EU AI Act : comment préparer vos usages d'IA générative en entreprise

L'EU AI Act transforme l'IA générative en sujet de gouvernance opérationnelle. Pour les DSI, RSSI, DPO et directions métiers, la question n'est plus seulement de savoir quels outils d'IA accélèrent le travail des équipes, mais quels usages sont visibles, documentés, sécurisés et conformes.

Le règlement européen suit une logique par niveau de risque. La plupart des assistants génératifs ne sont pas automatiquement des systèmes à haut risque, mais leur contexte d'utilisation peut les faire basculer dans une catégorie plus exigeante : recrutement, scoring, santé, éducation, accès à des services essentiels ou automatisation de décisions ayant un impact sur les personnes.

Ce que l'EU AI Act change pour les entreprises

L'EU AI Act classe les systèmes d'IA selon quatre niveaux de risque :

Niveau	Exemple d'usage	Conséquence pour l'entreprise
Risque minimal	Aide à la rédaction interne sans données sensibles	Peu ou pas d'obligations spécifiques
Risque limité	Chatbot, génération de contenu, assistant client	Transparence, information des utilisateurs, prévention des contenus illicites
Haut risque	Recrutement, crédit, éducation, infrastructures critiques	Gestion des risques, documentation, supervision humaine, journalisation, conformité continue
Risque inacceptable	Notation sociale, manipulation, usages biométriques interdits	Interdiction pure et simple

Cette approche oblige les organisations à regarder chaque cas d'usage dans son contexte réel. Un même modèle peut être peu risqué pour résumer une note interne et beaucoup plus sensible s'il influence une décision RH ou analyse des données personnelles à grande échelle.

L'IA générative n'est pas un cas à part

Les systèmes d'IA à usage général, souvent appelés GPAI, doivent respecter des obligations propres : documentation technique, respect du droit d'auteur, informations sur les données d'entraînement et, pour les modèles présentant un risque systémique, évaluations renforcées et mesures de cybersécurité.

Mais pour une entreprise utilisatrice, le principal enjeu reste la maîtrise des usages. Les collaborateurs peuvent accéder à des dizaines d'outils d'IA sans passer par les achats, le SSO ou la DSI. C'est le coeur du Shadow AI : l'entreprise devient responsable d'usages qu'elle ne voit pas encore.

Les obligations à traduire en contrôles concrets

Préparer l'EU AI Act ne consiste pas à rédiger une politique de plus. Il faut transformer les obligations réglementaires en contrôles vérifiables.

1. Cartographier les usages IA

La première étape consiste à inventorier les outils d'IA utilisés, les utilisateurs concernés, les données exposées et les finalités métier. Cet inventaire doit couvrir les outils approuvés, les abonnements SaaS, les extensions de navigateur, les agents IA, les API et les usages personnels employés dans un contexte professionnel.

Sans cette cartographie, il est impossible de savoir si un usage relève d'un risque limité, élevé ou interdit.

2. Classifier les risques par cas d'usage

La classification doit partir du processus métier, pas seulement du fournisseur. Une IA utilisée pour générer des idées marketing n'a pas les mêmes obligations qu'une IA utilisée pour trier des candidatures.

Pour chaque usage, documentez :

• La finalité métier.
• Les données traitées, notamment les données personnelles ou confidentielles.
• Le niveau d'automatisation de la décision.
• L'impact potentiel sur les personnes.
• Le rôle du fournisseur, de l'intégrateur et de l'entreprise déployeuse.

Cette démarche rejoint les principes de gouvernance IA en entreprise : responsabilité, transparence, sécurité des données et amélioration continue.

3. Encadrer les données et les fournisseurs

L'EU AI Act croise rapidement les enjeux du RGPD, de NIS2 et de DORA. Les équipes doivent vérifier où les données sont traitées, si elles peuvent être utilisées pour entraîner des modèles, quels journaux sont conservés et quelles garanties contractuelles existent.

