À neuf mois de l'application principale du Règlement (UE) 2024/1689, deux exigences se rejoignent dans les feuilles de route des PME françaises. D'un côté, la nécessité de cartographier et qualifier les usages d'IA déjà en place — c'est le terrain de l'audit AI Act. De l'autre, la pression croissante pour déployer des alternatives souveraines aux services cloud américains, dans un contexte de doctrine CNIL durcie sur le transfert international de données. Combiner ces deux chantiers en un workflow unique évite la double facture et accélère le passage à la conformité.
L'essentiel en 30 secondes
- L'audit AI Act produit une cartographie, une classification du risque (Article 6 et Annexe III du Règlement (UE) 2024/1689) et un registre opposable prêts à présenter en cas de contrôle CNIL.
- Cet audit débouche presque toujours sur une question opérationnelle : « par quoi remplacer l'outil cloud étranger identifié ? ». Le déploiement d'une IA souveraine on-premise est la réponse la plus pérenne.
- Le workflow combiné (audit + déploiement) dure typiquement 8 à 12 semaines pour une PME de 10 à 50 salariés avec un usage IA principal.
- Les aides publiques mobilisables se cumulent : Diag Data IA Bpifrance (42 % pris en charge) côté audit, IA Booster France 2030 (jusqu'à 80 %) côté déploiement, financement OPCO pour la formation.
- La maîtrise du Règlement (UE) 2024/1689 et la capacité technique à déployer un LLM open-source en local sont rarement présentes dans la même structure — un duo audit + intégrateur est souvent plus pertinent qu'un acteur unique.
- Ressources officielles : AI Act Service Desk, CNIL fiches pratiques IA, texte consolidé.
1. Pourquoi audit et déploiement forment un workflow unique
L'erreur la plus fréquente consiste à séparer ces deux chantiers dans le temps : audit en année N, déploiement en année N+1. Sur le terrain, ce séquencement crée trois inefficiences. D'abord, l'audit identifie des risques (transfert de données hors UE, opacité d'un modèle propriétaire, absence de supervision humaine) qui appellent une remédiation rapide. Laisser un an entre la détection et l'action expose la PME à un risque de contrôle. Ensuite, les équipes formées pendant l'audit oublient une partie des notions si le déploiement tarde. Enfin, les aides publiques se mobilisent mieux quand audit et déploiement sont présentés comme un projet unique à Bpifrance ou à la Direction Générale des Entreprises.
Le workflow combiné renverse cette logique : l'audit n'est plus une fin en soi, c'est la phase amont d'un projet de modernisation IA. Cette approche unifiée a trois conséquences positives. Elle aligne le chiffrage (audit + déploiement + maintenance = devis global), elle accélère les arbitrages (le dirigeant n'a pas à reprendre la décision à chaque étape), et elle améliore la qualité du dossier de financement public.
2. Phase 1 — L'audit AI Act : cartographie, classification, registre
L'audit AI Act se structure en cinq livrables minimaux. Le premier est la cartographie exhaustive des usages IA dans l'organisation, en incluant la « shadow AI » : les outils utilisés par les collaborateurs sans validation IT (ChatGPT, Copilot, Notion AI, Gemini, etc.). Un sondage interne anonymisé révèle généralement deux à cinq fois plus d'usages que l'inventaire officiel.
Le deuxième livrable est la classification du risque pour chacun de ces usages. L'Article 5 liste les pratiques interdites, l'Annexe III énumère les huit domaines à haut risque, et le reste relève soit du risque limité (transparence Article 50), soit du risque minimal. Cette classification doit être documentée, datée et signée par un référent.
Le troisième livrable est le registre des systèmes d'IA. Il consigne pour chaque système son fournisseur, sa version, ses données d'entraînement connues, ses cas d'usage en interne, son niveau de risque et son responsable opérationnel. Ce registre devient l'élément central du dossier de conformité.
Le quatrième livrable est la documentation des obligations contractuelles vis-à-vis des fournisseurs : clauses Annexe IV pour les systèmes à haut risque, mentions Article 50 pour la transparence, vérification de la conformité RGPD croisée. C'est ici que les contrats OpenAI, Google, Microsoft, Anthropic doivent être examinés à la loupe — la plupart laissent des angles morts juridiques importants.
