SPRINKLING ACT — MÉTHODOLOGIE DE SCORING

Comment nous évaluons la position AI Act

Sprinkling Act opère deux niveaux d’évaluation distincts. Le diagnostic gratuit est une auto-évaluation : vous répondez à 9 questions selon votre propre perception de votre système IA, et les 6 gates réglementaires produisent un score indicatif. Le rapport complet est une analyse sélective avec revue humaine et questionnaire étendu, l’accès nécessite une qualification, et les demandes peuvent être refusées.

Auto-évaluez votre système — Gratuit Voir le rapport complet

Citer cette méthodologie

La méthodologie Sprinkling Act est publiquement versionnée et citable. La fiche méthodologique d'avril 2026 est un instantané condensé de la v1.1 (gel réglementaire : mars 2026), horodatée cryptographiquement via OpenTimestamps et ancrée sur la blockchain Bitcoin.

Télécharger la fiche méthodologique — avril 2026 (PDF)Preuve OpenTimestamps (.ots)Miroir public — github.com/sprinkling-act/timestamps →

Deux niveaux, deux questions

Diagnostic gratuit

“Selon ce que vous savez de votre système IA, quelle est sa position réglementaire la plus probable ?”

Réponses auto-déclarées, puis scoring 6 gates, puis signal indicatif. Instantané. Sans compte. C’est votre perception, pas notre verdict. Le score gratuit ne vise pas à simplifier un règlement de 144 pages. Il est conçu pour guider votre auto-évaluation.

Rapport complet (690€)

“Sur base d’informations vérifiées sur votre système, quelle est sa classification réglementaire défendable ?”

Qualification requise, puis vous complétez un questionnaire d’intake structuré couvrant 14 sections (20–30 minutes de votre temps), puis nous confirmons sous 5 jours ouvrés, puis revue humaine + analyse article par article, puis rapport livré sous 10 jours ouvrés (~3 semaines au total). Le rapport fait 15–22 pages adaptées à votre classification spécifique : un système HIGH reçoit plus de pages d’analyse qu’un système LIMITED. Chaque rapport inclut un one-pager détachable avec jauge de risque SVG, frise chronologique, radar de gouvernance AI Positive, analyse croisée RGPD Art. 22, évaluation des biais algorithmiques, risques résiduels et FAQ intégrée. Le questionnaire est conçu pour poser les questions précises qui font émerger l’information pertinente, même quand vous ne saviez pas qu’elle comptait. Le score du rapport peut différer de celui du diagnostic gratuit.

Principes fondamentaux

Mapping par article

Chaque question correspond à un article, paragraphe ou annexe spécifique. Pas d'interprétation au-delà du texte du règlement.

Logique de gates

Les gates sont irréversibles. Une pratique interdite au Gate 01 arrête immédiatement l'évaluation : aucun score ne peut annuler une violation légale.

Piste d'audit

Chaque classification est accompagnée d'un parcours traçable complet, gate par gate, article par article. Exportable et indépendamment vérifiable.

Stabilité temporelle

Chaque rapport inclut un indicateur de stabilité : STABLE, MODÉRÉ ou INSTABLE, reflétant la probabilité que la classification change à mesure que les orientations évoluent.

Pas d'interprétation

Sprinkling Act n'interprète pas les cas ambigus en faveur du client. Lorsque la classification est incertaine, cela est signalé explicitement avec une recommandation de consulter un conseiller juridique.

Double versionnage

Chaque rapport porte deux marqueurs de version : la version de la méthodologie Sprinkling Act et la date de gel réglementaire de cette version (actuelle : v1.3, gel mai 2026). Un rapport reflète l'AI Act tel qu'il était compris à sa date de gel. Les actes délégués futurs, les orientations de l'AI Board ou la jurisprudence n'invalident pas les rapports existants. Ils peuvent déclencher une recommandation de réévaluation.

