Conformité IA Act : votre plan d'action en 10 étapes (sans cabinet d'avocats)
Introduction
Dixième et dernier article de notre série IA Act pour les PME. Vous savez désormais lire la pyramide des risques, repérer les pratiques interdites, distinguer fournisseur et déployeur, et vous connaissez le calendrier réel. Reste à transformer tout cela en actions.
Voici le plan complet, en 10 étapes ordonnées, dimensionné pour une PME : comptez 2 à 4 semaines de travail effectif étalées sur quelques mois, l'essentiel pouvant être mené en interne.
Phase 1. Voir clair (étapes 1 à 3)
Étape 1 : inventoriez tous vos usages d'IA. Pas seulement les outils achetés « IA » : les fonctionnalités IA cachées dans vos logiciels existants (CRM, RH, visioconférence) et le « shadow AI » de vos équipes. Pour chaque usage : quel outil, qui, pour quoi faire, avec quelles données. Une demi-journée d'enquête interne bienveillante. Livrable : le registre des usages IA.
Étape 2 : classez chaque usage dans la pyramide. Appliquez la méthode des 3 questions (pratique interdite ? décision importante sur des personnes ? interaction ou génération de contenu ?). Livrable : le registre enrichi d'une colonne « niveau de risque ».
Étape 3 : déterminez votre rôle pour chaque système. Déployeur dans 95 % des cas, mais vérifiez les trois pièges (marque blanche, modification substantielle, détournement d'usage vers le haut risque). Livrable : la colonne « rôle » du registre.
Phase 2. Traiter l'urgent (étapes 4 à 6)
Étape 4 : éliminez tout risque de pratique interdite. Passez en revue les outils qui « observent » des personnes (visioconférence, recrutement vidéo, centre d'appels, formation). Désactivez les fonctions d'analyse émotionnelle ou comportementale douteuses, et exigez de chaque fournisseur concerné une confirmation écrite de conformité à l'article 5. Échéance : immédiate, c'est en vigueur depuis février 2025.
Étape 5 : mettez en place la transparence. Mention IA sur vos chatbots et voicebots, étiquetage des contenus photo-réalistes générés, règle éditoriale interne pour les textes. La checklist complète est ici. Échéance : 2 août 2026.
Étape 6 : lancez la formation littératie IA. Socle commun pour tous, module renforcé pour les utilisateurs intensifs, et registre de preuves (présences, supports, attestations). Notre article détaillé, et c'est le cœur de métier de hIAppy Learn. Échéance : déjà en vigueur.
Phase 3. Préparer 2027 (étapes 7 à 8)
Étape 7 : interrogez les éditeurs de vos systèmes à haut risque. Pour chaque outil classé haut risque à l'étape 2 : classification officielle, feuille de route de conformité pour décembre 2027, notice d'utilisation. Intégrez la conformité IA Act dans vos critères d'achat et vos contrats, avec clause de réversibilité pour éviter le lock-in. Échéance recommandée : fin 2026.
Étape 8 : organisez la supervision humaine. Désignez les superviseurs, formez-les spécifiquement, donnez-leur l'autorité réelle d'inverser les décisions de la machine, documentez le processus. Pour les systèmes RH : informez les salariés et consultez le CSE. Échéance : courant 2027.
Phase 4. Tenir dans la durée (étapes 9 à 10)
Étape 9 : constituez votre dossier de conformité. Quatre classeurs, physiques ou numériques : le registre des usages (étapes 1-3), les preuves de formation (étape 6), les garanties fournisseurs (étapes 4 et 7), les preuves de transparence (étape 5). C'est ce dossier qui transforme un contrôle en formalité, relisez notre article sur les contrôles CNIL.
Étape 10 : instaurez une revue semestrielle. Nouveaux outils, nouveaux usages, évolutions réglementaires (l'adoption formelle du Digital Omnibus, les standards harmonisés à venir) : 2 heures tous les six mois pour maintenir le registre à jour et décider des actions. La conformité n'est pas un projet, c'est une routine légère.
Le mot de la fin de cette série
Dix articles plus tard, le message tient en trois phrases. L'IA Act ne demande pas aux PME de renoncer à l'IA : il leur demande de savoir ce qu'elles utilisent, de former leurs équipes et de ne pas tromper leurs clients. Les obligations les plus lourdes ne concernent qu'une partie des usages, avec un délai confortable jusqu'à décembre 2027. Et chaque heure investie dans cette conformité est aussi une heure investie dans la qualité de vos usages d'IA : c'est rare, pour une réglementation.
Vous voulez un état des lieux fait par des yeux extérieurs, avec le registre, la classification et le plan d'action livrés clés en main ? C'est exactement le format de notre diagnostic hIAppy Vision. Et pour former vos équipes, hIAppy Learn est fait pour ça. À très vite.
Questions fréquentes
Combien coûte une mise en conformité IA Act pour une PME ?+
Pour une PME type (usages majoritairement à risque minimal ou limité), l'essentiel du coût est du temps interne : 2 à 4 semaines de travail effectif étalées sur quelques mois pour l'inventaire, la classification, la transparence et la documentation. S'y ajoutent la formation des équipes (finançable par votre OPCO) et, si vous avez des systèmes à haut risque, le temps de structuration de la supervision humaine en 2027. Rien de comparable à un chantier RGPD complet.
Faut-il un avocat ou un consultant pour se mettre en conformité ?+
Pas nécessairement pour le socle : inventaire, classification, transparence et formation sont à la portée d'une PME outillée (cette série vous donne la méthode). L'accompagnement devient pertinent dans trois cas : des systèmes à haut risque avérés (RH, scoring), une zone grise sur votre rôle (risque de devenir fournisseur), ou simplement le besoin d'aller vite avec un regard extérieur : c'est le format de notre diagnostic hIAppy Vision.
Par quelle étape commencer si je n'ai le temps de n'en faire qu'une ?+
L'inventaire des usages (étape 1). C'est le socle de tout le reste : sans lui, impossible de classer, de former ciblé ou de répondre à un contrôle. Et c'est aussi l'étape la plus révélatrice : la plupart des dirigeants découvrent à cette occasion deux fois plus d'usages d'IA qu'ils ne l'imaginaient, shadow AI compris. Une demi-journée bien investie.
Comment rester à jour des évolutions de l'IA Act ?+
Trois réflexes suffisent : suivre l'adoption formelle du Digital Omnibus (qui entérinera le report à décembre 2027), surveiller les lignes directrices de la Commission européenne et de la CNIL (qui précisent l'interprétation des obligations), et instaurer votre revue semestrielle interne (étape 10). Ou laisser quelqu'un le faire pour vous : c'est inclus dans nos accompagnements hIAppy.
Tags
Partager cet article
Pierre Lefebvre
Fondateur de hIAppy, expert en intelligence artificielle et transformation digitale des entreprises.
