TL;DR
L'essentiel en 30 secondes - L'Article 27 du Règlement (UE) 2024/1689 impose une gouvernance documentée pour les systèmes d'IA à haut risque, applicable aux PME dès le 2 août 2026. - Une matrice RACI (Responsible, Accountable, Consulted, Informed) clarifie qui décide, qui exécute, qui valide et qui est tenu informé sur chaque processus IA. - Quatre rôles minimum sont à pourvoir : direction générale (Accountable), Responsable IA opérationnel, DPO et DSI/RSSI. - Les sanctions atteignent 15 millions d'euros ou 3 % du chiffre d'affaires mondial pour non-respect des obligations de gouvernance (Art. 99.4). - La norme ISO/IEC 42001:2023 fournit un cadre de management auditable, complémentaire de la matrice RACI. - Une PME de 50 salariés peut déployer un dispositif minimal viable en 6 à 10 semaines.
1. Pourquoi la gouvernance IA n'est plus optionnelle pour une PME
L'EU AI Act ne distingue pas grande entreprise et PME pour les obligations de fond. Une PME qui déploie un système d'IA classé à haut risque — recrutement, scoring crédit, accès à l'éducation — porte les mêmes responsabilités qu'un grand groupe. Seuls les délais et certains aménagements documentaires diffèrent.
L'Article 26 du Règlement (UE) 2024/1689 impose aux déployeurs de désigner une supervision humaine compétente. L'Article 27 exige une analyse d'impact sur les droits fondamentaux (FRIA) pour certains systèmes à haut risque. Sans gouvernance formalisée, ces obligations restent théoriques et exposent l'entreprise à des sanctions.
Trois risques concrets justifient l'investissement dans une gouvernance structurée :
- Risque réglementaire : amendes jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour les pratiques interdites (Art. 99.3).
- Risque opérationnel : biais algorithmique, dérive de modèle, incident de sécurité non détecté.
- Risque réputationnel : perte de confiance client, contentieux RGPD, médiatisation négative.
À l'inverse, une gouvernance lisible réduit les coûts de mise en conformité, accélère les audits clients (RFP B2B) et facilite la couverture assurantielle. Pour le contexte général des obligations applicables aux PME, voir notre guide pillar AI Act PME France.
2. Les cinq piliers de la gouvernance IA selon l'EU AI Act
L'EU AI Act ne prescrit pas une organisation type, mais en impose les fonctions. Cinq piliers structurent un dispositif conforme.
| Pilier | Article AI Act | Obligation concrète |
|---|---|---|
| Documentation technique | Art. 11 + Annexe IV | Dossier technique tenu à jour, archivé 10 ans |
| Système de gestion des risques | Art. 9 | Processus itératif d'identification, évaluation, atténuation |
| Gouvernance des données | Art. 10 | Qualité, représentativité, traçabilité des jeux d'entraînement |
| Supervision humaine | Art. 14 + Art. 26 | Personnes formées, dotées d'autorité d'arrêt |
| Journalisation | Art. 12 + Art. 19 | Logs automatiques conservés 6 mois minimum |
Chacun de ces piliers doit avoir un porteur identifié dans la matrice RACI. Sans nom en face de chaque ligne, l'obligation reste lettre morte. La CNIL le rappelle dans ses fiches pratiques IA : « la responsabilité ne se délègue pas par défaut, elle se documente ».
L'oubli le plus fréquent concerne la journalisation. Les logs ne sont pas un détail technique : ils constituent la preuve principale en cas de contrôle. Leur configuration relève d'une décision de gouvernance, pas d'un choix d'administrateur système.
3. La matrice RACI appliquée à l'IA : décrypter les quatre rôles
La matrice RACI vient du management de projet classique. Appliquée à l'IA, elle prend une dimension juridique : le rôle « Accountable » correspond au déployeur au sens de l'Art. 3(4) du Règlement.
| Rôle RACI | Définition | Cas IA typique |
|---|---|---|
| R — Responsible | Exécute la tâche | Data scientist qui entraîne le modèle |
| A — Accountable | Rend des comptes, détient l'autorité finale | Direction générale ou Responsable IA mandaté |
| C — Consulted | Apporte une expertise avant décision | DPO, juriste, RSSI, métier utilisateur |
| I — Informed | Reçoit l'information après décision | CSE, direction commerciale, partenaires |
Une règle absolue : un seul A par ligne. Plusieurs Accountable signifie aucun Accountable. Plusieurs R sont possibles si la tâche est répartie. Les C et I peuvent être nombreux sans nuire à l'efficacité.
