Vos collaborateurs utilisent ChatGPT pour rédiger des e-mails, Copilot pour écrire du code et des outils d'analyse alimentés par l'IA pour prévoir la demande. Ces outils sont déjà intégrés dans les opérations quotidiennes — souvent adoptés de manière ascendante, sans approbation formelle ni documentation. Le Règlement IA (Règlement 2024/1689) est entré en vigueur le 1er août 2024, et ses obligations sont déployées par phases. Il introduit des règles non seulement pour les développeurs d'IA, mais pour toute organisation qui utilise des systèmes d'IA. Le règlement appelle ces organisations des "déployeurs".
La plupart des petites et moyennes entreprises sont des déployeurs. Vous n'avez pas développé ChatGPT ni votre outil de présélection RH basé sur l'IA — mais vous avez choisi de les utiliser, et cela vous rend responsable de leur impact sur les personnes. Les obligations sont gérables, mais elles exigent une documentation que la plupart des PME n'ont pas encore. Ce guide explique ce que vous devez faire : inventorier vos systèmes d'IA, classifier le risque, documenter la surveillance humaine et intégrer le tout avec votre cartographie existante des données RGPD.
La chronologie du Règlement IA — qu'est-ce qui s'applique et quand ?
Le Règlement IA ne prend pas effet en une seule fois. Il a été publié au Journal officiel le 12 juillet 2024, est entré en vigueur le 1er août 2024, et ses dispositions s'appliquent selon un calendrier échelonné :
- 2 février 2025 — Les pratiques d'IA interdites (Art. 5) et les exigences de maîtrise de l'IA (Art. 4) s'appliquent déjà. Si votre personnel utilise des systèmes d'IA, il doit déjà disposer d'une formation suffisante.
- 2 août 2025 — Les règles pour les modèles d'IA à usage général (comme les modèles de fondation derrière ChatGPT et Gemini) entrent en vigueur.
- 2 août 2026 — L'essentiel du règlement s'applique : les obligations des déployeurs (Art. 26), les exigences relatives aux systèmes d'IA à haut risque, les obligations de transparence (Art. 50) et le cadre complet de conformité. C'est l'échéance pour laquelle la plupart des PME doivent se préparer.
- 2 août 2027 — Les obligations pour les systèmes d'IA à haut risque qui sont des composants de sécurité de produits déjà réglementés par la législation européenne sur les produits (par ex. dispositifs médicaux, machines).
Où en sommes-nous ? À la date de publication de cet article (avril 2026), les pratiques interdites et les exigences de maîtrise de l'IA sont déjà en vigueur. Il vous reste environ quatre mois avant que les obligations des déployeurs et les exigences relatives au haut risque ne prennent effet le 2 août 2026.
La classification des risques du Règlement IA
Le Règlement IA classe chaque système d'IA dans l'un des quatre niveaux de risque. Vos obligations dépendent entièrement du niveau applicable.
Risque inacceptable (interdit). Ces systèmes sont purement et simplement interdits. La notation sociale par les gouvernements, les techniques de manipulation subliminale causant des dommages et l'identification biométrique en temps réel dans les espaces publics à des fins répressives (avec des exceptions étroites). En tant que PME, il est peu probable que vous soyez concerné — mais vérifiez qu'aucun outil de vos fournisseurs ne franchit cette limite.
Risque élevé. C'est ici que les obligations deviennent substantielles. Les systèmes d'IA utilisés pour les décisions de recrutement, l'évaluation de la solvabilité, l'accès aux services essentiels publics et privés ainsi que l'identification biométrique entrent dans cette catégorie. Les systèmes à risque élevé nécessitent une évaluation de conformité, une analyse d'impact relative à la protection des données (AIPD), une surveillance humaine documentée et des journaux d'audit conservés pendant au moins six mois. Si votre entreprise utilise l'IA pour présélectionner des CV, évaluer des demandes de prêt ou déterminer l'éligibilité des clients à des services — vous exploitez un système d'IA à risque élevé.
Risque limité. En vertu de l'Article 50 (obligations de transparence), les chatbots et l'IA conversationnelle doivent informer les utilisateurs qu'ils interagissent avec une IA. Le contenu généré par l'IA (deepfakes, médias synthétiques) doit être clairement étiqueté. Cela s'applique aux chatbots destinés aux clients, aux assistants IA sur votre site web et à tout matériel marketing généré par l'IA.
