L'essentiel en 30 secondes
- Naaia se positionne sur le marché des plateformes AIMS (AI Management System) avec une tarification orientée mid-market — souvent surdimensionnée pour une PME de moins de 50 salariés [à vérifier].
- Les sanctions de l'Article 99 du Règlement (UE) 2024/1689 peuvent atteindre 7 % du chiffre d'affaires mondial annuel pour les pratiques interdites, et 3 % pour les manquements aux obligations des systèmes à haut risque.
- Plusieurs alternatives logicielles ou hybrides (SaaS allégé, open source, pack documentaire + audit interne) couvrent 70 à 85 % des besoins d'une PME standard à un coût bien inférieur.
- La norme ISO/IEC 42001:2023 recommande d'auditer ses cas d'usage avant tout investissement SaaS.
- Les obligations PME pour les systèmes à haut risque listés à l'Annexe III s'appliquent à compter du 2 août 2026 — la fenêtre est ouverte pour bâtir une conformité sobre.
Une PME française de 25 salariés qui exploite un outil d'IA RH pour le tri des CV doit se mettre en conformité avec l'EU AI Act. Beaucoup pensent qu'il faut un AIMS (AI Management System) complet, type Naaia, pour passer un audit. C'est faux dans la plupart des cas. Cet article compare les options, chiffre les économies réalistes et indique la méthode pour choisir sans surpayer.
1. Le problème : pourquoi Naaia est souvent surdimensionné pour une PME
Naaia est une plateforme française d'AI governance lancée pour répondre à l'EU AI Act et à l'ISO/IEC 42001:2023. Son positionnement vise principalement les ETI et grands comptes : équipes IA pluridisciplinaires, dizaines de modèles en production, exigences de reporting consolidé.
Pour une PME de moins de 50 salariés exploitant un ou deux systèmes d'IA (un chatbot RH, un outil de scoring fournisseur), trois écueils apparaissent.
| Écueil | Conséquence concrète |
|---|---|
| Tarification par siège utilisateur élevée | Coût annuel disproportionné par rapport au périmètre IA réel [à vérifier sur le site éditeur] |
| Fonctionnalités d'orchestration multi-équipes inutilisées | 30 à 50 % des modules non activés en pratique |
| Courbe d'apprentissage longue | Charge interne d'au moins 0,5 ETP pour exploiter pleinement la plateforme |
Concrètement : payer un AIMS premium pour gérer deux systèmes d'IA revient à acheter un ERP pour tenir le carnet de rendez-vous d'une TPE. La conformité ne se mesure pas à la richesse de l'outil. Elle se mesure à la traçabilité, à l'analyse de risque et à la documentation produite — quel que soit le support.
2. Contexte réglementaire : EU AI Act et ISO/IEC 42001:2023
Avant de comparer des outils, rappelons le cadre. L'EU AI Act (Règlement (UE) 2024/1689) impose des obligations différenciées selon le niveau de risque du système d'IA :
- Pratiques interdites (Article 5) : interdiction totale depuis le 2 février 2025
- IA à usage général (GPAI) : obligations applicables depuis le 2 août 2025
- Systèmes à haut risque Annexe III : obligations applicables à compter du 2 août 2026
- Systèmes à haut risque Annexe I (intégrés à des produits réglementés) : 2 août 2027
Les obligations des fournisseurs de systèmes à haut risque sont définies aux Articles 8 à 17 : gestion des risques, gouvernance des données, documentation technique, journalisation, transparence, supervision humaine, robustesse.
L'Article 99 fixe les sanctions : - Jusqu'à 35 M€ ou 7 % du CA mondial pour les pratiques interdites - Jusqu'à 15 M€ ou 3 % du CA mondial pour les manquements aux obligations - Jusqu'à 7,5 M€ ou 1 % du CA mondial pour les informations inexactes
L'ISO/IEC 42001:2023 est la norme internationale qui structure un AIMS (système de management de l'IA). Elle n'est pas obligatoire, mais elle constitue la référence reconnue pour démontrer une conformité organisée. Lire notre glossaire des termes EU AI Act pour les définitions précises.
3. Les alternatives à Naaia pour les PME
Il existe trois grandes familles d'alternatives, à choisir selon la maturité IA de l'entreprise.
| Catégorie | Exemples [à vérifier] | Coût indicatif | Adapté à |
|---|---|---|---|
| SaaS AIMS allégé | Solutions verticales sectorielles, modules conformité d'éditeurs RH/finance | 30 à 80 €/mois | PME avec 1 à 3 systèmes d'IA |
| Pack documentaire + audit | Templates ISO 42001, registre IA, fiches d'analyse de risque | 500 à 2 000 € one-shot | PME ayant une équipe interne autonome |
| Open source + accompagnement ponctuel | Outils de model card, registres en YAML/Markdown versionnés Git | Coût licence nul, coût humain 2-5 j/an | PME avec équipe technique interne |
Le choix dépend moins du prix que du modèle opérationnel cible. Une PME du conseil avec un DPO sensibilisé peut piloter une conformité Article 27 (analyse d'impact pour déployeurs) avec un pack documentaire. Une PME industrielle déployant un système de maintenance prédictive à haut risque aura besoin d'un suivi plus continu.
