Qu'est-ce que Willaw ?

Willaw est une plateforme SaaS de conformité RGPD tout-en-un avec intelligence artificielle intégrée, destinée aux entreprises françaises (TPE, PME, ETI, grandes entreprises). Elle automatise le registre des traitements, les analyses d'impact (DPIA), la gestion des sous-traitants et le portail d'exercice des droits.

Willaw utilise-t-il l'intelligence artificielle ?

Oui, Willaw intègre un copilot IA juridique RGPD avec deux modèles au choix : Google Gemini pour une compréhension contextuelle avancée, et Mistral AI, un modèle français dont les données sont traitées exclusivement en Europe pour garantir la souveraineté numérique.

Quels secteurs d'activité Willaw couvre-t-il ?

Willaw couvre de nombreux secteurs : services numériques, santé, finance, commerce, industrie, éducation, associations, immobilier et transport. Les recommandations IA sont adaptées aux spécificités réglementaires de chaque secteur.

Combien coûte Willaw ?

Willaw propose un essai gratuit pour découvrir la plateforme. Plusieurs plans tarifaires sont disponibles pour s'adapter aux besoins des TPE, PME et grandes entreprises. Contactez-nous pour un devis personnalisé.

Willaw est-il conforme au RGPD lui-même ?

Oui, Willaw est conçu dans le respect total du RGPD. Les données sont hébergées en Europe, le chiffrement est appliqué aux données sensibles, et l'option Mistral AI garantit un traitement 100% européen des données.

Classification de risque AI Act : comment évaluer vos systèmes d'IA étape par étape

Introduction : pourquoi la classification est la première étape de votre conformité

Avant de pouvoir définir vos obligations au titre du Règlement sur l'IA (2024/1689), vous devez répondre à une question fondamentale : à quel niveau de risque se situe chaque système d'IA que vous utilisez ou fournissez ?

Cette classification conditionne l'ensemble de votre démarche de conformité. Un système à haut risque impose des obligations massives (documentation technique, surveillance humaine, FRIA, enregistrement dans la base de données de l'UE). Un système à risque limité impose uniquement des obligations de transparence. Un système à risque minimal n'impose aucune obligation spécifique.

Le Règlement ne propose pas de formulaire officiel pour réaliser cette classification. C'est aux organisations de conduire cette analyse de manière structurée et documentée. Cet article détaille la méthodologie en 7 étapes, directement alignée sur les articles pertinents du Règlement.

1. Identifier le système d'IA (prérequis)

Avant toute classification, il faut caractériser précisément le système :

Nom et version du système
Fournisseur : qui a développé le système ? (éditeur, open source, développement interne)
Finalité prévue : à quoi sert le système ? Quelle est sa fonction dans vos processus ?
Rôle de votre organisation : êtes-vous fournisseur, déployeur, distributeur ou importateur ?
Personnes concernées : qui est impacté par les décisions ou sorties du système ?

Conseil pratique
Constituez un inventaire complet de tous vos systèmes d'IA avant de lancer la classification. Incluez les outils SaaS avec des fonctions d'IA intégrées (filtrage de CV, chatbots, analyse prédictive, recommandation). Beaucoup d'organisations sous-estiment le nombre de systèmes d'IA qu'elles utilisent.

2. Vérifier les pratiques interdites (Article 5)

La première étape de la classification consiste à s'assurer que le système ne relève pas d'une pratique interdite. Ce test est binaire : si le système est interdit, il ne peut pas être déployé, quel que soit le résultat des étapes suivantes.

Les 5 questions à poser :

Le système utilise-t-il des techniques subliminales ou délibérément manipulatrices pour altérer le comportement des personnes ? (Art. 5.1.a)
Le système exploite-t-il les vulnérabilités d'un groupe spécifique (âge, handicap, situation sociale) ? (Art. 5.1.b)
Le système permet-il une notation sociale par ou pour les autorités publiques ? (Art. 5.1.c)
Le système infère-t-il des données sensibles (opinions politiques, orientation sexuelle, convictions religieuses) à partir de données biométriques ? (Art. 5.1.g)
Le système effectue-t-il une identification biométrique à distance en temps réel dans des espaces publics ? (Art. 5.1.h)

Si la réponse à l'une de ces questions est "oui", le système est interdit sauf exceptions très limitées prévues à l'Article 5.2 (menaces terroristes imminentes, recherche de victimes, infractions graves spécifiques). La conclusion est immédiate : le système ne peut pas être mis en service.

Si toutes les réponses sont "non", passez à l'étape 3.

Si une réponse est "incertain", une analyse juridique approfondie est nécessaire avant de poursuivre.

3. Tester le critère produit réglementé (Art. 6.1 + Annexe I)

Le système d'IA est-il intégré dans un produit couvert par la législation d'harmonisation de l'Union européenne ?