Les 6 Gates réglementaires

Les gates sont évaluées en sequence. La première gate déclenchée determine la classification finale. Les gates inférieures ne sont pas évaluées une fois qu'une gate supérieure est déclenchée.

Art. 5INTERDIT

Pratiques interdites

Si une pratique relève de l'Article 5 (manipulation subliminale, scoring social, identification biométrique à distance en temps réel dans les espaces publics, exploitation des vulnérabilités, moissonnage non ciblé d'images faciales, reconnaissance des émotions au travail/éducation, catégorisation biométrique d'attributs sensibles) l'évaluation s'arrête immédiatement. Aucun score n'est attribué. Le système ne peut pas être déployé légalement.

Reconnaissance des émotions sur le lieu de travail sans consentement expliciteReconnaissance faciale en temps réel dans les espaces publics hors exceptions étroitesMoissonnage non ciblé d'images faciales sur internet ou par vidéosurveillance (Art. 5§1(e))IA manipulant les utilisateurs par des techniques subliminales

Art. 6(1)HAUT RISQUE

Composant de sécurité d'un produit réglementé

Systemes d'IA qui sont des composants de sécurité de produits couverts par la legislation d'harmonisation de l'Union (Annexe I), machines, dispositifs médicaux, aviation civile, véhicules à moteur, equipements marins, et qui doivent faire l'objet d'une évaluation de conformité par un tiers.

IA dans les dispositifs de diagnostic medical (MDR/IVDR)IA dans les systèmes de sécurité automobileIA dans les systèmes de contrôle de l'aviation civile

Art. 6(2) + Annexe IIIHAUT RISQUE

Secteur à haut risque

Systemes d'IA listés dans l'Annexe III à travers 8 domaines. C'est la que la plupart des systèmes d'IA d'entreprise sont classifiés. L'exception de l'Article 6(3) (tâche procédurale étroite, pas de préjudice significatif) peut s'appliquer mais nécessite une justification documentée.

Outils de tri de CV et de recrutementScoring de credit et tarification d'assuranceÉvaluation des étudiants et évaluation académique

Art. 51 + 55HAUT RISQUE

GPAI à risque systémique

Les modèles d'IA à usage général entraînés avec plus de 10²⁵ FLOPs sont classifiés comme modèles à risque systémique. Des obligations supplémentaires s'appliquent : tests adversariaux, signalement d'incidents sans retard injustifié (Art. 55(1)(c)), mesures de cybersécurité, rapport de consommation énergétique.

GPT-4, Claude 3 Opus, Gemini UltraLlama 3 405B et modèles de taille équivalenteModèles de fondation entraînés sur mesure dépassant le seuil de calcul

Art. 50RISQUE LIMITÉ

Obligations de transparence

Les systèmes d'IA qui interagissent avec des humains ou génèrent du contenu doivent divulguer leur nature IA. Les chatbots doivent s'identifier au début de chaque interaction. Les médias synthétiques générés par IA doivent être étiquetés.

Chatbots de service clientAssistants d'écriture IAGénération de médias synthétiques et deepfakes

Art. 53RISQUE LIMITÉ

Obligations standard GPAI

Les fournisseurs de modèles GPAI (hors risque systémique) doivent maintenir une documentation technique, publier des résumés des données d'entraînement, se conformer au droit d'auteur de l'UE et fournir aux fournisseurs en aval les informations de conformité nécessaires.

Modèles de fondation open-source sous 10²⁵ FLOPsModèles de langage spécialisés pour des domaines spécifiquesModèles multimodaux utilisés dans des produits en aval

L'échelle de scoring

100/100

Interdit / Risque inacceptable

Le système ne peut pas être déployé légalement. Remédiation immediate requise.

85/100

Haut risque (composant de sécurité)

Évaluation de conformité par tiers requise. Obligations complètes Art. 9-15.

