Gouvernance IA en entreprise : RGPD, AI Act et conformité en pratique
88 % des organisations utilisent l'IA dans au moins une de leurs fonctions, d'après le rapport McKinsey State of AI 2025. Dans le même temps, 28 % seulement des PDG supervisent directement la gouvernance de ces systèmes, et 51 % des entreprises ont déjà subi un incident lié à l'IA.
L'AI Act européen comble ce vide réglementaire, avec un calendrier d'application qui s'accélère depuis février 2025. Ce texte ne remplace pas le RGPD : les deux règlements coexistent et créent des obligations distinctes que les entreprises doivent apprendre à traiter ensemble.
L'AI Act : ce qui s'applique déjà et ce qui arrive
Le règlement européen sur l'intelligence artificielle (Règlement UE 2024/1689) est entré en vigueur le 1er août 2024. Son application est progressive, par niveaux de risque :
| Date | Périmètre |
|---|---|
| 2 février 2025 | Interdictions absolues (notation sociale, biométrie en temps réel) et obligations de formation IA pour les personnels concernés |
| 2 août 2025 | Obligations sur les modèles à usage général : documentation technique, transparence, respect du droit d'auteur |
| 2 août 2026 | Application complète aux systèmes à haut risque : RH, crédit, santé, justice, éducation |
| 2 décembre 2027 | Systèmes à haut risque intégrés dans des produits réglementés (dispositifs médicaux, matériel de sécurité) |
Les amendes prévues à l'article 99 du règlement sont structurées en trois paliers : jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour les violations des pratiques interdites, 15 millions d'euros ou 3 % pour les manquements aux obligations des opérateurs, 7,5 millions d'euros ou 1 % pour les informations inexactes transmises aux autorités.
Quels systèmes entrent réellement dans la catégorie haut risque
La catégorie "haut risque" est plus large que ce que la plupart des entreprises anticipent. Le niveau de risque se détermine par l'usage du système et son impact sur des personnes physiques, pas par la technologie sous-jacente.
Un outil de tri automatique de CV, un système de scoring crédit, une IA qui évalue les performances des équipes, un logiciel de décision de crédit : tous entrent potentiellement dans cette catégorie. Pour les PME qui ont adopté des outils SaaS avec des fonctionnalités IA activées par défaut dans leurs processus RH ou financiers, la situation mérite d'être examinée avant août 2026.
Pour les systèmes classés haut risque, les obligations concrètes incluent :
- Un système documenté de gestion des risques, révisé à intervalles réguliers
- Un contrôle qualité sur les données d'entraînement : représentativité, détection de biais
- Des journaux d'activité permettant de retracer chaque décision automatisée importante
- Un mécanisme explicite de supervision humaine, activable à tout moment
Pour les outils de niveau "transparence" (chatbots, IA génératives), l'obligation minimale est d'informer l'utilisateur qu'il interagit avec une machine. Si vous avez déployé un chatbot IA pour votre support client, cette exigence s'applique depuis le 2 août 2025.
RGPD et AI Act : deux règlements, pas un seul
La CNIL le précise dans ses questions-réponses : l'AI Act ne remplace pas le RGPD. Les deux textes coexistent et se renforcent sur plusieurs points opérationnels.
Sur la documentation : le RGPD exige un registre des traitements de données personnelles, l'AI Act une documentation technique des systèmes d'IA. Ce sont deux inventaires distincts, mais qui couvrent souvent les mêmes outils dans l'entreprise. Les tenir séparément, sans coordination entre DPO et référent IA, multiplie les efforts.
Sur l'analyse d'impact : la DPIA (analyse d'impact relative à la protection des données) du RGPD et l'évaluation des risques imposée par l'AI Act ciblent les mêmes systèmes dans la grande majorité des cas. Les conduire conjointement permet de partager les conclusions et de rationaliser la documentation.
Sur les droits des personnes : le droit à l'explication d'une décision automatisée prévu par le RGPD et l'obligation de supervision humaine de l'AI Act vont dans le même sens. Les deux obligations se renforcent mutuellement.
