Comment utiliser ce calendrier?

Choisissez votre rôle et votre niveau de risque, puis utilisez la checklist par phases pour planifier le travail et exécuter des exercices d'export de preuves de façon régulière (mensuelle/trimestrielle).

Et si nous ne sommes pas sûrs d'être à haut risque ?

Considérez "incertain" comme potentiellement à haut risque jusqu'à clarification : mettez en place la capture de preuves tôt pour ne pas vous retrouver débordé plus tard.

Que demandent les vérificateurs d'abord?

Une description et des limites du système défendables, puis une preuve des contrôles : l'enregistrement, les dossiers de surveillance, les résultats de surveillance et les approbations de changement liées aux versions.

Qu'est-ce qu'un « exercice d'exportation de preuves »?

Une répétition dans le temps où vous simulez une demande d'auditeur et exportez un paquet vérifiable (manifest + checksums), puis enregistrez les lacunes et les mesures correctives.

Avons-nous besoin de la documentation Annex IV?

Annex IV est associé à des systèmes d'IA à haut risque. La classification dépend de l'objet et du contexte prévus; confirmer avec l'avocat.

Comment KLA aide-t-il?

KLA transforme la gouvernance en contrôles d'exécution (points de contrôle des politiques et approbations humaines) et produit des exportations vérifiables de Evidence Room à partir de pistes de télémétrie et d'examen.

Calendrier interactif

Calendrier de mise en œuvre EU AI Act

Choisissez votre rôle et niveau de risque. Obtenez un plan pratique par phase, avec les artefacts exacts que vous devez produire et les preuves que vous devez pouvoir exporter.

Dernière mise à jour : 16 déc. 2025 - Version v1.0 - À titre indicatif. Ne constitue pas un avis juridique.

Construisez ma liste de contrôle Demander un plan pilote de 4 semaines

Signaler un problème : /contact

Contexte

De quoi s'agit-il (et quand en avez-vous besoin)

Un plan par phases pour produire les livrables et les preuves attendus par les auditeurs.

Cette page n'est pas un résumé juridique. Il s'agit d'un calendrier de mise en oeuvre lié aux produits livrables réels : documentation technique, procédures de surveillance humaine, plans de surveillance, politique de conservation des registres et exercices d'exportation de preuves.

Utilisez les toggles interactifs pour produire une liste de contrôle par rôle et par risque confiance. Si vous êtes incertain, traitez-le comme un risque potentiel élevé jusqu'à ce que vous puissiez défendre la classification.

Vous en avez besoin quand

Vous planifiez des budgets et des séquençages entre les équipes.
Vous devez produire des artefacts rapidement et les garder liés aux preuves.
Vous voulez prouver l'état de préparation de l'audit par des exercices d'exportation, pas des promesses.

Mode de défaillance commun

Les équipes commencent la documentation trop tard et ne peuvent pas exporter de preuves sur demande : pas de piste de versions, pas de traces de revue, pas de preuve d'intégrité, pas de rapports d'exercices.

Liste de contrôle

À quoi ressemble un bon résultat

Critères de succès du calendrier : contrôles + preuves, pas de slides.

Vous avez un inventaire du système et un mémo de classification défendable.
Les actions à risque élevé sont contrôlées par les barrières de politique and/or files d'attente d'approbation.
Le plan de surveillance comprend les seuils, la politique d'échantillonnage, les propriétaires et l'incident workflow.
Les registres d'audit sont protégés contre l'intégrité et exportables avec un manifeste + des comptes de contrôle.
Vous exécutez des exercices d'exportation et conservez des rapports de forage + des mesures correctives comme preuve.

Jalons

Dates clés (orientation)

Utilisez ces étapes pour vérifier votre calendrier interne.

2024-07-12

Publié au Journal officiel

Début du compte à rebours. Utilisez cette date pour vérifier les échéances d’application progressive.

2024-08-01

Entrée en vigueur

Le règlement est en vigueur, avec des obligations qui s’appliquent plus tard.

2025-02-02

Pratiques interdites applicables (article 5)

Haut risque ou non, les cas interdits doivent être retirés ou repensés.

2025-08-02

Début des obligations GPAI

Les obligations côté fournisseur commencent pour les modèles GPAI et à risque systémique.

2026-08-02

La plupart des obligations s’appliquent

Les programmes opérationnels doivent être en production, pas « en planification ».

2027-08-02

Certaines règles haut risque s’appliquent pleinement

Les exigences tardives et spécifiques par catégorie entrent en vigueur.

Planificateur

Plan de mise en œuvre interactif

Un ordre d'opérations suggéré, adapté à votre rôle et à votre confiance en risque.

I’m a

My system is

Phase 1: Inventory and classification

You can’t comply with what you haven’t identified. Start by making risk classification defensible.

