Où en êtes-vous vraiment ?

Avant toute chose, il faut distinguer deux situations très différentes. Si votre PME utilise des outils IA du marché (ChatGPT, Microsoft Copilot, des logiciels RH avec IA, un CRM avec recommandations automatisées), vos obligations sont principalement liées au RGPD et à la politique d'utilisation de ces outils. Si votre PME développe ou vend des solutions IA à d'autres organisations, vos obligations sont plus étendues et vous devez envisager votre qualification au titre de la Loi IA de l'UE.

Dans la première situation, qui concerne la grande majorité des PME françaises, la conformité est accessible et ne nécessite pas de ressources juridiques importantes. Voici les étapes concrètes.

Étape 1 : Inventaire de vos outils IA (une demi-journée)

Listez tous les outils numériques que votre PME utilise et identifiez ceux qui ont une composante IA : logiciels de recrutement avec tri de CV, outils de service client avec chatbot, CRM avec scoring de leads, outils de comptabilité avec détection d'anomalies, plateformes marketing avec personnalisation. Pour chaque outil : quel prestataire, quelles données personnelles sont traitées, quelles décisions sont influencées.

Étape 2 : Politique d'utilisation IA interne (une journée)

Rédigez une politique simple (une à deux pages) qui définit quels outils IA sont autorisés dans l'entreprise, ce que les collaborateurs peuvent et ne peuvent pas y saisir (pas de données clients sans accord, pas de données RH sensibles, pas de données confidentielles d'affaires), et ce qu'il faut faire en cas de problème. Cette politique protège l'entreprise juridiquement et crée une culture de responsabilité IA.

Étape 3 : Mise à jour du registre RGPD

Ajoutez à votre registre des activités de traitement (obligatoire sous RGPD si vous avez plus de 250 salariés, recommandé pour toutes les PME) les traitements IA identifiés à l'étape 1. Pour chaque traitement : finalité, base légale, catégories de données, durée de conservation, transferts éventuels vers des pays tiers.