Si vous avez lu notre premier article sur l'AI Act, vous connaissez le calendrier, les niveaux de risque et les sanctions. La question qui revient systématiquement ensuite est celle-ci : mais concrètement, je dois faire quoi, moi ?
La réponse varie selon votre statut et votre taille. Un récoltant-manipulant à trois salariés n'a pas le même sujet qu'une Maison de Champagne à 200 personnes. Cet article vous donne une séquence adaptée à votre réalité.
1. Commencez par un inventaire en 30 minutes
Avant toute décision, vous devez savoir ce que vous utilisez. C'est systématiquement le premier angle mort que je constate chez les acteurs de la filière : beaucoup ignorent que leurs logiciels SaaS embarquent de l'IA depuis les mises à jour de 2024-2025.
Répondez à ces questions pour chaque outil numérique de votre structure :
- Le logiciel a-t-il ajouté des fonctionnalités « IA » ou « intelligence » depuis 18 mois ?
- Certaines décisions sont-elles suggérées ou prises automatiquement par l'outil (tri, scoring, alertes) ?
- Des données personnelles (candidats, salariés, clients) transitent-elles dans cet outil ?
Le tableau d'inventaire minimum
Pour chaque outil identifié, notez :
- Nom de l'outil et éditeur
- Usage dans votre structure (RH, commercial, production, finance)
- Présence d'IA : oui / non / à vérifier
- Données traitées : personnelles (candidats, salariés, clients) ou non
- Décision automatisée : l'outil prend-il des décisions sans validation humaine ?
Ce tableau devient votre registre IA. Il n'a pas besoin d'être parfait dès le départ — il doit exister et être tenu à jour.
2. Votre profil de risque selon votre statut dans la filière
L'AI Act ne s'applique pas de la même façon à tous les acteurs. Voici une lecture pratique selon votre situation :
| Profil | Risque principal | Priorité d'action |
|---|---|---|
| Récoltant-Manipulant (1-5 salariés) | Faible. Peu ou pas d'outils RH automatisés, pas de scoring client. | Inventaire léger + mention chatbot si vous en avez un. 2-3 heures de travail. |
| RM ou Vigneron avec export (5-15 salariés) | Limité à modéré. CRM avec scoring possible, outils de prospection automatisés. | Inventaire + vérification CRM + transparence communication IA. 1-2 jours. |
| Coopérative (15-80 salariés) | Modéré à élevé. RH structurées, outils de gestion des apports pouvant inclure de l'automatisation décisionnelle. | Inventaire complet + classification + dialogue fournisseurs + désignation d'un référent. 2-4 semaines. |
| Maison de négoce ou Maison (20-200+ salariés) | Élevé. RH avec modules IA, CRM scoring, outils logistiques. Plusieurs systèmes à risque élevé probable. | Projet de conformité structuré, idéalement avec accompagnement externe. 3-6 mois. |
3. Les trois questions à poser à vos fournisseurs SaaS
Pour les systèmes que vous n'avez pas développés en interne — c'est-à-dire la quasi-totalité de vos outils — c'est votre fournisseur qui est « fournisseur d'IA » au sens de l'AI Act. Vous êtes « déployeur ». La charge de conformité est partagée.
Envoyez un email à vos trois ou quatre fournisseurs principaux avec ces questions :
- « Votre produit intègre-t-il des fonctionnalités d'IA au sens du règlement (UE) 2024/1689 ? »
Une réponse évasive est déjà une information utile. - « Si oui, avez-vous réalisé une évaluation de conformité AI Act ? Pouvez-vous partager votre documentation technique et votre déclaration de conformité ? »
Tout éditeur sérieux a déjà ou est en train de produire ce document pour les systèmes à haut risque. - « Quelle est votre feuille de route de mise en conformité AI Act, et à quelle date prévoyez-vous d'être en mesure de fournir la documentation réglementaire complète ? »
Si le fournisseur n'a pas de réponse, c'est un signal d'alerte — et peut-être un argument de renégociation contractuelle.
4. L'organisation interne : qui fait quoi ?
L'AI Act requiert une gouvernance — pas une équipe dédiée, mais au moins un référent clairement identifié.
Pour une structure de moins de 20 salariés
Le dirigeant ou le responsable administratif porte naturellement le sujet. L'objectif est d'avoir un dossier simple : inventaire + classification + échanges fournisseurs.
Pour une structure de 20 à 80 salariés
Désignez un référent IA parmi les fonctions existantes — le DRH ou le DSI sont les profils les plus logiques. Ce référent n'a pas besoin d'être expert IA : il doit coordonner l'inventaire, gérer le dialogue avec les fournisseurs, et tenir à jour le registre.
Pour une Maison de plus de 80 salariés
La conformité AI Act doit s'articuler avec votre dispositif RGPD existant. Si vous avez un DPO, c'est la première personne à impliquer — l'AI Act et le RGPD partagent la même logique de gestion des risques sur les données et les personnes. Envisagez un accompagnement externe pour structurer le premier audit.
5. Checklist selon votre horizon de temps
Vous avez encore 3 mois (avant fin septembre 2026)
Priorité absolue — semaine 1
- Faire l'inventaire de tous les outils numériques (30 min)
- Identifier lesquels incluent de l'IA (60 min de vérification doc/CGU)
- Désigner un référent interne AI Act
Semaines 2-4 — classification et fournisseurs
- Classer chaque système IA par niveau de risque (minimal / limité / élevé)
- Envoyer les trois questions aux fournisseurs des systèmes à risque élevé
- Pour les chatbots : vérifier que la mention « IA » est visible pour l'utilisateur
- Documenter les décisions humaines qui supervisent les outils automatisés
Mois 2-3 — documentation et gouvernance
- Produire une fiche de conformité par système à haut risque
- Intégrer une clause AI Act dans les nouveaux contrats SaaS
- Former les équipes qui utilisent les outils classifiés à haut risque
- Mettre en place un calendrier de revue trimestrielle du registre IA
Vous êtes en retard (moins de 6 semaines)
Concentrez-vous sur deux actions uniquement :
- Inventaire et classification en urgence — une demi-journée, maintenant.
- Courrier écrit aux fournisseurs — cela documente que vous avez pris des mesures. En cas de contrôle, la démarche en bonne foi compte.
La conformité AI Act, comme la conformité RGPD avant elle, ne sera pas contrôlée à la perfection le premier jour. Ce qu'un inspecteur cherchera en 2026-2027 : une démarche sérieuse, documentée, et une progression visible. Pas un dossier parfait.
6. Ressources gratuites pour aller plus loin
- Texte officiel du règlement : eur-lex.europa.eu
- Guide pratique de la Commission européenne : digital-strategy.ec.europa.eu
- Ressources CNIL sur l'IA : cnil.fr
- Outil de self-assessment AI Act (Commission européenne) : disponible sur le portail Europe Digital
Un point de départ structuré pour votre démarche AI Act
30 minutes pour faire l'inventaire ensemble, classer vos risques réels, et identifier exactement ce que vous devez documenter d'ici août 2026. Gratuit, sans engagement.
Réserver mon rendez-vous → Ou directement : contactme@opalineconseil.fr