AI Act : Ce que les guides de conformité ne vous disent pas.
Intelligence Artificielle

AI Act : Ce que les guides de conformité ne vous disent pas.

Par Florian Hohweiller — Consultant IA sénior | Gouvernance & Conformité AI Act

Depuis quelques mois, les guides sur l’AI Act fleurissent partout. Sur les blogs juridiques, les sites de cabinets, les newsletters spécialisées. Ils sont souvent bien faits. Ils vous expliquent les quatre niveaux de risque, les dates clés, les montants des amendes. Certains vont même jusqu’à vous fournir des checklists.
Et pourtant, quand j’accompagne des organisations dans leur mise en conformité, des groupes industriels, des acteurs de la santé, des entreprises du secteur énergétique, je constate toujours le même décalage. Entre ce que ces guides décrivent et ce qui se passe réellement quand on ouvre le capot, il y a un fossé. Pas un fossé théorique. Un fossé opérationnel.


Cet article ne remplace pas les guides existants. Il les complète, en partageant ce que le terrain m’a appris et que les guides ne racontent jamais.

Le texte est clair. Le terrain ne l’est pas.

Le Règlement européen sur l’intelligence artificielle (Règlement UE 2024/1689) est entré en vigueur le 1er août 2024. Son application est progressive : les pratiques interdites sont effectives depuis février 2025, les obligations sur les modèles d’IA à usage général (GPAI) depuis août 2025, et les exigences relatives aux systèmes à haut risque s’appliqueront pleinement à compter du 2 août 2026.
Sur le papier, c’est limpide. Dans la réalité des entreprises, c’est une autre histoire.
La plupart des organisations que je rencontre n’ont pas un problème de compréhension du texte. Elles ont un problème de traduction opérationnelle. Elles savent qu’il existe quatre niveaux de risque. Elles savent que les amendes peuvent atteindre 35 millions d’euros ou 7 % du chiffre d’affaires mondial. Ce qu’elles ne savent pas, c’est par où commencer concrètement. Et surtout, elles sous-estiment la complexité organisationnelle que la mise en conformité implique.

Le premier angle mort : la shadow AI

Avant même de parler de classification des risques ou de documentation technique, il y a un sujet que presque aucun guide n’aborde frontalement : la shadow AI.
Dans la majorité des organisations que j’accompagne, les usages IA non déclarés représentent un volume significatif. Des collaborateurs utilisent ChatGPT pour rédiger des comptes rendus, synthétiser des documents internes, préparer des présentations. Des équipes marketing automatisent des tâches avec des outils intégrés sans que la DSI en soit informée. Des managers intègrent des fonctionnalités IA embarquées dans leurs logiciels métiers sans se poser la question de la conformité.
Ce n’est pas de la malveillance. C’est de l’efficacité spontanée. Mais du point de vue de l’AI Act, chaque usage d’un système d’IA fait potentiellement de l’entreprise un « déployeur » au sens du règlement — avec des obligations associées, notamment en matière de transparence (article 50) et, dans certains cas, de gestion des risques.
La Commission européenne a d’ailleurs publié en janvier 2026 ses premières lignes directrices opérationnelles, qui confirment que la responsabilité du déployeur est engagée dès lors qu’il utilise un système d’IA, même s’il n’en est pas le développeur. La cartographie des usages IA est donc la première étape et elle est souvent beaucoup plus complexe qu’on ne l’imagine.


La confusion fournisseur / déployeur : un piège récurrent

L’AI Act distingue clairement deux rôles : le fournisseur (celui qui développe ou met sur le marché un système d’IA) et le déployeur (celui qui l’utilise dans un cadre professionnel). Les obligations ne sont pas les mêmes.
En théorie, c’est simple. En pratique, cette distinction crée un angle mort dangereux. Beaucoup d’entreprises partent du principe que la conformité est la responsabilité de leur fournisseur. « Notre éditeur SaaS est conforme, donc nous le sommes aussi. » C’est faux.
Le déployeur a ses propres obligations : s’assurer que le système est utilisé conformément à sa notice d’utilisation, mettre en place un contrôle humain approprié, documenter les usages, informer les personnes concernées. Et surtout, si l’entreprise modifie l’usage prévu du système, ce qui arrive constamment, elle peut devenir fournisseur au sens du règlement, avec toutes les obligations que cela implique.


J’ai vu cette confusion provoquer des situations absurdes : des entreprises qui pensaient être en conformité parce qu’elles avaient reçu un document de leur éditeur, alors qu’elles n’avaient même pas inventorié leurs propres usages.