L'Annexe I liste les secteurs concernés :

Machines et équipements (Directive 2006/42/CE)
Jouets (Directive 2009/48/CE)
Équipements sous pression (Directive 2014/68/UE)
Dispositifs médicaux (Règlement 2017/745)
Dispositifs médicaux de diagnostic in vitro (Règlement 2017/746)
Sécurité générale des produits (Règlement 2023/988)
Véhicules à moteur et remorques (Règlement 2019/2144)
Aviation civile (Règlement 2018/1139)

Si le système d'IA est un composant de sécurité d'un tel produit, ou constitue lui-même un tel produit, il est automatiquement classifié haut risque au titre de l'Art. 6.1. Passez directement à la section "Obligations haut risque" ci-dessous.

4. Tester les domaines Annexe III (Art. 6.2)

Si le système n'est pas un produit réglementé, vérifiez s'il relève de l'un des 8 domaines à haut risque de l'Annexe III :

Domaine 1 : Biométrie

Identification biométrique à distance (non en temps réel), catégorisation biométrique des personnes physiques.

Domaine 2 : Infrastructures critiques

Composants de sécurité dans la gestion du trafic routier, la fourniture d'eau, de gaz, de chauffage et d'électricité.

Domaine 3 : Éducation et formation

Détermination de l'accès à un établissement, évaluation des résultats d'apprentissage, détection de tricherie, niveau d'éducation adaptatif.

Domaine 4 : Emploi et gestion des travailleurs

Recrutement (tri de CV, scoring de candidats), décisions de promotion, licenciement, allocation de tâches, surveillance des performances.

Domaine 5 : Services essentiels

Évaluation de solvabilité, scoring d'assurance, triage médical d'urgence, prestations sociales.

Domaine 6 : Répression

Évaluation de la fiabilité des preuves, profilage, police prédictive, détection de deepfakes.

Domaine 7 : Migration et contrôle aux frontières

Polygraphes, évaluation des risques sécuritaires, traitement des demandes de visa et d'asile.

Domaine 8 : Administration de la justice

Recherche juridique, interprétation de la loi, résolution alternative des litiges.

Si votre système relève de l'un de ces domaines ET qu'il pose un risque significatif de préjudice pour la santé, la sécurité ou les droits fondamentaux, il est classifié haut risque.

5. Évaluer l'exemption Art. 6(3)

Si votre système relève de l'Annexe III, vous pouvez revendiquer l'exemption de l'Art. 6(3) si vous pouvez démontrer que le système ne pose pas de risque significatif. Les critères d'évaluation incluent :

Le système effectue-t-il une tâche étroite et procédurale ?
Le système améliore-t-il le résultat d'une activité humaine déjà complétée ?
Le système a-t-il un caractère purement préparatoire pour une décision humaine ?
Le système ne fait-il que détecter des modèles sans prendre de décision affectant des personnes ?

Attention
L'exemption Art. 6(3) doit être documentée et justifiée. L'organisation qui la revendique doit conserver cette documentation et la présenter sur demande de l'autorité compétente. Si l'exemption est jugée injustifiée lors d'un contrôle, les sanctions peuvent inclure les montants prévus pour les systèmes à haut risque non conformes (15 millions d'euros ou 3% du CA mondial).

6. Vérifier les obligations de transparence (Art. 50)

Même si votre système n'est pas à haut risque, des obligations de transparence peuvent s'appliquer :

Interaction avec des personnes (Art. 50.1) : chatbots, assistants vocaux, agents conversationnels — les personnes doivent être informées qu'elles interagissent avec une IA
Génération de contenu (Art. 50.2) : textes, images, vidéos, fichiers audio générés par IA — le contenu doit être marqué de manière lisible par machine
Reconnaissance d'émotions (Art. 50.3) : les personnes exposées doivent être informées
Catégorisation biométrique (Art. 50.3) : les personnes exposées doivent être informées
Deepfakes (Art. 50.4) : le contenu manipulé ou généré doit être étiqueté

7. Conclure : classification finale et actions requises

À l'issue de l'analyse, votre système se situe dans l'une des quatre catégories :

INTERDIT : le système ne peut pas être déployé. Action : arrêt immédiat ou reconception
HAUT RISQUE : obligations complètes Art. 9 à 15, FRIA (Art. 27), enregistrement (Art. 49). Action : lancer la mise en conformité complète
RISQUE LIMITÉ : obligations de transparence Art. 50 uniquement. Action : mettre en place les notices et marquages requis
RISQUE MINIMAL : pas d'obligation spécifique. Action : considérer les codes de conduite volontaires (Art. 95)

Documentation obligatoire
Quelle que soit la classification finale, documentez votre analyse. Le Règlement impose une obligation d'accountability comparable au RGPD : vous devez être en mesure de démontrer que vous avez procédé à une évaluation sérieuse et motivée du niveau de risque de chaque système d'IA que vous utilisez ou fournissez.

Conclusion

La classification de risque n'est pas un exercice ponctuel. Elle doit être revue à chaque modification significative du système, à chaque changement de finalité ou de contexte de déploiement, et lors de chaque mise à jour majeure. Intégrez cette revue dans votre cycle de gouvernance IA pour garantir une conformité continue.

Changement d'entreprise