Gouvernance de l'IA dès le premier jour : le coût de la mise en conformité tardive pour les PME
Les réglementations sur l'IA convergent : règlement IA (août 2026), lois des États américains, Asie. Les PME qui structurent leur gouvernance dès le départ échappent au piège du rattrapage à la GDPR.

En juin 2020, un distributeur britannique de 180 personnes que nous appellerons Northbridge Trading a payé 142 000 £ pour rattraper sa conformité GDPR : un registre des activités de traitement, trois AIPD, un plan de réponse aux violations, six contrats fournisseurs et une refonte du CRM intégrant la protection des données dès la conception, que les mêmes consultants avaient chiffrée à 28 000 £ si elle avait été pensée deux ans plus tôt. Le directeur des opérations qui a signé ces factures fixe aujourd'hui la même falaise, avec l'IA.
La facture du rattrapage que personne n'avait budgétée
Northbridge Trading est une entité composite, assemblée à partir de quatre missions réelles menées entre 2019 et 2021. Nous avons changé les noms ; les chiffres, eux, sont réels. C'est le schéma qui compte, car il est sur le point de se reproduire.
En mai 2018, Northbridge a « livré » sa conformité GDPR avec un modèle de politique à 200 £ et le sentiment que le travail était fait. En mai 2020, la première demande d'accès est arrivée ; un incident évité de justesse dans l'intégration de la paie a suivi ; une plainte déposée auprès de l'ICO est tombée quinze jours plus tard. Au 3e trimestre 2020, l'entreprise avait recruté un conseil externe et un ingénieur protection des données pour bâtir un registre des activités de traitement, trois analyses d'impact relatives à la protection des données, un plan de réponse aux incidents, six contrats de sous-traitance fournisseurs et une refonte du CRM avec des mesures de protection des données dès la conception greffées sur des flux de données déjà en production. La note a atteint environ cinq fois la référence de conception intégrée que le même cabinet avait chiffrée sur l'architecture de 2017 — le tout réglé sous la pression réglementaire.
Six ans plus tard, le même directeur des opérations exploite trois outils d'IA déployés au fil de 2025 : un assistant de présélection de CV, un outil de synthèse d'appels commerciaux et un agent conversationnel de support client. Aucun registre des systèmes d'IA, aucune classification des cas d'usage par le risque, aucune documentation au titre de l'article 26, aucun programme de maîtrise de l'IA au titre de l'article 4. Le règlement IA est entré en vigueur le 1er août 2024 [1] ; le calendrier de la Commission fixe l'applicabilité complète, y compris la plupart des obligations relatives aux systèmes à haut risque, au 2 août 2026 [2]. L'outil de présélection de CV relève du haut risque au titre de l'annexe III. Les lignes directrices de l'ICO sur l'IA sont contraignantes pour les PME britanniques au titre du UK GDPR depuis 2023 [7]. « Je refuse, nous dit-il, de signer ce chèque une deuxième fois. »
La convergence : pourquoi « attendre de voir » a cessé d'être prudent en 2024
La « convergence mondiale » qui sous-tend l'argument de la conception intégrée n'est pas un slogan marketing. En 2024, le volume réglementaire est devenu mesurable et la colonne vertébrale technique commune est devenue visible.
Les chiffres que les régulateurs ne veulent pas vous voir négliger
L'AI Index 2025 de Stanford HAI recense 59 réglementations fédérales américaines sur l'IA adoptées en 2024, soit plus du double de 2023, réparties sur deux fois plus d'agences [3]. Les États américains ont voté 131 lois sur l'IA en une seule année, contre 49 cumulées jusqu'en 2023 [3]. Les mentions législatives de l'IA ont progressé de 21,3 % dans 75 pays en 2024 [3]. Pour un directeur des opérations qui hésite entre agir maintenant ou attendre, ce volume n'est pas un bruit de fond. C'est le signal.
