SPRINKLING ACT — MÉTHODOLOGIE DE SCORING
Sprinkling Act opère deux niveaux d’évaluation distincts. Le diagnostic gratuit est une auto-évaluation : vous répondez à 9 questions selon votre propre perception de votre système IA, et les 6 gates réglementaires produisent un score indicatif. Le rapport complet est une analyse sélective avec revue humaine et questionnaire étendu — l’accès nécessite une qualification, et les demandes peuvent être refusées.
Diagnostic gratuit
“Selon ce que vous savez de votre système IA, quelle est sa position réglementaire la plus probable ?”
Réponses auto-déclarées → scoring 6 gates → signal indicatif. Instantané. Sans compte. C’est votre perception, pas notre verdict. Le score gratuit ne vise pas à simplifier un règlement de 144 pages — il est conçu pour guider votre auto-évaluation.
Rapport complet (690€)
“Sur base d’informations vérifiées sur votre système, quelle est sa classification réglementaire défendable ?”
Qualification requise → vous complétez un questionnaire d’intake structuré couvrant 14 sections (20–30 minutes de votre temps) → nous confirmons sous 1–3 jours ouvrés → revue humaine + analyse article par article → rapport livré sous 5–7 jours ouvrés (~1–2 semaines au total). Le rapport fait 15–22 pages adaptées à votre classification spécifique — un système HIGH reçoit plus de pages d’analyse qu’un système LIMITED. Chaque rapport inclut un one-pager détachable avec jauge de risque SVG, frise chronologique, radar de gouvernance AI Positive, analyse croisée RGPD Art. 22, évaluation des biais algorithmiques, risques résiduels et FAQ intégrée. Le questionnaire est conçu pour poser les questions précises qui font émerger l’information pertinente — même quand vous ne saviez pas qu’elle comptait. Le score du rapport peut différer de celui du diagnostic gratuit.
01
Chaque question correspond à un article, paragraphe ou annexe spécifique. Pas d'interprétation au-delà du texte du règlement.
02
Les gates sont irréversibles. Une pratique interdite au Gate 01 arrête immédiatement l'évaluation — aucun score ne peut annuler une violation légale.
03
Chaque classification est accompagnée d'un parcours traçable complet — gate par gate, article par article. Exportable et indépendamment vérifiable.
04
Chaque rapport inclut un indicateur de stabilité : STABLE, MODÉRÉ ou INSTABLE — reflétant la probabilité que la classification change à mesure que les orientations évoluent.
05
Sprinkling Act n'interprète pas les cas ambigus en faveur du client. Lorsque la classification est incertaine, cela est signalé explicitement avec une recommandation de consulter un conseiller juridique.
06
Chaque rapport porte deux marqueurs de version : la version de la méthodologie Sprinkling Act et la date de gel réglementaire (mars 2026). Cela signifie qu'un rapport produit en mars 2026 reflète l'AI Act tel qu'il était compris à cette date. Les actes délégués futurs, les orientations de l'AI Board ou la jurisprudence n'invalident pas les rapports existants — ils peuvent déclencher une recommandation de réévaluation.
Les gates sont évaluées en sequence. La première gate déclenchée determine la classification finale. Les gates inférieures ne sont pas évaluées une fois qu'une gate supérieure est déclenchée.
Si une pratique relève de l'Article 5 — manipulation subliminale, scoring social, identification biométrique à distance en temps réel dans les espaces publics, exploitation des vulnérabilités, moissonnage non ciblé d'images faciales, reconnaissance des émotions au travail/éducation, catégorisation biométrique d'attributs sensibles — l'évaluation s'arrête immédiatement. Aucun score n'est attribué. Le système ne peut pas être déployé légalement.
Systemes d'IA qui sont des composants de sécurité de produits couverts par la legislation d'harmonisation de l'Union (Annexe I) — machines, dispositifs médicaux, aviation civile, véhicules à moteur, equipements marins — et qui doivent faire l'objet d'une évaluation de conformité par un tiers.
Systemes d'IA listés dans l'Annexe III à travers 8 domaines. C'est la que la plupart des systèmes d'IA d'entreprise sont classifiés. L'exception de l'Article 6(3) (tâche procédurale étroite, pas de préjudice significatif) peut s'appliquer mais nécessite une justification documentée.
Les modèles d'IA à usage général entraînés avec plus de 10²⁵ FLOPs sont classifiés comme modèles à risque systémique. Des obligations supplémentaires s'appliquent : tests adversariaux, signalement d'incidents sans retard injustifié (Art. 55(1)(c)), mesures de cybersécurité, rapport de consommation énergétique.
