⚖️ Conformité RGPD & AI Act pour PME

Le règlement européen sur l'intelligence artificielle (AI Act) a été adopté en 2024, avec une entrée en application progressive jusqu'au 2 août 2027. La date la plus structurante côté PME est le 2 août 2026 : entrée en vigueur des obligations sur les modèles à usage général, l'article 4 (formation IA obligatoire), les organismes notifiés, et les premières sanctions effectives.

En parallèle, le RGPD est applicable depuis 2018, mais l'IA générative crée des flux de données nouveaux qui n'étaient pas prévus dans les registres initiaux : envoi de mails clients à un LLM cloud pour reformulation, traitement de CV par un agent de pré-tri, audit d'un PDF contractuel par Claude ou GPT. La majorité des PME ont des usages IA qui ne figurent pas dans leur registre RGPD — ce qui est, en soi, déjà un manquement.

Concrètement, une PME de 50 à 100 personnes a typiquement 15 à 30 usages IA en circulation en 2026, dont une part non négligeable n'est pas connue de la direction : ChatGPT Pro perso pour rédaction commerciale, Claude pour analyse de contrat, Otter ou Fireflies pour CR de réunion, outils de tri CV testés par RH, agents marketing automation. Sans dispositif, la responsabilité juridique du dirigeant est engagée à mesure que l'AI Act devient effectif.

La bonne nouvelle : le dispositif de conformité est largement à la portée d'une PME-ETI, à condition d'adopter une méthode pragmatique. Ce module documente les 5 phases : inventaire, classification, mise en conformité urgente, formation, gouvernance continue. Avec une étude de cas réaliste (ManufactCo, ETI mécanique 80 personnes Grand Est) qui décortique 4 mois de mise en place.

L'AI Act classe les systèmes d'IA en 4 niveaux de risque, avec un traitement différencié. La logique : plus le risque pour les droits fondamentaux ou la sécurité est élevé, plus les obligations le sont. Pour une PME, l'exercice consiste à classer chaque usage cartographié dans la bonne catégorie — c'est ce qui détermine le niveau d'effort et de documentation à fournir.

Implication clé pour la PME : sur 23 usages typiques, 1 à 2 sont haut risque (souvent en RH ou crédit), 3 à 5 sont à risque limité (chatbots clients, contenu généré), et tout le reste est risque minimal. L'effort de mise en conformité doit être calibré en conséquence : ne pas traiter un assistant rédactionnel personnel comme un système haut risque, ne pas traiter un agent RH comme un usage anodin.

L'Article 50 du règlement européen sur l'IA (AI Act) impose deux obligations de transparence distinctes, applicables à tous les acteurs (pas seulement aux systèmes haut-risque) :

1. Informer l'utilisateur qu'il interagit avec un système d'IA lorsque ce n'est pas évident (chatbot, agent vocal, assistant en ligne).
2. Labelliser les contenus générés ou substantiellement modifiés par l'IA (texte, image, audio, vidéo) afin que le public puisse les identifier comme synthétiques.

Application : 2 août 2026.

Draft Guidelines Art. 50 — publication 8 mai 2026 (calendrier précis)

Le 8 mai 2026, la Commission européenne a publié les premières lignes directrices (non contraignantes) couvrant l'intégralité du périmètre de l'article 50 AI Act : transparence pour interactions IA, deepfakes, contenus IA-générés, reconnaissance émotionnelle, catégorisation biométrique.

• 8 mai 2026 — publication des Draft Guidelines
• 3 juin 2026 — clôture de la consultation publique ciblée
• 2 août 2026 — applicabilité confirmée des obligations Art. 50

Le caractère non contraignant des Draft Guidelines est à souligner : elles donnent une orientation aux opérateurs sur comment appliquer les obligations Art. 50, pas seulement quoi appliquer. L'obligation juridique vient de l'AI Act lui-même, pas des Guidelines. En parallèle, la Commission a publié le Code of Practice on Transparency of AI-Generated Content (2e draft publié le 5 mars 2026), qui complète l'approche.

