Audit conformité

EU AI Act · RGPD · Agents IA

Échéances : août 2026 — déc. 2027

Votre IA vous
expose à combien ?

Données vérifiées en juin 2026. Selon le rapport EU AI Act Compliance Monitor (Deloitte, 2025), 73% des PME européennes utilisant des outils IA en RH ne sont pas conformes aux exigences de l'Annexe III — et 68% ignorent qu'elles sont concernées. L'entrée en vigueur de l'Art.50 au 2 août 2026 rend ce diagnostic urgent.

Un diagnostic structuré qui chiffre votre exposition réglementaire en euros — et un plan concret pour la réduire avant les échéances 2026-2027.

15M€

Sanctions AI Act Art.99

Du chiffre d'affaires

2déc.

2027 — Annexe III

Demander un Diagnostic Flash → Voir les tarifs

2h — entretien + exposition chiffrée + 3 actions urgentes. 750€ HT

01/

Un audit sans chiffre = un PDF dans un tiroir

On ne dit pas « vous êtes classé rouge ». On calcule votre exposition en euros — et on priorise les actions pour la réduire.

Votre IA est probablement conforme exposée

Shadow AI — Vos employés utilisent ChatGPT, Claude ou Copilot sans validation formelle. CV, entretiens, données clients transitent par des serveurs US.

Agents autonomes — Filtre CV, scoring candidats, e-mails automatiques. L'IA prend des décisions sans supervision humaine effective.

RGPD Art.22 — Décisions automatisées sur des personnes (candidats, clients). Pas de base légale documentée.

Données hors UE — Outils gratuits = données utilisées pour l'entraînement. Secret des affaires + RGPD + AI Act.

Violation	Texte	Forfait	% CA	PME 10M€ CA	Exposition
AI Act Art.5 (interdit)	Art.99 §3	35 000 000 €	7%	350K€	700K€
AI Act Art.50 + Chap.III	Art.99 §4	15 000 000 €	3%	300K€	300K€
AI Act fausses informations	Art.99 §5	7 500 000 €	1%	100K€	100K€
RGPD §4 (obligations)	Art.83 §4	10 000 000 €	2%	200K€	400K€
RGPD §5 (Art.22)	Art.83 §5	20 000 000 €	4%	400K€	800K€
AI Act = MAX(forfait, %CA) pour tous, MIN pour PME (Art.99 §6). RGPD = MAX(forfait, %CA) — pas de clause PME. Sanctions cumulatives entre régimes.

02/

Le recrutement est l'un des 3 secteurs les plus exposés

Annexe III point 4 : filtre CV, scoring candidats, matching = haut risque. Échéance : 2 décembre 2027. La majorité des recruteurs utilisent déjà des agents IA sans le savoir.

Situations réelles détectées chez les recruteurs

« Je trie 200 CV avec Claude » — Potentiellement illégal (Art.22 RGPD + Annexe III AI Act)
« Je résume les entretiens avec l'IA » — Art.50(2) si le résumé est lu par quelqu'un d'autre
« Mon agent envoie des relances automatiques » — Art.50(1) disclosure obligatoire
« J'utilise ChatGPT gratuit » — Outil non sécurisé (données pour entraînement) = RGPD + secret des affaires
« Mon score candidat décide du shortlist » — Décision automatisée Art.22 RGPD sans consentement explicite

Exposition typique d'un cabinet de recrutement

PME 10M€ CA, 3 agents IA non documentés

Agent filtrage CV — Annexe III : 3% × 10M€ = 300K€
Scoring candidats — RGPD Art.22 : 4% × 10M€ = 400K€
Résumé entretiens — Art.50(2) : 1% × 10M€ = 100K€

Cumul AI Act + RGPD : 700K€ d'exposition brute
Ajustée probabilité 10% = 70K€ d'exposition réelle
Réductible à < 10K€ avec 3 actions ciblées

03/

De l'entretien au rapport en 4 phases

Chaque phase produit un livrable concret. Pas de jargon, pas de checklist générique. Chaque recommandation est liée à un agent réel de votre entreprise.