Cette grille n'a de valeur que si elle est validée par la direction générale et signée. Une matrice RACI non signée n'engage personne et ne tiendra pas devant un contrôleur de l'autorité de surveillance désignée par la France.
4. Modèle RACI prêt à l'emploi pour une PME de 10 à 250 salariés
Le modèle suivant couvre les huit processus IA critiques d'une PME type. Il suppose quatre rôles internes, mutualisables selon la taille.
| Processus IA | DG | Responsable IA | DPO | DSI/RSSI | Métier | Prestataire |
|---|---|---|---|---|---|---|
| Décision de déployer un système IA | A | R | C | C | C | I |
| Classification du système (haut risque ou non) | I | A | C | C | I | C |
| Analyse d'impact FRIA (Art. 27) | I | R | A | C | C | I |
| Validation des jeux de données (Art. 10) | I | A | C | C | R | C |
| Mise en production | A | R | C | A sur sécurité | I | R |
| Supervision humaine quotidienne | I | C | I | I | A+R | I |
| Gestion des incidents (Art. 73) | A | R | C | C | I | I |
| Audit annuel et revue de direction | A | R | C | C | I | I |
Pour une structure de moins de 50 salariés, le Responsable IA peut être le DSI ou le directeur des opérations. Le DPO est externalisable. Ce qui ne se mutualise pas : le rôle Accountable de la direction générale sur les décisions stratégiques.
Étapes de déploiement recommandées :
- Semaine 1–2 : inventaire des systèmes IA en usage (achetés ou développés).
- Semaine 3–4 : classification AI Act de chaque système (interdit, haut risque, risque limité, minimal).
- Semaine 5–6 : désignation nominative des rôles, validation en comité de direction.
- Semaine 7–8 : rédaction des procédures associées (FRIA, gestion d'incident, supervision).
- Semaine 9–10 : formation des personnes désignées et premier comité de gouvernance IA.
Cette trajectoire suppose un sponsor exécutif. Sans portage par le dirigeant, le projet s'enlise.
Pack documentaire gouvernance IA
Matrice RACI personnalisable, procédure FRIA conforme à l'Article 27, registre des systèmes IA et trame de revue de direction. 18 documents prêts à signer.
Demander le pack PME5. Cas d'usage détaillé : déploiement d'un outil IA de tri de CV
Prenons une PME de 80 salariés qui souscrit un logiciel de pré-tri de candidatures. Ce système relève du haut risque au titre de l'Annexe III, point 4(a) du Règlement (recrutement).
Phase 1 — Décision d'achat - A : Direction générale (signe le contrat) - R : DRH (exprime le besoin) - C : DPO (analyse RGPD), Responsable IA (conformité AI Act), juriste - I : CSE (information préalable obligatoire au titre du Code du travail)
Phase 2 — Analyse d'impact (FRIA) - A : Responsable IA - R : DPO (rédaction), DRH (données métier) - C : Cabinet juridique externe, fournisseur du système - I : Direction générale
Phase 3 — Mise en production - A : DSI (sécurité technique) - R : Intégrateur, fournisseur - C : DPO, RSSI - I : Utilisateurs RH
Phase 4 — Exploitation et supervision humaine - A : Responsable du service RH - R : Recruteurs (relisent chaque décision automatisée) - C : DPO en cas de réclamation candidat - I : Direction générale via reporting trimestriel
Phase 5 — Audit annuel - A : Direction générale - R : Responsable IA - C : Auditeur externe (recommandé) - I : CSE
Ce découpage respecte l'Art. 14 du Règlement (supervision humaine) et l'Art. 22 du RGPD (décisions automatisées). Sans matrice claire, les recruteurs valident sans relire et le système devient juridiquement une décision automatisée non encadrée.
