L'essentiel en 30 secondes - GitHub Copilot relève d'une IA à finalité générale sous le Règlement (UE) 2024/1689, classée à risque limité pour la majorité des usages internes. - Les sanctions pour non-conformité atteignent jusqu'à 7 % du chiffre d'affaires annuel mondial (Article 99 du Règlement (UE) 2024/1689). - Le RGPD impose une analyse d'impact (AIPD) dès lors que du code généré traite des données personnelles à grande échelle (Art. 35 RGPD). - La norme ISO/IEC 42001:2023 structure la documentation des processus IA, notamment via les clauses 8.1 et 9.2. - L'obligation de littératie IA (Art. 4 du Règlement (UE) 2024/1689) s'applique depuis le 2 février 2025 à tous les développeurs utilisant Copilot. - Une PME SaaS de 50 salariés peut structurer sa conformité en 6 à 10 semaines avec un plan d'action ciblé.
Cet article décortique le cas d'une PME française éditrice de SaaS qui déploie GitHub Copilot pour accélérer son développement. Nous examinons la classification réglementaire de l'outil, les obligations RGPD induites par le code généré, l'apport d'ISO/IEC 42001:2023 et les sanctions encourues. L'objectif : fournir une feuille de route opérationnelle pour les dirigeants, DPO et IA Lead.
1. Contexte du cas : PME SaaS et utilisation de Copilot
Prenons le cas d'« Editia », éditeur fictif d'un SaaS B2B de gestion RH, installé à Lyon, 50 salariés, 8 M€ de chiffre d'affaires. L'équipe technique compte 18 développeurs répartis entre back-end (Python/Django), front-end (React) et data engineering. Le CTO a déployé GitHub Copilot Business sur l'ensemble des postes en janvier 2026.
Les chiffres internes mesurés sur trois mois sont parlants :
| Périmètre | Part du code suggérée par Copilot | Volume hebdomadaire |
|---|---|---|
| APIs back-end (Python) | ~30 % | ~6 500 lignes |
| Composants front-end (React/TS) | ~20 % | ~3 200 lignes |
| Scripts data/ETL | ~15 % | ~800 lignes |
| Tests automatisés | ~45 % | ~2 100 lignes |
Le périmètre n'est pas neutre. Les APIs back-end manipulent des données salariées : noms, e-mails professionnels, salaires, bulletins de paie, congés, évaluations. Ces traitements relèvent du RGPD et, pour certains modules (scoring de performance), peuvent basculer sous le régime « haut risque » du Règlement (UE) 2024/1689 — annexe III, point 4.
Editia se trouve dans une situation typique : un gain de productivité réel, mais une exposition juridique qui n'a pas été cartographiée. Pour comprendre le cadre général applicable, voir notre guide AI Act pour les PME françaises.
2. Classification EU AI Act : où placer Copilot ?
Premier réflexe : qualifier l'outil au sens du Règlement (UE) 2024/1689. Copilot n'est pas un système IA monolithique. C'est un assistant de génération de code reposant sur un modèle d'IA à usage général (GPAI), au sens de l'Article 3, point 63 du Règlement.
Deux régimes coexistent :
| Composant | Qualification AI Act | Régime applicable |
|---|---|---|
| Modèle sous-jacent (OpenAI Codex / GPT-4 Turbo) | Modèle d'IA à usage général | Chapitre V — obligations du fournisseur (OpenAI / GitHub) |
| Intégration Copilot dans l'IDE chez Editia | Système IA déployé | Risque limité par défaut (Art. 50) |
| Module de scoring de performance RH alimenté par Copilot | Système IA à haut risque potentiel | Annexe III, point 4 — emploi |
Pour Editia, l'usage générique de Copilot relève du risque limité. Cela déclenche essentiellement des obligations de transparence : informer les utilisateurs finaux quand un contenu est généré par IA (Art. 50). Mais dès qu'un module métier intègre du code Copilot dans une logique de décision affectant des salariés, le régime haut risque s'applique avec son cortège d'obligations (système de gestion des risques, gouvernance des données, documentation technique, supervision humaine).
L'erreur fréquente consiste à raisonner sur Copilot en bloc. Le bon réflexe : tracer la finalité du code généré, module par module.
Auditer votre usage de Copilot en 1 heure
Notre matrice de classification AI Act pour PME SaaS vous permet d'identifier les modules à risque et les obligations associées, avec exemples pour Copilot, Cursor et ChatGPT.
