EU AI Act · Security Questionnaires · 2026

AI Section of a Security Questionnaire: What to Write

Your EU customer sent a security questionnaire. There is an AI section. It is blank. Here is exactly what they are asking for, what documents answer it, and how to build a reusable package so you never rewrite from scratch again.

Enterprise and mid-market companies in the EU now routinely add an AI section to their vendor security questionnaires. This happens because procurement teams, DPOs, and security officers need to understand what AI is doing inside the tools they sign contracts with, and because the EU AI Act (Regulation 2024/1689) put AI documentation on every legal team's radar since February 2025.

The problem for SaaS founders: the AI section arrives mid-deal. You have 48 hours, you have no compliance officer, and you have never written a model card in your life. This guide gives you the full picture.

What the AI section actually asks

Across vendor security questionnaires (SIG Lite, CAIQ, ISO 27001 vendor assessments, and custom enterprise forms), the AI section covers the same 8 to 12 questions. Here are the most common ones, with the answer each maps to.

Question 1
Does your product use any artificial intelligence, machine learning, or automated decision-making?
Yes/No, plus a list of AI features (e.g. "GPT-4o-mini for report generation, ML classifier for risk scoring"). Maps to your Model Card, System Overview section.
Question 2
Who provides the underlying AI model or service?
List of providers (OpenAI, Anthropic, Google, Hugging Face, self-hosted). Maps to Model Card, Architecture & Providers.
Question 3
Does your AI system process personal data? If so, what categories?
Yes/No + data categories (email content, usage logs, names, etc.) + data residency. Maps to Model Card, Data Governance and your DPIA or privacy notice.
Question 4
Is there human oversight before AI decisions are acted on?
Describe the human-in-the-loop process, if any. Relevant for EU AI Act Article 6.3 exemption. Maps to Model Card, Human Oversight section.
Question 5
What is the EU AI Act risk classification of your AI system?
Minimal / Limited / High / Unacceptable, plus the applicable articles (e.g. Art. 50.2 for content generation). Maps directly to your Risk Assessment document.
Question 6
Do you have a model card, technical documentation, or AI system card available?
Yes, attach the PDF. This is what creates the deal blocker when you cannot answer it.
Question 7
How do you disclose to end users that they are interacting with AI or receiving AI-generated content?
Describe your Art. 50.1 / 50.2 disclosure mechanism (banner, tooltip, watermark, metadata). Maps to Compliance Summary, Transparency obligations.
Question 8
What is the data retention period for data processed by AI components?
Specific number of days per data type. Maps to Model Card, Data Governance and privacy policy.
Question 9
Have you conducted a bias or fairness assessment for your AI system?
Yes/No + methodology. Maps to Risk Assessment, Risk Identification section.
Question 10
Who is the contact for AI compliance and audit questions?
Name, email, role. Maps to Compliance Summary, Audit contact.

The three documents that answer every AI section

Every question above maps to one of three documents. Build these once per AI system, and you can answer any security questionnaire without rewriting.

Document What it covers Questions it answers
Model Card System ID, purpose, architecture, providers, inputs/outputs, data governance, human oversight, transparency, contact Q1, Q2, Q3, Q4, Q6, Q8, Q10
Risk Assessment EU AI Act classification, risk identification, mitigation measures, monitoring plan Q5, Q9
Compliance Summary One-page overview, obligations checklist, transparency disclosure, validity date, audit contact Q5, Q7, Q10

When a customer asks for "AI documentation," attaching these three PDFs closes the question. The procurement team forwards them to the DPO. The deal moves.

Generate your three AI documents in 5 minutes

Answer 15 questions about your AI system. Get your Model Card, Risk Assessment, and Compliance Summary as ready-to-send PDFs, reusable across every questionnaire.

Start the questionnaire, free

Why you cannot answer the AI section without a model card

Most founders try to fill the AI section manually, from memory, in the questionnaire portal. Three problems with this:

  1. The next customer asks the same questions differently. You rewrite. Then a third customer. Each rewrite takes 2 to 4 hours and introduces inconsistencies between your answers.
  2. The answers are not signed or dated. A DPO reviewing vendor compliance needs a document with a validity date they can attach to the vendor file. A text box answer does not satisfy audit requirements.
  3. You answer from memory, not from a documented source of truth. If the DPO follows up asking for the actual documentation behind the answers, you have nothing to send.

A model card solves all three. It is the source of truth, written once, attached to every questionnaire, updated when your system changes.

EU AI Act obligations relevant to the AI section

Customers ask about the EU AI Act because their legal teams do. Here is what applies to most SaaS products using third-party models:

Article 50 : Transparency (in force since February 2025)

  • Art. 50.1, If your product includes a chatbot or AI assistant that interacts with users, you must inform users they are interacting with AI. Disclosure must be clear and upfront.
  • Art. 50.2, If your product generates text, images, audio, or video, you must mark the content as AI-generated (metadata, watermark, or explicit label).
  • Art. 50.3, Deepfakes (synthetic representations of real people) require explicit disclosure.