La meilleure approche pratique : traiter l'analyse DPIA et l'évaluation AI Act dans un document unique dès la conception d'un nouveau système. Ce que le RGPD appelle "privacy by design" s'étend ainsi en "AI compliance by design".
L'écart de gouvernance : un risque structurel
Selon Gartner, d'ici 2028, les entreprises du Fortune 500 déploieront en moyenne 150 000 agents IA en service, mais seules 13 % des organisations estiment disposer d'une gouvernance adéquate pour les encadrer. McKinsey constate par ailleurs que 51 % des entreprises ont déjà subi un incident lié à l'IA, et que près de la moitié ont rencontré des problèmes éthiques ou de gouvernance sur leurs projets d'IA générative.
Ce n'est pas un problème réservé aux multinationales. Une PME qui automatise sa relation client, ses processus RH ou sa comptabilité avec des outils d'IA générative est exposée aux mêmes obligations réglementaires, à proportion de sa taille. Les amendes pour les PME sont plafonnées au montant le plus bas entre le montant fixe et le pourcentage du chiffre d'affaires, mais les obligations de fond restent identiques.
Ce que l'on observe chez nos clients : une déconnexion systématique entre les équipes métier qui déploient l'IA rapidement et les équipes juridiques ou DSI qui découvrent l'existence de ces systèmes a posteriori. Un agent IA déployé pour automatiser des workflows internes peut très bien tomber dans la catégorie haut risque si ses décisions touchent des personnes physiques.
Construire sa gouvernance IA : les quatre piliers
Une gouvernance IA qui fonctionne repose sur quatre actions concrètes. Pas sur une politique de 40 pages que personne ne lit.
Inventaire des systèmes. Lister tous les outils IA utilisés dans l'entreprise, y compris les outils SaaS avec des fonctionnalités IA activées par défaut dans les CRM, ERP ou outils RH. Classer chaque système selon les niveaux AI Act. Cet inventaire est le point de départ indispensable.
Désignation d'un référent IA. L'AI Act ne crée pas d'équivalent obligatoire du DPO, mais désigner un responsable interne est indispensable. Cette personne n'a pas besoin d'être juriste : elle doit connaître les systèmes déployés, pouvoir les relier aux catégories réglementaires, et coordonner avec le DPO existant sur les sujets RGPD communs.
Documentation des risques. Pour chaque système haut risque, tenir un registre précisant : données d'entraînement utilisées, biais identifiés, mesures de mitigation, mécanisme de recours humain. Ce document est la première pièce demandée lors d'un contrôle par une autorité nationale.
Procédures de supervision. Définir qui peut contester ou corriger une décision automatisée, comment, et dans quel délai. Pour les agents IA qui orchestrent des workflows complexes comme des intégrations n8n et protocoles MCP, la question de l'intervention humaine doit être traitée dès la phase de conception.
Si votre entreprise développe ou déploie des agents IA sur mesure, la conformité AI Act doit être intégrée dès les spécifications. Ajouter des garde-fous après le déploiement coûte significativement plus cher que de les prévoir dès le départ.
Questions fréquentes
Mon entreprise est-elle concernée si elle utilise seulement des outils SaaS tiers ?
Oui. L'AI Act distingue les "fournisseurs" (développeurs de l'IA) et les "déployeurs" (utilisateurs). Une entreprise qui utilise un outil de recrutement basé sur l'IA est déployeur, et à ce titre soumise à des obligations : vérifier que le fournisseur est en conformité, et mettre en place une supervision humaine des décisions produites.
Faut-il mettre à jour les DPIAs RGPD existantes pour les intégrer à l'AI Act ?
Pour tout système qui tombe à la fois dans le périmètre RGPD et dans la catégorie haut risque AI Act, oui. La CNIL recommande d'intégrer les deux analyses dans un document unique pour éviter les redondances. C'est aussi la position la plus solide en cas de contrôle par une autorité nationale.
L'AI Act s'applique-t-il aux entreprises établies hors UE ?
Dès qu'un système IA produit ses effets sur le territoire européen, le règlement s'applique, quel que soit le pays d'établissement. Le principe est identique à celui du RGPD : c'est la localisation des utilisateurs finaux qui détermine l'applicabilité, pas celle de l'entreprise qui déploie le système.
