[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"$f2klyNCExFiWX-c2C16TSK3Rc71NFhmy0EFi4jsaRpME":3},{"tableOfContents":4,"markDownContent":5,"htmlContent":6,"metaTitle":7,"metaDescription":8,"wordCount":9,"readTime":10,"title":11,"nbDownloads":12,"excerpt":13,"lang":14,"url":15,"intro":16,"featured":4,"state":17,"author":18,"authorId":19,"datePublication":24,"dateCreation":25,"dateUpdate":26,"mainCategory":27,"categories":42,"metaDatas":48,"imageUrl":49,"imageThumbUrls":50,"id":58},false,"Avec l’adoption du [**Règlement (UE) 2024/1689 dit AI Act**](https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=OJ:L_202401689), l’Union européenne a franchi une étape historique dans la régulation de l’intelligence artificielle, en mettant en place **le premier cadre juridique global** visant à encadrer la conception, la mise sur le marché et l’utilisation des systèmes d’IA. Ce texte, entré en vigueur en août 2024, repose sur une approche **fondée sur le niveau de risque que présentent les applications d’IA pour la santé, la sécurité et les droits fondamentaux des personnes**.\r\n\r\n## Une distinction entre différents niveaux de risque\r\n\r\nL’**AI Act** distingue ainsi [plusieurs catégories de systèmes d’IA](https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai?), chacune donnant lieu à des obligations juridiques spécifiques.\r\n\r\n- Au sommet de cette hiérarchie figurent les systèmes présentant un **risque inacceptable** : ces usages, tels que la notation sociale, la manipulation comportementale ou certains dispositifs de reconnaissance faciale en temps réel, **sont strictement interdits** sur le marché de l’Union européenne afin de prévenir des atteintes graves aux droits fondamentaux.\r\n- Viennent ensuite les **systèmes à haut risque**, qui ne sont pas prohibés mais **doivent satisfaire à un ensemble de contraintes renforcées** avant d’être commercialisés ou déployés. Ces obligations comprennent notamment une évaluation rigoureuse des risques, des procédures de gestion des biais et de qualité des données, des mécanismes de contrôle humain, ainsi qu’une documentation détaillée et traçable du fonctionnement du système. Sont visés par cette catégorie des usages variés dans des secteurs sensibles tels que la santé, l’éducation, l’emploi, les services essentiels ou encore la justice et l’ordre public.\r\n- À un niveau intermédiaire, l’AI Act identifie des systèmes à **risque limité**, pour lesquels les obligations se concentrent **essentiellement sur la transparence** à l’égard des utilisateurs : il s’agit, par exemple, de veiller à ce que ces derniers soient informés qu’ils interagissent avec une IA ou que le contenu a été généré par une intelligence artificielle.\r\n\r\nIl n'existe pas de catégorie représentant des **risques minimaux ou nuls** dans l'AI Act. La vaste majorité des systèmes (tels que les filtres anti‑spam ou les jeux vidéo intégrant de l’IA) appartiennent à cette catégorie et ne nécessitent donc pas d'obligations particulières, même si les bonnes pratiques volontaires sont encouragées.\r\n\r\n> Dans les catégories mentionnées, l’enjeu pour les organisations n’est pas seulement d’identifier abstraitement le niveau de risque d’un système d’IA, mais bien de **recenser, qualifier et documenter concrètement chaque cas d’usage**, afin de déterminer avec précision le régime juridique applicable et les obligations qui en découlent.\r\n>\r\n> Cette exigence implique la mise en place d’une **méthodologie structurée de cartographie des cas d’usage d’IA**, permettant de passer d’une lecture théorique de l’AI Act à une application opérationnelle et maîtrisée en pratique.