Le cinquième livrable est l'analyse d'impact sur les droits fondamentaux (FRIA) pour les usages à haut risque, exigée par l'Article 27 du Règlement (UE) 2024/1689 pour le secteur public et certains acteurs privés régulés. Cette FRIA est lourde mais elle conditionne la validité de l'usage post-août 2026.
3. Phase 2 — La décision post-audit : quel système d'IA déployer ?
L'audit révèle quasi systématiquement une catégorie d'usages problématiques : les outils cloud étrangers traitant des données sensibles internes. Documents internes envoyés à ChatGPT, comptes-rendus de réunion dans Notion AI, prompts contenant des informations clients dans Microsoft Copilot. Ces usages sont rarement « interdits » au sens de l'Article 5, mais ils créent une exposition forte au regard de plusieurs textes croisés : RGPD (transfert international), Cloud Act américain (juridiction extraterritoriale), Data Governance Act européen.
La décision post-audit consiste à choisir, pour chaque usage à risque, l'une des trois trajectoires suivantes : encadrement contractuel renforcé du fournisseur cloud actuel (souvent fragile en pratique), bascule vers un cloud souverain européen (OVHcloud, Outscale, Scaleway), ou déploiement on-premise d'une alternative open-source. La troisième option est techniquement la plus exigeante mais c'est aussi la plus défendable juridiquement et la plus économique sur 3-5 ans.
Concrètement, pour une PME française qui faisait tourner 30 collaborateurs sur ChatGPT Team (abonnement à 25 €/utilisateur/mois soit 9 000 € HT/an), un déploiement on-premise avec un serveur GPU à 4 000-6 000 € HT amorti sur 3 ans plus une maintenance annuelle de 2 400 € HT revient à un coût total inférieur à la troisième année, avec une indépendance totale.
4. Phase 3 — Déploiement IA souveraine on-premise
Le déploiement on-premise repose sur trois briques techniques. Première brique : un runtime d'inférence comme Ollama, llama.cpp ou vLLM, capable de servir des LLM open-source quantifiés sur un GPU consumer. Deuxième brique : une interface utilisateur comme OpenWebUI, LibreChat ou AnythingLLM, qui reproduit l'expérience ChatGPT avec gestion des conversations, multi-utilisateurs et droits granulaires. Troisième brique : un module RAG (Retrieval-Augmented Generation) qui indexe les documents internes et les rend interrogeables en langage naturel sans qu'ils ne quittent l'infrastructure du client.
Plusieurs intégrateurs français se sont spécialisés dans ce type de déploiement pour les TPE et PME, avec des packs incluant matériel, logiciel, formation et maintenance. IAPRO, basée à Roubaix et intervenant sur l'ensemble du territoire, propose par exemple trois formats — Starter, Pro et Entreprise — calibrés selon la taille de l'organisation et la puissance GPU nécessaire. L'offre couvre l'audit technique, l'installation matérielle, la configuration logicielle (Ollama, OpenWebUI, RAG documentaire), la formation des équipes utilisatrices et la maintenance de l'infrastructure. Les modèles déployés sont open-source (Mistral, Llama, Qwen, DeepSeek) et restent intégralement sur le serveur du client, sans aucun transit cloud.
Le choix du modèle dépend de l'usage. Pour un assistant rédactionnel généraliste en français, Mistral 7B Instruct ou Qwen 2.5 14B suffisent. Pour de l'analyse de contrats juridiques, Mistral Small 3 (24B) ou Qwen 2.5 32B sont mieux calibrés. Pour des tâches de raisonnement complexe (audit comptable, analyse de risque), Llama 3.3 70B ou DeepSeek-R1 distillé sont les références actuelles.
5. Workflow type 12 semaines
| Semaine | Phase | Livrables | Acteur principal |
|---|---|---|---|
| 1 | Cadrage | Pré-audit, sondage shadow AI, identification du référent IA interne | Cabinet audit |
| 2-3 | Cartographie | Inventaire exhaustif des usages, entretiens collaborateurs | Cabinet audit |
| 4 | Classification | Grille de risque Article 6 + Annexe III, validation référent | Cabinet audit |
| 5 | Registre + obligations | Registre formalisé, analyse contrats fournisseurs, premières remédiations | Cabinet audit |
| 6 | FRIA si applicable | Analyse d'impact secteur public ou régulé | Cabinet audit + DPO |
| 7 | Décision déploiement | Choix on-premise vs cloud souverain, validation budget | Dirigeant + intégrateur |
| 8 | Sourcing matériel | Commande GPU, planification livraison, devis aides publiques | Intégrateur |
| 9 | Installation | Setup serveur, configuration Ollama, OpenWebUI, RAG | Intégrateur |
| 10 | Formation utilisateurs | Sessions par cohortes, charte d'usage, supports écrits | Intégrateur + référent interne |
| 11 | Migration des usages | Bascule progressive depuis l'ancien outil cloud, accompagnement | Intégrateur + référent |
| 12 | Audit blanc + clôture | Simulation contrôle, ajustements, livrables finaux | Cabinet audit |
Ce calendrier est indicatif : il s'étire à 16-20 semaines pour les organisations avec plusieurs sites ou usages haut risque, et se compresse à 6-8 semaines pour une PME mono-site avec un usage unique.