Le règlement (UE) 2024/1689 a pris effet le 1er août 2024 [1]. Le calendrier échelonné de la Commission est la feuille de route publiée la plus claire dont on dispose : pratiques interdites en vigueur depuis le 2 février 2025 ; obligations GPAI en vigueur depuis le 2 août 2025 ; applicabilité complète au haut risque à partir du 2 août 2026 ; règles relatives aux produits à haut risque intégrés repoussées au 2 août 2027 [2]. Ce n'est pas une falaise unique. C'est un escalier. Les PME qui attendent la dernière marche en ont déjà manqué deux.
L'ancrage commun : OCDE, NIST, ISO/IEC 42001
Sous ce volume se trouve une colonne vertébrale commune qui rend durable, d'une juridiction à l'autre, une gouvernance pensée tôt. Les Principes de l'OCDE sur l'IA, révisés en mai 2024, ont été adoptés par 47 pays ou plus [4]. Ils constituent la base explicite de l'alignement entre l'UE, le Royaume-Uni, les États-Unis et le G7. Le NIST AI Risk Management Framework 1.0 organise les obligations autour de quatre fonctions : Govern, Map, Measure et Manage [5]. Le programme de normalisation du règlement IA renvoie à ce socle ; le UK AI Playbook (février 2025) codifie 10 principes pour l'IA publique et annonce des normes équivalentes pour sa chaîne d'approvisionnement [6].
ISO/IEC 42001 est devenue la certification de niveau « achats » que les acheteurs du marché intermédiaire réclament désormais. Une gouvernance conçue à l'intersection des principes de l'OCDE, des fonctions du NIST et des exigences de l'ICO résiste au durcissement de n'importe quel régime pris isolément. La colonne vertébrale commune absorbe les variations.

Pourquoi « le fournisseur s'occupe de la conformité » s'effondre-t-il face à l'article 26 ?
La phrase la plus difficile à écrire sur la page marketing d'un fournisseur, c'est : « Nous ne pouvons pas externaliser sur vous le travail du déployeur. » Sous le règlement IA, la frontière entre fournisseur et déployeur est explicite, et elle ne bouge pas parce que vous avez souscrit une offre entreprise.
Le modèle de responsabilité partagée, en clair
L'article 16 fixe les obligations du fournisseur : évaluation de la conformité, documentation technique, surveillance après commercialisation [1]. L'article 26 fixe celles du déployeur : utiliser le système conformément aux instructions, assurer le contrôle humain, veiller à la pertinence des données d'entrée, journaliser les usages à haut risque pendant au moins six mois et informer les travailleurs et les clients concernés [1]. L'article 4 ajoute un devoir de maîtrise de l'IA pour chaque membre du personnel qui utilise l'IA, proportionné à son rôle, quel que soit le modèle sous-jacent [1]. L'article 50 exige que les utilisateurs sachent quand ils interagissent avec une IA, à tous les niveaux de risque [1].
Ces quatre articles décrivent des obligations qui incombent à la PME. Le contrat de sous-traitance que signe un fournisseur ne les réattribue pas.
Ce que ChatGPT Enterprise et Copilot n'externalisent pas
Dès qu'une PME britannique colle un CV dans ChatGPT pour présélectionner des candidats, elle devient un déployeur à haut risque au titre de l'annexe III [1]. Cette classification du cas d'usage relève de la décision du déployeur. La page Enterprise Privacy d'OpenAI couvre les garanties côté modèle : pas d'entraînement sur les données métier, chiffrement, journaux d'audit. Elle ne classe pas votre cas d'usage, ne rédige pas votre protocole de contrôle humain, ne forme pas votre personnel et ne tient pas vos journaux de déployeur au titre de l'article 26, paragraphe 6. Une PME de 40 personnes qui exploite une IA de présélection de CV porte les mêmes obligations, au titre de l'article 26, qu'un employeur du FTSE 100. La taille de l'entreprise ne figure pas dans la règle de classification.
Au titre du UK GDPR, la relation de responsable du traitement suit la même logique. Des données à caractère personnel dans une invite font de la PME le responsable du traitement. Les droits des personnes concernées ne sont pas délégables à un fournisseur.