\r\n\r\n## Cartographier les systèmes d’IA avec DASTRA\r\n\r\nLa [cartographie ](https://doc.dastra.eu/features/cartography)permet aux entreprises et organisations de visualiser l’ensemble des systèmes d’IA déployés, d’identifier les obligations légales applicables et de prioriser les actions de conformité.\r\n\r\n**La démarche repose sur trois grands axes : identification, classification et documentation.**\r\n\r\n> Pour qu’une cartographie des cas d’usage d'IA soit véritablement opérationnelle, elle doit dépasser la simple liste descriptive et devenir un **référentiel structuré, relié à la réalité des systèmes**, des données et des obligations réglementaires. **DASTRA** répond précisément à ce besoin en offrant des [fonctionnalités ](https://doc.dastra.eu/features/systemes-dia)permettant de documenter, classifier et suivre les systèmes d’IA dans leur contexte organisationnel et réglementaire.\r\n\r\n### 1. Créer un registre initial des systèmes d’IA\r\n\r\nLa première étape consiste à recenser **l’ensemble des systèmes d’IA utilisés ou développés**, en prenant en compte non seulement les logiciels internes, mais également les solutions fournies par des tiers ou en mode SaaS. Ce recensement doit intégrer **les systèmes en production, en phase de test, de preuve de concept (POC) ou de déploiement**, afin d’éviter les angles morts fréquemment observés lors des audits.\r\n\r\nChaque système doit être décrit selon plusieurs dimensions , telles que la finalité du système (ex. détection de fraude), la technologie utilisée, le bénéficiaire et la sensibilité des données traitées.\r\n\r\nDans **DASTRA**, chaque système d’IA peut être représenté par une fiche dédiée, qui constitue le **point d’entrée central de la cartographie**.\r\n\r\n![](https://static.dastra.eu/richtext/127c4027-97f4-4583-bbeb-c469497b53fc/image-original.png)Cette fiche permet notamment :\r\n\r\n- d’**associer le système aux actifs techniques** déjà identifiés dans la cartographie des données (applications, APIs, infrastructures) ;\r\n\r\n- de **lier les jeux de données utilisés ou générés**, facilitant l’analyse des impacts au regard du RGPD et de l’AI Act ;\r\n\r\n- d’**identifier les parties prenantes clés** (responsable métier, responsable de traitement, sous-traitant, éditeur) ;\r\n\r\n- et de **qualifier le statut du système** (interne/externe, en cours de déploiement, arrêté), garantissant une cartographie exhaustive et à jour.\r\n\r\n{% button href=\"https://www.dastra.eu/fr/article/ai-act-les-questions-cles-pour-votre-registre-ia/59552\" text=\"Consulter la checklist pratique du registre des systèmes d’IA\" target=\"\\_blank\" role=\"button\" class=\"btn btn-primary\" %}\r\n\r\n### 2. Classer les systèmes d’IA selon le niveau de risque\r\n\r\nLa seconde étape consiste à **déterminer la catégorie du système d'IA utilisé**, afin d'avoir une approche différenciée par niveau de risque.\r\n\r\nDans **DASTRA**, il est possible de **lier chaque système à sa catégorie de risque** directement dans sa fiche. L’outil permet également de **documenter les critères ayant conduit à la classification**, mais également d'évaluer la **valeur ajoutée** de chaque système, afin de faciliter les décisions d’arbitrage.\r\n\r\n### ![](https://static.dastra.eu/richtext/67162344-09d9-468d-8847-c0725ccb60fc/image-original.png)3. Documenter les obligations et assurer le suivi\r\n\r\nPour chaque système d’IA identifié et classé, il est nécessaire de **documenter les obligations et exigences associées**, telles que les obligations réglementaires applicables, ou encore les processus opérationnels internes.