6. Alignement avec l'EU AI Act, le RGPD et la norme ISO/IEC 42001:2023
Trois cadres se superposent. Une bonne gouvernance les fait dialoguer plutôt que de les empiler.
| Cadre | Périmètre | Apport à la matrice RACI |
|---|---|---|
| EU AI Act (Règlement UE 2024/1689) | Systèmes d'IA mis sur le marché ou en service dans l'UE | Définit les rôles déployeur, fournisseur, importateur, distributeur (Art. 3) |
| RGPD (Règlement UE 2016/679) | Traitement de données personnelles | Impose le rôle DPO (Art. 37–39) et l'AIPD (Art. 35) |
| ISO/IEC 42001:2023 | Système de management de l'IA | Fournit la structure auditable et certifiable (PDCA) |
L'Art. 27 de l'AI Act et l'Art. 35 du RGPD se rejoignent sur l'analyse d'impact. Une PME a tout intérêt à fusionner les deux exercices dans un document unique : FRIA + AIPD intégrée. Cela évite la double documentation et garantit la cohérence des conclusions.
ISO/IEC 42001:2023 apporte une logique de cycle Plan-Do-Check-Act. Sa clause 5.3 traite explicitement des « rôles, responsabilités et autorités », ce qui rend la matrice RACI directement utilisable en preuve d'audit. Pour les PME visant la certification, l'investissement initial se rentabilise sur trois ans selon les retours du Cigref dans son guide AI Act de janvier 2025.
La complémentarité avec le RGPD passe aussi par les contrats. L'Art. 28 du RGPD (sous-traitance) impose des clauses spécifiques quand le fournisseur d'IA traite des données personnelles. La matrice RACI doit prévoir qui négocie et qui valide ces clauses — typiquement DPO en C, juriste en R, DG en A.
7. Outils et ressources pratiques pour bâtir votre dispositif
Plusieurs ressources publiques permettent de démarrer sans budget lourd.
Documents de référence - Les 13 fiches pratiques IA de la CNIL (cnil.fr/fr/les-fiches-pratiques-ia) couvrent base légale, AIPD, transparence et droits des personnes. - L'AI Act Service Desk de la Commission européenne publie des FAQ régulièrement actualisées. - Le guide Cigref de janvier 2025 propose des templates de gouvernance pour grandes structures, adaptables aux PME. - Le guide Numeum de mars 2025 cible spécifiquement les éditeurs et intégrateurs.
Outils de cartographie - Registre des systèmes IA : tableau Excel ou outil GRC (Governance, Risk, Compliance) selon maturité. - Modèle FRIA : trame de 12 à 18 questions couvrant les exigences de l'Art. 27. - Checklist de classification : arbre de décision pour distinguer Annexe I, Annexe III et autres.
Formation - Une formation de sensibilisation de 4 heures pour les utilisateurs métier suffit en première année. - Une formation approfondie de 2 jours est nécessaire pour le Responsable IA et le DPO. - Plusieurs organismes français certifiés Qualiopi proposent des cursus AI Act dès 2025 [à vérifier selon votre catalogue régional].
Pour comprendre le risque financier en cas de non-conformité, consultez notre analyse détaillée sur les sanctions et amendes prévues pour les PME avec calculateur d'exposition.
8. Échéances, sanctions et chiffres clés à mémoriser
Le calendrier d'application est étalé. Les obligations de gouvernance ne tombent pas toutes en même temps.
| Date | Obligation activée | Source |
|---|---|---|
| 2 février 2025 | Interdiction des pratiques d'IA prohibées (Art. 5) + obligation de littératie IA (Art. 4) | Art. 113 |
| 2 août 2025 | Obligations sur les modèles d'IA à usage général (GPAI) | Art. 113 |
| 2 août 2026 | Obligations principales pour systèmes à haut risque de l'Annexe III | Art. 113 |
| 2 août 2027 | Obligations pour systèmes haut risque relevant de l'Annexe I (sécurité produit) | Art. 113 |
L'Art. 4 sur la littératie IA est déjà applicable. Toute PME utilisant des systèmes d'IA doit garantir un « niveau suffisant de connaissance » à ses utilisateurs. La matrice RACI doit donc inclure dès maintenant un rôle de formation, typiquement porté par le Responsable IA en R et la DG en A.