L'ICO est clair depuis 2023
Les lignes directrices de l'ICO sur l'IA expliquent comment les principes du UK GDPR s'appliquent à l'IA traitant des données à caractère personnel : exigences d'AIPD, atténuation des biais et décision individuelle automatisée [7]. Elles font l'objet d'une révision à la suite du Data (Use and Access) Act 2025, entré en vigueur le 19 juin 2025 [7]. La boîte à outils d'audit de l'IA de l'ICO fournit des listes de contrôle concrètes en matière de gouvernance, de responsabilité, de transparence et de droits individuels [8]. Ces listes décrivent ce dont le déployeur a besoin avant la visite de l'ICO, et non après. Aucun des trois outils de Northbridge n'en dispose. Le contrat de sous-traitance du fournisseur couvre le fournisseur. La lacune appartient au déployeur.
Les preuves empiriques du coût du rattrapage GDPR
L'argument empirique en faveur d'une gouvernance pensée tôt ne repose pas sur l'intuition. Il repose sur ce qu'ont vécu les entreprises de l'UE qui ont traité le GDPR après coup en 2018.
MIT Sloan / Bessen et al. — la seule étude de rattrapage à grand N dont nous disposions
L'étude de MIT Sloan / Bessen, Janßen, Peukert et Seamans a comparé les entreprises de l'UE et hors UE après le début de l'application en mai 2018. Les conclusions sont sans détour : les entreprises de l'UE ont réduit leurs données stockées de 26 % et leur usage du calcul de 15 %, par rapport aux groupes témoins hors UE [9]. La réduction s'est concentrée sur la cohorte qui n'avait pas conçu pour la confidentialité dès le départ — la cohorte du rattrapage. Il ne s'agissait ni d'amendes ni de frais juridiques. Il s'agissait de perturbations opérationnelles : produits arrêtés, jeux de données marketing purgés, intégrations reconstruites de zéro. Les entreprises qui avaient intégré la confidentialité dès 2016 ont absorbé la même réglementation sans ces coupes.
Northbridge Trading a suivi la voie du rattrapage. Elle a « livré » sa conformité GDPR en 2018 avec un modèle de politique à 200 £ et a découvert le coût réel deux ans plus tard. Les données de MIT Sloan décrivent exactement ce qu'elle a payé : la refonte architecturale qui survient lorsque l'on greffe des obligations de conformité sur un système qui n'avait pas été conçu pour les porter.
Le facteur de rattrapage de 2,4
Les références sectorielles sur le coût du rattrapage aboutissent à la même conclusion, vue du côté des coûts : les PME tardives ont payé environ 2,4 fois ce qu'ont payé leurs concurrentes adeptes de la conception intégrée, sur l'ensemble — registre des activités de traitement, AIPD, registres de base juridique, processus de violation, renégociation des contrats de sous-traitance et refonte du CRM.
Chacune de ces catégories GDPR a un équivalent direct dans le règlement IA. Un registre des systèmes d'IA remplace le registre des activités de traitement. Une analyse d'impact sur les droits fondamentaux au titre de l'article 27 remplace l'AIPD du GDPR. La journalisation du déployeur au titre de l'article 26, paragraphe 6, remplace le journal des violations. Les catégories sont les mêmes ; l'enchevêtrement est plus profond. Modèles d'IA, invites et processus sont couplés sur le plan architectural d'une manière que les flux de données ne l'étaient pas. Extraire des points de journalisation ou des mesures de contrôle d'un pipeline d'IA déployé est une réécriture d'ingénierie, pas un document de politique. Voilà pourquoi le facteur de Northbridge, d'environ 5, se situe bien dans la fourchette que prédisent les données sectorielles sous la pression du contrôle.
L'arithmétique des coûts pour une PME : conception intégrée vs rattrapage, ligne par ligne
Le facteur de rattrapage et les données opérationnelles de MIT Sloan sont des repères utiles, mais un directeur des opérations a besoin de chiffres à présenter au conseil d'administration. Voici l'arithmétique pour une PME de 180 personnes exploitant trois outils d'IA.