\r\n\r\nDans **DASTRA**, cette documentation s’effectue directement au sein de la **fiche du système d’IA**. Il est recommandé d'intégrer une notice de transparence (ou notice d'information) afin de **préparer et centraliser les informations destinées aux utilisateurs finaux**. Cela permet de garantir que la finalité du système, les données utilisées et les droits des personnes concernées sont correctement communiqués.\r\n\r\n### 4. Analyser les interdépendances et impacts des systèmes d’IA\r\n\r\nUne cartographie doit également **identifier les interactions entre systèmes, la dépendance aux données et l’impact potentiel sur les droits fondamentaux**. Par exemple, un système de recommandation utilisant des données de santé personnelles pourrait, selon sa finalité, basculer d’un risque limité à un risque élevé, nécessitant un suivi renforcé.\r\n\r\nDans **DASTRA**, cette analyse est facilitée par plusieurs fonctionnalités. Il est ainsi possible, notamment, de visualiser **la cartographie** et de **voir les liens entre les systèmes, les actifs et les jeux de données**, offrant une vue d’ensemble des flux et des dépendances critiques. Les **interactions avec les jeux de données et les modèles d’IA** sont explicitement reliées, ce qui permet d’identifier rapidement les systèmes dont la finalité ou les données sensibles peuvent modifier le niveau de risque.\r\n\r\n{% button href=\"https://www.dastra.eu/fr/contacts/demo\" text=\"Echanger avec un expert de Dastra\" target=\"\\_blank\" role=\"button\" class=\"btn btn-primary\" %}","\u003Cp>Avec l’adoption du \u003Ca href=\"https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=OJ:L_202401689\" rel=\"nofollow\">\u003Cstrong>Règlement (UE) 2024/1689 dit AI Act\u003C/strong>\u003C/a>, l’Union européenne a franchi une étape historique dans la régulation de l’intelligence artificielle, en mettant en place \u003Cstrong>le premier cadre juridique global\u003C/strong> visant à encadrer la conception, la mise sur le marché et l’utilisation des systèmes d’IA. Ce texte, entré en vigueur en août 2024, repose sur une approche \u003Cstrong>fondée sur le niveau de risque que présentent les applications d’IA pour la santé, la sécurité et les droits fondamentaux des personnes\u003C/strong>.\u003C/p>\r\n\u003Ch2 id=\"une-distinction-entre-differents-niveaux-de-risque\">Une distinction entre différents niveaux de risque\u003C/h2>\r\n\u003Cp>L’\u003Cstrong>AI Act\u003C/strong> distingue ainsi \u003Ca href=\"https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai?\" rel=\"nofollow\">plusieurs catégories de systèmes d’IA\u003C/a>, chacune donnant lieu à des obligations juridiques spécifiques.\u003C/p>\r\n\u003Cul>\r\n\u003Cli>Au sommet de cette hiérarchie figurent les systèmes présentant un \u003Cstrong>risque inacceptable\u003C/strong> : ces usages, tels que la notation sociale, la manipulation comportementale ou certains dispositifs de reconnaissance faciale en temps réel, \u003Cstrong>sont strictement interdits\u003C/strong> sur le marché de l’Union européenne afin de prévenir des atteintes graves aux droits fondamentaux.\u003C/li>\r\n\u003Cli>Viennent ensuite les \u003Cstrong>systèmes à haut risque\u003C/strong>, qui ne sont pas prohibés mais \u003Cstrong>doivent satisfaire à un ensemble de contraintes renforcées\u003C/strong> avant d’être commercialisés ou déployés. Ces obligations comprennent notamment une évaluation rigoureuse des risques, des procédures de gestion des biais et de qualité des données, des mécanismes de contrôle humain, ainsi qu’une documentation détaillée et traçable du fonctionnement du système. Sont visés par cette catégorie des usages variés dans des secteurs sensibles tels que la santé, l’éducation, l’emploi, les services essentiels ou encore la justice et l’ordre public.