Matrice RACI IA pour PME : 19 activités × 8 rôles

TL;DR

L'essentiel en 30 secondes

• La matrice RACI distribue 4 niveaux d'engagement (Responsable, Approbateur, Consulté, Informé) sur 8 rôles internes pour 19 activités IA critiques.
• L'Article 26 du Règlement (UE) 2024/1689 impose aux déployeurs de systèmes à haut risque une supervision humaine identifiée et formée — la matrice RACI matérialise cette exigence.
• L'ISO/IEC 42001:2023 (clauses 5.3 et 7.2) demande l'attribution formelle des rôles et responsabilités du système de management de l'IA.
• Les amendes prévues à l'Article 99 du Règlement (UE) 2024/1689 atteignent 35 M€ ou 7 % du chiffre d'affaires mondial pour les pratiques interdites (Article 5).
• Le modèle proposé est calibré pour des PME de 10 à 250 salariés disposant de peu de ressources juridiques internes.
• Une matrice RACI documentée constitue une pièce à charge de la gouvernance IA exigible lors d'un contrôle par une autorité de surveillance du marché.

1. Pourquoi une matrice RACI pour l'IA dans une PME

La matrice RACI est un outil de gouvernance hérité de la gestion de projet. Elle attribue à chaque activité quatre niveaux d'engagement : Responsable (réalise), Approbateur (valide), Consulté (apporte un avis avant décision), Informé (reçoit la décision finale).

Appliquée à l'intelligence artificielle, la RACI répond à une obligation centrale du Règlement (UE) 2024/1689 : la traçabilité des décisions de gouvernance. L'Article 26 du Règlement (UE) 2024/1689 exige des déployeurs de systèmes à haut risque qu'ils confient « la supervision humaine à des personnes physiques disposant des compétences, de la formation et de l'autorité nécessaires ». Sans nommage formel, cette exigence reste théorique.

Pour une PME, la matrice RACI répond à trois besoins simultanés :

• Clarification interne : qui décide d'arrêter un modèle dérivant en production ?
• Preuve documentaire : quelle pièce produire face à la DGCCRF, l'ACPR ou la CNIL ?
• Continuité opérationnelle : que se passe-t-il si la personne référente quitte l'entreprise ?

L'ISO/IEC 42001:2023, dans sa clause 5.3 (« Rôles, responsabilités et autorités organisationnelles »), demande explicitement à la direction d'attribuer et de communiquer les responsabilités du système de management de l'IA. La matrice RACI est l'instrument le plus simple pour répondre à cette clause.

Lire aussi : le panorama complet des obligations IA pour les PME françaises.

2. Les 8 rôles clés à formaliser

Le découpage en 8 rôles n'est pas arbitraire. Il croise les fonctions opérationnelles d'une PME avec les obligations sectorielles de l'EU AI Act. Voici la cartographie de référence.

Rôle	Fonction interne typique	Compétence attendue	Texte de référence
Responsable exécutif (RE)	Dirigeant, DG, gérant	Décision stratégique, allocation budgétaire	Art. 26 §2 — supervision humaine
Responsable projet (RP)	Chef de projet IA	Pilotage, planning, livraison	ISO 42001 clause 6.2
Responsable technique (RT)	Ingénieur IA, data scientist	Conception, entraînement, MLOps	Art. 14 — supervision technique
Responsable juridique (RJ)	DPO, juriste interne ou externe	RGPD, AI Act, contrats	Art. 26 §1, RGPD art. 37
Responsable qualité (RQ)	QA, contrôle interne	Tests, métriques, validation	Art. 17 — système qualité
Responsable sécurité (RS)	RSSI, référent cyber	Cybersécurité, robustesse	Art. 15 — robustesse, cybersécurité
Responsable commercial (RC)	Direction commerciale, produit	Cas d'usage, clients, contrats	Art. 13 — transparence usage
Responsable RH (RH)	DRH, responsable formation	Formation, compétences IA	Art. 4 — AI literacy

Dans une PME de moins de 50 salariés, plusieurs rôles peuvent être cumulés par la même personne. Le DPO peut tenir RJ + RH ; un dirigeant technique peut cumuler RE + RT. Le principe directeur reste la séparation entre Responsable et Approbateur sur les décisions critiques.