75–90/100

Haut risque (Annexe III)

Obligations complètes Art. 9-15. Enregistrement dans la base de données UE requis. Score pondéré par domaine (Art. 6(2)).

35/100

Risque limité (GPAI / Transparence)

Obligations Art. 50 ou Art. 53. Exigences de divulgation applicables.

10/100

Risque minimal

Pas d'obligations obligatoires hors littératie IA Art. 4. Code de conduite volontaire recommandé.

Évalué

Processus Sprinkling Act complet : diagnostic + rapport + revue.

Évaluation de conformité : auto-certification ou organisme tiers ?

Une idée fausse largement répandue : « si mon système est classé à haut risque, je dois payer un organisme notifié 50–150K€ ». C’est vrai pour certains cas, pas tous. L’Article 43 de l’AI Act définit deux voies distinctes d’évaluation de conformité. La grande majorité des systèmes Annexe III (RH, crédit, éducation) peuvent emprunter la voie interne.

VOIE INTERNE

Annexe VI — Auto-certification

Applicable à la plupart des systèmes Annexe III : emploi et RH, crédit et assurance, éducation, services publics essentiels, asile et migration, application de la loi (sous conditions), administration de la justice. Le fournisseur évalue lui-même la conformité aux Art. 9–15, produit la documentation technique (Art. 11) et signe la déclaration UE de conformité (Art. 47). Pas d’organisme notifié impliqué.

Coût indicatif : 10–50K€ selon le niveau de support externe.

VOIE TIERS

Annexe VII — Organisme notifié

Obligatoire pour : (1) l’IA en tant que composant de sécurité d’un produit déjà soumis à évaluation tierce sous la législation d’harmonisation (MDR, machines, jouets, véhicules), la procédure AI Act s’intègre dans celle du produit ; (2) l’Annexe III §1(a) sur la biométrie distante, pour laquelle l’Annexe VII est explicitement requise. Un organisme notifié audite le QMS et la documentation technique avant mise sur le marché.

Coût indicatif : 50–150K€+ par système, en plus du QMS.

Pourquoi cette distinction compte : la différence entre auto-certification et audit tiers peut représenter un facteur 5 à 10 sur la facture de conformité. Sprinkling Act identifie la voie applicable à votre système dans le rapport complet, avant que vous n’engagiez un budget.

Sources : Art. 43 AI Act · Annex VI · Annex VII · Art. 47 (EU Declaration of Conformity)

Limitations et avertissements

L’EU AI Act nécessite une interprétation contextuelle. Les pratiques interdites Art. 5 sont claires pour certains cas, ambiguës pour d’autres. La classification haut risque Art. 6 dépend du contexte d’usage, pas seulement de la technologie. Les seuils de risque systémique GPAI Art. 51 sont encore en cours d’opérationnalisation. Nous ne résolvons pas l’ambiguïté. Nous la signalons explicitement et recommandons un conseil juridique pour les cas limites.

Sprinkling Act est un outil opérationnel, pas un avis juridique. Il produit l’artefact structuré, mappé aux articles, dont votre avocat, votre régulateur ou votre investisseur a besoin comme point de départ. Il nomme la frontière qu’une classification déclenche : Art. 9-15, dont la charge d’exactitude et de robustesse de l’Art. 15, la documentation technique de l’Annexe IV, et le monitoring post-marché de l’Art. 72. Il ne produit pas ces artefacts : la démonstration substantielle relève de la chaîne aval, votre avocat, auditeur ou organisme notifié. Nous délimitons les obligations ; nous ne les acquittons pas.

La classification est basée sur les informations fournies par le client. Le questionnaire d’intake structuré (20–30 minutes) est conçu pour réduire l’asymétrie d’information, mais des entrées incomplètes ou inexactes produiront des classifications incomplètes ou inexactes.

L’EU AI Act est soumis à une interprétation continue à travers des orientations, des actes délégués et des décisions du Bureau européen de l’IA. Les classifications peuvent changer à mesure que les orientations faisant autorité évoluent. Les rapports incluent un indicateur de stabilité temporelle reflétant ce risque.