\u003C/li>\r\n\u003Cli>À un niveau intermédiaire, l’AI Act identifie des systèmes à \u003Cstrong>risque limité\u003C/strong>, pour lesquels les obligations se concentrent \u003Cstrong>essentiellement sur la transparence\u003C/strong> à l’égard des utilisateurs : il s’agit, par exemple, de veiller à ce que ces derniers soient informés qu’ils interagissent avec une IA ou que le contenu a été généré par une intelligence artificielle.\u003C/li>\r\n\u003C/ul>\r\n\u003Cp>Il n'existe pas de catégorie représentant des \u003Cstrong>risques minimaux ou nuls\u003C/strong> dans l'AI Act. La vaste majorité des systèmes (tels que les filtres anti‑spam ou les jeux vidéo intégrant de l’IA) appartiennent à cette catégorie et ne nécessitent donc pas d'obligations particulières, même si les bonnes pratiques volontaires sont encouragées.\u003C/p>\r\n\u003Cblockquote>\r\n\u003Cp>Dans les catégories mentionnées, l’enjeu pour les organisations n’est pas seulement d’identifier abstraitement le niveau de risque d’un système d’IA, mais bien de \u003Cstrong>recenser, qualifier et documenter concrètement chaque cas d’usage\u003C/strong>, afin de déterminer avec précision le régime juridique applicable et les obligations qui en découlent.\u003C/p>\r\n\u003Cp>Cette exigence implique la mise en place d’une \u003Cstrong>méthodologie structurée de cartographie des cas d’usage d’IA\u003C/strong>, permettant de passer d’une lecture théorique de l’AI Act à une application opérationnelle et maîtrisée en pratique.\u003C/p>\r\n\u003C/blockquote>\r\n\u003Ch2 id=\"cartographier-les-systemes-dia-avec-dastra\">Cartographier les systèmes d’IA avec DASTRA\u003C/h2>\r\n\u003Cp>La \u003Ca href=\"https://doc.dastra.eu/features/cartography\">cartographie \u003C/a>permet aux entreprises et organisations de visualiser l’ensemble des systèmes d’IA déployés, d’identifier les obligations légales applicables et de prioriser les actions de conformité.\u003C/p>\r\n\u003Cp>\u003Cstrong>La démarche repose sur trois grands axes : identification, classification et documentation.\u003C/strong>\u003C/p>\r\n\u003Cblockquote>\r\n\u003Cp>Pour qu’une cartographie des cas d’usage d'IA soit véritablement opérationnelle, elle doit dépasser la simple liste descriptive et devenir un \u003Cstrong>référentiel structuré, relié à la réalité des systèmes\u003C/strong>, des données et des obligations réglementaires. \u003Cstrong>DASTRA\u003C/strong> répond précisément à ce besoin en offrant des \u003Ca href=\"https://doc.dastra.eu/features/systemes-dia\">fonctionnalités \u003C/a>permettant de documenter, classifier et suivre les systèmes d’IA dans leur contexte organisationnel et réglementaire.\u003C/p>\r\n\u003C/blockquote>\r\n\u003Ch3 id=\"creer-un-registre-initial-des-systemes-dia\">1. Créer un registre initial des systèmes d’IA\u003C/h3>\r\n\u003Cp>La première étape consiste à recenser \u003Cstrong>l’ensemble des systèmes d’IA utilisés ou développés\u003C/strong>, en prenant en compte non seulement les logiciels internes, mais également les solutions fournies par des tiers ou en mode SaaS. Ce recensement doit intégrer \u003Cstrong>les systèmes en production, en phase de test, de preuve de concept (POC) ou de déploiement\u003C/strong>, afin d’éviter les angles morts fréquemment observés lors des audits.\u003C/p>\r\n\u003Cp>Chaque système doit être décrit selon plusieurs dimensions , telles que la finalité du système (ex. détection de fraude), la technologie utilisée, le bénéficiaire et la sensibilité des données traitées.