Du RGPD à l'AI Act : les 5 étapes d'une transformation IA qui devient un avantage
En 2018, le RGPD a poussé la transformation digitale. En 2026, l'AI Act pousse la transformation IA. Cinq étapes pour en faire un atout.
En 2018, j'ai écrit une série : About the other GDPR - 5 steps to a digital transformation. La blague tenait dans le titre : tout le monde parlait du RGPD, alors que l'autre « GDPR » - la transformation digitale - était la vraie lame de fond. Le RGPD a obligé les entreprises à savoir ce qu'elles faisaient de leurs données, et cette hygiène a servi de rampe de lancement.
Huit ans plus tard, l'histoire se répète à un cran d'altitude. La régulation qui fait peur, c'est l'AI Act. Comme en 2018, ceux qui la vivent comme une corvée vont rater l'essentiel : c'est le déclencheur qui va structurer la transformation IA. Reprenons les cinq étapes, mises à jour pour 2026.
Étape 1 - Les objectifs : commencez par le POURQUOI
« On veut faire de l'IA » n'est pas un objectif, c'est une panique de conseil d'administration. Le bon point de départ reste celui de 2018 : améliorer l'expérience client, gagner en compétitivité, créer de nouveaux modèles. L'IA est un moyen. Si vous ne savez pas dire pourquoi, ne déployez pas.
Étape 2 - L'inventaire IA et la cartographie des risques
D'abord, savoir ce que vous avez déjà. La plupart des PME utilisent déjà de l'IA sans le savoir - dans un CRM, un outil RH. L'AI Act raisonne par niveau de risque ; vous ne pouvez pas classer ce que vous n'avez pas recensé.
- Listez chaque système qui utilise de l'IA, y compris ceux embarqués chez vos fournisseurs.
- Classez chacun par usage et niveau de risque AI Act.
- Identifiez ceux qui touchent des personnes : recrutement, scoring, accès, surveillance - vos points chauds.
Étape 3 - La gouvernance de la donnée
RGPD et AI Act se rejoignent : un modèle ne vaut que par les données qui le nourrissent. D'où viennent vos données d'entraînement ? Avez-vous le droit de les utiliser ? Sous quelle juridiction ? Une IA entraînée sur des données dont vous ne maîtrisez ni la provenance ni l'emplacement est une dette, pas un actif.
Étape 4 - La supervision humaine
L'AI Act impose, pour les usages à risque, un contrôle humain réel. Sur les décisions qui comptent, un humain doit pouvoir comprendre, contester et corriger. Ce n'est pas un frein à l'automatisation, c'est ce qui la rend acceptable.
Étape 5 - La conformité comme produit
Ne traitez pas la conformité AI Act comme un dossier à classer, mais comme un produit vivant : documenté, versionné, audité, amélioré. Les entreprises qui ont survécu au RGPD avec élégance en ont fait un argument commercial. L'AI Act offre la même opportunité : « notre IA est traçable, explicable et souveraine ».
En 2018, le RGPD a séparé ceux qui subissaient la donnée de ceux qui la maîtrisaient. En 2026, l'AI Act fait pareil avec l'IA. Choisissez votre camp tôt.Yann Tromeur, iooikos
On me dit souvent que l'AI Act est un luxe de grand groupe. C'est l'inverse : une PME qui prouve que son IA est inventoriée, gouvernée et souveraine gagne la confiance plus vite que n'importe quel concurrent qui bricole sur une API opaque. C'est la promesse que nous portons avec notre partenaire Calypso : souveraineté, traçabilité et contrôle comme point de départ, pas comme options.
Transformez l'AI Act en avantage concurrentiel, avec une IA d'entreprise souveraine et maîtrisée.
Découvrir Calypso →Brace for Impact, six ans après : ce qu'on a retenu, ce qu'on a déjà oublié
En 2020, un virus nous a forcés à changer. En 2026, le prochain choc est triple : IA, géopolitique, cyber. Préparer, pas paniquer.
Lire →De 170 millions d'abonnés au carburant de l'IA : qui possède vos données ?
En 2018, Netflix m'impressionnait par ses 170 millions d'abonnés. En 2026, ces données nourrissent l'IA. Contrôlez-les, ou devenez le produit.
Lire →