Référence de conception intégrée pour une PME de 180 personnes et 3 outils d'IA
Concevoir la gouvernance de l'IA dès le départ, étalée sur douze semaines, coûte, d'après notre expérience de mission :
- Registre des systèmes d'IA et classification des cas d'usage par le risque : 4 à 6 jours d'effort interne, plus une revue consultant de 2 000-4 000 £
- Programme de maîtrise de l'IA au titre de l'article 4 (socle de 90 minutes pour tout le personnel ; journée complète pour les responsables d'IA) : 3 000-5 000 £
- Protocole de contrôle humain et journalisation au titre de l'article 26, paragraphe 6, intégrés à l'architecture : 4 000-6 000 £ d'ingénierie, plus une revue juridique de 2 jours
- Dossier de diligence fournisseurs couvrant les contrats de sous-traitance, les fiches de modèles et la traçabilité GPAI : 2 000-3 000 £
Conception intégrée, tout compris, à titre indicatif : 18 000-32 000 £ sur douze semaines.
Budget de rattrapage sous la pression du contrôle (3e trimestre 2026)
Rattraper le même périmètre sous la pression du 3e trimestre 2026 revient nettement plus cher :
- Conseil externe pour cadrer l'exposition à l'annexe III après incident : 15 000-25 000 £
- Analyse d'impact sur les droits fondamentaux (article 27) et actualisation des AIPD sur trois outils déjà déployés : 20 000-35 000 £
- Rattrapage de la journalisation et refonte du processus de contrôle humain : 40 000-70 000 £
- Consultation des travailleurs, mentions de transparence et informations aux clients : 8 000-12 000 £
Rattrapage, tout compris, à titre indicatif : 85 000-145 000 £ sur six à douze semaines de remédiation comprimée. Le rapport va d'environ 2,7 à 5,1, reproduisant la borne basse de la référence sectorielle et atteignant la borne haute de Northbridge.
Pourquoi le facteur est pire que pour le GDPR
Trois raisons structurelles poussent le facteur de rattrapage de l'IA au-dessus du chiffre GDPR. D'abord, les processus d'IA sont enchevêtrés : invites, versions de modèles et actions automatisées en aval sont couplées par conception, de sorte que la surface à refondre est plus large que le re-câblage de flux de données. Ensuite, les refontes liées aux achats se déroulent en parallèle de l'échéance du régulateur. Une PME qui perd des appels d'offres pendant la remédiation paie les deux coûts simultanément. Enfin, le plafond des sanctions est plus élevé. L'article 99 fixe les amendes jusqu'à 7 % du chiffre d'affaires annuel mondial ou 35 millions d'euros pour les pratiques interdites [1]. L'AI Liability Directive ajoute une exposition aux actions civiles que le GDPR ne générait pas.
Pour une PME britannique réalisant 25 millions de livres de chiffre d'affaires annuel, un calcul de base prudent (avant réductions PME) atteint 750 000 € [1]. Le coût de la conception intégrée n'est pas une charge de conformité. C'est une couverture contre une amende qui en représente un multiple.

Quels sont les sept livrables d'une gouvernance de l'IA dès le premier jour ?
La gouvernance de l'IA dès le premier jour pour une PME de 50 à 500 salariés n'a rien d'abstrait. Ce sont sept livrables que vous pouvez mettre en place en deux semaines.
1 à 3 : inventaire et classification
Livrable 1 — Registre des systèmes d'IA. Un schéma d'une page : nom du système, fournisseur, modèle, cas d'usage, classes de données, niveau de risque, responsable, protocole de contrôle et date de revue. Sa constitution ne requiert pas de consultant ; elle requiert de la discipline pour le tenir à jour.
Livrable 2 — Arbre de décision pour la classification des cas d'usage par le risque. Rattaché aux catégories de l'annexe III : présélection à l'embauche, évaluation de la solvabilité, accès à l'éducation, identification biométrique et infrastructures critiques [1]. Si un outil touche à l'un de ces processus, il déclenche les obligations relatives au haut risque.
Livrable 3 — Dossier de diligence fournisseurs. Contrat de sous-traitance, fiche de modèle, information GPAI, synthèse d'évaluation de la conformité et liste des sous-traitants ultérieurs. Le statut de signataire du GPAI Code of Practice du fournisseur sous-jacent compte ici [13].