\u003C/p>\r\n\u003Cp>Dans \u003Cstrong>DASTRA\u003C/strong>, chaque système d’IA peut être représenté par une fiche dédiée, qui constitue le \u003Cstrong>point d’entrée central de la cartographie\u003C/strong>.\u003C/p>\r\n\u003Cp>\u003Cimg loading=\"lazy\"  src=\"https://static.dastra.eu/richtext/127c4027-97f4-4583-bbeb-c469497b53fc/image-original.png\" alt=\"\" />Cette fiche permet notamment :\u003C/p>\r\n\u003Cul>\r\n\u003Cli>\u003Cp>d’\u003Cstrong>associer le système aux actifs techniques\u003C/strong> déjà identifiés dans la cartographie des données (applications, APIs, infrastructures) ;\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>de \u003Cstrong>lier les jeux de données utilisés ou générés\u003C/strong>, facilitant l’analyse des impacts au regard du RGPD et de l’AI Act ;\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>d’\u003Cstrong>identifier les parties prenantes clés\u003C/strong> (responsable métier, responsable de traitement, sous-traitant, éditeur) ;\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>et de \u003Cstrong>qualifier le statut du système\u003C/strong> (interne/externe, en cours de déploiement, arrêté), garantissant une cartographie exhaustive et à jour.\u003C/p>\r\n\u003C/li>\r\n\u003C/ul>\r\n\u003Cdiv class=\"content-btn-container\">\u003Ca href=\"https://www.dastra.eu/fr/article/ai-act-les-questions-cles-pour-votre-registre-ia/59552\" target=\"_blank\" role=\"button\" class=\"btn btn-primary\">Consulter la checklist pratique du registre des systèmes d’IA\u003C/a>\u003C/div>\r\n\u003Ch3 id=\"classer-les-systemes-dia-selon-le-niveau-de-risque\">2. Classer les systèmes d’IA selon le niveau de risque\u003C/h3>\r\n\u003Cp>La seconde étape consiste à \u003Cstrong>déterminer la catégorie du système d'IA utilisé\u003C/strong>, afin d'avoir une approche différenciée par niveau de risque.\u003C/p>\r\n\u003Cp>Dans \u003Cstrong>DASTRA\u003C/strong>, il est possible de \u003Cstrong>lier chaque système à sa catégorie de risque\u003C/strong> directement dans sa fiche. L’outil permet également de \u003Cstrong>documenter les critères ayant conduit à la classification\u003C/strong>, mais également d'évaluer la \u003Cstrong>valeur ajoutée\u003C/strong> de chaque système, afin de faciliter les décisions d’arbitrage.\u003C/p>\r\n\u003Ch3 id=\"documenter-les-obligations-et-assurer-le-suivi\">\u003Cimg loading=\"lazy\"  src=\"https://static.dastra.eu/richtext/67162344-09d9-468d-8847-c0725ccb60fc/image-original.png\" alt=\"\" />3. Documenter les obligations et assurer le suivi\u003C/h3>\r\n\u003Cp>Pour chaque système d’IA identifié et classé, il est nécessaire de \u003Cstrong>documenter les obligations et exigences associées\u003C/strong>, telles que les obligations réglementaires applicables, ou encore les processus opérationnels internes.\u003C/p>\r\n\u003Cp>Dans \u003Cstrong>DASTRA\u003C/strong>, cette documentation s’effectue directement au sein de la \u003Cstrong>fiche du système d’IA\u003C/strong>. Il est recommandé d'intégrer une notice de transparence (ou notice d'information) afin de \u003Cstrong>préparer et centraliser les informations destinées aux utilisateurs finaux\u003C/strong>. Cela permet de garantir que la finalité du système, les données utilisées et les droits des personnes concernées sont correctement communiqués.\u003C/p>\r\n\u003Ch3 id=\"analyser-les-interdependances-et-impacts-des-systemes-dia\">4. Analyser les interdépendances et impacts des systèmes d’IA\u003C/h3>\r\n\u003Cp>Une cartographie doit également \u003Cstrong>identifier les interactions entre systèmes, la dépendance aux données et l’impact potentiel sur les droits fondamentaux\u003C/strong>. Par exemple, un système de recommandation utilisant des données de santé personnelles pourrait, selon sa finalité, basculer d’un risque limité à un risque élevé, nécessitant un suivi renforcé.