La plupart des PME commencent leur conformité EU AI Act par le mauvais bout : le texte juridique. L'inventaire vient d'abord. Deux heures, sept colonnes, un tableau. Ce guide explique chaque champ, pourquoi il compte, et ce que tu fais du résultat. Le template est disponible gratuitement en fin d'article.
La plupart des PME qui se préparent à l'EU AI Act commencent par le mauvais endroit.
Elles cherchent un juriste, un consultant, une formation. Elles veulent comprendre le texte avant de savoir ce qu'elles ont à documenter.
C'est l'inverse qu'il faut faire.
Avant tout budget, avant toute réunion, avant tout prestataire : l'inventaire. Deux heures. Un tableau. Ce guide explique comment le remplir colonne par colonne, pourquoi chaque champ compte, et ce que tu fais avec le résultat.
Pourquoi l'inventaire rate dans la plupart des entreprises
La version qui ne sert à rien, c'est la liste d'outils.
« On utilise ChatGPT, Copilot, et notre CRM. » Trois lignes. Coché. Rangé dans un dossier.
Ce n'est pas un inventaire. C'est un inventaire de noms. Et un nom ne dit rien sur ce qui justifie une obligation légale.
Ce que l'EU AI Act regarde, ce n'est pas l'outil. C'est ce que l'outil fait, avec quelles données, et si son output affecte une personne. Deux entreprises peuvent utiliser le même outil et avoir des profils de risque radicalement différents selon l'usage qu'elles en font.
Un inventaire utile répond à ces questions pour chaque outil :
- Que fait-il concrètement dans ton entreprise ?
- Avec quelles données travaille-t-il ?
- Son output déclenche-t-il une action ou une décision ?
- Des personnes extérieures à l'entreprise sont-elles impliquées ?
C'est ce que le template IA Business Booster capture. Voilà comment le remplir.
Les 7 colonnes de l'inventaire IA
Le tableau d'inventaire se remplit en sept colonnes. Chacune a un rôle précis. Voici le détail de chaque champ.
Colonne 1 : Outil / Plateforme
Le nom commercial de l'outil. ChatGPT, Copilot, Gemini, ton CRM, ton ATS, ton outil de transcription, ton chatbot de site web.
Règle importante : ne pas lister les catégories. Lister les outils réels.
« Outil de CRM » ne suffit pas. « HubSpot avec le module AI Content Assistant activé » est une entrée valide. La distinction compte parce que deux CRM n'ont pas les mêmes fonctionnalités IA ni les mêmes conditions de traitement des données.
Demander à chaque département avant de finaliser. La direction connaît les outils achetés officiellement. Les équipes connaissent les outils utilisés réellement. Ce ne sont pas toujours les mêmes. Dans les diagnostics que je réalise, la direction cite en moyenne 3 à 4 outils. L'inventaire complet fait avec les équipes en révèle entre 7 et 15.
Colonne 2 : Usage principal
Ce que l'outil fait concrètement dans l'entreprise, en une phrase.
Pas « productivité » ou « automatisation ». Quelque chose de précis : « rédaction des emails de prospection », « transcription des réunions clients », « présélection des candidatures entrantes », « réponse automatique aux demandes de support ».
Ce champ est le plus important du tableau. C'est lui qui détermine si l'outil entre dans le périmètre de l'Article 50 ou de l'Annexe III de l'EU AI Act.
Si tu remplaces « l'IA » par « un employé » dans ta description, est-ce que ça change quelque chose pour les personnes concernées ? Si oui, tu as un outil avec un profil de risque à évaluer.
Colonne 3 : Qui l'utilise
Le département ou les rôles qui utilisent l'outil. Commercial, RH, direction, support client, marketing.
Deux raisons pratiques à cette colonne.
La première : elle révèle les usages transverses. Un outil « approuvé par l'IT pour la direction » qui s'avère utilisé par toute l'équipe commerciale a un périmètre de risque différent. Ce que tu documentes dans l'inventaire doit refléter l'usage réel, pas l'usage prévu.
La deuxième : elle permet d'adresser les actions correctives au bon interlocuteur. Si un brief équipe est nécessaire sur l'usage conforme d'un outil, tu sais à qui le donner.
Colonne 4 : Données traitées
Quelles données l'outil reçoit-il en entrée ? Données internes de l'entreprise, données clients, données candidats, données de tiers.
C'est la colonne RGPD du tableau. Elle te dit si des données personnelles quittent ton infrastructure pour transiter vers un serveur tiers, et où ce serveur se trouve.
Concrètement : si tu colles un email client dans ChatGPT, les données de ce client transitent vers les serveurs d'OpenAI, hébergés aux États-Unis, soumis au CLOUD Act. Ce n'est pas une opinion. C'est une réalité technique et juridique.
Trois niveaux à distinguer :
Risque limité
Données internes sans données personnelles de tiers.
RGPD à documenter
Données internes avec données personnelles de tiers (Art. 44 et suivants).
Les données personnelles sensibles (santé, situation financière, orientation) représentent une exposition maximale. Si tu ne sais pas quelles données l'outil reçoit, la réponse par défaut est « données internes potentiellement incluant des données personnelles ». Ce n'est pas une réponse rassurante mais c'est honnête.
Colonne 5 : Personnes externes impliquées
Oui ou Non. Est-ce que des personnes extérieures à l'entreprise sont en contact direct avec l'output de cet outil, ou sont affectées par ses décisions ?