La difficulté ne s'arrête pas au fournisseur direct. Un outil d'IA peut dépendre d'un hébergeur cloud, d'un modèle tiers, d'un service d'observabilité, d'un processeur de paiement ou d'autres sous-traitants techniques. La cartographie de cette chaîne de sous-traitance devient donc un prérequis pour évaluer la conformité et la résilience numérique.

Pour les fournisseurs d'IA critiques, l'évaluation doit couvrir :

• Les conditions d'utilisation et de conservation des prompts.
• Les clauses de traitement des données.
• La localisation des données et la cartographie des sous-traitants.
• Les certifications de sécurité.
• Les dépendances critiques et scénarios de continuité.
• Les mécanismes de suppression, d'export et d'audit.

4. Mettre en place une supervision humaine

La supervision humaine ne doit pas être théorique. Elle doit préciser qui peut valider, corriger, suspendre ou escalader un résultat produit par l'IA. Pour les cas à haut risque, les équipes doivent pouvoir expliquer comment une décision est contrôlée et à quel moment un humain reprend la main.

5. Journaliser et surveiller les incidents

Les obligations de documentation et de signalement supposent des traces fiables : qui utilise quel outil, pour quelle finalité, avec quel type de données, et selon quelle politique. Les journaux doivent permettre d'identifier les usages anormaux, les fuites potentielles et les écarts par rapport aux règles internes.

Le calendrier à anticiper

Certaines interdictions sont déjà applicables depuis 2025. D'autres obligations, notamment celles liées aux systèmes à haut risque et à la transparence, s'appliquent progressivement en 2026 et 2027. Les entreprises qui attendent la dernière échéance risquent de découvrir trop tard qu'elles n'ont ni inventaire complet, ni propriétaires désignés, ni preuves de contrôle.

L'enjeu est donc de construire dès maintenant une base de gouvernance : un registre des usages IA, une méthode de classification, des politiques par niveau de risque et une capacité de détection continue.

Checklist de préparation pour DSI, RSSI et DPO

Avant de déployer ou d'autoriser un outil d'IA générative, vérifiez ces points :

• L'usage est enregistré dans un inventaire central.
• Le propriétaire métier et le responsable technique sont identifiés.
• Les données autorisées et interdites sont documentées.
• Le niveau de risque EU AI Act est évalué.
• Le fournisseur a été revu sur les volets sécurité, données, contrat et sous-traitance.
• Les sous-traitants et dépendances critiques sont cartographiés.
• Les exigences de résilience numérique et de conformité sont suivies dans des outils dédiés.
• Les utilisateurs savent quand un contenu est généré par IA.
• Une supervision humaine existe pour les décisions sensibles.
• Les incidents et écarts de politique peuvent être détectés et traités.

Comment Avanoo aide à passer de la conformité à l'action

Avanoo aide les entreprises à découvrir les usages IA et SaaS réellement présents dans l'organisation, y compris les outils non approuvés. La plateforme permet de cartographier les applications, d'identifier les risques, de structurer les politiques d'usage et d'engager les collaborateurs vers des pratiques conformes.

Avanoo va aussi plus loin que l'inventaire applicatif : les équipes peuvent mapper les fournisseurs, sous-traitants et dépendances critiques via la cartographie de la chaîne d'approvisionnement numérique. Cette visibilité alimente les démarches de conformité et de résilience numérique : preuves d'audit, suivi des risques fournisseurs, localisation des données, criticité métier et plans d'action. Pour cadrer la souveraineté des fournisseurs IA et SaaS, les équipes peuvent également s'appuyer sur la ressource dédiée à l'empreinte souveraine.

L'EU AI Act ne se résume pas à une obligation juridique. C'est une occasion de reprendre le contrôle sur l'IA générative : savoir ce qui est utilisé, comprendre les risques, sécuriser les données et donner aux équipes un cadre clair pour innover sans exposer l'entreprise.