Sprinkling Act ne couvre pas la législation nationale de transposition, les chevauchements réglementaires sectoriels (ex. interaction RGPD + AI Act), ni les systèmes d’IA déployés en dehors de l’UE.

Alignement avec les standards internationaux

La méthodologie Sprinkling Act est construite exclusivement sur l’EU AI Act (Règlement 2024/1689). Elle n’est ni dérivée, ni certifiée, ni dépendante d’un standard externe. Cependant, la logique de gates et la structure d’évaluation des risques sont cohérentes avec les principes des cadres internationaux établis :

NIST AI RMF 1.0

NIST AI 100-1 (2023)

Les quatre fonctions NIST (Govern, Map, Measure, Manage) reflètent l’approche cycle de vie intégrée dans nos gates. L’évaluation par gate (Map), le scoring avec obligations (Measure) et la veille réglementaire continue (Manage) suivent la même logique itérative. La méthodologie Sprinkling Act couvre les fonctions Map et Measure ; les fonctions Govern et Manage opérationnelles restent la responsabilité de l’organisation évaluée.

ISO/IEC 42001:2023

Systèmes de management de l’IA

L’ISO 42001 exige des organisations qu’elles établissent des processus d’évaluation des risques (Clause 6), des contrôles opérationnels (Clause 8) et une évaluation des performances (Clause 9). Notre évaluation en 6 gates produit la classification de risque et le mapping d’obligations qui alimentent un Système de Management de l’IA conforme à l’ISO 42001. L’évaluation ne remplace pas un AIMS. Elle fournit l’input réglementaire qu’un AIMS nécessite.

Sprinkling Act ne revendique pas de certification ISO 42001 ni de conformité NIST. Ces références indiquent une cohérence structurelle, pas un alignement formel ni un cautionnement.

Sprinkling Act est un cabinet indépendant de conseil en pré-conformité. Il n'est pas un cabinet d'avocats, ni un Organisme Notifié, ni un organisme de certification, et n'est pas affilié à la Commission européenne, au Parlement européen, ni à aucune autorité nationale de surveillance. Les rapports constituent une indication informative, non un conseil juridique.

Journal des modifications de la méthodologie

v1.3

Mai 2026

Alignement post-Digital Omnibus (accord trilogue provisoire du 7 mai 2026, EP press release IPR42011). Date contraignante Annexe III haut risque autonome mise à jour 2 août 2026 → 2 décembre 2027 (énumération EP : biométrie, infrastructures critiques, éducation, emploi, maintien de l'ordre, frontières ; non-exhaustif). Date contraignante composants de sécurité Annexe I mise à jour 2 août 2027 → 2 août 2028. Article 50 transparence inchangé (baseline 2 août 2026 préservée). Marquage GenAI avancé 2 février 2027 → 2 décembre 2026. Définition « composant de sécurité » rétrécie (verbatim : les fonctions IA qui assistent l'utilisateur ou optimisent les performances ne tombent plus automatiquement sous obligations haut risque, si leur défaillance ou dysfonctionnement ne crée pas de risque santé/sécurité). Art. 5§1(i) ajouté (provisional, applicable 2 décembre 2026 pending adoption formelle) : prohibition des systèmes IA générant contenu CSAM/NCII, architecture 3 branches (conçu-pour / placé-sans-safeguards / usage-déployeur). Art. 50§1-§4 obligations dans le moteur de scoring enrichies avec timeline d'application explicite (2 août 2026 systèmes nouveaux · 2 décembre 2026 transitional pour §2 marquage + §4 deepfake sur systèmes déjà en marché). Indicateurs temporels dans les rapports de score mis à jour. Segments dormants cartographiés : PWD × §4 plateformes emploi, CRA × AI Act IoT-AI.