Les systèmes d'IA qui interagissent avec des humains ou génèrent du contenu doivent divulguer leur nature IA. Les chatbots doivent s'identifier au début de chaque interaction. Les médias synthétiques générés par IA doivent être étiquetés.
Les fournisseurs de modèles GPAI (hors risque systémique) doivent maintenir une documentation technique, publier des résumés des données d'entraînement, se conformer au droit d'auteur de l'UE et fournir aux fournisseurs en aval les informations de conformité nécessaires.
Interdit / Risque inacceptable
Le système ne peut pas être déployé légalement. Remédiation immediate requise.
Haut risque (composant de sécurité)
Évaluation de conformité par tiers requise. Obligations complètes Art. 9-15.
Haut risque (Annexe III)
Obligations complètes Art. 9-15. Enregistrement dans la base de données UE requis.
Risque limité (GPAI / Transparence)
Obligations Art. 50 ou Art. 53. Exigences de divulgation applicables.
Risque minimal
Pas d'obligations obligatoires. Code de conduite volontaire recommandé.
Évalué
Processus Sprinkling Act complet : diagnostic + rapport + revue.
Une idée fausse largement répandue : « si mon système est classé à haut risque, je dois payer un organisme notifié 50–150K€ ». C’est vrai pour certains cas — pas tous. L’Article 43 de l’AI Act définit deux voies distinctes d’évaluation de conformité. La grande majorité des systèmes Annexe III (RH, crédit, éducation) peuvent emprunter la voie interne.
VOIE INTERNE
Annexe VI — Auto-certification
Applicable à la plupart des systèmes Annexe III : emploi et RH, crédit et assurance, éducation, services publics essentiels, asile et migration, application de la loi (sous conditions), administration de la justice. Le fournisseur évalue lui-même la conformité aux Art. 9–15, produit la documentation technique (Art. 11) et signe la déclaration UE de conformité (Art. 47). Pas d’organisme notifié impliqué.
Coût indicatif : 10–50K€ selon le niveau de support externe.
VOIE TIERS
Annexe VII — Organisme notifié
Obligatoire pour : (1) l’IA en tant que composant de sécurité d’un produit déjà soumis à évaluation tierce sous la législation d’harmonisation (MDR, machines, jouets, véhicules) — la procédure AI Act s’intègre dans celle du produit ; (2) l’Annexe III §1(a) sur la biométrie distante, pour laquelle l’Annexe VII est explicitement requise. Un organisme notifié audite le QMS et la documentation technique avant mise sur le marché.
Coût indicatif : 50–150K€+ par système, en plus du QMS.
Pourquoi cette distinction compte : la différence entre auto-certification et audit tiers peut représenter un facteur 5 à 10 sur la facture de conformité. Sprinkling Act identifie la voie applicable à votre système dans le rapport complet — avant que vous n’engagiez un budget.
Sources : Art. 43 AI Act · Annex VI · Annex VII · Art. 47 (EU Declaration of Conformity)
L’EU AI Act nécessite une interprétation contextuelle. Les pratiques interdites Art. 5 sont claires pour certains cas, ambiguës pour d’autres. La classification haut risque Art. 6 dépend du contexte d’usage, pas seulement de la technologie. Les seuils de risque systémique GPAI Art. 51 sont encore en cours d’opérationnalisation. Nous ne résolvons pas l’ambiguïté — nous la signalons explicitement et recommandons un conseil juridique pour les cas limites.
Sprinkling Act est un outil opérationnel, pas un avis juridique. Il produit l’artefact structuré, mappé aux articles, dont votre avocat, votre régulateur ou votre investisseur a besoin comme point de départ. Le même pattern s’est appliqué au RGPD : 80% de la conformité c’est de la documentation et des opérations ; les 20% restants c’est du jugement juridique. Nous gérons les 80%.
La classification est basée sur les informations fournies par le client. Le questionnaire d’intake structuré (20–30 minutes) est conçu pour réduire l’asymétrie d’information, mais des entrées incomplètes ou inexactes produiront des classifications incomplètes ou inexactes.
L’EU AI Act est soumis à une interprétation continue à travers des orientations, des actes délégués et des décisions du Bureau européen de l’IA. Les classifications peuvent changer à mesure que les orientations faisant autorité évoluent. Les rapports incluent un indicateur de stabilité temporelle reflétant ce risque.