Les sanctions sont calibrées en trois paliers (Art. 99) :
| Manquement | Plafond |
|---|---|
| Pratiques interdites (Art. 5) | 35 M€ ou 7 % du CA mondial annuel |
| Non-respect des obligations principales (Art. 16, 22, 23, 24, 26, 27, etc.) | 15 M€ ou 3 % du CA mondial |
| Information incorrecte aux autorités | 7,5 M€ ou 1 % du CA mondial |
Pour les PME, l'Art. 99.6 prévoit que le montant retenu est le plus faible des deux montants (forfaitaire ou pourcentage), ce qui plafonne réellement l'exposition. Cette nuance change tout pour une TPE de 2 millions d'euros de chiffre d'affaires.
À ces sanctions AI Act s'ajoutent celles du RGPD : jusqu'à 20 M€ ou 4 % du CA mondial (Art. 83.5 RGPD) en cas de manquement aux obligations de l'Art. 22 sur les décisions automatisées. Les deux régimes peuvent se cumuler si les manquements sont distincts.
Audit gouvernance IA en 48 heures
Diagnostic de votre exposition AI Act, cartographie de vos systèmes IA, matrice RACI personnalisée et plan de mise en conformité priorisé. Pour PME de 10 à 250 salariés.
Démarrer le diagnosticFAQ
Combien coûte la mise en place d'une gouvernance IA pour une PME ?
Le coût dépend du nombre de systèmes IA en usage et de leur classification. Un dispositif minimal viable — matrice RACI, registre des systèmes, FRIA pour un système haut risque, formation des utilisateurs — se déploie en 6 à 10 semaines pour 5 000 à 15 000 € en interne, hors achat éventuel d'un outil GRC. Pour une PME utilisant trois ou quatre systèmes haut risque, prévoir 25 000 à 50 000 € la première année incluant audit externe.
Qui doit être Responsable IA dans une PME qui n'en a pas les moyens ?
La fonction est mutualisable. Dans une PME de 30 à 80 salariés, elle est typiquement portée par le DSI, le directeur des opérations ou le directeur qualité. Le rôle exige un mandat écrit de la direction générale, un budget temps minimal de 0,1 à 0,2 ETP, et un accès direct au comité de direction. Externaliser cette fonction est possible mais déconseillé : la connaissance fine des processus métier est essentielle.
Faut-il auditer ses modèles IA chaque année ?
Pour les systèmes à haut risque, oui. L'Art. 17 du Règlement impose un système de gestion de la qualité incluant des revues régulières. Une fréquence annuelle est la pratique recommandée par la Commission européenne. Pour les systèmes à risque limité, un audit tous les deux à trois ans suffit. L'audit ne signifie pas nécessairement audit externe : une revue interne documentée par le Responsable IA est valable la plupart du temps.
Quelle est la différence entre une matrice RACI et un comité d'éthique IA ?
La matrice RACI répond à « qui fait quoi » au plan opérationnel et juridique. Le comité d'éthique IA traite des questions stratégiques : quels usages refuser, comment arbitrer entre performance et équité, quelles lignes rouges fixer. Les deux dispositifs sont complémentaires. Une PME peut commencer par la RACI seule et ajouter un comité d'éthique au-delà de 100 salariés ou en cas d'usage sensible (santé, RH, financement).
Comment intégrer les mises à jour de modèle dans la gouvernance ?
Toute mise à jour substantielle d'un système haut risque déclenche les obligations de l'Art. 43 (réévaluation de conformité). La matrice RACI doit prévoir un workflow dédié : Responsable IA en A, fournisseur ou data scientist en R, DPO et RSSI en C, utilisateurs métier en I. Les mises à jour mineures (correctifs, ajustements de seuil) peuvent suivre un circuit allégé documenté dans la procédure interne. Le journal des versions doit être conservé toute la durée d'exploitation plus 10 ans.
Sources officielles
- Règlement (UE) 2024/1689 sur l'EU AI Act — version consolidée
- Texte officiel EUR-Lex du Règlement IA
- CNIL — fiches pratiques IA et RGPD
- AI Act Service Desk — Commission européenne
- ISO/IEC 42001:2023 — Information technology, Artificial intelligence, Management system (norme payante, disponible sur iso.org)
- ISO/IEC 23894:2023 — Guidance on risk management for AI
- Guide AI Act Cigref, janvier 2025
- Guide AI Act Numeum, mars 2025
Pour aller plus loin, consultez notre glossaire AI Act et notre page complète des sources réglementaires.
Avertissement. Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.