Selon une étude du Boston Consulting Group publiée en 2024, plus de 75 % des dirigeants placent l’intelligence artificielle parmi les trois priorités stratégiques de leur entreprise. ChatGPT, Copilot, Mistral, Claude, agents internes, scoring RH, génération de code : les cas d’usage se multiplient à un rythme inédit, parfois bien au-delà de ce que les directions juridiques et IT peuvent réellement encadrer.
En parallèle, le cadre réglementaire se resserre. L’AI Act européen, entré progressivement en application depuis février 2025, impose désormais des obligations strictes aux entreprises qui développent ou utilisent des systèmes d’IA. À cela s’ajoutent le RGPD, les règles sectorielles (santé, finance, RH) et les premières recommandations de la CNIL sur l’IA générative.
Dans ce contexte, beaucoup d’entreprises avancent vite, parfois trop, et accumulent sans le savoir des manquements qui pourraient coûter cher. Cet article passe en revue :
- Comment cartographier précisément vos usages de l’IA
- Les erreurs les plus fréquentes en matière de conformité
- Les sanctions encourues en cas de manquement
- Les bonnes pratiques pour structurer une démarche solide
- Comment vous faire accompagner si vos équipes manquent de bras
Cartographier vos systèmes d’IA avant qu’il ne soit trop tard pour éviter les sanctions
Avant même de parler de conformité, encore faut-il savoir ce que vous avez à mettre en conformité. C’est ici que la majorité des entreprises pèchent : impossibilité de produire, en cas de contrôle, la liste exhaustive des systèmes d’IA utilisés en interne, des données qu’ils traitent et des décisions qu’ils influencent.
Cette absence de visibilité tient à plusieurs réalités du terrain :
- L’IA est désormais embarquée dans la majorité des outils SaaS (CRM, ATS, helpdesk, suites bureautiques) sans que cela soit toujours visible dans les contrats
- Les collaborateurs adoptent eux-mêmes des outils gratuits ou en version d’essai pour gagner en productivité
- Les équipes data ou marketing déploient des modèles internes sans toujours en informer la direction juridique
Dresser une cartographie complète constitue donc le point de départ obligé. Concrètement, l’exercice consiste à recenser, pour chaque outil ou modèle, l’éditeur, la finalité, les données traitées, le type d’algorithme, le niveau de risque au sens de l’AI Act, et le ou les responsables internes.
À mesure que le périmètre grandit, un fichier Excel partagé montre rapidement ses limites. Pour les organisations qui dépassent une dizaine de cas d’usage, l’utilisation d’un logiciel de gouvernance IA permet de centraliser ce registre, de le maintenir à jour automatiquement et de le rapprocher des obligations applicables (RGPD, AI Act, normes sectorielles). Ce type de plateforme aide aussi à objectiver le niveau de risque de chaque système et à embarquer les bons interlocuteurs dans la chaîne de validation.
| 💡 Conseil
Ne limitez pas la cartographie aux outils achetés. Les modèles entraînés en interne, les agents construits avec des frameworks no-code et les usages individuels d’IA générative sont également concernés par l’AI Act dès lors qu’ils traitent des données ou influencent des décisions professionnelles. |
Les principales erreurs de conformité commises avec l’IA en entreprise
Une fois les usages recensés, place à l’analyse des risques. Voici les manquements les plus fréquemment observés sur le terrain.
Déployer un outil d’IA sans évaluer son niveau de risque
L’AI Act classe les systèmes d’IA en quatre catégories : risque minimal, risque limité, risque élevé et risque inacceptable. Or beaucoup d’entreprises déploient des modèles sans avoir réalisé la moindre évaluation de leur niveau de risque.
Un outil de tri de CV, un système de notation des collaborateurs ou un algorithme d’octroi de crédit relèvent typiquement du risque élevé. Cela implique des obligations renforcées : documentation technique, journalisation des événements, supervision humaine, gestion des biais et conservation des registres. Passer outre revient à s’exposer directement aux sanctions prévues par le règlement.
Ignorer les obligations RGPD dans les traitements alimentés par l’IA
L’IA n’efface pas le RGPD, elle le complique. Dès qu’un modèle traite des données personnelles, qu’il s’agisse de la phase d’entraînement ou de l’usage en production, vous devez :
- Définir une base légale claire (consentement, intérêt légitime, exécution contractuelle)
- Mettre à jour le registre des traitements
- Réaliser une analyse d’impact (AIPD) lorsque le traitement est susceptible d’engendrer un risque élevé pour les personnes
- Garantir l’exercice des droits (accès, rectification, opposition, explication des décisions automatisées)
Beaucoup d’équipes considèrent encore l’IA générative comme un simple outil de productivité, sans mesurer que le simple fait de coller une fiche client dans un prompt revient à transférer des données personnelles à un sous-traitant.
Sous-estimer les biais et les risques de discrimination
Un modèle d’IA reproduit les biais présents dans ses données d’entraînement. Sur les sujets sensibles, RH en tête, ces biais peuvent rapidement basculer dans la discrimination prohibée. La CNIL et le Défenseur des droits ont déjà été saisis de plusieurs cas de scoring de candidats jugés discriminatoires.
L’évaluation régulière de la performance du modèle sur différents sous-groupes de la population concernée n’est pas un luxe : elle constitue une obligation au titre de l’AI Act pour les systèmes à haut risque.