Voir notre dossier complet EU AI Act pour les PME françaises pour le panorama réglementaire.
4. Critères de choix d'un SaaS AIMS pour PME
Sept critères structurent une décision rationnelle :
- Adéquation au périmètre IA réel — Combien de systèmes ? Quel niveau de risque (Article 6) ?
- Couverture des obligations clés — Documentation technique (Annexe IV), journalisation (Art. 12), supervision humaine (Art. 14), analyse d'impact déployeur (Art. 27)
- Alignement ISO/IEC 42001:2023 — La cartographie des contrôles est-elle explicite ?
- Modèle tarifaire — Par siège, par modèle géré, ou forfait ?
- Maintenabilité documentaire — L'outil produit-il des livrables exportables et auditables ?
- Support juridique inclus ou en option — Veille EU AI Act et CNIL ?
- Réversibilité — Que récupère-t-on en cas de résiliation ?
| Critère | Naaia (positionnement) | Alternative SaaS allégée | Pack documentaire |
|---|---|---|---|
| Périmètre cible | ETI, grands comptes | PME 10-250 | TPE/PME 10-100 |
| Cartographie ISO 42001 | Complète | Partielle | Selon pack |
| Coût initial | Élevé [à vérifier] | Faible à modéré | Faible (one-shot) |
| Effort interne | Modéré (formation) | Faible | Élevé (autonomie) |
| Réversibilité | Export selon contrat | Export selon contrat | Documents possédés |
Évaluez votre besoin réel en 15 minutes
Avant tout achat de SaaS AIMS, un audit de votre périmètre IA permet d'éviter le surdimensionnement. Notre questionnaire identifie vos cas d'usage, leur niveau de risque au sens de l'Article 6, et les obligations applicables.
Demander un audit gratuit de mon périmètre IA →5. Cas d'utilisation : PME du secteur BTP
Prenons un cas concret. Une PME du BTP de 35 salariés utilise deux outils d'IA : - Un module de prédiction de retards de chantier (analytique interne) - Un assistant IA d'aide à la rédaction d'appels d'offres (GPAI grand public)
Étape 1 — Qualification. L'outil de prédiction n'est ni dans l'Annexe III, ni dans l'Annexe I. Il n'est donc pas à haut risque. L'assistant GPAI relève des obligations de transparence (Article 50) côté déployeur, pas des obligations fournisseur.
Étape 2 — Cadre minimal. Cette PME a besoin : - D'un registre des systèmes d'IA tenu à jour - D'une politique d'usage des outils GPAI (vérification humaine, confidentialité) - D'une analyse de risque ISO/IEC 23894:2023 documentée - D'une clause contractuelle avec le fournisseur de l'assistant GPAI
Étape 3 — Coût. Un pack documentaire + 1 jour d'accompagnement annuel suffit. Le déploiement d'un AIMS premium serait disproportionné, voire contre-productif (charge documentaire excessive).
Cette approche n'élimine pas le risque ; elle le calibre. Si demain la même PME développe un système de scoring sécurité chantier qui croise données biométriques et performance, elle entrera dans le champ Annexe III et devra upgrader sa gouvernance.
6. Économies potentielles : calculs concrets
Le ROI d'une approche sobre se mesure sur trois lignes : coût direct, coût humain interne, exposition au risque.
| Poste | SaaS premium type AIMS | Approche sobre (pack + audit) |
|---|---|---|
| Licence annuelle | Plusieurs milliers d'euros [à vérifier selon contrat] | 500 à 2 000 € one-shot |
| Formation interne | 2 à 5 j/an | 0,5 à 1 j/an |
| Maintenance documentaire | Incluse mais à valider | À organiser en interne |
| Audit externe (annuel) | À ajouter selon offre | À ajouter ponctuellement |
L'économie typique d'une PME de 20 à 50 salariés se situe entre 1 500 et 4 000 € par an [à vérifier selon contrat éditeur] en passant d'un AIMS premium à une approche sobre. Cette économie ne tient que si la documentation produite reste opérationnelle et auditable. La fausse économie consiste à acheter un pack documentaire et à ne jamais le mettre à jour.
L'exposition au risque ne dépend pas de l'outil utilisé mais de la qualité de l'analyse. Une PME qui documente sérieusement son périmètre avec un pack à 1 500 € est mieux protégée qu'une PME qui paie 5 000 € de SaaS sans personne pour le tenir à jour. Voir notre dossier sanctions EU AI Act pour PME pour l'exposition financière précise.
7. Étapes pour migrer vers une alternative
Une migration AIMS suit cinq étapes en 8 à 12 semaines :
- Cartographie des systèmes d'IA existants — Lister tous les outils, qualifier le niveau de risque (Article 6), identifier le rôle (fournisseur ou déployeur).