\u003C/p>\r\n\u003Cp>Dans \u003Cstrong>DASTRA\u003C/strong>, cette analyse est facilitée par plusieurs fonctionnalités. Il est ainsi possible, notamment, de visualiser \u003Cstrong>la cartographie\u003C/strong> et de \u003Cstrong>voir les liens entre les systèmes, les actifs et les jeux de données\u003C/strong>, offrant une vue d’ensemble des flux et des dépendances critiques. Les \u003Cstrong>interactions avec les jeux de données et les modèles d’IA\u003C/strong> sont explicitement reliées, ce qui permet d’identifier rapidement les systèmes dont la finalité ou les données sensibles peuvent modifier le niveau de risque.\u003C/p>\r\n\u003Cdiv class=\"content-btn-container\">\u003Ca href=\"https://www.dastra.eu/fr/contacts/demo\" target=\"_blank\" role=\"button\" class=\"btn btn-primary\">Echanger avec un expert de Dastra\u003C/a>\u003C/div>\r\n","Cartographie des cas d’usage IA et conformité AI Act et RGPD","Cartographiez vos systèmes d’IA et respectez l’AI Act : guide pratique avec DASTRA pour gérer risques, obligations et conformité.",1203,7,"Mettre en œuvre une cartographie des cas d’usage d’IA conforme à l’AI Act",0,"Piloter vos risques IA et obligations réglementaires","fr","cartographie-des-cas-dusage-dia-au-regard-de-lai-act","L’AI Act introduit un cadre réglementaire inédit pour encadrer l’utilisation de l’intelligence artificielle en Europe, en fonction du niveau de risque des systèmes déployés. Cet article propose une méthodologie pratique pour cartographier les cas d’usage d’IA dans DASTRA.","Published",{"id":19,"displayName":20,"avatarUrl":21,"bio":22,"blogUrl":22,"color":22,"userId":19,"creationDate":23},2986,"Maëva Vidal","https://static.dastra.eu/tenant-3/avatar/2986/maeva-min-min-min-150.png",null,"2022-09-05T13:22:36","2026-01-23T10:39:00","2026-01-20T10:39:10.0782983","2026-01-23T11:20:14.5669501",{"id":28,"name":29,"description":30,"url":31,"color":32,"parentId":22,"count":22,"imageUrl":22,"parent":22,"order":12,"translations":33},2,"Blog","A list of curated articles provided by the community","blog","#28449a",[34,36,39],{"lang":14,"name":29,"description":35},"Une liste d'articles rédigés par la communauté",{"lang":37,"name":29,"description":38},"es","Una lista de artículos escritos por la comunidad",{"lang":40,"name":29,"description":41},"de","Eine Liste von Artikeln, die von der Community verfasst wurden",[43],{"id":28,"name":29,"description":30,"url":31,"color":32,"parentId":22,"count":22,"imageUrl":22,"parent":22,"order":12,"translations":44},[45,46,47],{"lang":14,"name":29,"description":35},{"lang":37,"name":29,"description":38},{"lang":40,"name":29,"description":41},[],"https://static.dastra.eu/content/680c4973-41bf-4a03-9e90-d34a1a9a654f/visuel-article-10-original.jpg",[51,52,53,54,55,56,57],"https://static.dastra.eu/content/680c4973-41bf-4a03-9e90-d34a1a9a654f/visuel-article-10-1000.webp","https://static.dastra.eu/content/680c4973-41bf-4a03-9e90-d34a1a9a654f/visuel-article-10.webp","https://static.dastra.eu/content/680c4973-41bf-4a03-9e90-d34a1a9a654f/visuel-article-10-1500.webp","https://static.dastra.eu/content/680c4973-41bf-4a03-9e90-d34a1a9a654f/visuel-article-10-800.webp","https://static.dastra.eu/content/680c4973-41bf-4a03-9e90-d34a1a9a654f/visuel-article-10-600.webp","https://static.dastra.eu/content/680c4973-41bf-4a03-9e90-d34a1a9a654f/visuel-article-10-300.webp","https://static.dastra.eu/content/680c4973-41bf-4a03-9e90-d34a1a9a654f/visuel-article-10-100.webp",59814]