La gouvernance IA n’est pas un projet juridique

C’est probablement le point le plus mal compris. Quand les organisations découvrent l’AI Act, leur premier réflexe est de le confier au département juridique. Ou au DPO, par extension du RGPD. C’est compréhensible. C’est un règlement, donc c’est du droit.
Sauf que la mise en conformité AI Act est d’abord un projet organisationnel. Elle implique la DSI (pour la cartographie technique), les métiers (pour l’identification des usages), la direction des risques (pour l’évaluation), les ressources humaines (pour la formation — l’article 4 impose une obligation de « littératie en IA »), et la direction générale (pour l’arbitrage et l’allocation des responsabilités).
Le NIST AI Risk Management Framework, publié par l’Institut national des standards et de la technologie américain, identifie quatre fonctions clés dans la gouvernance IA : Govern, Map, Measure, Manage. La première — Govern — porte précisément sur la structure organisationnelle, les rôles, les responsabilités et la culture. Sans elle, les trois autres fonctions restent des exercices de style.
L’ISO/IEC 42001, norme internationale pour les systèmes de management de l’IA, va dans le même sens. Elle ne prescrit pas uniquement des contrôles techniques. Elle exige un engagement de la direction, une politique IA documentée, des objectifs mesurables et un processus d’amélioration continue. C’est un système de management, pas une checklist technique.


Les trois questions que les guides ne posent jamais

Après plusieurs missions de cadrage et d’audit en gouvernance IA, j’ai identifié trois questions qui reviennent systématiquement et que les guides existants n’abordent presque jamais.
Qui est accountable ? Pas « responsable » au sens large, mais réellement redevable devant le régulateur. Dans beaucoup d’organisations, la réponse est floue. Le DSI pense que c’est le DPO. Le DPO pense que c’est le métier. Le métier pense que c’est la DSI. Cette ambiguïté est un risque en soi. L’AI Act exige une traçabilité claire des décisions et une traçabilité sans propriétaire identifié, ça n’existe pas.


Comment arbitre-t-on entre innovation et conformité ? Faut-il bloquer un projet IA prometteur parce qu’il présente un risque réglementaire ? Faut-il ralentir le déploiement d’un outil qui fait gagner 30 % de productivité à une équipe parce que sa documentation est incomplète ? Ces arbitrages sont quotidiens. Et ils ne se tranchent ni dans un guide, ni dans un tableau Excel. Ils nécessitent un comité de gouvernance IA avec un mandat clair, des critères de décision formalisés et une autorité reconnue.


Comment mesure-t-on la maturité ? La conformité n’est pas binaire. On n’est pas « conforme » ou « non conforme » du jour au lendemain. Il existe un continuum de maturité, et les organisations ont besoin d’indicateurs concrets pour savoir où elles en sont, ce qui reste à faire, et dans quel ordre. Les référentiels comme l’ISO/IEC 42001 et le NIST AI RMF offrent des grilles structurées, mais leur appropriation demande un vrai travail d’adaptation au contexte spécifique de chaque organisation.


Combien de systèmes IA avez-vous inventoriés ? Combien sont classés à haut risque au sens de l’Annexe III ? Quel pourcentage dispose d’une documentation technique conforme ? Avez-vous un registre IA à jour ? Ces questions paraissent évidentes. Dans la réalité, moins d’une organisation sur trois que j’accompagne peut y répondre lors du premier échange.


La conformité se joue dans les couloirs, pas dans les slides

Il y a un aspect de la mise en conformité AI Act que les présentations PowerPoint ne captent jamais : la dimension humaine.
Quand vous annoncez à une équipe métier qu’elle va devoir documenter ses usages IA, justifier ses choix d’outils et se soumettre à des contrôles, la réaction n’est pas l’enthousiasme. C’est, au mieux, de l’incompréhension. Au pire, de la résistance active. « On va perdre en agilité. » « Ça va ralentir nos projets. » « C’est encore un truc imposé par le siège. »


Ces réactions sont légitimes. Et les ignorer, c’est garantir l’échec de la démarche. La gouvernance IA ne se décrète pas par une note de service. Elle se construit en embarquant les parties prenantes, en expliquant le pourquoi avant le comment, en montrant que la conformité n’est pas un frein mais une condition de pérennité des usages.
J’ai vu des organisations avec des politiques IA impeccables sur le papier, validées par le COMEX, documentées dans Confluence et totalement ignorées par les équipes opérationnelles. Le document existait. La gouvernance, non.
À l’inverse, les organisations qui réussissent leur mise en conformité sont celles qui créent un espace de dialogue entre les fonctions : DSI, juridique, métiers, risques, direction générale. Un comité de gouvernance IA n’est pas un comité de plus. C’est l’endroit où l’on tranche les arbitrages que personne d’autre ne peut trancher.