- Audit des besoins documentaires — Croiser avec les exigences Articles 8 à 17, Article 27 si déployeur de haut risque, Article 50 pour la transparence.
- Comparaison structurée des offres — Utiliser une grille pondérée (les 7 critères de la section 4).
- Pilote 30 jours — Tester la solution retenue sur 1 ou 2 systèmes d'IA avant déploiement complet.
- Migration et clôture — Récupérer les exports de l'ancien outil, archiver, mettre en production.
Pour chaque étape, prévoir un livrable signé par un référent IA interne (Article 26 §2 pour les déployeurs). Cela vaut preuve de gouvernance. Consultez le service desk officiel de la Commission EU pour les FAQ réglementaires.
8. Les pièges à éviter
Cinq pièges récurrents observés chez les PME :
- Acheter un AIMS avant d'avoir cartographié son périmètre IA — Décision dictée par la peur des sanctions, pas par l'analyse.
- Sous-estimer les coûts cachés — Onboarding, formation, intégration SIRH/SI, audits annuels.
- Confondre conformité et certification — La conformité EU AI Act ne s'achète pas via un label. Elle se prouve par la documentation et les contrôles.
- Ignorer le rôle de déployeur — Beaucoup de PME ne fournissent pas d'IA mais en déploient. L'Article 27 (analyse d'impact pour déployeurs de systèmes à haut risque) est central.
- Reporter au-delà du 2 août 2026 — La fenêtre de mise en conformité Annexe III se referme. Un audit ISO/IEC 42001:2023 prend 3 à 6 mois. Anticiper.
Consultez aussi notre guide ISO/IEC 42001:2023 pour PME pour comprendre la cartographie des contrôles et notre page Sources officielles pour la veille réglementaire.
FAQ
Quel est le délai pour migrer d'un SaaS coûteux ?
Les obligations pour les systèmes à haut risque listés à l'Annexe III du Règlement (UE) 2024/1689 s'appliquent à compter du 2 août 2026. Les obligations GPAI sont en vigueur depuis le 2 août 2025. La migration AIMS prend 8 à 12 semaines en moyenne. Démarrer l'audit ISO/IEC 42001:2023 maintenant garantit une mise en conformité documentée à temps.
Les alternatives sont-elles aussi efficaces que Naaia ?
Selon le périmètre IA. Pour une PME exploitant 1 à 3 systèmes d'IA, une alternative SaaS allégée ou un pack documentaire couvrent les obligations clés de l'EU AI Act (Articles 8-17 fournisseur, Article 27 déployeur, Article 50 transparence). Pour un groupe gérant 20+ systèmes, un AIMS complet reste plus pertinent. Le bon critère n'est pas la richesse fonctionnelle, mais l'adéquation au périmètre.
Comment choisir entre une solution open source et un SaaS ?
L'open source convient aux PME disposant d'une équipe technique capable de versionner, maintenir et auditer la documentation IA en interne (Git, Markdown, modèles de model card). Le SaaS convient aux PME sans équipe dédiée, qui préfèrent externaliser la maintenance. Le coût total de possession (TCO) doit inclure le temps humain interne, pas seulement la licence.
Quelles sont les sanctions pour non-conformité ?
L'Article 99 du Règlement (UE) 2024/1689 prévoit des sanctions jusqu'à 35 M€ ou 7 % du CA mondial annuel pour les pratiques interdites (Article 5), jusqu'à 15 M€ ou 3 % du CA mondial pour les manquements aux obligations des systèmes à haut risque, et jusqu'à 7,5 M€ ou 1 % du CA mondial pour les informations inexactes fournies aux autorités. Détails dans notre dossier sanctions PME.
Où trouver des conseils juridiques spécifiques ?
Les sources officielles : EUR-Lex pour le texte consolidé, CNIL pour les fiches pratiques françaises, AI Act Service Desk pour les FAQ de la Commission. Pour un avis juridique sur votre cas, consultez votre DPO ou un avocat spécialisé.
Pack documentaire EU AI Act + ISO 42001 pour PME
Registre des systèmes d'IA, analyse de risque, fiches déployeur Article 27, politique GPAI, modèles de model card. Conçu pour les PME 10-250 salariés. Livraison sous 5 jours ouvrés.
Demander le détail du pack et la grille tarifaire →Sources officielles
- artificialintelligenceact.eu — Texte consolidé EU AI Act
- eur-lex.europa.eu — Règlement (UE) 2024/1689 — Version officielle UE
- cnil.fr/fr/ai-act — Position et fiches pratiques de la CNIL
- ai-act-service-desk.ec.europa.eu — Service desk officiel de la Commission européenne
- ISO/IEC 42001:2023 — Norme AI Management System (publication payante via iso.org)
- ISO/IEC 23894:2023 — AI risk management (publication payante via iso.org)
Avertissement. Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations. Les tarifs cités sont indicatifs et doivent être vérifiés directement auprès des éditeurs concernés.