Gouvernance de l'IA pour les PME françaises : guide pratique sans jargon

Points clés

• La grande majorité des PME françaises n'utilisent pas d'IA à haut risque au sens de la Loi IA de l'UE — les outils courants (ChatGPT, Copilot, outils RH, CRM avec IA) relèvent du risque limité ou minimal.
• La première obligation concrète pour une PME est de tenir un registre des activités de traitement IA — requis par le RGPD et recommandé comme bonne pratique par la CNIL.
• Utiliser des outils IA grand public (ChatGPT, Gemini) avec des données clients ou des données confidentielles expose la PME à un risque réel de violation du RGPD — une politique d'utilisation IA interne est nécessaire.
• Les PME qui développent ou vendent des outils IA à d'autres entreprises ont des obligations plus étendues — elles peuvent être qualifiées de 'fournisseurs' au sens de la Loi IA de l'UE.
• Bpifrance et les chambres de commerce proposent des accompagnements spécifiques sur la conformité IA pour les PME — ces ressources sont gratuites et souvent méconnues.

Où en êtes-vous vraiment ?

Avant toute chose, il faut distinguer deux situations très différentes. Si votre PME utilise des outils IA du marché (ChatGPT, Microsoft Copilot, des logiciels RH avec IA, un CRM avec recommandations automatisées), vos obligations sont principalement liées au RGPD et à la politique d'utilisation de ces outils. Si votre PME développe ou vend des solutions IA à d'autres organisations, vos obligations sont plus étendues et vous devez envisager votre qualification au titre de la Loi IA de l'UE.

Dans la première situation, qui concerne la grande majorité des PME françaises, la conformité est accessible et ne nécessite pas de ressources juridiques importantes. Voici les étapes concrètes.

Étape 1 : Inventaire de vos outils IA (une demi-journée)

Listez tous les outils numériques que votre PME utilise et identifiez ceux qui ont une composante IA : logiciels de recrutement avec tri de CV, outils de service client avec chatbot, CRM avec scoring de leads, outils de comptabilité avec détection d'anomalies, plateformes marketing avec personnalisation. Pour chaque outil : quel prestataire, quelles données personnelles sont traitées, quelles décisions sont influencées.

Étape 2 : Politique d'utilisation IA interne (une journée)

Rédigez une politique simple (une à deux pages) qui définit quels outils IA sont autorisés dans l'entreprise, ce que les collaborateurs peuvent et ne peuvent pas y saisir (pas de données clients sans accord, pas de données RH sensibles, pas de données confidentielles d'affaires), et ce qu'il faut faire en cas de problème. Cette politique protège l'entreprise juridiquement et crée une culture de responsabilité IA.

Étape 3 : Mise à jour du registre RGPD

Ajoutez à votre registre des activités de traitement (obligatoire sous RGPD si vous avez plus de 250 salariés, recommandé pour toutes les PME) les traitements IA identifiés à l'étape 1. Pour chaque traitement : finalité, base légale, catégories de données, durée de conservation, transferts éventuels vers des pays tiers.