v1.2

Mai 2026

Art. 5(1) scindé entre prohibitions absolues (§1(e)/(f)/(g)) et conditionnelles (§1(a)/(b)/(c)/(d)/(h)). Les conditionnelles déclenchent HAUT RISQUE non terminal avec drapeau de vérification juridique, plutôt que CRITIQUE terminal. Wording Art. 5§1(a) aliéné sur le règlement : « causant ou susceptible de causer un dommage significatif ». Scoring Annexe III pondéré par domaine (structurels vs opérationnels). GPAI standard = LIMITÉ 35 ; GPAI risque systémique = HAUT 80 (seuils lissés). Portée du diagnostic clarifiée : screening et non qualification juridique. Le rapport complet effectue la qualification article par article. Fenêtre d’observation réglementaire : avril–mai 2026 (trilogue Digital Omnibus en cours après l’échec du 28 avril, MDCG 2021-24 Rev.1 du 20 avril intégré).

v1.1

Avril 2026

Art. 5§1(d) ajouté : profilage de risque criminel. Art. 5§1(h) corrigé : biométrie temps réel. Référence Art. 6(1) vs 6(2) corrigée. Art. 50§2 marquage activé. Les 8 contrôles de pratiques interdites (a-h) sont couverts. Obligations HAUT RISQUE enrichies avec Art. 9-15. Section alignement standards internationaux ajoutée (NIST AI RMF, ISO 42001). Fiche méthodologique étendue à 23 pages.

v1.0

Mars 2026

Méthodologie versionnée et publiée. Gate risque systémique GPAI (Art. 55). Logique d’exemption Art. 6(3). Orientations du Bureau de l’IA sur l’Annexe III. Date de gel réglementaire : mars 2026.

v0.1

Janvier 2026

Version initiale. 6 gates réglementaires basées sur les Art. 5, 6, 50, 51, 53. Mapping des articles pour tous les domaines de l’Annexe III.

Veille réglementaire

Cette méthodologie est maintenue à jour par un système interne de détection de signaux qui surveille quotidiennement les évolutions réglementaires IA mondiales à travers 1 100+ sources en 15 langues.

Lorsqu’un signal atteint le niveau CRITIQUE ou MAJEUR, l’indicateur de Stabilité Temporelle des rapports concernés est mis à jour automatiquement. Chaque axe de scoring est documenté, chaque seuil est versionné.

État de la gouvernance de mise en œuvre (mai 2026) : le Bureau IA de l'UE est opérationnel avec ~125 effectifs (cible 140+), les standards harmonisés CEN-CENELEC JTC 21 ont manqué deux deadlines et visent une publication Q4 2026 (risque : pas dans le JOUE au démarrage de l'enforcement Annexe III du 2 décembre 2027), le Forum consultatif Article 67 n'a pas été constitué sept mois après la clôture de l'appel à manifestation d'intérêt (septembre 2025), la structure du Panel scientifique Article 68 est définie mais sa constitution reste non confirmée, et un seul État membre (Espagne — AESIA, 12 systèmes haut risque hébergés) dispose d'un sandbox Article 57 publiquement opérationnel. La méthodologie Sprinkling Act opère comme couche de pré-conformité qui comble le vide documentaire laissé par l'absence ou le retard des orientations officielles, défendable sous le standard de l'obligation de moyens indépendamment du statut de publication des standards.