6. Aides publiques mobilisables (audit ET déploiement)
Le cumul des aides publiques peut diviser par deux le coût total d'un workflow audit + déploiement bien orchestré. Côté audit, le Diag Data IA Bpifrance prend en charge 42 % du coût d'un diagnostic à 13 000 € HT, soit 5 460 € de prise en charge directe, à condition d'être réalisé par un expert agréé. Pour les PME de moins de 250 salariés, l'IA Booster France 2030 phase 1 finance jusqu'à 80 % d'un cadrage IA dans la limite de 13 000 € HT.
Côté déploiement, l'IA Booster France 2030 phase 2 couvre 50 % d'un projet de déploiement jusqu'à 60 000 € HT, soit 30 000 € HT de prise en charge maximale. Le Pack IA Francenum prend en charge 50 % de projets jusqu'à 37 000 € HT (18 500 € HT). En Hauts-de-France spécifiquement, le dispositif ADEN HDF couvre 40 % des projets numériques pour les entreprises de moins de 20 ETP avec un CA inférieur à 2 M€, plafonné à 12 000 € HT.
La formation art. 4 obligatoire des collaborateurs est elle finançable via les OPCO (Atlas, AKTO, OPCO 2i selon la branche), généralement à hauteur de 50 à 100 % du coût pédagogique. Le crédit d'impôt CIR/CII complète le dispositif pour les dépenses de R&D liées à des développements IA spécifiques.
Au total, une PME bien accompagnée peut réduire son reste à charge de 60 à 80 % sur l'ensemble du workflow audit + déploiement.
7. Critères de choix d'un intégrateur post-audit
Une fois l'audit livré, le choix de l'intégrateur de déploiement détermine la qualité du résultat final. Plusieurs critères discriminants émergent de l'expérience terrain.
Premier critère : la maîtrise effective de l'AI Act. Un intégrateur qui ne nomme pas les articles, qui ne sait pas distinguer fournisseur et déployeur au sens du Règlement, qui n'a jamais produit de FRIA, ne pourra pas livrer un projet cohérent avec le rapport d'audit. Le coût de la documentation à reproduire derrière sera prohibitif.
Deuxième critère : la transparence sur la stack technique. Quels modèles précisément, quelles versions, quelles quantifications, quelles conditions de mise à jour ? Les intégrateurs sérieux nomment leurs choix. Les autres parlent en généralités.
Troisième critère : la capacité à mobiliser les aides publiques côté déploiement. Diag Data IA, IA Booster, OPCO, ADEN, CIR/CII — le montage de ces dossiers est un métier à part entière. Les intégrateurs qui ne maîtrisent pas ces dispositifs laissent des dizaines de milliers d'euros de subventions sur la table.
Quatrième critère : la continuité avec l'audit. L'idéal est d'avoir un référent commun ou un canal de communication direct entre le cabinet d'audit et l'intégrateur. Quand cette articulation existe (par exemple via un partenariat éditorial entre regulia et un intégrateur de confiance comme IAPRO), le délai global du projet se réduit de 20 à 30 %.
Cinquième critère : la maintenance post-déploiement. Un LLM local doit être maintenu : mises à jour de sécurité, nouveaux modèles, monitoring des performances, support utilisateurs. Un intégrateur sans offre de maintenance livre une infrastructure qui se dégrade en 6-12 mois.
8. Et après ? La maintenance comme prolongation logique
Le workflow combiné audit + déploiement ne s'achève pas à la mise en production. Trois activités le prolongent dans la durée. Première activité : la veille réglementaire. L'AI Act évoluera par actes d'exécution et actes délégués jusqu'en 2027. Les lignes directrices CNIL, les codes de pratique GPAI, les normes harmonisées CEN-CENELEC modifient régulièrement la doctrine. Un abonnement à une veille fiable (regulia opère cette veille pour les abonnés Pack Premium) évite de découvrir une nouvelle obligation après un contrôle.
