Mettre son entreprise en conformité avec l'AI Act — démarche pratique et calendrier.
Le règlement AI Act entre en application progressive jusqu'en 2028, avec une étape cruciale au 2 décembre 2027 pour les systèmes haut risque listés à l'annexe III. Pour une entreprise française qui découvre le sujet en 2026, le calendrier est plus serré qu'il n'y paraît : la mise en conformité d'une ETI déployant 15 à 30 systèmes IA prend typiquement 12 à 18 mois — cartographie, qualification, documentation, gouvernance, formation. Engager la démarche tardivement crée un risque d'urgence où les arbitrages se prennent dans la précipitation.
Au-delà du calendrier réglementaire, trois enjeux additionnels rendent la démarche prioritaire dès aujourd'hui :
Cartographie exhaustive des systèmes IA utilisés dans l'organisation, en interne (outils déployés) comme via les fournisseurs (SaaS intégrant de l'IA). Inventaire typique sur une ETI : 15 à 50 systèmes identifiés, dont la moitié dans des outils SaaS qui ne se présentent pas explicitement comme « systèmes IA ». Durée : 2 à 6 semaines selon la taille.
Classification de chaque système au regard des quatre niveaux de risque AI Act (interdit, haut risque, transparence, risque minimal). La qualification s'appuie sur l'annexe III et nécessite une analyse fine de l'usage réel — un même outil peut être utilisé en risque minimal ou en haut risque selon le cas d'usage. Durée : 2 à 4 semaines.
Pour chaque système haut risque : production de la documentation technique (articles 11 et 12), mise en place de la supervision humaine (article 14), gouvernance des données (article 10), traçabilité et journalisation (article 12), mécanismes de transparence (article 13). Pour les systèmes « transparence » : information explicite des utilisateurs, marquage des contenus générés. Durée : 4 à 12 semaines selon le périmètre.
Mise en place du registre des systèmes IA (article 12 et 26), du comité IA, de la politique d'usage et de la charte collaborateurs. Déploiement du programme d'AI literacy auprès de l'ensemble des collaborateurs concernés (article 4). Voir Gouvernance IA et Formation IA. Durée : 4 à 8 semaines.
L'article 4 du règlement européen impose à toute organisation déployant ou utilisant un système d'IA de garantir un « niveau suffisant de maîtrise de l'IA » à l'ensemble des personnes amenées à l'utiliser dans le cadre professionnel. Cette obligation, communément désignée par le terme AI literacy, est entrée en application le 2 février 2025.
Elle ne se limite pas aux équipes techniques. Elle vise expressément :
Le règlement ne définit pas le format précis de la formation (durée, modalité, certification) — la formulation « niveau suffisant » laisse la responsabilité à l'organisation de définir et documenter ce qu'elle considère comme suffisant. La doctrine émergente recommande : une formation initiale obligatoire pour tous les collaborateurs concernés, une formation renforcée pour les profils manipulant des systèmes haut risque, et une actualisation annuelle. Voir notre offre Formation IA.
La conformité AI Act se documente. En cas de contrôle, l'autorité demandera à l'organisation de produire les pièces justifiant qu'elle a effectivement appliqué les obligations qui lui incombent. Notre cabinet produit systématiquement six familles de documents opposables :
| Document | Public | Base réglementaire |
|---|---|---|
| Registre des systèmes IA | Autorité de contrôle | Articles 12, 26 |
| Évaluation de risque par système | Autorité, audit interne | Articles 6, 9 |
| Politique IA d'entreprise | Collaborateurs, partenaires | Article 4 (AI literacy), gouvernance générale |
| Charte IA collaborateurs | Salariés, CSE | Article 4, Code du travail |
| Procédures de validation des nouveaux systèmes | Comité IA, DSI, métiers | Articles 9, 14, 26 |
| Documentation technique haut risque (annexe IV) | Autorité de contrôle | Article 11, annexe IV |
Ces documents doivent être tenus à jour : un registre des systèmes IA figé n'a pas de valeur démonstrative. La mise en place d'un dispositif d'actualisation continu (intégré aux processus d'achat IT, à la GRC, ou à un outil dédié) fait partie de la mission de conformité.
Catégorie : risque minimal. Obligations limitées : AI literacy (article 4), information aux collaborateurs. Mais vigilance RGPD si les utilisateurs traitent des données personnelles sans encadrement (politique d'usage, données proscrites, classification).
Catégorie : haut risque (annexe III, point 4). Obligations complètes : documentation technique, supervision humaine, gouvernance des données, transparence vis-à-vis des candidats, AIDF (article 27). Information-consultation du CSE. Évaluation des biais documentée.
Catégorie : transparence (article 50). Obligation principale : informer clairement l'utilisateur qu'il interagit avec une IA, dès la première interaction. Marquage des réponses générées si appliqué à des contenus structurants.
Vous êtes déployeur au sens de l'AI Act (vous utilisez le système sous votre propre autorité). Le fournisseur du SaaS est fournisseur (il développe et place le système sur le marché). Les obligations sont partagées : le fournisseur produit la documentation technique du système, le déployeur la conserve, l'intègre à son registre, et applique les obligations relevant de son périmètre (supervision humaine, transparence vis-à-vis des utilisateurs finaux, etc.). Cette articulation est précisée à l'article 26 du règlement.
Plus qu'elle ne pense. Sur une ETI typique, notre cartographie initiale identifie habituellement entre 15 et 50 systèmes IA : assistants génératifs en usage transverse (ChatGPT, Claude, Copilot), modules IA intégrés dans des SaaS métier (CRM, ATS RH, GED), agents conversationnels client, outils de génération de contenu, systèmes de scoring ou de classification. La moitié de ces systèmes échappe à toute connaissance de la DSI ou de la direction juridique avant la cartographie.
Le règlement n'impose pas formellement la désignation d'un référent IA, contrairement au RGPD qui impose un DPO dans certains cas. Mais la doctrine émergente recommande fortement la désignation d'un référent — qu'il s'agisse d'un Chief AI Officer dédié (pour les grandes structures), d'une fonction étendue d'un DPO ou d'un directeur conformité (pour les ETI), ou d'un dirigeant ayant la charge spécifique du sujet (pour les PME). Le référent est responsable de la tenue du registre, de l'animation du comité IA, et du dialogue avec les autorités.
L'AI Act et le RGPD se superposent : les obligations RGPD restent applicables à tout traitement de données personnelles par un système IA, indépendamment du règlement IA. En pratique, la démarche de conformité AI Act peut s'appuyer sur les dispositifs RGPD préexistants : le DPO devient un acteur clé du comité IA, le registre des traitements RGPD est articulé avec le registre des systèmes IA, les AIPD (analyses d'impact RGPD) intègrent une analyse spécifique IA. Voir RGPD et IA.
Pour une PME : 15 000 à 35 000 € HT. Pour une ETI : 45 000 à 90 000 € HT. Pour un grand groupe ou secteur réglementé : 80 000 à 150 000 € HT, voire plus pour des périmètres multi-pays. Le détail des tarifs figure sur notre page Offres.
Par un appel stratégique de 20 minutes à 1 heure (250 € à 500 € HT). À l'issue, nous qualifions la pertinence et l'urgence de votre mise en conformité, nous proposons un format adapté à votre taille et à votre secteur, et nous transmettons une proposition commerciale formelle sous 5 jours ouvrés. Détail sur notre page Contact.
Parlons de votre projet
Échangez avec un dirigeant Expert IA pour structurer votre projet d'intelligence artificielle — diagnostic du contexte, identification des cas d'usage prioritaires, cadrage de la démarche.