Signaux actifs impactant cette méthodologie :

Accord trilogue Digital Omnibus AI ActMAJEURCross-gate — Annexe III reportée au 2 décembre 2027 + Annexe I au 2 août 2028 + rétrécissement composant de sécurité[7 mai 2026]

Joint Opinion EDPB+EDPS 1/2026MAJEURCross-gate — Article 4 (culture IA obligatoire), Article 49 (registre maintenu), Article 57 (DPA dans sandboxes)[20 janvier 2026]

GPAI Code of PracticeMAJEURGate 04 — Art. 51 + 55[Mars 2026]

Capacité Bureau IA + livraison standards CEN-CENELEC JTC 21MAJEURCross-gate — vide d'enforcement[Continu 2026]

Guidelines High-Risk delayMAJEURGate 03 — Art. 6(2) + Annexe III[Mars 2026]

Fracture coalition allemande (Merz EPP / Wildberger pro-cuts vs SPD opposition)MINEURCross-gate — signal incertitude prospects allemands[Avril–mai 2026]

Kai Zenner (cabinet Voss/EPP) appétit pour AI Act overhaul S2 2026MINEURCross-gate — signal forward-looking amendements futurs[Mai 2026]

10 États membres EU minorité de blocage contre dérégulation supplémentaire (AT, DK, NL, SK, SI, ES, GR, PT, RO, LV)MAJEURCross-gate — durabilité deadline 2 décembre 2027 confirmée[Mai 2026]

EuroLLM-22B (Edinburgh + EuroHPC MareNostrum 5) — narrative souveraineté EUMINEURCross-gate — signal macro positionnement pour déployeurs publics/universités/santé publique[Mai 2026]

APPLICATION FRANCE

Méthodologie et contexte français

En l'absence d'autorité de surveillance marché française désignée Art. 70 AI Act au 20 mai 2026, et sans sandbox AI Act national ouvert (contrairement à l'Espagne via AESIA), la méthodologie Sprinkling Act offre un cadre méthodologique stable pour les entreprises françaises souhaitant documenter leur position avant la consolidation post-Digital Omnibus (texte final attendu 2 août 2026). Les six gates de la méthodologie s'articulent avec : RGPD Art. 22 (CNIL), Art. 26 §1–§12 AI Act (superviseur sectoriel), Art. 27 FRIA (CSE/Betriebsrat selon segment), Art. 25(1)(b) reverse-bascule (validation contractuelle), Art. 50 transparence (DGCCRF pour pratiques commerciales). La méthodologie est versionnée et OpenTimestamps-stampée — elle ne se substitue pas à un conseil juridique qualifié.

FRAMEWORK COMPLÉMENTAIRE

Les 4 ACTS — une lentille builder sur les mêmes 6 gates.

Les 6 Gates ci-dessus sont notre façon d'évaluer la position AI Act. Les 4 ACTS sont notre façon d'expliquer cette position aux builders d'agents IA. Chaque ACT (Responsabilité, Consentement, Traçabilité, Maîtrise) renvoie à des gates spécifiques ci-dessus, mais utilise le langage et les patterns de la façon dont les agents sont réellement construits en 2026 : action autonome, capture ambiante, chaînes multi-agents, vibe-coded shipping. Le framework est open MIT sur GitHub. Le rapport complet applique les deux lentilles simultanément.

Lire le framework 4 ACTS ›Télécharger la fiche méthodologique — avril 2026 (PDF) ›Preuve OpenTimestamps (.ots) ›Miroir public — github.com/sprinkling-act/timestamps ›

Voyez-le en action

Le diagnostic gratuit applique les 6 gates à votre système. 9 questions, résultat instantané.

Diagnostic gratuit — instantané

Classification comes first. Everything else follows.

74 % des systèmes IA · 50 entreprises EU · 0 position régulatoire documentée.

VOIR AUSSI

Product

Diagnostic gratuit

Lancez l'évaluation en 6 gates sur votre système d'IA. 9 questions, résultat instantané.

Product

Rapport complet

Découvrez ce que contient un rapport complet, 15-20 pages.

Standard

Agents IA

Les 4 ACTS — framework complémentaire pour les builders d'agents IA, mappé aux 6 gates.

Blog

Systèmes à haut risque

Quels systèmes d'IA relèvent de l'Annexe III ? Analyse complète.

Blog

Obligations GPAI

Art. 53-55 — ce que les fournisseurs et déployeurs GPAI doivent faire.