Recevoir la matrice de classification3. RGPD : gestion des données personnelles dans le code généré
Le RGPD n'a pas attendu l'AI Act pour s'imposer. Le code généré par Copilot soulève trois questions distinctes.
a. Les données envoyées à Copilot. Lorsque le développeur tape, son contexte (extraits du fichier, parfois du repository) est transmis aux serveurs GitHub. Si ce contexte inclut des données personnelles — jeux de tests réels, exemples avec e-mails clients, identifiants — il y a transfert vers un sous-traitant hors UE. La base légale, les garanties (clauses contractuelles types, DPA GitHub Business) et l'information des personnes concernées doivent être documentées.
b. Le code généré et les traitements qu'il instaure. Copilot peut suggérer des requêtes SQL, des appels d'API, des logiques de filtrage. Si ce code finit en production sans relecture, il peut créer des traitements non documentés au registre Art. 30 RGPD. La CNIL rappelle dans ses fiches pratiques IA (juillet 2024) que le responsable de traitement reste pleinement responsable des traitements mis en œuvre, quel que soit l'outil de développement.
c. L'AIPD (Art. 35 RGPD). Une AIPD devient obligatoire si le module développé avec Copilot répond aux critères de risque élevé : profilage, données sensibles, croisement à grande échelle. La CNIL fournit une liste de traitements pour lesquels l'AIPD est requise. Le scoring de performance RH d'Editia y figure.
Synthèse opérationnelle pour Editia :
| Obligation RGPD | Action concrète | Échéance recommandée |
|---|---|---|
| Mise à jour du registre Art. 30 | Ajouter « Assistance au développement par IA générative » comme traitement | Semaine 2 |
| Information des développeurs | Note interne sur le périmètre du contexte envoyé | Semaine 2 |
| AIPD modules sensibles | Réaliser une AIPD pour le scoring RH | Semaine 4-6 |
| Configuration GitHub Copilot Business | Désactiver la conservation de prompts, exclure repos sensibles | Semaine 1 |
Pour le détail des sanctions cumulables entre AI Act et RGPD, voir notre dossier Sanctions AI Act pour PME — amendes et calculateur.
4. ISO/IEC 42001:2023 : structurer le système de management de l'IA
La norme ISO/IEC 42001:2023, publiée en décembre 2023, fournit un cadre certifiable pour les organisations qui conçoivent, déploient ou utilisent des systèmes IA. Elle est l'équivalent IA de ce qu'ISO 27001 représente pour la sécurité de l'information.
Pour Editia, trois clauses sont structurantes dans le contexte Copilot :
| Clause ISO/IEC 42001 | Exigence | Application à Copilot |
|---|---|---|
| 6.1.2 — Évaluation des risques IA | Identifier et évaluer les risques liés aux systèmes IA | Cartographier les modules où Copilot intervient et leurs risques (fuite de code, hallucination, biais) |
| 8.2 — Évaluation d'impact des systèmes IA | Évaluer l'impact sur les personnes affectées | Documenter l'effet du code généré sur les salariés (scoring), les clients (APIs) |
| 9.2 — Audit interne | Programme d'audit périodique du SMIA | Revue annuelle de l'usage Copilot, incidents, taux d'acceptation des suggestions |
La norme n'est pas obligatoire au sens juridique. Mais elle remplit deux fonctions utiles. D'abord, elle structure la preuve de conformité réclamée par l'Art. 17 du Règlement (UE) 2024/1689 pour les systèmes haut risque. Ensuite, elle constitue un signal de maturité pour les grands comptes clients d'Editia, qui exigent désormais des engagements contractuels sur la gouvernance IA.
L'AI Office EU a confirmé en mars 2025 que les organisations alignées sur ISO/IEC 42001 bénéficieront d'une « présomption de conformité partielle » sur certaines obligations de l'AI Act, en attendant la publication des normes harmonisées par le CEN-CENELEC [à vérifier — formulation exacte en consultation].
5. Étapes de mise en œuvre : audit et documentation
Voici la feuille de route appliquée par Editia, calibrée pour une PME de taille comparable.
- Semaine 1 — Cadrage. Désignation d'un référent IA (souvent le CTO ou un Tech Lead). Inventaire des outils d'IA générative utilisés : Copilot, ChatGPT, Claude, Cursor. Vérification des contrats sous-jacents (DPA, clauses IA).
- Semaines 2-3 — Audit technique. Cartographie des modules où Copilot intervient. Mesure du taux d'acceptation des suggestions. Détection des secrets ou données personnelles potentiellement présents dans les prompts.
- Semaines 3-4 — Audit juridique. Mise à jour du registre des traitements. Identification des AIPD à conduire. Classification AI Act module par module.
- Semaines 4-6 — Documentation. Rédaction de la politique d'usage des outils d'IA générative. Production des fiches techniques par module (template AI Act). Procédure d'incident IA.