Obligations confirmées au 2 août 2026

Pour les fournisseurs de systèmes IA :

• Informer les utilisateurs lorsqu'ils interagissent avec une IA (interfaces conversationnelles)
• Implémenter des marques machine-readable dans les systèmes d'IA générative pour permettre la détection automatique de contenu synthétique

Pour les déployeurs (entreprises utilisatrices) :

• Informer les personnes exposées à des deepfakes
• Informer en cas de publications IA-générées sur sujets d'intérêt public
• Informer en cas d'usage de systèmes de reconnaissance émotionnelle ou catégorisation biométrique

Le paquet Omnibus VII — simplification adoptée le 7 mai 2026

Le paquet de simplification Omnibus VII a fait l'objet d'un accord politique entre Parlement et Conseil le 7 mai 2026. Il apporte trois nouveautés :

• Allègement administratif pour les acteurs non haut-risque (moins de documentation à produire pour les usages à risque limité ou minimal).
• Clarification des interactions entre l'AI Act et d'autres règlements (notamment Machinery Regulation pour les machines connectées).
• Interdiction explicite des applications dites de « nudification » (génération d'images dénudées non consenties).

L'adoption formelle d'Omnibus VII est prévue avant l'application de l'AI Act haut-risque (2 août 2026).

Le watermarking technique reporté au 2 décembre 2026

Implication concrète pour la PME — 3 actions avant le 2 août 2026

1. Auditer ses interactions avec l'IA : tout chatbot, assistant vocal ou agent doit annoncer clairement qu'il s'agit d'une IA dès la première interaction. Concerne les modules Leads & chatbots et Voicebot accueil.
2. Identifier les contenus générés par IA : tout email rédigé par IA et envoyé à un tiers, tout visuel ou audio généré, doit être labellisé. Concerne les modules Assistant rédactionnel, Content repurposing, Pipeline contenu social, Newsletter locale.
3. Documenter la conformité : tenir un registre interne des usages IA en contact avec le public (clients, fournisseurs, candidats). Pour la dimension sécurité opérationnelle, voir le préalable Sécurité IA & risques opérationnels.

Pour les architectures multi-agents qui interagissent avec le public, l'Article 50 impose une transparence cascadée — chaque agent en frontline doit s'annoncer. Voir le module Multi-agents par fonction pour le pattern d'architecture.

Fiches IA finales CNIL + guide HAS-CNIL — applicables maintenant

En complément de l'AI Act, la CNIL a publié ses recommandations finales sur l'IA et le RGPD, couvrant 3 thèmes opérationnels pour toute PME exploitant des données personnelles dans ses systèmes IA :

1. Applicabilité du RGPD aux modèles IA : un modèle entraîné sur des données personnelles est lui-même un traitement de données personnelles potentiel.
2. Exigences de sécurité dans le développement IA : security-by-design + tests de robustesse + traçabilité des données d'entraînement.
3. Conditions d'annotation des données d'entraînement : information des annotateurs + bases légales applicables + droits d'accès et rectification.

Pour les PME du secteur santé / médico-social ou éditrices d'IA, le guide HAS-CNIL « Accompagner le bon usage des systèmes d'IA » (mars 2026, consultation publique close 16 avril 2026) devient la référence opérationnelle :

• 10 fiches dédiées au cycle de vie des systèmes IA (cadrage → conception → développement → déploiement → suivi)
• 2 fiches transverses : gouvernance et GenAI

Pipeline en 5 phases séquentielles, à dérouler dans cet ordre : cartographie → classification → mise en conformité urgente → formation → gouvernance continue. Les phases 1-3 sont à boucler avant le 2 août 2026 ; la phase 4 doit avoir démarré ; la phase 5 est un régime permanent.

Pipeline 5 phases : cartographie → classification → mise en conformité urgente → formation → gouvernance continue. 3 acteurs structurants (référent IA, DPO, sponsor exécutif) + 8 documents clés à produire.

La cartographie est la phase la plus importante du dispositif. Sans inventaire exhaustif, le reste n'a pas de valeur juridique. La méthode pragmatique combine deux approches : audit déclaratif des équipes (qualitatif) et audit logs des outils SaaS (quantitatif). Le croisement des deux révèle les usages que les équipes oublient ou ne signalent pas.

Audit déclaratif (qualitatif)

Questionnaire individuel envoyé à chaque collaborateur, anonymisable au début pour libérer la parole. Format type : 8 à 12 questions sur les outils utilisés, la fréquence, les données traitées, le périmètre, les bénéfices ressentis, les craintes. Discipline clé : ne pas culpabiliser la première ligne — l'objectif est de comprendre la réalité, pas de punir des collaborateurs qui ont essayé de gagner en productivité.