Risque minimal. Aucune exigence spécifique. Les filtres anti-spam, les moteurs de recherche alimentés par l'IA, les systèmes de recommandation de contenu et les correcteurs grammaticaux relèvent de cette catégorie. La plupart des outils d'IA quotidiens se situent ici.
La question clé pour chaque PME : l'un de vos outils d'IA prend-il ou soutient-il directement des décisions concernant des personnes ? Si oui, vous êtes peut-être en territoire de risque élevé, quelle que soit la simplicité apparente de l'outil.
Ce que les déployeurs doivent documenter (Art. 26)
L'article 26 du Règlement IA définit six obligations fondamentales pour les déployeurs. Aucune d'entre elles n'exige que vous développiez une expertise en IA à partir de zéro — mais toutes exigent de la documentation.
1. Tenez un inventaire IA. Listez chaque service de votre organisation qui utilise l'IA, ce qu'il fait et quelles données il traite. Ce n'est pas optionnel — c'est le fondement de tout le reste. Si vous maintenez déjà un registre des services de données pour le RGPD, étendez-le. Les services d'IA ont leur place dans la même cartographie que votre CRM, votre fournisseur de messagerie et votre stockage cloud.
2. Classifiez chaque système par niveau de risque. Pour chaque service d'IA de votre inventaire, déterminez s'il relève du risque inacceptable, élevé, limité ou minimal. Documentez votre raisonnement. Un chatbot de service client est un risque limité. Un outil d'IA qui note les candidats est un risque élevé.
3. Documentez la surveillance humaine pour les systèmes à risque élevé. Qui examine la sortie de l'IA avant qu'elle n'affecte une personne ? Quel est le processus d'escalade lorsque l'IA produit un résultat incorrect ou biaisé ? Cela doit être documenté, attribué à des rôles nommés et effectivement appliqué.
4. Conservez les journaux d'audit. Pour les systèmes d'IA à risque élevé, conservez les journaux pendant au moins six mois. Ces journaux doivent être suffisants pour reconstituer comment le système est parvenu à une sortie donnée. La plupart des fournisseurs d'IA génèrent des journaux — votre travail est de vous assurer qu'ils sont conservés et accessibles.
5. Signalez les incidents graves. Si un système d'IA à risque élevé cause ou contribue à un incident grave (atteinte à la santé, à la sécurité, aux droits fondamentaux ou aux biens), vous devez le signaler au fournisseur d'IA et, dans certains cas, à l'autorité nationale compétente.
6. Assurez la littératie en IA (Art. 4). Le personnel qui exploite ou supervise des systèmes d'IA doit avoir une compréhension suffisante de leur fonctionnement, de leurs limites et des risques qu'ils présentent. Cela ne signifie pas que tout le monde a besoin d'un diplôme en apprentissage automatique — cela signifie une formation structurée proportionnée au rôle. Attention : contrairement aux autres obligations ci-dessus, les exigences de maîtrise de l'IA sont déjà en vigueur depuis le 2 février 2025 — il ne s'agit pas d'une échéance future mais d'une obligation actuelle.
Le lien avec le RGPD
Le Règlement IA ne remplace pas le RGPD — il s'y superpose. Si votre système d'IA traite des données personnelles (et presque tous le font), le RGPD s'applique pleinement en parallèle du Règlement IA.
L'article 22 du RGPD est particulièrement pertinent : nul ne peut faire l'objet d'une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques ou des effets similaires significatifs. Si l'IA prend ou influence substantiellement des décisions concernant le recrutement, l'approbation de prêts, l'éligibilité aux assurances ou l'accès aux services, vous avez besoin d'une base juridique pour ce traitement, d'un processus documenté de contrôle humain et du droit pour les personnes de contester la décision. L'article 35 du RGPD exige en outre une analyse d'impact relative à la protection des données lorsque le traitement automatisé est susceptible d'engendrer un risque élevé pour les personnes — ce qui inclut la plupart des prises de décision par IA concernant des individus.
Ce ne sont pas de nouvelles obligations — le RGPD les exige depuis 2018. Mais le Règlement IA relève les exigences et la spécificité de la documentation attendue par les autorités de contrôle. Votre registre des activités de traitement devrait déjà couvrir les activités de traitement. Le guide de l'outil ROPA explique comment structurer ce registre. Votre cartographie des données devrait déjà inclure les services. Le guide de cartographie des données RGPD couvre la méthodologie.
Ce qui change avec le Règlement IA : les champs spécifiques à l'IA — classification des risques, dispositions de surveillance humaine, formation à la littératie en IA — doivent désormais faire partie de cette documentation.