4 et 5 : exploiter et protéger
Livrable 4 — Protocole de contrôle humain. L'article 26, paragraphe 5, exige une personne désignée capable de réexaminer et d'infirmer toute décision automatisée [1]. Le protocole précise qui est cette personne, le circuit d'infirmation, les critères d'escalade et la cadence de revue.
Livrable 5 — Programme de maîtrise de l'IA au titre de l'article 4. Un socle de 90 minutes pour tout le personnel, une demi-journée pour les utilisateurs avancés et une journée complète pour les responsables d'IA, actualisé chaque année [1]. L'article 4 s'applique à tous les déployeurs, quel que soit le fournisseur, et la proportionnalité s'ajuste au rôle, pas à l'effectif.
6 et 7 : documenter et réagir
Livrable 6 — Processus de journalisation et d'incident. Journaux de déployeur au titre de l'article 26, paragraphe 6, surveillance de la dérive des modèles et mesures de cycle de vie de sécurité issues des Guidelines for Secure AI System Development du NCSC, élaborées conjointement avec la CISA et 21 agences internationales de cybersécurité [10]. Intégrez le journal à l'architecture ; les documents de politique sans points d'ancrage d'ingénierie échouent à l'audit.
Livrable 7 — Dossier de transparence et d'information des travailleurs. Mentions destinées aux utilisateurs au titre de l'article 50 pour l'IA en contact client, information des travailleurs au titre de l'article 26, paragraphe 7, pour toute IA qui surveille les employés, et une voie de réclamation claire [1].
Ancré dans des cadres validés par les régulateurs
Chaque livrable correspond aux listes de contrôle « gouvernance » et « responsabilité » du cadre d'audit de l'IA de l'ICO [8] et au socle du NIST AI RMF : Govern, Map, Measure et Manage [5]. ISO/IEC 42001 se rattache au même ensemble de sept livrables. Construisez-les une fois et ils satisfont plusieurs régimes à la fois.
Les achats sont le mécanisme d'exécution que vos clients ont anticipé
Chaque résultat de recherche présente l'application du règlement IA sous l'angle des amendes du régulateur. Aucun ne mentionne ce que les PME britanniques qui vendent au marché intermédiaire et aux grands comptes constatent déjà en 2026 : le questionnaire de l'acheteur est arrivé en premier.
Ce que demandent désormais les acheteurs du marché intermédiaire et des grands comptes
Les questionnaires fournisseurs des appels d'offres britanniques en phase finale renvoient désormais aux familles de contrôles ISO/IEC 42001 et au socle des quatre fonctions du NIST AI RMF [5]. Ils réclament la preuve d'un registre des systèmes d'IA et d'une classification des cas d'usage par le risque, un protocole de contrôle humain documenté au regard de l'article 26, paragraphe 5 [1], et la divulgation des sous-traitants ultérieurs avec la lignée du modèle GPAI : quel modèle de fondation, quel fournisseur, quel signataire du Code of Practice [13]. Les équipes achats n'attendent pas les lignes directrices d'application. Elles protègent leurs propres chaînes d'approvisionnement contre la responsabilité qui remonte la chaîne d'approvisionnement lorsqu'un outil d'IA d'un fournisseur déclenche un incident.
Les sept livrables de la section précédente sont exactement ce que demande un questionnaire fournisseur (la clause IA, dite « section 9 »).
Northbridge perd un appel d'offres au 2e trimestre 2026
Northbridge Trading a soumissionné pour un contrat triennal de 420 000 £ auprès d'un client réglementé du marché intermédiaire au 2e trimestre 2026. La section 9 exigeait : « Tenir un registre des systèmes d'IA, un processus d'analyse d'impact sur les droits fondamentaux et un protocole de contrôle humain — fournir des preuves. » Northbridge n'a pas pu répondre. Le contrat est allé à une concurrente dotée d'un registre d'une page et d'un corpus de politiques calqué sur le NIST. La refonte imposée par les achats vient désormais s'ajouter à l'échéance du régulateur. Les deux horloges tournent.