- Semaines 5-7 — Formation. Session obligatoire de 4 heures pour tous les développeurs, couvrant les risques juridiques, les bonnes pratiques de prompt, la détection de hallucinations. Quiz de validation. Cette formation répond à l'Art. 4 du Règlement (UE) 2024/1689 sur la littératie IA.
- Semaines 7-10 — Contrôle. Mise en place d'indicateurs : nombre d'incidents, audits ponctuels du code généré, revue de code obligatoire pour les modules sensibles. Premier audit interne ISO/IEC 42001.
Le coût indicatif pour une PME comme Editia se situe entre 18 000 € et 35 000 € en année 1, incluant licences, conseil externe et temps interne. Une partie est récupérable via les économies de productivité Copilot, mais ce calcul ne doit pas masquer le risque résiduel.
6. Risques et sanctions : exemples concrets
Les sanctions de l'AI Act sont gradées selon la nature de l'infraction (Article 99 du Règlement (UE) 2024/1689) :
| Type d'infraction | Plafond d'amende | Cas d'application chez Editia |
|---|---|---|
| Pratiques interdites (Art. 5) | 35 M€ ou 7 % du CA mondial | Non applicable a priori |
| Non-conformité système haut risque | 15 M€ ou 3 % du CA mondial | Module scoring RH non documenté |
| Information incorrecte aux autorités | 7,5 M€ ou 1 % du CA mondial | Refus de coopérer lors d'un contrôle |
Pour une PME comme Editia (8 M€ de CA), le plafond proportionnel reste limité, mais le forfait minimal en valeur absolue peut dépasser l'EBITDA annuel. L'Art. 99, paragraphe 6 prévoit toutefois que pour les PME, c'est le montant le plus faible entre le pourcentage et le forfait qui s'applique.
S'ajoutent les sanctions RGPD : jusqu'à 20 M€ ou 4 % du CA mondial (Art. 83 RGPD). Les deux régimes se cumulent lorsque les infractions sont distinctes.
Sur le plan réputationnel, les conséquences sont mesurables. Une étude Cigref de janvier 2025 montre que 62 % des directions achats grands comptes intègrent désormais des clauses de conformité IA dans leurs appels d'offres SaaS. Une non-conformité documentée peut entraîner la sortie de référencement.
La CNIL a publié plusieurs décisions liées à l'IA en 2024 et 2025, principalement sur des défauts d'information et d'AIPD. Le chiffre de « 3 PME sanctionnées en 2023 pour non-conformité IA » mérite vérification dans le rapport d'activité CNIL officiel [à vérifier].
Pack documentaire complet AI Act pour PME SaaS
Politique d'usage IA générative, registre des traitements, fiches techniques AI Act, modèle d'AIPD, programme de formation développeurs : tout le pack pour une mise en conformité en 6 semaines.
Demander le pack documentaire7. Bonnes pratiques pour les PME SaaS
L'expérience d'Editia se résume en sept règles opérationnelles, transposables à tout éditeur SaaS de taille comparable :
- Segmenter l'usage de Copilot par criticité. Tout code n'a pas la même valeur ni le même risque. Les modules manipulant des données sensibles méritent une revue humaine systématique. Les scripts internes peuvent rester en mode autonome.
- Configurer Copilot Business correctement. Désactiver la conservation des prompts. Exclure les repositories contenant des données sensibles via le fichier
.copilotignore. Utiliser les paramètres administrateur pour bloquer les suggestions de code public matchant (filtre anti-plagiat). - Imposer la revue de code humaine. Aucun commit généré par Copilot ne doit partir en production sans relecture, même partielle. Le développeur reste responsable de chaque ligne mergée.
- Documenter les incidents. Tenir un journal des hallucinations détectées, des failles de sécurité introduites, des suggestions inappropriées. Cette documentation alimente l'amélioration continue (clause 10 ISO 42001).
- Former en continu. La littératie IA n'est pas une formation one-shot. Sessions trimestrielles de 1 heure recommandées pour suivre l'évolution des modèles et des risques.
- Auditer le code généré. Outils SAST et SCA configurés pour analyser spécifiquement les patterns connus de vulnérabilité introduits par les LLM (injections, secrets en dur, dépendances obsolètes).
- Anticiper les exigences clients. Préparer un dossier de conformité IA présentable en RFP : politique, AIPD, fiches techniques, certificats. Ce dossier devient un argument commercial.
Le glossaire regulia reprend les termes techniques de l'AI Act utilisés dans ces bonnes pratiques.