Owners

Compliance
Product
Engineering

What you produce

System inventory
Classification memo (assumptions + rationale)
Owner map

Checklist

Inventory AI systems, owners, deployment regions, and affected user groups.
Write intended purpose and boundaries (“do not use for”).
Classify risk tier; if uncertain, treat as potential high-risk until clarified.
Identify and remove prohibited patterns; record remediation decisions.

Phase 2: Governance and change control

Audits fail when versioning and approvals are missing. Make “what changed when” provable early.

Owners

Compliance
Security
Engineering

What you produce

Change control policy
Material change definition
Approval workflow + evidence fields

Checklist

Define “material change” (model/prompt/policy/workflow/data/tool changes).
Implement approvals for risky changes and capture rationale + identity.
Define retention and export expectations for audit logs.

Phase 3: Controls, gates, oversight, and logging

Move from documentation to enforceable runtime controls (fail-closed where needed).

Owners

Engineering
Compliance
Ops

What you produce

Policy-as-code checkpoints
Human oversight SOP
Audit log taxonomy

Checklist

Define policy checkpoints (block / require-review / allow) for high-risk actions.
Stand up an approval queue with escalation and override procedure.
Log decisions, approvals/overrides, tool calls, and versions in effect.

Phase 4: Documentation package and evidence pointers

Reviewers want an artifact that links every claim to exportable proof.

Owners

Compliance
Engineering
Risk

What you produce

Annex IV-aligned technical documentation draft
Evidence pointers per section

Checklist

Draft Annex IV sections and attach evidence pointers (artifact → source → integrity proof).
Produce a one-page summary for stakeholders (forwardable).
Prepare deployer instructions and required operational controls.

Phase 5: Post-market monitoring and incident response

You must prove ongoing control effectiveness: sampling, thresholds, incidents, corrective actions.

Owners

Ops
Compliance
Engineering

What you produce

Post-market monitoring plan
Sampling policy
Incident runbook

Checklist

Define monitored signals and thresholds (quality, policy compliance, tool correctness, operational health).
Implement risk-tiered sampling (baseline + burst rules).
Define incident severity levels, SLAs, rollback/kill-switch procedure, and reporting responsibilities.

Phase 6: Audit readiness drills

Evidence exists only if you can export it on demand, with verification steps.

Owners

Compliance
Engineering
Security

What you produce

Evidence export drill report
Corrective action log

Checklist

Run a time-boxed evidence export drill (simulate an auditor request).
Verify integrity independently (manifest + checksums + hash chain validation).
Record gaps and corrective actions; repeat on cadence (monthly/quarterly).

Aperçu

Aperçu de la liste de contrôle

Un petit extrait de l'artefact téléchargeable (indexable HTML).

CHECKLIST_CALENDRIER :: EXTRAIT

## Phase 2: Évaluation des lacunes (objets que vous devez être en mesure de produire)
- Projet de documentation technique Annex IV (en cas de risque élevé)
- Surveillance humaine SOP + parcours des preuves d'intervention
- Taxonomie forestière + politique de rétention + mécanisme d'exportation
- Plan de surveillance post-commercialisation + politique d'échantillonnage + incident workflow

Étape 6 : Exercices de préparation à la vérification
- Effectuer un exercice complet d'exportation de preuves (boîte à temps)
- Vérifier l'intégrité de manière indépendante (manifest + bilans)
- Réparez les lacunes et enregistrez les mesures correctives

Cartographie KLA

Comment KLA aide (Gouverner / Mesurer / Prouver)

Transformez la chronologie en plan de contrôle avec des preuves exportables.

Gouverner

Les points de contrôle en tant que codes qui bloquent ou exigent un examen pour les mesures à risque.
Approbations en version pour les modifications model/prompt/policy/workflow.

Mesure

Examens de l'échantillonnage selon le degré de risque (règles de base + règles de rupture).
Suivi quasi-mauvaise (étapes bloquées / presque bloquées) comme signal d'efficacité de contrôle.

Prouvez

Piste d'audit infalsifiable, en append-only, avec un délai de conservation de 7 ans et plus si nécessaire.
Les paquets d'exportation Evidence Room (manifeste + somme de contrôle) pour une vérification indépendante.

Modèles Annex IV Liste de contrôle du dossier de preuves Plan de surveillance

Historique

Journal des mises à jour

Signal de fraîcheur sans faire semblant d'être le régulateur.

2025-12-16

Calendrier interactif initial

Ajout des filtres rôle/risque + checklist par phases + artefact de checklist téléchargeable.

Dernière mise à jour: 2025-12-16

FAQ

Quelques réponses pour la planification et les examens.

Télécharger

Télécharger la checklist du calendrier

Checklist modifiable Markdown pour les exercices de planification et de préparation à l'audit.

Télécharger la checklist