Sprinkling Act ne couvre pas la législation nationale de transposition, les chevauchements réglementaires sectoriels (ex. interaction RGPD + AI Act), ni les systèmes d’IA déployés en dehors de l’UE.
La méthodologie Sprinkling Act est construite exclusivement sur l’EU AI Act (Règlement 2024/1689). Elle n’est ni dérivée, ni certifiée, ni dépendante d’un standard externe. Cependant, la logique de gates et la structure d’évaluation des risques sont cohérentes avec les principes des cadres internationaux établis :
NIST AI RMF 1.0
NIST AI 100-1 (2023)
Les quatre fonctions NIST — Govern, Map, Measure, Manage — reflètent l’approche cycle de vie intégrée dans nos gates. L’évaluation par gate (Map), le scoring avec obligations (Measure) et la veille réglementaire continue (Manage) suivent la même logique itérative. La méthodologie Sprinkling Act couvre les fonctions Map et Measure ; les fonctions Govern et Manage opérationnelles restent la responsabilité de l’organisation évaluée.
ISO/IEC 42001:2023
Systèmes de management de l’IA
L’ISO 42001 exige des organisations qu’elles établissent des processus d’évaluation des risques (Clause 6), des contrôles opérationnels (Clause 8) et une évaluation des performances (Clause 9). Notre évaluation en 6 gates produit la classification de risque et le mapping d’obligations qui alimentent un Système de Management de l’IA conforme à l’ISO 42001. L’évaluation ne remplace pas un AIMS — elle fournit l’input réglementaire qu’un AIMS nécessite.
Sprinkling Act ne revendique pas de certification ISO 42001 ni de conformité NIST. Ces références indiquent une cohérence structurelle, pas un alignement formel ni un cautionnement.
v1.1
Mars 2026
Art. 5§1(d) ajouté — profilage de risque criminel. Art. 5§1(h) corrigé — biométrie temps réel. Référence Art. 6(1) vs 6(2) corrigée. Art. 50§2 marquage activé. Les 8 contrôles de pratiques interdites (a-h) sont couverts. Obligations HAUT RISQUE enrichies avec Art. 9-15. Section alignement standards internationaux ajoutée (NIST AI RMF, ISO 42001).
v1.0
Mars 2026
Méthodologie versionnée et publiée. Gate risque systémique GPAI (Art. 55). Logique d’exemption Art. 6(3). Orientations du Bureau de l’IA sur l’Annexe III. Date de gel réglementaire : mars 2026.
v0.1
Janvier 2026
Version initiale. 6 gates réglementaires basées sur les Art. 5, 6, 50, 51, 53. Mapping des articles pour tous les domaines de l’Annexe III.
Cette méthodologie est maintenue à jour par un système interne de détection de signaux qui surveille quotidiennement les évolutions réglementaires IA mondiales à travers 1 100+ sources en 15 langues.
Lorsqu’un signal atteint le niveau CRITIQUE ou MAJEUR, l’indicateur de Stabilité Temporelle des rapports concernés est mis à jour automatiquement. Chaque axe de scoring est documenté, chaque seuil est versionné.
Signaux actifs impactant cette méthodologie :
FRAMEWORK COMPLÉMENTAIRE
Les 6 Gates ci-dessus sont notre façon d'évaluer la position AI Act. Les 4 ACTS sont notre façon d'expliquer cette position aux builders d'agents IA. Chaque ACT (Responsabilité, Consentement, Traçabilité, Maîtrise) renvoie à des gates spécifiques ci-dessus, mais utilise le langage et les patterns de la façon dont les agents sont réellement construits en 2026 — action autonome, capture ambiante, chaînes multi-agents, vibe-coded shipping. Le framework est open MIT sur GitHub. Le rapport complet applique les deux lentilles simultanément.
Lire le framework 4 ACTS →Le diagnostic gratuit applique les 6 gates à votre système. 9 questions, résultat instantané.
Diagnostic gratuit — instantanéVOIR AUSSI
Diagnostic gratuit
Lancez l'évaluation en 6 gates sur votre système d'IA. 9 questions, résultat instantané.
Rapport complet
Découvrez ce que contient un rapport complet — 15-20 pages.
Agents IA
Les 4 ACTS — framework complémentaire pour les builders d'agents IA, mappé aux 6 gates.
Systèmes à haut risque
Quels systèmes d'IA relèvent de l'Annexe III ? Analyse complète.
Obligations GPAI
Art. 53-55 — ce que les fournisseurs et déployeurs GPAI doivent faire.