H/IA — Diagnostic AI Act en 13 questions

Étape 1 / 5 · Identification

Quelle est votre organisation ?

Plusieurs régimes du règlement européen sur l'IA dépendent du statut juridique et de la taille. Choisissez celui qui correspond le mieux.

Association loi 1901Centre social, fédération, association d'éducation populaire, association d'aide… Coopérative (SCIC, SCOP)Société coopérative d'intérêt collectif ou de production. MutuelleMutuelle santé, mutuelle d'assurance. Service public ou collectivitéMairie, centre communal d'action sociale (CCAS), agence régionale, ministère… Branche professionnelle / OPCOOpérateur de compétences, syndicat employeur, observatoire des métiers. AutreEntreprise classique, fondation, particulier, autre.

Étape 1 / 5 · Identification

Combien de personnes votre organisation emploie-t-elle ?

Les obligations varient selon la taille — les structures de moins de 50 salariés bénéficient d'allègements sur certaines obligations documentaires.

Moins de 10 salariésMicroentreprise au sens européen. 10 à 49 salariésPetite entreprise au sens européen. 50 à 249 salariésMoyenne entreprise — plus d'obligations documentaires. 250 salariés et plusGrande structure — obligations complètes.

Étape 2 / 5 · Votre rôle

Quel est votre rôle vis-à-vis du système d'IA ?

Le règlement crée quatre statuts distincts, avec des obligations différentes. Choisissez celui qui correspond à votre relation avec l'outil.

Je le fournis ou le développeVous concevez, entraînez ou commercialisez le système d'IA. Statut : « fournisseur ». Je l'utilise dans mon activitéVous achetez ou utilisez un outil d'IA tel que ChatGPT, Mistral Le Chat, Microsoft Copilot, ou un outil métier intégrant de l'IA. Statut : « déployeur ». Je le distribue ou l'importe en EuropeVous mettez sur le marché européen un système conçu hors UE. Statut : « distributeur » ou « importateur ». Je n'utilise pas encore d'IAVous évaluez seulement votre exposition future.

Étape 3 / 5 · Finalité du système

À quoi sert le système d'IA ? (plusieurs choix possibles)

C'est la finalité qui détermine le niveau de risque, pas la technologie. Cochez tous les usages réels et envisagés. Si vous n'en avez aucun, cochez la dernière case.

Étape 3 / 5 · Type de modèle

Le système repose-t-il sur un modèle d'IA à usage général ?

Un « modèle d'IA à usage général » désigne un grand modèle entraîné sur de larges corpus, capable de tâches variées : ChatGPT, Claude, Gemini, Mistral, Llama. Au-dessus d'un certain seuil de puissance de calcul, ces modèles sont qualifiés de « modèles à risque systémique ».

Oui, et je suis le fournisseur du modèleVous entraînez ou commercialisez votre propre modèle à usage général. Oui, j'utilise un modèle à usage général via une interface ou une APIVous appelez ChatGPT, Claude, Mistral, Gemini ou un autre modèle généraliste, directement ou via un outil intégré. Non, c'est un modèle spécialisé ou ajusté finementModèle entraîné spécifiquement pour une tâche, ou ajusté à partir d'un modèle ouvert. Je ne sais pasC'est fréquent. On vous aide à le déterminer.

Étape 4 / 5 · Données traitées

Quelles données traitez-vous ? (plusieurs choix possibles)

Le règlement européen sur la protection des données (RGPD) et le règlement sur l'IA s'articulent fortement. Le type de données traitées impose des obligations supplémentaires.

Données personnelles standardNoms, adresses, courriels, numéros de téléphone. Données sensiblesSanté, opinions politiques, appartenance syndicale, religion, orientation sexuelle, origine ethnique. Données concernant des mineursPersonnes de moins de 18 ans : enfants en crèche, élèves, jeunes en accompagnement social. Données biométriquesEmpreintes digitales, image du visage, voix, démarche, autres caractéristiques physiques uniques. Données publiques uniquementDocuments juridiques, jurisprudence, statistiques publiques, archives ouvertes. Aucune donnée personnelleAucun traitement de données identifiant des personnes.

Étape 4 / 5 · Données traitées

Avez-vous réalisé une analyse d'impact sur la protection des données ?

Une analyse d'impact relative à la protection des données (AIPD), parfois appelée « évaluation d'impact » ou « DPIA », est un document obligatoire dès qu'un traitement présente un risque élevé pour les droits des personnes. La CNIL met à disposition un modèle gratuit.

Oui, complète et à jourDocument écrit, validé, mis à jour au moins une fois par an. Oui, partielle ou ancienneDocument existant mais incomplet, ou plus mis à jour depuis longtemps. Non, pas encoreAucune analyse d'impact réalisée à ce jour. Pas applicable selon nousVous estimez que le traitement ne déclenche pas l'obligation.