Audit logs SaaS (quantitatif)

Pour les structures qui ont Microsoft 365 ou Google Workspace, l'audit des logs SaaS révèle souvent 30 à 50 % d'usages non déclarés en audit qualitatif. Microsoft Purview et Google Audit Logs remontent les flux vers les LLM externes (ChatGPT, Claude, Gemini, Mistral) au niveau navigateur d'entreprise. Croisement obligatoire avec la déclaration équipe.

Format de fiche par usage

Pour chaque usage cartographié, produire une fiche standardisée : nom de l'usage (ex : « tri CV par agent IA »), fonction métier (RH), outil utilisé (Claude, GPT, agent custom), données traitées (CV candidats, données personnelles), fréquence (5 à 20 par jour), responsable opérationnel, bénéfice ressenti, risque AI Act anticipé (à classer en phase 2).

Output attendu

Un registre central (Notion, Airtable, ou Excel structuré) contenant l'ensemble des usages, mis à jour trimestriellement. C'est ce registre qui devient la source unique de vérité pour la classification, la mise en conformité, la formation, et l'audit. Sans registre tenu, aucun dispositif n'est défendable face à un contrôle CNIL ou une autorité AI Act.

Le RGPD et l'AI Act ne se substituent pas, ils se complètent. Le RGPD protège la donnée personnelle dans son cycle de vie (consentement, finalité, durée de conservation, sécurité). L'AI Act protège le système d'IA dans sa conception et son fonctionnement (transparence, robustesse, contrôle humain, qualité des données d'entraînement). Les deux s'appliquent simultanément à tout usage IA qui traite de la donnée personnelle.

Le rôle du Référent IA

C'est un nouveau rôle introduit par l'AI Act. Pour une PME, il peut être cumulé avec celui de DPO (à condition de formation complémentaire) ou délégué à un référent dédié (souvent à mi-temps, profil DSI ou QHSE). Pour les ETI, la séparation des rôles est recommandée : DPO sur le RGPD, référent IA sur la gouvernance IA, avec une matrice RACI documentée pour les zones de chevauchement (typiquement les usages IA qui traitent de la donnée personnelle).

Documents transverses

Au-delà des registres, 3 documents structurent l'articulation : la politique IA (charte d'usage interne, ce qui est autorisé, encadré, interdit), la matrice RACI DPO/Référent IA (qui décide, qui est responsable, qui est consulté, qui est informé pour chaque type d'usage), et la procédure d'incident IA (que faire si un agent IA produit une erreur préjudiciable, un déni de service, une fuite de données).

Outils de gouvernance et audit IA

Pour les PME-ETI qui veulent industrialiser, plusieurs solutions françaises émergent. EthiqAIS propose un référentiel de gouvernance IA et d'audit éthique, particulièrement adapté aux structures intermédiaires. Goodweek (alumni QFC) couvre la gouvernance multi-LLM avec auditabilité technique. NIN-IA (alumni QFC) accompagne les déploiements PME avec une dimension conformité. Pour les structures sans budget dédié, les modèles types CNIL (registre des traitements) et France Num restent un excellent point de départ.

Audit Shadow AI

Microsoft Purview (intégré à Microsoft 365 E3/E5) remonte les flux vers les LLM externes au niveau navigateur d'entreprise. Google Audit Logs couvre l'équivalent pour Google Workspace. Pour les structures hybrides, Cloudflare Zero Trust ou Zscaler exposent les requêtes vers les domaines LLM (chat.openai.com, claude.ai, mistral.ai, etc.) au niveau réseau.

Formation IA équipes (article 4)

OpenClassrooms propose des parcours certifiants IA accessibles aux PME (~250-500 € par collaborateur). Le Wagon couvre les formats bootcamp pour les profils techniques. Diag Data IA Bpifrance est un parcours de cadrage opérationnel gratuit pour PME. Hub France IA propose des parcours certifiants alignés sur les attentes de l'AI Act. MOOC Class'Code / Inria est gratuit et de bonne facture pour la littératie IA générale (article 4 minimum).

