, dont il est sorti major de promotion, et de l'ENS.
École polytechnique Discuter de mon projet
Discuter de mon projet

Pourquoi Galadrim ?

Une équipe IA reconnue, des références sur des sujets sensibles, une approche pragmatique.
01.
Une équipe IA d'excellence
30+ ingénieurs IA issus des meilleures écoles (Polytechnique, Centrale, ENS, HEC), déjà au service de BNP Paribas, Chanel, Showroomprivé, Rexel ou le Ministère des Armées.
02.
Une expérience concrète de la conformité
Missions de conformité RGPD + AI Act sur systèmes en production (audits, recommandations, plans d'action) et audits IA pour fonds, PME et cabinets d'avocats.
03.
Une maîtrise de l'hébergement européen
Architectures IA souveraines hébergées en France ou dans l'UE, modèles open-source self-hosted, articulation Cloud Act / RGPD maîtrisée.
Sécurisez vos systèmes d'IA
Démarrer la discussion
Ils parlent de nous
Le Parisien BFM Business JDN Challenges Le Point

Questions fréquentes sur l'AI Act

Mon entreprise est-elle vraiment concernée par l'AI Act ?
Très probablement oui. Le règlement s'applique à tout fournisseur, déployeur, importateur ou distributeur de système d'IA en UE. Si vous utilisez un outil de recrutement IA, un scoring crédit, un chatbot client, un copilot interne, un outil de génération de contenu, ou si vous intégrez ChatGPT, Claude ou Mistral dans vos process, vous êtes déployeur au sens du règlement et avez des obligations à respecter.
Quelle est la différence entre fournisseur et déployeur ?
Le fournisseur développe et met sur le marché un système d'IA. Le déployeur l'utilise dans un contexte professionnel sans l'avoir développé. Une entreprise qui construit un produit sur l'API d'OpenAI ou d'Anthropic peut basculer du statut de déployeur à celui de fournisseur dès lors qu'elle commercialise un système d'IA distinct. Cette qualification est centrale car elle détermine le niveau d'obligations.
Qu'est-ce qu'un système à haut risque ?
L'annexe III de l'AI Act liste 8 domaines : biométrie, infrastructures critiques, éducation, emploi/RH, accès aux services essentiels (crédit, assurance, aides sociales), application de la loi, contrôle des frontières, justice et processus démocratiques. Les obligations applicables (gestion des risques, qualité des données, documentation technique, contrôle humain, robustesse, cybersécurité) deviennent pleinement applicables le 2 août 2026.
Combien de temps prend une mise en conformité ?
Pour une organisation moyenne avec 2 à 5 systèmes à haut risque identifiés, comptez 4 à 7 mois entre le cadrage et la mise en conformité documentée. Les délais s'allongent en présence de Shadow AI massive, de cartographie complexe ou d'une forte culture IA non encadrée. Nous adaptons le rythme à votre contexte et à vos échéances réglementaires.
Comment se passe le partenariat avec le cabinet d'avocats ?
Vous avez un interlocuteur unique côté Galadrim qui pilote la mission. Le cabinet d'avocats partenaire intervient sur les volets juridiques (qualification, contrats fournisseurs/clients, articulation RGPD, propriété intellectuelle, responsabilité) en mode coordonné avec nos équipes techniques. Vous bénéficiez d'une couverture end-to-end sans avoir à orchestrer plusieurs prestataires.
Que se passe-t-il si l'AI Act est modifié par le paquet Omnibus ?
La Commission européenne discute en 2026 d'un paquet de simplification (Omnibus) qui pourrait décaler certaines échéances pour les systèmes à haut risque. Notre veille réglementaire continue intègre ces évolutions et nous ajustons votre feuille de route en conséquence. Quoi qu'il en soit, les obligations sur les pratiques interdites, la transparence et les modèles GPAI ne sont pas remises en cause.
Paris
2 rue Neuve Saint-Pierre
75004 Paris, France
Nantes
10 rue Voltaire
44000 Nantes, France
Lyon
3 rue de la République
69001 Lyon, France

Bilan carbone
Outils
Index Egapro
Glossaire
Politique de confidentialité
Mentions légales
Agrément CII