Ce que le RGPD nous a appris — et que l’AI Act va reproduire

L’analogie avec le RGPD n’est pas parfaite, mais elle est éclairante. En 2016, quand le Règlement général sur la protection des données a été adopté, les entreprises ont eu deux ans pour se préparer. Beaucoup ont attendu les derniers mois. Certaines ont traité le sujet comme un projet ponctuel, un audit, une mise à jour des mentions légales, une nomination de DPO, et on passe à autre chose.
Huit ans plus tard, on sait que le RGPD n’est pas un projet. C’est un processus continu. Les organisations qui l’ont compris tôt ont gagné un avantage structurel : elles ont intégré la protection des données dans leurs processus, formé leurs équipes, et construit une culture de la conformité. Les autres courent encore après.
L’AI Act suit exactement la même trajectoire. Les entreprises qui traitent la conformité comme un projet ponctuel : « on fait un audit, on coche les cases, on passe à autre chose » se retrouveront dans la même situation que celles qui ont sous-estimé le RGPD. La conformité IA, comme la conformité données, est un muscle organisationnel. Il se développe avec le temps et la pratique, pas avec un livrable unique.
La CNIL, désignée comme l’une des autorités compétentes en France pour la supervision de l’AI Act, a d’ailleurs indiqué qu’elle intensifierait ses contrôles sur les systèmes IA utilisés dans les ressources humaines à partir de l’automne 2026. Le signal est clair : la phase de tolérance a une date de fin.
Commencer maintenant, pas parfaitement
Si cet article devait se résumer en une recommandation, ce serait celle-ci :

« Ne cherchez pas la perfection, cherchez la progression. »

Les organisations qui attendent d’avoir toutes les réponses avant de démarrer ne démarrent jamais. Celles qui avancent par étapes, cartographier les usages, identifier les systèmes à haut risque, clarifier les responsabilités, poser les premiers jalons de gouvernance prennent une avance considérable.
Le programme « Osez l’IA » lancé par le gouvernement français en 2025 propose d’ailleurs des diagnostics Data-IA cofinancés par BPI France, accessibles aux PME et ETI. C’est un point d’entrée concret pour les organisations qui ne savent pas par où commencer.

Mais au-delà des dispositifs publics, l’enjeu est culturel. L’IA transforme les organisations. La gouvernance détermine si cette transformation crée de la valeur ou du risque.

Les guides vous disent quoi faire. Le terrain vous apprend comment le faire. Et c’est dans cet écart que se joue la réalité de la conformité.

Florian Hohweiller accompagne les organisations dans la structuration de leur gouvernance IA et leur mise en conformité réglementaire (AI Act, ISO 42001, NIST AI RMF). Il est l’auteur du framework d’audit AI 360 MétaPlan.

Sources et références :

  • Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle (AI Act)
  • Commission européenne — Lignes directrices sur les pratiques interdites en matière d’IA (février 2025)
  • Commission européenne — Lignes directrices sur les modèles d’IA à usage général (juillet 2025)
  • Commission européenne — Lignes directrices opérationnelles AI Act (janvier 2026)
  • NIST AI Risk Management Framework (AI RMF 1.0), National Institute of Standards and Technology, janvier 2023
  • ISO/IEC 42001:2023 — Intelligence artificielle — Système de management, Organisation internationale de normalisation
  • Commission européenne — digital-strategy.ec.europa.eu, page « Législation sur l’IA »
  • artificialintelligenceact.eu — Ressource indépendante de référence sur l’AI Act
  • BPI France — Programme « Osez l’IA » et diagnostics Data-IA cofinancés (2025-2026)
  • CNIL — Positions sur l’IA et le RGPD, annonces sur les contrôles sectoriels 2026

Recommended For You

Satisfaire ses clients avec la Big data Expérience clientIA For BusinessIntelligence ArtificielleOutilsTech For GOOD

Savoir satisfaire ses clients à l’ère du Big Data

Florian HOHWEILLER
Florian HOHWEILLER16 janvier 2021
Reset de la Grande distribution eBusinessExpérience clientIntelligence ArtificielleNouvelles pratiquesTech For BusinessTechnologies émergentes

Le Grand RESET des Magasins : Comment le digital aide les détaillants ?

Florian HOHWEILLER
Florian HOHWEILLER28 novembre 2020
inovapolis-IBM Watson IA For BusinessIntelligence ArtificielleTechnologies émergentes

Watson d’IBM: L’informatique cognitive au service du business

Florian HOHWEILLER
Florian HOHWEILLER20 novembre 2020

Leave a Reply