Deuxième activité : la maintenance technique de l'infrastructure IA souveraine. Mises à jour des modèles (de Llama 3.3 à Llama 4 par exemple), upgrade du runtime (Ollama, vLLM), surveillance des performances GPU, gestion des incidents utilisateur. Cette activité est généralement contractualisée avec l'intégrateur sous forme d'abonnement mensuel.
Troisième activité : la formation continue des collaborateurs. L'Article 4 du Règlement n'est pas un événement ponctuel : il impose un maintien des compétences IA dans la durée. Une session annuelle de remise à niveau de 1 à 2 jours est généralement suffisante, finançable OPCO.
FAQ
Faut-il forcément faire l'audit avant le déploiement, ou peut-on lancer les deux en parallèle ?
L'audit doit précéder la décision de déploiement d'au moins 2 à 4 semaines. Sans la cartographie et la classification du risque, le choix des modèles à déployer se fait en aveugle. En revanche, le sourcing matériel (commande GPU, devis aides publiques) peut commencer dès la fin de la phase de classification, sans attendre la livraison complète du registre.
Le cabinet d'audit doit-il être indépendant de l'intégrateur ?
C'est préférable mais pas obligatoire. Un audit objectif demande une distance avec le prestataire qui réalisera le déploiement. Si la même structure fait les deux, le risque est qu'elle minimise les risques identifiés pour vendre sa solution. L'idéal est un cabinet d'audit spécialisé conformité (comme regulia) en relation avec plusieurs intégrateurs partenaires (dont IAPRO pour les PME on-premise), avec un cloisonnement clair des rôles et des facturations.
Un déploiement on-premise est-il vraiment moins cher qu'un cloud souverain européen ?
Sur 3 à 5 ans, oui dans la majorité des cas pour une PME de 10 à 50 utilisateurs. Le calcul exact dépend du nombre d'utilisateurs, de la fréquence d'usage et du modèle choisi. Le calculateur de coût LLM disponible sur QuelLLM.fr permet une simulation chiffrée par cas d'usage.
Combien coûte un workflow combiné complet pour une PME de 30 salariés ?
Comptez entre 15 000 et 30 000 € HT côté audit + déploiement initial (matériel inclus), plus 200 à 600 € HT mensuels en maintenance. Avec les aides publiques mobilisées, le reste à charge tombe généralement entre 6 000 et 12 000 € HT la première année, puis sur la seule maintenance les années suivantes.
Que se passe-t-il si je n'ai rien fait au 2 août 2026 ?
Les obligations applicables ce jour-là sont la formation à l'IA (Article 4), la transparence (Article 50) et l'opposabilité des sanctions de l'Article 99 (jusqu'à 35 M€ ou 7 % du CA mondial). Les obligations relatives aux systèmes à haut risque ne deviennent pleinement applicables qu'au 2 août 2027, mais leur préparation prend 6 à 12 mois. Démarrer en mai-juin 2026 reste tenable ; au-delà de septembre, la course contre la montre devient sérieuse.
Démarrer un workflow combiné avec regulia
regulia propose deux formats d'audit AI Act adaptés aux PME et organisations françaises. Le Pack Express (299 € HT) délivre une cartographie + classification + registre en 5 jours pour une PME avec un usage IA simple. Le Pack Complet (599 € HT) ajoute la documentation contractuelle, la FRIA si applicable et l'accompagnement aux remédiations. Le Pack Premium (999 € HT + 49 €/mois) ajoute la veille réglementaire continue et la mise à jour annuelle du dossier.
Pour les organisations qui souhaitent un workflow combiné audit + déploiement en un seul projet, regulia recommande de coupler son audit à un intégrateur partenaire spécialisé dans l'IA souveraine on-premise pour les TPE et PME, comme IAPRO. Cette articulation permet de présenter un dossier unique aux financeurs publics (Bpifrance, France Num, ADEN) et de réduire le délai global de 8 à 12 semaines à 6 à 8 semaines pour une PME mono-site.
Tarification regulia indicative — devis personnalisé selon le périmètre. Les templates livrés constituent des références opposables, ils ne se substituent pas à un conseil juridique sur mesure pour les cas particuliers.