L'héritage du secteur public
Les PME britanniques qui vendent à l'État se heurtent à la même exigence par un autre canal. Le AI Playbook publié par le gouvernement en février 2025 énonce 10 principes couvrant l'usage éthique, la responsabilité, la transparence et la gestion du cycle de vie, et les fournisseurs en héritent comme conditions contractuelles [6]. L'AI Opportunities Action Plan du DSIT, accepté intégralement en janvier 2025, renforce le déploiement responsable de l'IA comme attente vis-à-vis de la chaîne d'approvisionnement [11]. Le AI Foundation Models Initial Report de la CMA ajoute un prisme de protection des consommateurs et de concurrence qui se superpose à tout déploiement de modèle de fondation [12].
Rester sous le radar du régulateur ne vous protège pas du questionnaire de l'acheteur. Northbridge l'a appris à ses dépens.
Ce que le Digital Omnibus reporte — et ce qu'il ne reporte PAS
Le titre du Digital Omnibus de novembre 2025 (« l'UE retarde le règlement IA ») ne résiste pas à une lecture attentive de la proposition réelle. La confusion est compréhensible. Le titre est inexact.
Ce qui est déjà en vigueur et inchangé
Quatre obligations sont déjà en vigueur et aucun aboutissement de l'Omnibus n'y touche. L'interdiction des pratiques interdites s'applique depuis le 2 février 2025 [2]. Le devoir de maîtrise de l'IA au titre de l'article 4 s'applique depuis le 2 février 2025 [1]. Les obligations des fournisseurs GPAI et le régime du Code of Practice sont entrés en vigueur le 2 août 2025 [2]. Et le UK GDPR s'impose déjà à toute organisation britannique traitant des données à caractère personnel, PME comprises ; les lignes directrices de l'ICO sur l'IA et la protection des données sont l'interprétation, par le régulateur, de la manière dont ce texte s'applique aux systèmes d'IA — non un code statutaire, mais la référence pratique de conformité au regard de laquelle l'ICO procédera à son appréciation [7].
Ce que le Digital Omnibus propose réellement
L'Omnibus propose un report étroit du régime d'évaluation de la conformité des systèmes à haut risque de l'annexe III, ainsi que des exigences de documentation technique et d'enregistrement dans la base de données de l'UE, pour les fournisseurs de catégories spécifiques de systèmes d'IA à haut risque. Il ne propose pas de reporter les obligations des déployeurs (article 26), les exigences de transparence (article 50), le devoir de maîtrise de l'IA (article 4), ni la discipline documentaire de l'analyse d'impact sur les droits fondamentaux. Ces obligations restent au calendrier publié.
Le trilogue a échoué le 28 avril 2026. Un nouveau calendrier était en attente à l'heure où ces lignes sont écrites. L'échéance publiée par la Commission demeure donc la référence juridiquement applicable [2]. Les PME qui ont lu « reporté à 2027 » et différé la conception de leur gouvernance sur cette base sont déjà en retard sur les obligations côté déployeur qui, elles, n'ont jamais bougé.
Le noyau stable qu'aucun aboutissement de l'Omnibus ne touche
Une gouvernance conçue autour du noyau stable (classification du risque par cas d'usage, contrôle humain, journalisation du déployeur, analyse d'impact sur les droits fondamentaux et AIPD, formation à la maîtrise de l'IA, mention de transparence) survit à la version de l'Omnibus qui finira par s'imposer. Ce qui change d'une version à l'autre, c'est de quelle annexe relève un cas d'usage, pas le fait qu'une PME ait besoin d'un registre, d'un protocole de contrôle et d'un processus d'incident. « Nous avons jusqu'à 2027 » n'est pas une lecture que le texte autorise.
Comment une PME peut-elle bâtir sa gouvernance de l'IA en 90 jours ?
Douze semaines suffisent pour livrer une gouvernance pensée dès le départ, à condition de séquencer le travail. Voici le plan semaine par semaine pour une PME de 50 à 500 salariés partant de zéro.