4 étapes vers la gouvernance IA pour votre organisation
Étape 1 : Inventorier les services d'IA
Commencez par identifier chaque service alimenté par l'IA dans votre organisation. Les évidents viennent en premier : ChatGPT, Microsoft Copilot, Google Gemini. Puis approfondissez. Votre CRM utilise-t-il l'IA pour le scoring des prospects ? Votre plateforme RH utilise-t-elle l'IA pour classer les candidats ? Votre outil analytique utilise-t-il l'apprentissage automatique pour les prédictions ?
Ajoutez chaque service d'IA à votre cartographie des données avec son objectif, les données qu'il traite et qui y a accès. Readmodel® inclut des modèles de services pour ChatGPT, Claude, Gemini, Copilot, Mistral et Perplexity — préconfigurés avec les bons éléments de données et classifications. Choisissez dans la bibliothèque et votre inventaire IA est lancé en quelques minutes.
Étape 2 : Classifier le risque
Pour chaque service d'IA, attribuez le niveau de risque du Règlement IA : inacceptable, élevé, limité ou minimal. Soyez honnête sur la façon dont l'outil est réellement utilisé, pas seulement sur la façon dont le fournisseur le commercialise. Un chatbot pour les FAQ clients est un risque limité. Le même chatbot utilisé pour trier les réclamations d'assurance est potentiellement un risque élevé.
Documentez votre raisonnement de classification. Quand un auditeur demande pourquoi vous avez classé un système particulier comme risque minimal, "parce que ça semblait peu risqué" n'est pas une réponse acceptable.
Étape 3 : Documenter la surveillance humaine
Pour chaque système d'IA à risque élevé et limité, documentez qui est responsable de l'examen de la sortie de l'IA. Soyez précis : nommez le rôle, décrivez le processus d'examen et définissez ce qui se passe quand l'IA se trompe. Pour les systèmes d'aide à la décision (l'IA recommande, l'humain décide), documentez comment l'humain vérifie la recommandation. Pour les systèmes de décision automatisée, documentez le processus de recours et comment les personnes concernées peuvent demander un examen humain.
Étape 4 : Intégrer dans votre registre des traitements
Les activités de traitement par l'IA sont des activités de traitement. Elles ont leur place dans votre registre Article 30 aux côtés de tout le reste. Pour chaque service d'IA, votre registre devrait inclure : les catégories de données personnelles traitées, la base juridique, la durée de conservation, si les données sont transférées hors de l'UE (la plupart des fournisseurs d'IA traitent les données aux États-Unis) et les champs spécifiques à l'IA : classification des risques, surveillance humaine et statut de littératie en IA.
Readmodel® génère des exports de registre des traitements qui incluent automatiquement les champs de gouvernance IA. Si un service d'IA est classé comme risque élevé mais n'a pas d'AIPD documentée, le registre des risques le signale. Si un service n'a pas de surveillance humaine documentée, il apparaît comme point d'action. Créez un compte gratuit et découvrez comment vos services d'IA s'intègrent dans le même flux de conformité que le reste de votre cartographie des données.
Ce que Readmodel® offre
Readmodel® traite les services d'IA comme des éléments à part entière de votre cartographie des données. La bibliothèque de modèles inclut des modèles de services d'IA préconfigurés avec des éléments de données et des classifications précis. Le registre des risques signale automatiquement les services d'IA qui manquent de documentation de surveillance humaine ou qui nécessitent une AIPD. L'export du registre des traitements inclut des colonnes spécifiques à l'IA pour que votre registre Article 30 reflète à la fois le RGPD et le Règlement IA.
Tous les champs de gouvernance IA sont disponibles sur chaque plan, y compris le plan gratuit Explore. Vous n'avez pas besoin d'un budget entreprise pour documenter la gouvernance IA — vous avez besoin d'un outil structuré et de trente minutes.
Découvrez comment Readmodel® se compare aux autres outils de conformité RGPD, ou créez votre compte gratuit et commencez à cartographier vos services d'IA dès aujourd'hui.
Commencez maintenant
L'échéance du Règlement IA est le 2 août 2026. Les autorités de contrôle attendront de la documentation, pas de bonnes intentions. La bonne nouvelle : si vous maintenez déjà une cartographie des données RGPD, vous êtes à mi-chemin. Ajoutez vos services d'IA, classifiez le risque, documentez la surveillance humaine et intégrez les résultats dans votre registre des traitements. C'est la gouvernance IA pour une PME — pratique, proportionnée et construite sur les fondations de conformité que vous avez déjà.