8. Perspectives : évolution réglementaire
Le calendrier d'application du Règlement (UE) 2024/1689 est échelonné. Plusieurs jalons concernent directement les éditeurs SaaS utilisant Copilot :
| Date | Échéance | Impact pour Editia |
|---|---|---|
| 2 février 2025 | Pratiques interdites (Art. 5) + littératie IA (Art. 4) | Formation développeurs obligatoire |
| 2 août 2025 | Obligations GPAI (Chapitre V) | OpenAI/GitHub soumis aux obligations fournisseur |
| 2 août 2026 | Obligations systèmes haut risque (Annexe III) | Module scoring RH pleinement encadré |
| 2 août 2027 | Systèmes haut risque intégrés à produits régulés (Annexe I) | Pertinent pour modules médical/financier |
Côté CNIL, la feuille de route IA 2024-2026 prévoit des contrôles thématiques sur les usages d'IA générative en entreprise. Le rapport annuel CNIL 2024 confirme que l'IA est l'une des trois priorités de contrôle [à vérifier date exacte].
Côté normatif, la première version révisée d'ISO/IEC 42001 est attendue en 2027. Le CEN-CENELEC publie progressivement les normes harmonisées qui clarifieront les modalités techniques de conformité AI Act, notamment sur les systèmes de gestion des risques (mandate M/593).
Pour une PME, la posture rationnelle n'est pas d'attendre la stabilisation complète du paysage normatif. C'est de structurer dès maintenant une gouvernance minimale viable, qui pourra s'étoffer au fil des publications. Les éléments de base — registre, politique, formation, AIPD ciblées — sont déjà actionnables avec le cadre actuel.
FAQ
Copilot est-il considéré comme une IA sous l'AI Act ?
Oui. La définition de l'Article 3, point 1 du Règlement (UE) 2024/1689 qualifie de système IA tout système automatisé capable d'inférer, à partir d'entrées, des sorties influençant des environnements. Copilot répond à cette définition. Le modèle sous-jacent relève du régime GPAI (Chapitre V). L'usage chez le déployeur est qualifié à risque limité par défaut, sauf intégration dans un cas d'usage Annexe III.
Quelles sont les obligations RGPD pour une PME utilisant Copilot ?
Trois obligations principales. Mettre à jour le registre des traitements (Art. 30 RGPD) en y intégrant l'assistance au développement par IA. Conduire une AIPD (Art. 35 RGPD) pour les modules manipulant des données sensibles ou à grande échelle. Informer les personnes concernées et garantir un cadre contractuel solide avec GitHub (DPA, clauses contractuelles types pour les transferts hors UE).
Quel est le risque d'amende pour une PME non conforme ?
Le plafond AI Act atteint 7 % du CA mondial pour les pratiques interdites, 3 % pour la non-conformité des systèmes haut risque (Art. 99). Pour les PME, l'Art. 99 paragraphe 6 prévoit l'application du montant le plus faible entre pourcentage et forfait. Le RGPD ajoute jusqu'à 4 % du CA mondial (Art. 83). Les deux régimes se cumulent en cas d'infractions distinctes.
Doit-on mettre en place ISO/IEC 42001 pour utiliser Copilot ?
Non. ISO/IEC 42001:2023 n'est pas légalement obligatoire. Elle est néanmoins fortement recommandée pour structurer la conformité AI Act et démontrer la maturité IA aux clients. La certification représente un effort significatif (12 à 18 mois pour une PME). Une approche progressive consiste à s'aligner sur les clauses clés (6.1.2, 8.2, 9.2) sans viser la certification immédiate.
Comment se préparer aux contrôles AI Act en 2026 ?
Cinq étapes : classifier chaque système IA (matrice par module), tenir une documentation technique conforme à l'Annexe IV pour les systèmes haut risque, conduire les AIPD requises par la CNIL, former les équipes à la littératie IA (Art. 4), instaurer une procédure d'incident IA. Un audit interne ou externe préalable réduit fortement le risque en cas de contrôle de l'autorité de surveillance désignée.
Sources officielles
- Règlement (UE) 2024/1689 — version consolidée EUR-Lex
- Texte intégral commenté de l'AI Act
- AI Act Service Desk — Commission européenne
- Fiches pratiques IA de la CNIL
- ISO/IEC 42001:2023 — Information technology — Artificial intelligence — Management system
- ISO/IEC 23894:2023 — Artificial intelligence — Guidance on risk management
- Cigref, « Guide de mise en conformité AI Act pour les grandes organisations », janvier 2025
- Numeum, « AI Act : guide pratique pour les entreprises du numérique », mars 2025
Pour la liste complète des références citées dans nos articles, consulter notre page sources.
Avertissement. Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.