Semaines 1 à 3 — Inventorier et classer
Recensez chaque outil d'IA en usage, y compris l'IA fantôme : Copilot intégré à Microsoft 365, IA d'extensions de navigateur, modules SaaS de niche aux fonctions d'IA que votre équipe achats n'a jamais explicitement évaluées. Mettez en place le registre des systèmes d'IA et désignez un responsable par système. Faites tourner l'arbre de classification des cas d'usage au regard de l'annexe III et signalez toute exposition en présélection RH, évaluation de la solvabilité, éducation, identification biométrique ou infrastructures critiques [1]. Menez une revue rapide de base juridique au titre du UK GDPR pour chaque système traitant des données à caractère personnel [7].
Semaines 4 à 7 — Exploiter et documenter
Rédigez le protocole de contrôle humain pour chaque système à haut risque et à risque limité : personne désignée, circuit d'infirmation, critères d'escalade, cadence de revue (livrable 4). Mettez en place la journalisation au titre de l'article 26, paragraphe 6, partout où la plateforme le permet ; construisez sinon le journal côté déployeur. Ne vous en remettez pas à des documents de politique [8]. Déroulez le programme de maîtrise de l'IA au titre de l'article 4 : d'abord le socle de 90 minutes pour tout le personnel, puis les sessions approfondies pour utilisateurs avancés et responsables d'IA [1]. Actualisez les AIPD et les analyses d'impact sur les droits fondamentaux au regard de la boîte à outils de l'ICO pour chaque système à haut risque [8].
Semaines 8 à 12 — Prêt pour les achats et revue
Constituez le dossier de diligence fournisseurs : contrats de sous-traitance, fiches de modèles, traçabilité GPAI, listes de sous-traitants ultérieurs et statut de signataire du Code of Practice pour chaque fournisseur de modèle de fondation [13]. Publiez les mentions de transparence au titre de l'article 50 sur l'IA en contact client ; informez les travailleurs concernés au titre de l'article 26, paragraphe 7 [1]. Mettez en correspondance les sept livrables avec le format de questionnaire d'achats que transmettent les acheteurs du marché intermédiaire : familles de contrôles ISO/IEC 42001 et fonctions du NIST AI RMF [5]. Planifiez la première revue trimestrielle de gouvernance et nommez un responsable de haute direction au sens exigé par la boîte à outils de l'ICO [8].
Deux anti-modèles à éviter
Premier : souscrire un abonnement à un outil de 40 000 £ avant d'avoir renseigné le registre. Un outillage sans périmètre de gouvernance, c'est du théâtre. L'outil fait remonter des risques que la PME n'a pas encore définis.
Second : traiter la maîtrise de l'IA au titre de l'article 4 comme un webinaire ponctuel. Le devoir est continu et proportionné au rôle [1]. Une session de lancement de 90 minutes satisfait le socle ; elle ne satisfait ni l'actualisation annuelle ni les sessions approfondies pour les responsables d'IA. La réécriture architecturale que les retardataires du GDPR ont payée est venue de ce que des documents de politique ont été rédigés et l'ingénierie escamotée. Le même schéma, appliqué à l'IA, produit le même résultat.
Leçon retenue
La leçon que Northbridge a déjà payée
En juin 2020, le directeur des opérations de Northbridge a signé 142 000 £ de factures pour rattraper sa conformité GDPR, contre une référence de conception intégrée de 28 000 £. Ce n'était pas un échec des achats. C'est ce qui arrive lorsqu'un dirigeant compétent traite la conformité comme un ajout à plaquer une fois le produit en marche. Les données de MIT Sloan transforment cette expérience en schéma : les entreprises de l'UE ont réduit leurs données stockées de 26 % et leur calcul de 15 % après 2018, l'impact étant le plus lourd parmi celles qui n'avaient pas intégré la confidentialité dès le premier jour [9]. Le règlement IA est sur le point d'enseigner cette leçon une deuxième fois.
Les rattrapages de gouvernance de l'IA tournent plus mal, parce que la journalisation, le contrôle humain et les invites sont enchevêtrés avec l'architecture des processus. Les achats font appliquer le règlement avant les régulateurs. Les sept livrables coûtent 18 000-32 000 £ à concevoir d'emblée ; ils coûtent 85 000-145 000 £ à rattraper sous la pression conjuguée du contrôle et des achats. L'arithmétique n'a rien de subtil.
