AI act : les clés pour mettre votre entreprise en conformité
l'AI Act entrera dans sa phase d'adoption finale de ce mois d'août, êtes-vous prêts ?
La protection des données est au cœur de la sphère numérique depuis des années. Si le RGPD a permis d’encadrer les données personnelles, leur récolte et de sécuriser leur stockage, l’arrivée de l’IA redistribue les cartes. Cette technologie augmente la "surface d’attaque" et crée de nouveaux défis de confidentialité.

.jpg)
Pour aborder le sujet, nous avons eu le plaisir d’accueillir autour d’une table ronde :
On entend souvent parler de la nécessité de protéger ses données, de fuites de données ou encore de RGPD… Mais une donnée c’est quoi ?
Une donnée, c'est tout simplement une information (brute ou un ensemble d’informations) qui peut être stockée puis traitée pour répondre à différents objectifs.
Aujourd’hui chacun de nous donne ses informations à des centaines de grands acteurs qui les stockent puis les traitent (une donnée n’a de la valeur que si elle peut être traitée ou affinée).
Depuis quelques années, l’intelligence artificielle ne cesse de progresser avec des modèles de plus en plus performants.
Mais cette technologie ne progresse pas par “magie”, en effet les modèles d’IA agrègent de la donnée et sont également entraînés dessus, de plus l’intelligence artificielle générative et son adoption plus ou moins contrôlée renforcent ce besoin de sécurisation de la data.
Aujourd’hui quand on parle de données, beaucoup de termes et de réglementations nous viennent en tête, mais tous ne veulent pas dire la même chose :
Il est d’autant plus important de sécuriser les données dans le cadre d’un projet IA car sans elles, le fonctionnement de l’IA serait impossible, en effet elles sont utiles dans de nombreux cas de figure :
Qui dit base regroupant des millions de données personnelles dit cible de choix pour les cyber attaques… Mais quelles sont les conséquences pour les organismes détenteurs de cette donnée ?
La fuite de données peut avoir de lourdes conséquences sur les utilisateurs d’une solution (usurpation d’identité, changement de certaines informations…). L’IA act prévoit d’ailleurs des sanctions envers les organismes qui n’ont pas été en mesure de protéger les données de ses utilisateurs, mais au delà des sanctions économiques (qui peut atteindre un pourcentage significatif du chiffre d’affaire de l’entreprise en faute) et administratives, la première conséquence (et la plus lourde) pour ces organismes sera la mauvaise image renvoyée à ses utilisateurs (manque de confiance et de sécurisation).
Afin d’éviter toute fuite de données et de leur utilisation à des fins malveillantes, chaque entreprise agrégeant des données se doit de les sécuriser de différentes manières :
Les données sont utiles sur de nombreux aspects pour les agents IA, mais les organisations et les utilisateurs ont tous deux des bonnes pratiques à respecter afin de garantir la sécurité de l’utilisation d’une solution.
Pour les entreprises, une bonne sécurisation du système ainsi qu’une collecte “raisonnée” des données et une communication claire sur leur utilisation envers le public est indispensable tandis que les utilisateurs devront se former à une bonne “hygiène numérique” et avoir une utilisation “consciente” de ces solutions (notamment les IA génératives) en ne donnant pas leurs informations personnelles ouvertement dans leurs prompts.
Pour lancer votre projet d'IA sécurisée contactez nos experts !
Le cas particulier des GPAI (Modèles d'IA à usage général) : Les grands modèles de langage (LLM) comme Mistral AI, OpenAI ou Claude entrent dans un régime propre. Soumis à une application progressive, ils nécessitent des analyses d'impact approfondies pour évaluer les risques selon s’ils sont utilisés bruts, fine-tunés ou intégrés via API.
Développée par Xavier Trigano, la méthode RADAR permet à toute organisation de piloter sa mise en conformité de manière itérative :
Focus "AI by Design" - L'exemple du tri automatique de CV : Un outil RH qui exclut ou accepte des candidats de manière 100 % autonome est classé "Haut Risque", avec un coût de conformité très lourd. La méthode RADAR recommande plutôt une approche by design : modifier les fonctionnalités de l'outil pour en faire un simple système d'aide à la décision (qui extrait les compétences clés du CV mais laisse la validation finale à un recruteur humain). L'outil apporte la même valeur métier, mais bascule en risque limité, allégeant drastiquement les contraintes légales.
Comment lutter contre le Shadow AI en entreprise ?
L'interdiction pure et simple ne fonctionne pas. Pour maîtriser l'usage des LLM par les collaborateurs, la réponse doit être transverse :
L'usage des LLM (ChatGPT, Claude...) viole-t-il le RGPD ?
Ce n'est pas l'outil qui caractérise la violation, mais la finalité de l'usage. Reformuler une campagne marketing sur Claude ne présente aucun risque RGPD. En revanche, y injecter l'intégralité du fichier RH de la pyramide des âges de l'entreprise sans précaution constitue un manquement grave.
Des alternatives souveraines (hébergées on-premise ou sur des clouds français/européens) permettent de pallier les risques liés au Cloud Act américain tout en garantissant une efficacité équivalente.
Comment encadrer mes équipes dans leur utilisation de l’IA ?
L'IA Act impose une obligation de formation pour tous les utilisateurs au sein de l'organisation. L'IA pouvant se tromper ou halluciner, seul l'esprit critique de l'humain formé permet de couvrir ce risque résiduel et d'assurer un contrôle qualité efficace.
L'IA Act ne doit pas être perçu comme un frein à l’innovation, mais comme un cadre de confiance.
En intégrant la conformité dès la conception des projets, l'IA devient un levier pérenne de performance économique, d'acceptabilité sociale et de souveraineté.
Envie de développer votre agent IA sur-mesure conforme à la réglementation AI Act ? Contactez nos équipes.
Et accédez au replay de ce webinaire dès maintenant !