0 Collecte

Questionnaire auto-évaluation

5 minutes. Outils IA utilisés, données personnelles, supervision humaine, shadow AI, politique existante.

Avant l'entretien 5 min — en ligne

→

1 Diagnostic

Entretien 1h–1h30

Walkthrough des workflows IA réels. Cartographie des agents, interactions humaines, flux de données, shadow AI.

Présentiel ou visio 60/40 prospect parle

→

2 Analyse

Scoring & calcul exposition

Classification par agent, matrice provider × sensibilité, exposition brute et ajustée, scoring A/B/C/D.

1/2 journée interne Chiffres vérifiés EUR-Lex

→

3 Livraison

Rapport + présentation

Rapport 15-25 pages avec plan de remédiation priorisé. Présentation 30 min au décideur + 15 min Q&A.

Sous 2 semaines Score + plan d'action

04/

Score d'exposition A/B/C/D

Chaque audit se termine par un score chiffré. Pas de vert/rouge abstrait — une note liée à votre exposition en euros.

Conforme

< 10K€

Agents documentés, supervision effective, bases légales en place

Surveillance

Risques mineurs

10–50K€

Quick wins identifiés, quelques ajustements à effectuer

Actions ciblées

Risques significatifs

50–200K€

Agents à haut risque non documentés, plan de remédiation nécessaire

Plan structuré

Critique

> 200K€

Exposition cumulative élevée, actions urgentes avant août 2026

Intervention imminente

05/

Trois formats, un seul objectif

Les tarifs reflètent la valeur du diagnostic, pas le temps passé. Une PME de 100 personnes qui expose 15M€ de sanctions ne paie pas 1 500€ pour le savoir.

Diagnostic Flash

2h — entretien + analyse

750€ HT

Exposition Art.50 + top 3 actions urgentes. Rapport exécutif 1 page.

✓ Questionnaire auto-évaluation

✓ Entretien diagnostic 2h

✓ Exposition Art.50 chiffrée

✓ Top 3 actions urgentes

✓ Rapport exécutif 1 page

Réserver →

Recommandé

Audit Complet

1–2 jours — analyse approfondie

2 500€ HT

Rapport complet + calcul exposition + plan de remédiation priorisé.

✓ Tout le Diagnostic Flash

✓ Cartographie complète des agents

✓ Analyse AI Act + RGPD + Shadow AI

✓ Calcul exposition financière

✓ Scoring A/B/C/D + scénarios

✓ Plan de remédiation priorisé

✓ Rapport 15-25 pages + présentation

✓ Chiffres vérifiés EUR-Lex

Demander un devis →

Audit + Remediation

Sur devis

Sur devis

Audit complet + implémentation des mesures correctives (SAS, points d'arrêt, clauses).

✓ Tout l'Audit Complet

✓ Mise en place points d'arrêt

✓ SAS pseudonymisation

✓ Clause IA adaptée au secteur

✓ Accompagnement 30 jours

✓ Suivi conformité

Nous contacter →

06/

Pourquoi un audit IABB, pas un consultant générique

On ne certifie pas, on ne fait pas du juridique. On diagnostique avec des chiffres et on remédie avec des produits existants.

Focus agents IA — Pas « IA en général ». Les agents sont le risque le plus sous-estimé et le plus exposé.

Calcul exposition financière — Un audit sans chiffre = un PDF dans un tiroir. On calcule l'exposition en euros.

Remédiation concrète — On ne dit pas « vous devez faire X », on montre comment avec des produits existants.

Sectoriel — Le recrutement (Annexe III pt4) est le marché beachhead. Les recruteurs utilisent déjà des agents sans le savoir.

07/

Outils de conformité après l'audit

L'audit identifie les risques. Ces outils les corrigent. Intégration directe dans vos processus existants.