L'Article 4 du Règlement (UE) 2024/1689, applicable depuis le 2 février 2025, impose à tous les acteurs (fournisseurs comme déployeurs) de garantir un niveau suffisant de maîtrise de l'IA (« AI literacy ») au personnel concerné. Le rôle RH est donc structurel, pas accessoire.

3. Les 19 activités du cycle de vie IA à cartographier

Les 19 activités proposées couvrent l'intégralité du cycle de vie d'un système IA, de la conception à la décommission. Elles sont regroupées en cinq phases.

Phase 1 — Conception et préparation

1. Conception fonctionnelle du modèle IA
2. Collecte et qualification des données
3. Évaluation initiale des biais
4. Planification des tests et critères d'acceptation

Phase 2 — Développement et validation

5. Entraînement des modèles
6. Validation des performances (précision, robustesse)
7. Documentation technique (Annexe IV du Règlement (UE) 2024/1689)
8. Analyse des coûts complets (TCO)

Phase 3 — Déploiement

9. Déploiement en production
10. Formation des utilisateurs finaux (AI literacy)
11. Gestion contractuelle avec les fournisseurs tiers

Phase 4 — Exploitation et surveillance

12. Surveillance continue (post-market monitoring, Art. 72)
13. Gestion des incidents fonctionnels
14. Gestion des incidents de sécurité (Art. 73)
15. Gestion des données personnelles (RGPD)
16. Gestion des versions et mise à jour des modèles

Phase 5 — Gouvernance transverse

17. Audit de conformité (interne et externe)
18. Gestion des risques (FRIA si applicable, Art. 27)
19. Planification de la décommission

Chaque activité doit être reliée à un livrable identifiable : registre, procès-verbal, rapport, journal d'audit. Sans livrable, la RACI reste déclarative.

4. Exemple de matrice RACI condensée pour une PME

Le tableau ci-dessous présente une lecture synthétique de l'attribution des rôles pour les activités les plus critiques. Une seule lettre par cellule, une seule « A » (Approbateur) par ligne — règle d'or de la RACI.

#	Activité	RE	RP	RT	RJ	RQ	RS	RC	RH
1	Conception fonctionnelle	A	R	C	C	I	I	C	I
2	Collecte et qualification données	I	A	R	C	C	C	I	I
3	Évaluation des biais	I	C	R	C	A	I	I	I
5	Entraînement	I	A	R	I	C	C	I	I
6	Validation performances	I	C	R	I	A	C	I	I
7	Documentation technique Annexe IV	I	A	R	C	C	C	I	I
9	Déploiement en production	A	R	C	C	C	C	I	I
12	Surveillance continue	I	A	R	I	C	C	I	I
14	Incidents de sécurité	I	C	C	C	I	A/R	I	I
15	Gestion données personnelles	I	C	C	A/R	I	C	I	I
17	Audit de conformité	A	R	C	C	C	C	I	I
18	Gestion des risques (FRIA)	A	R	C	C	C	C	C	I
19	Décommission	A	R	C	C	I	C	I	I

Légende : R = Responsable, A = Approbateur, C = Consulté, I = Informé. La double mention « A/R » signale les cas où la même fonction réalise et valide — acceptable uniquement quand la séparation est matériellement impossible dans une petite structure.

Les activités à plus fort enjeu de sanction — collecte de données, FRIA, incidents de sécurité — concentrent la consultation du Responsable juridique. Ce design réduit le risque de découverte tardive d'une non-conformité.

5. Articulation avec le Règlement (UE) 2024/1689

La matrice RACI n'est pas une simple bonne pratique : elle matérialise plusieurs obligations directes du Règlement.