Négliger la transparence vis-à-vis des utilisateurs
L’AI Act impose d’informer clairement les utilisateurs lorsqu’ils interagissent avec une IA, qu’il s’agisse d’un chatbot, d’un système de recommandation ou d’un contenu généré. Beaucoup d’entreprises passent encore à côté de cette obligation, soit en n’affichant aucun avertissement, soit en restant trop vagues sur la nature et la finalité du traitement.
La transparence concerne également les décisions automatisées : un candidat refusé, un client dont le dossier est rejeté ou un collaborateur évalué par un algorithme doivent pouvoir obtenir des explications intelligibles sur la logique du système.
Laisser proliférer le shadow AI dans les équipes
On parle de shadow AI lorsque les collaborateurs utilisent des outils d’intelligence artificielle sans que la direction informatique en ait connaissance. Le phénomène est massif : selon plusieurs études récentes, plus de la moitié des employés de bureau auraient déjà utilisé un outil d’IA générative en dehors du cadre validé par leur entreprise.
Les conséquences sont multiples : fuite de données sensibles vers des modèles publics, usage de propriété intellectuelle non maîtrisé, risque de réutilisation des données par l’éditeur. Encadrer ces usages par une charte claire, une liste d’outils autorisés et des formations adaptées est devenu indispensable.
Quelles sanctions risquez-vous en cas de non-conformité ?
Les sanctions prévues par l’AI Act sont calibrées en fonction de la gravité du manquement. Elles peuvent se cumuler avec celles déjà prévues par le RGPD.
| Type de manquement | Montant maximal de l’amende | Plafond proportionnel |
|---|---|---|
| Pratiques interdites (risque inacceptable) | 35 millions d’euros | 7 % du CA mondial |
| Manquements aux obligations sur les systèmes à haut risque | 15 millions d’euros | 3 % du CA mondial |
| Informations inexactes fournies aux autorités | 7,5 millions d’euros | 1 % du CA mondial |
| Manquement RGPD couplé (cumul possible) | 20 millions d’euros | 4 % du CA mondial |
Au-delà des sanctions financières, les conséquences peuvent prendre d’autres formes : interdiction de mise sur le marché du système concerné, obligation de retrait, mise en demeure publique, atteinte à la réputation, perte de confiance des clients et des partenaires.
Comment construire une démarche de conformité IA solide
Mettre votre entreprise en conformité ne se limite pas à un audit ponctuel. C’est une démarche continue qui doit s’inscrire dans la gouvernance de l’organisation.
Désigner un référent IA et structurer la gouvernance
À l’image du DPO pour le RGPD, un référent IA centralise les sujets, fait le lien avec la direction juridique, la DSI, la conformité et les métiers. Dans les structures plus matures, un comité IA réunit régulièrement ces parties prenantes pour valider les nouveaux cas d’usage et arbitrer les zones grises.
Former l’ensemble des collaborateurs
L’AI Act impose explicitement aux entreprises de garantir un niveau suffisant de littératie en IA chez les personnes qui utilisent ou supervisent ces systèmes. Cela passe par des sessions de formation adaptées au métier de chacun : différencier les niveaux de risque, comprendre les limites de l’IA générative, maîtriser les règles internes d’usage.
Documenter chaque traitement et chaque modèle
Toute autorité de contrôle commencera son inspection par une demande de documentation. Pour chaque système d’IA, vous devez pouvoir produire la finalité, les données utilisées, les performances mesurées, les mesures de sécurité en place et les contrôles humains prévus.
Mettre en place des audits réguliers
Les modèles évoluent : nouvelles versions, nouvelles données d’entraînement, nouveaux cas d’usage. Une cartographie figée perd rapidement sa pertinence. Prévoyez des revues périodiques, idéalement trimestrielles pour les systèmes à haut risque, ainsi qu’un processus formalisé d’analyse d’impact pour tout nouveau projet.
Se faire accompagner par un partenaire spécialisé
Mettre en place une gouvernance IA complète suppose de croiser des compétences juridiques, techniques et métier que peu d’entreprises maîtrisent en interne. C’est particulièrement vrai pour les PME et ETI, qui n’ont pas toujours les moyens de recruter une équipe dédiée.
Faire appel à un cabinet spécialisé, à une agence en conformité ou à un consultant indépendant permet de gagner du temps, de bénéficier d’un regard expert et de capitaliser sur les bonnes pratiques observées dans d’autres organisations.
Pour identifier le bon partenaire, plusieurs critères entrent en jeu : maîtrise simultanée du RGPD et de l’AI Act, expérience sur des missions comparables à la vôtre, références sectorielles, méthodologie d’audit, et capacité à travailler main dans la main avec votre DSI et votre direction juridique.
Anticiper plutôt que subir
L’intelligence artificielle est devenue un levier de productivité incontournable, mais elle s’accompagne d’un cadre réglementaire qui ne pardonne pas l’improvisation. Cartographier vos systèmes, évaluer leurs risques, encadrer les usages des collaborateurs et documenter vos traitements ne sont plus des bonnes pratiques optionnelles : ce sont les fondations d’une démarche qui vous protège juridiquement et qui sécurise la confiance de vos clients.
Plus vous structurez tôt votre gouvernance IA, plus le coût de la mise en conformité reste maîtrisé. À l’inverse, attendre un premier contrôle ou un premier incident pour se mettre en mouvement, c’est courir le risque de payer doublement, en sanctions et en réputation.