C'est la question Article 50.
- Un client qui interagit avec un chatbot : oui.
- Un candidat dont le CV est scoré par un ATS : oui.
- Un prospect qui reçoit un email rédigé par un agent : oui, si l'email est envoyé sans relecture humaine.
- Un collaborateur interne qui utilise un outil de résumé pour ses propres notes : non.
Cette colonne binaire est le filtre principal. Tous les outils avec « Oui » dans cette colonne nécessitent une évaluation de conformité Article 50. Tous les outils avec « Non » restent dans le périmètre RGPD mais sortent de l'obligation de notification immédiate.
Colonne 6 : Décisions automatiques
Oui ou Non. Est-ce que l'output de l'outil déclenche une action ou une décision sans validation humaine préalable ?
- Un email envoyé automatiquement après génération IA : oui.
- Un score de candidat affiché mais validé par un RH avant décision : non, si la validation est réelle et documentée.
- Un message de support envoyé par un chatbot sans intervention humaine : oui.
- Un brouillon d'email généré par IA et relu par un commercial avant envoi : non.
« Validation humaine » doit être réelle. Un humain qui clique « envoyer » sur 200 emails générés par IA en 30 secondes n'exerce pas une supervision effective. Les autorités de contrôle font cette distinction.
Colonne 7 : Niveau de risque Article 50
C'est la colonne de synthèse. Elle se renseigne après avoir complété les six premières.
Trois niveaux :
Il interagit directement avec des personnes et déclenche des actions sans validation humaine. Action requise avant le 2 août.
Il touche des personnes ou prend des décisions, mais pas les deux. Documentation du paramétrage requise.
Il reste dans le périmètre RGPD standard. À surveiller mais pas prioritaire avant août.
Les outils que les PME oublient systématiquement
Il y a quatre catégories d'outils qui n'apparaissent jamais dans les inventaires spontanés et qui portent souvent le risque le plus élevé.
Outils sectoriels avec IA intégrée par défaut
Les logiciels comptables, les ERP, les outils de gestion RH. Beaucoup ont activé des fonctionnalités IA dans des mises à jour récentes, parfois sans communication explicite. Si ton logiciel de gestion a ajouté une suggestion IA sur les rapports ou une présélection automatique dans son module RH, tu as un outil Article 50 que tu n'as pas choisi consciemment.
Outils de transcription et de synthèse
Otter, Fireflies, Notion AI, les transcriptions automatiques de Teams ou Zoom. Ces outils traitent des données de tiers (clients ou partenaires présents dans les réunions), sans que ces personnes aient nécessairement donné un consentement explicite à un traitement IA.
Chatbots de site web
Souvent installés par l'agence web, pas par la direction. Souvent paramétrés sans mention IA. C'est l'outil le plus fréquemment en infraction directe Article 50 dans les PME que j'audite.
Shadow AI : outils installés par les collaborateurs
Outils installés sans passer par les achats. Impossible à détecter sans demander directement aux équipes. La seule façon de les faire apparaître dans l'inventaire, c'est de poser la question département par département, en précisant que tu cherches les outils réels et non les outils approuvés.
Ce que tu fais avec l'inventaire une fois terminé
L'inventaire n'est pas une fin en soi. C'est la fondation des trois actions suivantes.
Est-ce que l'outil s'identifie comme IA au début de chaque interaction ? Si non, c'est souvent modifiable en moins d'une heure dans les paramètres. Documenter la modification avec une date.
Qui peut utiliser l'outil, avec quelles données, dans quel contexte. Ça n'a pas besoin d'être parfait. Ça a besoin d'exister.
C'est ta preuve de bonne foi si une question te parvient d'un candidat, d'un client ou d'une autorité de contrôle. Le document que tu produis en deux heures est exactement ce qu'une autorité de contrôle demandera en premier lieu si elle ouvre une enquête. Avoir quelque chose vaut infiniment mieux que n'avoir rien.
Combien de temps ça prend vraiment
L'honnêteté sur ce point : deux heures, c'est possible. Mais c'est serré si tu découvres en cours de route que l'inventaire est plus fourni que prévu.
Ce qui prend du temps, ce n'est pas de remplir les colonnes. C'est de collecter les informations auprès des équipes et de comprendre ce que font vraiment certains outils dont personne n'a lu la documentation.
Envoyer le template aux responsables de chaque département avec deux questions simples avant de le compléter toi-même. « Quels outils IA utilises-tu au quotidien ? » et « Est-ce que ces outils traitent des informations sur des clients, candidats ou partenaires ? » Les réponses pré-remplissent les colonnes 1, 3 et 4.
Le template et l'étape suivante
Le template d'inventaire est disponible gratuitement sur la page inventaire IA. Il suit exactement la structure de ce guide, avec les niveaux de risque pré-renseignés et les checklists de remédiation en page 2.
Si l'inventaire révèle plusieurs outils en risque élevé, ou si la colonne 4 montre des flux de données personnelles non documentés, l'étape suivante est le Diagnostic Flash.
Deux heures. Plan d'action le jour même. 750 € HTVA.
L'inventaire, c'est deux heures. C'est par là que commence la conformité.
Téléchargez le template d'inventaire IA
Le template gratuit suit exactement la structure de ce guide : 7 colonnes, niveaux de risque Article 50 pré-renseignés, checklists de remédiation. Prêt à remplir en 2 heures.
Télécharger le template gratuitGratuit. Pas d'email requis.