Article du Règlement (UE) 2024/1689	Obligation	Activité RACI concernée
Art. 4	Maîtrise de l'IA du personnel	Activité 10 (Formation utilisateurs)
Art. 9	Système de gestion des risques	Activité 18 (Gestion des risques)
Art. 10	Gouvernance des données	Activités 2 et 15
Art. 13	Transparence vis-à-vis des déployeurs	Activité 7 (Documentation)
Art. 14	Supervision humaine	Activités 9, 12
Art. 15	Exactitude, robustesse, cybersécurité	Activités 6, 14
Art. 17	Système de gestion de la qualité	Activité 17 (Audit)
Art. 26	Obligations des déployeurs	Toutes les activités
Art. 27	Analyse d'impact sur les droits fondamentaux (FRIA)	Activité 18
Art. 72	Surveillance après commercialisation	Activité 12
Art. 73	Notification d'incidents graves	Activité 14
Art. 99	Sanctions administratives	Toutes les activités (preuve de diligence)

L'Article 99 du Règlement (UE) 2024/1689 prévoit trois paliers de sanctions : jusqu'à 35 M€ ou 7 % du chiffre d'affaires mondial pour les pratiques interdites (Art. 5), jusqu'à 15 M€ ou 3 % pour les manquements aux obligations des opérateurs, jusqu'à 7,5 M€ ou 1 % pour les informations incorrectes. Le détail des plafonds applicables aux PME est documenté dans notre article dédié aux sanctions et amendes pour les PME.

Lors d'un contrôle, l'autorité de surveillance du marché examinera la chaîne de décision. Une matrice RACI à jour, signée par la direction, démontre la diligence — élément pris en compte au titre de l'Article 99 §7 pour moduler les amendes.

6. Articulation avec l'ISO/IEC 42001:2023

L'ISO/IEC 42001:2023 est la première norme certifiable consacrée au système de management de l'intelligence artificielle (AIMS). Elle a été publiée en décembre 2023.

Plusieurs clauses convergent directement avec la matrice RACI :

• Clause 5.1 — Leadership et engagement : la direction doit démontrer son engagement, ce que la signature de la RACI matérialise.
• Clause 5.3 — Rôles, responsabilités et autorités : attribution explicite des responsabilités du système AIMS.
• Clause 6.1.3 — Évaluation des risques IA : nomme un responsable par catégorie de risque (activité 18).
• Clause 7.2 — Compétence : preuves des compétences du personnel pour chaque rôle (activité 10).
• Clause 7.5 — Information documentée : la RACI elle-même est une information documentée requise.
• Clause 9.2 — Audit interne : couvre l'activité 17.
• Clause 10 — Amélioration : la RACI évolue avec les non-conformités détectées.

L'annexe A de l'ISO/IEC 42001:2023 (contrôles de référence) liste explicitement la nécessité de « définir et documenter les rôles et responsabilités liés à l'IA » (contrôle A.3.2). Pour les PME visant la certification, la matrice RACI constitue une pièce d'audit incontournable. Voir notre guide dédié ISO 42001 pour PME.

7. Bénéfices opérationnels pour une PME

Au-delà de la conformité, la matrice RACI produit des effets mesurables sur l'organisation.

Bénéfice	Effet observé	Indicateur de suivi
Clarification décisionnelle	Réduction du temps de décision sur arbitrages IA	Délai moyen de validation d'une mise en production
Réduction des erreurs humaines	Moins de déploiements sans validation qualité	Taux d'incidents post-déploiement
Préparation aux audits	Réponse en heures plutôt qu'en semaines	Délai de réponse à une demande CNIL ou autorité
Optimisation des ressources	Pas de doublon entre RT et RP	Heures consacrées par activité
Confiance des clients	Élément différenciateur en appel d'offres	Taux de transformation B2B avec exigence IA
Réduction du « bus factor »	Continuité si départ d'un référent	Nombre d'activités à responsable unique non documenté

Selon le guide AI Act publié par le Cigref en janvier 2025 [à vérifier], les organisations dotées d'une gouvernance IA formalisée réduisent significativement le délai de mise en conformité par rapport à celles qui improvisent. La matrice RACI est l'un des trois piliers de cette gouvernance, avec le registre des systèmes IA et la politique IA.

8. Mise en œuvre pratique en 5 étapes

La mise en œuvre d'une matrice RACI IA dans une PME suit un séquencement éprouvé. Les délais indiqués sont des ordres de grandeur pour une structure de 50 à 200 salariés.

1. Identifier les activités IA réelles (1 à 2 semaines) Recenser tous les systèmes IA utilisés ou développés. Distinguer fournisseur, déployeur, importateur au sens des Articles 3 et 25 du Règlement (UE) 2024/1689. Croiser avec la liste des 19 activités pour ne rien omettre.