Souverains / on-premise pour usages sensibles

Pour les structures qui veulent réduire l'exposition aux LLM cloud non-EU sur des usages sensibles, Mistral et Mistral Forge permettent des déploiements souverains. Lucie / OpenLLM-France (Linagora) propose un LLM open-source francophone. Pleias-RAG est spécialisé sur les usages juridiques et compliance avec données 100 % open. LightOn Paradigm couvre les déploiements on-premise pour grandes organisations. Ces outils sont à privilégier sur les usages haut risque ou impliquant des données stratégiques.

Modèles documentaires

La CNIL publie des modèles types réutilisables : registre des traitements, mentions d'information, politique de confidentialité. Le site service-public.fr (Entreprendre) détaille les obligations AI Act sectorielles. Le Conseil d'État et la DGE publient régulièrement des décryptages opérationnels. Le Cluster IA Grand Est ENACT propose un guichet PME pour orientation.

Prérequis

Un sponsor exécutif identifié (DG, DAF ou DRH selon la structure). Un référent IA mobilisable (interne mi-temps ou prestataire externe). Un DPO en place ou désigné (RGPD préalable). Une capacité d'audit déclaratif des équipes. Un budget formation (à minima 250-500 € par collaborateur impacté). Pour les structures de taille intermédiaire, prévoir 2 à 3 jours/personne sur 4 mois pour la mise en place initiale.

Une société fictive mais réaliste, inspirée du tissu industriel mécanique du réseau Quest for Change. 5 étapes décortiquées sur un déploiement de 4 mois. Compte 60 minutes pour assimiler en profondeur, ou 20 minutes en survol.

Cartographie tronquée par climat de défiance

Si les collaborateurs craignent une sanction en déclarant leurs usages, l'audit déclaratif rate massivement. Le ratio « usages déclarés / usages réels » peut tomber à 30 %. Discipline : anonymiser le questionnaire la première fois, communiquer explicitement « cartographier pour protéger », croiser systématiquement avec audit logs SaaS pour valider l'exhaustivité. Sans cartographie complète, le dispositif est juridiquement faible.

Excès de prudence sur la classification

La tendance première du référent IA peu formé est de classer tout usage IA comme « haut risque » par sécurité. C'est contre-productif : sur-coût documentaire massif, démotivation des équipes, dispositif qui devient ingérable. Se référer aux annexes officielles AI Act et aux lignes directrices CNIL — environ 80 % des usages PME sont risque minimal. Le « haut risque » a une définition précise et limitée.

Articulation DPO / Référent IA non documentée

Sans matrice RACI explicite, les zones de chevauchement deviennent des zones de blocage. Qui valide un nouvel usage IA traitant de données personnelles ? DPO sur la dimension RGPD, Référent IA sur la dimension AI Act, DAF sur la décision business. Documenter explicitement ces flux avant le premier conflit.

Formation IA générique non adaptée

Un MOOC théorique sans application aux usages réels de la PME ne tient pas l'engagement des équipes. Discipline : compléter par 2-3 ateliers internes par fonction (RH, marketing, finance, ops) qui partent des usages cartographiés et des contraintes opérationnelles propres à la structure. L'attestation de l'employeur n'est crédible que si elle est adossée à un audit pratique.

Dépendance aux LLM cloud non-EU sur usages sensibles

Un usage haut risque (tri CV, évaluation salariés) sur ChatGPT ou Claude expose la PME à des transferts de données hors UE non maîtrisés et à un risque de fuite. Pour les usages sensibles, basculer sur Mistral, Lucie, Pleias-RAG, ou solution on-premise est une décision technique mais aussi stratégique. Documenter la décision dans le registre.

Cartographie qui devient obsolète sans gouvernance

Le rythme d'apparition de nouveaux outils IA en 2026 est élevé (un nouvel outil chaque trimestre dans une PME active). Sans revue trimestrielle systématique du registre, la cartographie est obsolète en 6-9 mois. Inscrire la revue dans les rituels managériaux (revue COMEX trimestrielle, point incubation pour les startups).

Sous-estimation du calendrier

Mettre en conformité une PME-ETI prend 3 à 6 mois selon la maturité initiale. Démarrer en juillet 2026 pour être prêt au 2 août 2026 est impossible. Démarrer en avril 2026 est limite. Démarrer dès maintenant si ce n'est pas déjà fait est la seule option pragmatique.