High-risk classification (Annex III), delayed to December 2027

If your system makes decisions on employment, credit scoring, essential services, biometrics, or education evaluation without human validation, you fall under Annex III. Full high-risk obligations (conformity assessment, EU database registration, etc.) apply from December 2027 per the EU Digital Omnibus amendment.

Article 6.3 exemption

If your system performs a preparatory task and a human reviews the output before any decision is acted on, you may qualify for the Article 6.3 exemption, which removes you from the high-risk category even if your use case matches Annex III. This needs to be documented in your Risk Assessment.

What "validity date" means and why it matters

Enterprise customers increasingly require AI documentation to carry a validity date, similar to a security certificate or penetration test report. A document dated 2025 presented in a 2027 renewal is likely to trigger a follow-up request for updated documentation.

The practical implication: your model card and risk assessment should be re-issued at least annually, or whenever you change your AI system (new model provider, new data inputs, new use case). Keeping documentation current is part of what distinguishes a one-time checkbox response from real AI governance.

How to build a reusable AI documentation package

  1. Identify each AI system you operate. One model card per system, not per feature. If you use GPT for document generation and a separate ML model for classification, those are two systems requiring two model cards.
  2. Run a 15-question classification. This determines your EU AI Act risk level and the applicable articles, the answer to Q5 in every security questionnaire.
  3. Generate the three PDFs. Model Card, Risk Assessment, Compliance Summary. Store them in a shared drive folder you can access mid-deal.
  4. Set a review reminder. When you change your AI stack, update the documents. When the calendar year turns, re-issue with a new validity date.
  5. Attach, do not retype. For every security questionnaire, answer Q1–Q4 with a sentence, then write "full documentation attached" and send the PDFs. You are done.

Already have a questionnaire waiting?

Answer 15 questions about your AI system and receive Model Card, Risk Assessment, and Compliance Summary as PDFs, with a validity date your customer's DPO can file. One-time payment, no subscription.

Build my documentation pack

Sources

  • Regulation (EU) 2024/1689 on Artificial Intelligence, EUR-Lex
  • EU Digital Omnibus, May 2026, high-risk obligations delayed to December 2027
  • Article 50 transparency obligations, in force since 2 February 2025
  • SIG Lite questionnaire (Shared Assessments), AI/ML section
  • CSA CAIQ v4, AI trust controls
EU AI Act · Questionnaires de sécurité · 2026

Section IA d'un questionnaire de sécurité : quoi répondre

Votre client EU a envoyé un questionnaire de sécurité. Il y a une section IA. Elle est vide. Voici exactement ce qu'il demande, quels documents y répondent, et comment construire un dossier réutilisable pour ne plus jamais réécrire les mêmes réponses.

Les entreprises et ETI européennes ajoutent désormais systématiquement une section IA à leurs questionnaires fournisseurs. Les équipes achats, les DPO et les responsables sécurité ont besoin de comprendre ce que fait l'IA dans les outils avec lesquels ils signent des contrats, et l'EU AI Act (Règlement 2024/1689) a mis la documentation IA sur le radar de tous les services juridiques depuis février 2025.

Le problème pour les fondateurs SaaS : la section IA arrive en plein milieu d'un deal. Vous avez 48 heures, pas de compliance officer, et vous n'avez jamais écrit de model card. Ce guide vous donne le tableau complet.

Ce que la section IA demande vraiment

Sur les questionnaires fournisseurs (SIG Lite, CAIQ, questionnaires ISO 27001, formulaires enterprise sur mesure), la section IA couvre les mêmes 8 à 12 questions. Voici les plus fréquentes, avec la réponse à laquelle chacune correspond.

Question 1
Votre produit utilise-t-il de l'intelligence artificielle, du machine learning ou de la prise de décision automatisée ?
Oui/Non, plus la liste des fonctionnalités IA (ex. : "GPT-4o-mini pour la génération de rapports, classifieur ML pour le scoring de risque"). Correspond à la section Vue d'ensemble de votre Model Card.
Question 2
Qui fournit le modèle ou service IA sous-jacent ?
Liste des fournisseurs (OpenAI, Anthropic, Google, Hugging Face, hébergement propre). Correspond à la section Architecture et Fournisseurs de la Model Card.
Question 3
Votre système IA traite-t-il des données personnelles ? Si oui, quelles catégories ?
Oui/Non + catégories de données (contenu emails, logs d'usage, noms, etc.) + localisation des données. Correspond à la section Gouvernance des données de la Model Card et à votre AIPD ou notice de confidentialité.
Question 4
Y a-t-il une supervision humaine avant que les décisions de l'IA ne soient appliquées ?
Décrivez le processus human-in-the-loop, s'il existe. Pertinent pour l'exemption Article 6.3 de l'EU AI Act. Correspond à la section Supervision humaine de la Model Card.
Question 5
Quelle est la classification de risque EU AI Act de votre système IA ?
Minimal / Limité / Élevé / Inacceptable, plus les articles applicables (ex. Art. 50.2 pour la génération de contenu). Correspond directement à votre Risk Assessment.
Question 6
Disposez-vous d'une model card, d'une documentation technique ou d'une fiche système IA ?
Oui, joindre le PDF. C'est cette question qui crée le blocage de deal quand vous ne pouvez pas y répondre.
Question 7
Comment informez-vous les utilisateurs finaux qu'ils interagissent avec une IA ou reçoivent du contenu généré par IA ?
Décrivez votre mécanisme de divulgation Art. 50.1 / 50.2 (bandeau, info-bulle, filigrane, métadonnées). Correspond au Compliance Summary, section Obligations de transparence.
Question 8
Quelle est la durée de conservation des données traitées par les composants IA ?
Nombre précis de jours par type de données. Correspond à la Model Card, Gouvernance des données et à votre politique de confidentialité.
Question 9
Avez-vous réalisé une évaluation des biais ou de l'équité pour votre système IA ?
Oui/Non + méthodologie. Correspond au Risk Assessment, section Identification des risques.
Question 10
Qui est le contact pour les questions de conformité IA et d'audit ?
Nom, email, rôle. Correspond au Compliance Summary, Contact d'audit.

