← Retour aux points de vue
PDF

Adopter l'IA est facile. La gouverner, c'est autre chose

4 min de lecture
AIActGouvernanceIAComplianceIARegTechPMEStartupEUIntelligenceArtificielle

#AIAct #GouvernanceIA #ComplianceIA #RegTech #PME #StartupEU #IntelligenceArtificielle

13% des entreprises seulement sont réellement prêtes à gouverner l'IA.

Ce chiffre vient du Cisco AI Readiness Index 2025. Il est stable depuis trois ans. Pendant ce temps, l'adoption a explosé : 20% des entreprises européennes utilisent l'IA en 2025, contre 13,5% un an plus tôt.

L'adoption accélère. La readiness stagne. Le fossé se creuse.

Et c'est exactement le problème.

Adopter l'IA est devenu trivial.

Une API. Un modèle. Un peu de fine-tuning. En quelques semaines, vous avez un système IA en production.

Ce que personne ne vous a dit, c'est que ce fine-tuning peut suffire à vous faire basculer.

Sous l'Article 25 de l'AI Act, si vous rebrandez, modifiez substantiellement, ou détournez un système vers un usage à haut risque, vous devenez juridiquement "Provider" — avec toutes les obligations lourdes que cela implique. Automatiquement. Sans notification. Et le contrat avec votre fournisseur de modèle ne vous protège pas : c'est une qualification factuelle, pas contractuelle.

L'erreur la plus fréquente que je vois : croire que c'est le fournisseur du modèle de fondation qui porte la responsabilité. Pour une PME de services, c'est le piège réglementaire le plus sous-estimé.

"Mais on fait déjà du versioning et des tests."

C'est l'objection que j'entends le plus de la part des CTO. Et c'est l'illusion la plus dangereuse.

Le versioning de code et les tests de non-régression sont de bonnes pratiques d'ingénierie. Mais devant un auditeur, la technique sans cadre procédural — un système de management qualité (Art. 17), un registre des risques, un dossier technique Annexe IV — ne vaut rien.

La conformité IA n'est pas un artefact technique. C'est une chaîne de preuves opposables.

Et les données de terrain sont sans appel (Vision Compliance, avril 2026) :

  • 78% des organisations n'ont pris aucune mesure concrète de conformité AI Act
  • 83% n'ont aucun inventaire formel de leurs systèmes IA
  • 74% n'ont désigné aucun responsable de la gouvernance IA
  • 61% n'ont aucun processus pour produire la documentation technique exigée

Ce n'est pas un problème de bonne volonté. C'est un problème de structure.

La conformité ne se décrète pas à la veille d'un audit. Elle se construit dans le cycle de vie des systèmes — dans le code, dans les pipelines, dans la documentation, dans la gouvernance quotidienne.

Et contrairement au RGPD, l'AI Act ne demande pas comment vous gérez les données. Il demande comment vous gouvernez les systèmes qui les utilisent.

Deux périmètres distincts. Deux logiques différentes. Deux types de preuves.

Dans ce carousel : le piège de la requalification (Art. 25), ce que la loi exige concrètement, la documentation qui doit remonter votre chaîne de valeur (Art. 53), et 3 questions pour savoir où vous en êtes réellement.

summary

👇 Dans les commentaires :

Avez-vous un inventaire complet de vos systèmes IA ? Oui / Non / En cours

Et savez-vous si vous êtes Provider ou Deployer pour chacun d'eux ?

Sources

Les opinions exprimées dans cet article sont strictement personnelles et ne reflètent pas nécessairement celles de mon employeur. Les contenus sont fournis à titre informatif et ne constituent pas un conseil juridique individualisé. Les références au règlement (UE) 2024/1689 et à la directive (UE) 2024/2853 renvoient aux textes publiés au Journal officiel de l'Union européenne. Pour toute application à une situation particulière, le recours à un conseil qualifié est recommandé.