Résumé
AI governance from day one — why retrofitting costs more │ ├─ The retrofit trap │ ├─ GDPR precedent — one SMB paid ~5x to bolt it on late │ ├─ AI Act is worse — prompts & logs entangle with workflow │ └─ The numbers — design-in £18-32k vs retrofit £85-145k │ ├─ You can't outsource it │ ├─ Article 26 — the deployer's job stays with the SMB │ └─ Buying Copilot — vendor covers the model, not your use case │ └─ Act now, not in 2027 ├─ Procurement first — RFP questionnaires enforce before fines ├─ Omnibus myth — it defers providers, not deployer duties └─ Seven artefacts — register, oversight, logging, literacy
À lire également
- Local LLM vs Cloud LLM : la sécurité des données, ou la mauvaise question (2026)EN — l'ensemble de mesures de classification des données et de DLP que les sept livrables de gouvernance présupposent déjà en place.
- Le « human-in-the-loop » n'est pas du contrôle. C'est une discipline de conception. — comment le devoir de contrôle humain de l'article 26 devient un véritable système de seuils plutôt qu'un rituel de validation.
- 50 questions à poser avant de déployer l'IA : guide de l'acheteur PMEEN — la diligence côté acheteur qui révèle les lacunes de gouvernance avant la signature, et non après.
Questions fréquentes
Quand le règlement IA s'applique-t-il aux PME britanniques, et quelles obligations sont déjà en vigueur ?
Combien coûte le rattrapage de la gouvernance de l'IA par rapport à sa conception intégrée pour une PME de 180 personnes ?
Acheter ChatGPT Enterprise ou Microsoft Copilot transfère-t-il la conformité au règlement IA vers le fournisseur ?
À quoi ressemble concrètement une gouvernance de l'IA dès le premier jour pour une PME ?
Le Digital Omnibus de novembre 2025 reporte-t-il assez le règlement IA pour qu'une PME puisse attendre ?
Qu'est-ce qu'une analyse d'impact sur les droits fondamentaux (article 27 du règlement IA), et qui doit la réaliser ?
La certification ISO 42001 aide-t-elle à se préparer au règlement IA, ou s'agit-il de chantiers de conformité distincts ?
Sources
- 1.Regulation (EU) 2024/1689 — Artificial Intelligence Act — European Parliament and of the Council · 2024
- 2.Regulatory Framework on AI — European Commission · 2024
- 3.2025 AI Index Report — Chapter 6: Policy and Governance — Stanford Institute for Human-Centered AI (HAI) · 2025
- 4.AI Principles (revised May 2024) — OECD · 2024
- 5.Artificial Intelligence Risk Management Framework (AI RMF 1.0) — NIST · 2023
- 6.Artificial Intelligence Playbook for the UK Government — UK Government Digital Service / DSIT · 2025
- 7.Guidance on AI and Data Protection — Information Commissioner's Office (ICO) · 2023
- 8.AI and Data Protection Risk Toolkit / AI Auditing Framework — Information Commissioner's Office (ICO) · 2023
- 9.GDPR's Effects on Firm Data and Computation Use (Bessen, Janßen, Peukert, Seamans) — MIT Sloan · 2022
- 10.Guidelines for Secure AI System Development — National Cyber Security Centre (NCSC) · 2023
- 11.AI Opportunities Action Plan — UK Department for Science, Innovation and Technology (DSIT) · 2025
- 12.AI Foundation Models: Initial Report — Competition and Markets Authority (CMA) · 2023
- 13.Guidelines for Providers of General-Purpose AI Models — European Commission · 2024
Et si cette analyse portait sur votre entreprise ?
L’AI Foundation Audit est une évaluation structurée de votre empreinte IA : risques d’intégration, lacunes de gouvernance et potentiel de ROI. Vous recevez un rapport complet et directement exploitable.
Vous recevez le Rapport stratégique et le Brief d’implémentation, adaptés à votre activité et livrés immédiatement.