Les trois documents qui répondent à toute section IA

Toutes les questions ci-dessus correspondent à l'un de ces trois documents. Construisez-les une fois par système IA, et vous pouvez répondre à tout questionnaire de sécurité sans réécrire.

Document Ce qu'il couvre Questions auxquelles il répond
Model Card ID système, usage, architecture, fournisseurs, entrées/sorties, gouvernance des données, supervision humaine, transparence, contact Q1, Q2, Q3, Q4, Q6, Q8, Q10
Risk Assessment Classification EU AI Act, identification des risques, mesures d'atténuation, plan de surveillance Q5, Q9
Compliance Summary Synthèse 1 page, checklist obligations, divulgation transparence, date de validité, contact d'audit Q5, Q7, Q10

Quand un client demande de la "documentation IA", joindre ces trois PDFs ferme la question. L'équipe achats les transmet au DPO. Le deal avance.

Générez vos trois documents IA en 5 minutes

Répondez à 15 questions sur votre système IA. Recevez votre Model Card, Risk Assessment et Compliance Summary en PDFs prêts à envoyer, une fois, réutilisables sur chaque questionnaire.

Lancer le questionnaire, gratuit

Pourquoi vous ne pouvez pas répondre à la section IA sans model card

La plupart des fondateurs essaient de remplir la section IA manuellement, de mémoire, dans le portail questionnaire. Trois problèmes :

  1. Le prochain client pose les mêmes questions différemment. Vous réécrivez. Puis un troisième client. Chaque réécriture prend 2 à 4 heures et introduit des incohérences entre vos réponses.
  2. Les réponses ne sont pas signées ni datées. Un DPO qui vérifie la conformité fournisseur a besoin d'un document avec une date de validité à joindre au dossier fournisseur. Une réponse dans une zone de texte ne satisfait pas les exigences d'audit.
  3. Vous répondez de mémoire, pas depuis une source de vérité documentée. Si le DPO fait un suivi en demandant la documentation réelle derrière les réponses, vous n'avez rien à envoyer.

Une model card résout les trois. C'est la source de vérité, écrite une fois, jointe à chaque questionnaire, mise à jour quand votre système change.

Obligations EU AI Act pertinentes pour la section IA

Article 50 : Transparence (en vigueur depuis février 2025)

  • Art. 50.1, Si votre produit inclut un chatbot ou assistant IA qui interagit avec des utilisateurs, vous devez les informer qu'ils interagissent avec une IA. La divulgation doit être claire et en amont.
  • Art. 50.2, Si votre produit génère du texte, des images, de l'audio ou de la vidéo, vous devez marquer le contenu comme généré par IA (métadonnées, filigrane ou label explicite).
  • Art. 50.3, Les deepfakes (représentations synthétiques de personnes réelles) exigent une divulgation explicite.

Classification haut risque (Annexe III), décalée à décembre 2027

Si votre système prend des décisions en matière d'emploi, de scoring de crédit, de services essentiels, de biométrie ou d'évaluation en éducation sans validation humaine, vous relevez de l'Annexe III. Les obligations haut risque complètes s'appliquent à partir de décembre 2027 (EU Digital Omnibus).

Exemption Article 6.3

Si votre système réalise une tâche préparatoire et qu'un humain valide le résultat avant toute décision, vous pouvez bénéficier de l'exemption Article 6.3, qui vous sort de la catégorie haut risque même si votre cas d'usage correspond à l'Annexe III. Cela doit être documenté dans votre Risk Assessment.

Vous avez un questionnaire en attente ?

Répondez à 15 questions sur votre système IA et recevez Model Card, Risk Assessment et Compliance Summary en PDFs, avec une date de validité que le DPO de votre client peut archiver. Paiement unique, sans abonnement.

Créer mon dossier documentation

Sources

  • Règlement (UE) 2024/1689 sur l'intelligence artificielle, EUR-Lex
  • EU Digital Omnibus, mai 2026, obligations haut risque décalées à décembre 2027
  • Article 50 obligations de transparence, en vigueur depuis le 2 février 2025
  • SIG Lite questionnaire (Shared Assessments), section IA/ML
  • CSA CAIQ v4, contrôles de confiance IA