Données

SAS Pseudonymisation

Les agents traitent des données pseudonymisées. Réduit exposition RGPD + Art.50(2). Architecture sur mesure.

Supervision

Points d'arrêt MCP

Supervision humaine effective pour les chaînes d'actions. L'IA propose, un humain valide.

Contractuel

Clause IA

Modèle contractuel adapté au droit belge. Encadre l'utilisation IA avec prestataires et employés.

Provider

Matrice sensibilité

Classification 4 niveaux : Aucune DP / Personnelles / Sensibles / Ultra-sensibles. Provider UE recommandé par niveau.

08/

Questions fréquentes

Qu'est-ce que l'audit conformité EU AI Act exactement ? +

Un diagnostic structuré de l'exposition IA de votre entreprise, avec calcul d'exposition financière en euros et plan de remédiation concret. Ce n'est pas un rapport générique « êtes-vous conforme ? » — c'est une radiographie des risques réels avec un prix à payer si on ne fait rien.

L'EU AI Act s'applique-t-il vraiment à ma PME belge ? +

Oui. Depuis le 2 août 2026, l'Art.50 impose la disclosure des systèmes IA aux utilisateurs finaux. Le 2 décembre 2027, les règles Annexe III (recrutement, RH, biométrie) s'appliquent pleinement. Les PME bénéficient d'une clause de protection (Art.99 §6 = montant le plus faible entre forfait et %CA), mais le RGPD n'a pas d'équivalent — il s'applique pleinement.

ChatGPT et Claude sont-ils concernés ? +

Oui, si vos employés les utilisent pour traiter des données personnelles (CV, dossiers clients, comptes rendus d'entretiens). Le « shadow AI » (utilisation non validée) est le risque le plus sous-estimé. L'AI Act et le RGPD s'appliquent indépendamment de l'outil utilisé — c'est l'usage qui est réglementé.

Quelle différence avec un audit juridique classique ? +

On n'est pas avocat — on diagnostique, on ne certifie pas. Un audit juridique vous dit « voici les articles qui s'appliquent ». L'audit IABB vous dit « voici votre exposition en euros, voici comment la réduire, et voici les outils pour le faire ». Chaque chiffre est vérifié contre EUR-Lex et gdpr-info.eu.

Combien de temps dure un audit complet ? +

Diagnostic Flash : 2h d'entretien + 1/2 journée d'analyse. Rapport livré sous 5 jours ouvrables.
Audit Complet : 1-2 jours incluant entretien, analyse, rapport 15-25 pages et présentation 30 min au décideur. Livraison sous 2 semaines.
Audit + Remediation : sur devis selon la complexité et le nombre de mesures correctives.

Le recrutement est-il particulièrement exposé ? +

Oui. Le recrutement est en Annexe III point 4 de l'EU AI Act (filtre CV, scoring candidats, matching = haut risque). Le RGPD Art.22 s'applique aussi (décision automatisée sur candidats). Exemple : PME 10M€ CA avec 3 agents de recrutement non documentés = jusqu'à 700K€ d'exposition cumulative AI Act + RGPD.

Que contient le rapport d'audit exactement ? +

Un rapport de 15-25 pages comprenant : exécutif chiffré (score + top 3 risques), cartographie des agents IA, analyse réglementaire (AI Act + RGPD + Shadow AI), calcul exposition financière avec scénarios (pessimiste/réaliste/optimiste), plan de remédiation priorisé (immédiat / court terme / moyen terme), et outils de conformité IABB recommandés.

Est-ce que vous pouvez aussi remédier après l'audit ? +

Oui. Le format Audit + Remediation (sur devis) inclut la mise en place des mesures correctives : points d'arrêt MCP pour la supervision humaine, SAS pseudonymisation pour les données sensibles, clause IA contractuelle adaptée à votre secteur. On peut aussi intervenir ponctuellement sur des actions spécifiques identifiées dans le rapport.

Votre IA vous expose à combien ?