2. Cartographier les rôles existants (1 semaine) Lister les fonctions actuelles. Identifier les cumuls inévitables et les lacunes — typiquement l'absence de RSSI dans les PME de moins de 50 salariés.

3. Assigner les responsabilités (2 à 3 ateliers) Réunir direction, DPO, IT, métiers. Appliquer la règle d'une seule lettre par cellule et d'un seul Approbateur par ligne. Documenter les exceptions.

4. Documenter et faire signer (1 semaine) Produire le document RACI au format Excel ou tableur partagé. Faire signer par la direction. Verser au système qualité ou au système AIMS.

5. Communiquer, former, réviser (en continu) Diffuser à tous les rôles cités. Intégrer dans les fiches de poste. Réviser au minimum annuellement et à chaque changement majeur (recrutement, nouveau système IA, contrôle réglementaire).

Le glossaire des termes employés est disponible dans notre glossaire IA. Les références réglementaires complètes sont compilées dans la page sources.

FAQ

Quelle est la principale obligation légale liée à la matrice RACI pour l'IA ?

L'Article 26 du Règlement (UE) 2024/1689 impose aux déployeurs de systèmes à haut risque de confier la supervision humaine à des personnes nommément identifiées, formées et dotées de l'autorité nécessaire. La matrice RACI matérialise ce nommage. L'Article 14 ajoute des exigences spécifiques pour les fournisseurs. En cas de manquement, l'Article 99 prévoit des amendes pouvant atteindre 7 % du chiffre d'affaires mondial pour les pratiques interdites définies à l'Article 5.

Comment la matrice RACI s'intègre-t-elle avec l'ISO/IEC 42001:2023 ?

L'ISO/IEC 42001:2023 demande, dans sa clause 5.3, l'attribution formelle des rôles et responsabilités du système de management de l'IA. La matrice RACI répond directement à cette exigence et alimente d'autres clauses : 6.1.3 (gestion des risques), 7.2 (compétences), 7.5 (information documentée), 9.2 (audit interne). Pour les PME visant la certification, elle constitue une pièce d'audit obligatoire référencée par le contrôle A.3.2 de l'annexe A.

Quels sont les risques pour une PME qui ne met pas en place de matrice RACI ?

L'absence de matrice RACI expose la PME à trois familles de risques. Risque juridique : impossibilité de démontrer la diligence requise par l'Art. 26, exposition aux sanctions de l'Art. 99. Risque opérationnel : décisions IA prises sans validation, dérives de modèles non détectées, incidents de sécurité mal gérés. Risque commercial : disqualification dans les appels d'offres B2B exigeant une gouvernance IA formalisée, perte de confiance des clients sur la transparence requise par l'Art. 13.

Comment adapter la matrice RACI aux ressources limitées d'une PME ?

Trois principes guident l'adaptation. Prioriser : commencer par les systèmes à haut risque au sens de l'Annexe III du Règlement (UE) 2024/1689, étendre ensuite. Cumuler avec discernement : un DPO peut tenir RJ et superviser RH ; un dirigeant technique peut cumuler RE et RT ; jamais cumuler Responsable et Approbateur sur la même ligne pour les activités critiques. Externaliser : le rôle RSSI ou RJ peut être confié à un prestataire externe, à condition que le contrat le précise et que l'autorité décisionnelle reste documentée en interne.

Quelle est la différence entre un Responsable et un Approbateur ?

Le Responsable exécute l'activité — il produit le livrable. L'Approbateur valide le livrable avant son passage à l'étape suivante ou son usage en production. Cette séparation est le principe cardinal de la RACI : elle empêche qu'une personne valide son propre travail sur les décisions à enjeu. Exemple : sur l'activité « Déploiement en production », le Responsable technique réalise le déploiement, mais le Responsable exécutif (dirigeant) approuve la mise en service effective. Une seule case « A » par ligne, même règle pour toutes les activités.

Sources officielles

• Règlement (UE) 2024/1689 — texte intégral consolidé
• EUR-Lex — proposition initiale et travaux préparatoires
• CNIL — textes de référence sur la loi numérique
• AI Act Service Desk — Commission européenne
• ISO/IEC 42001:2023 — Système de management de l'IA

---

Avertissement. Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.