Un plan en sept étapes, tel que nous l'appliquons en mission dans les PME d'Occitanie. Pas un modèle de charte générique, pas un tableur de 800 lignes — une méthode pragmatique pour être prêt le 2 août 2026, preuves à l'appui.
La mise en conformité AI Act n'est pas un projet IT, ni un dossier RGPD bis. C'est une démarche transverse qui touche la direction, les équipes métier, la DSI, les RH et le juridique. Quand nous l'abordons chez nos clients — que ce soit une ETI industrielle à Béziers ou un cabinet de conseil à Montpellier — nous suivons la même séquence en sept étapes. Elle tient en six à dix semaines pour une PME, selon la taille et le niveau de départ.
Avant toute cartographie, il faut répondre à une question simple : qui, dans l'entreprise, utilise de l'IA aujourd'hui, même sans le dire ? Cela commence par un atelier d'une heure avec la direction générale, puis des entretiens courts avec chaque chef de service. L'objectif n'est pas de dresser une liste exhaustive, mais de poser les bonnes frontières — ce qui est « IA » au sens du règlement, ce qui ne l'est pas, et ce que vous traiterez en priorité.
À cette étape, les dirigeants découvrent souvent que leur exposition est plus large qu'ils ne l'imaginaient : le CRM intègre un assistant commercial, les RH utilisent un module de pré-sélection, le support client a activé une suggestion automatique, et trois collaborateurs ont un abonnement ChatGPT Plus payé sur leur carte perso.
Pour chaque système identifié, vous consignez huit informations : nom de l'outil, fournisseur, fonction dans l'entreprise, utilisateurs, données traitées, localisation d'hébergement, base légale RGPD, et classification AI Act provisoire. C'est le socle de votre futur registre des usages IA.
Méthode pratique : un tableur partagé, complété en trois jours par les managers, revu en atelier collectif, puis figé dans un document de référence.
L'AI Act distingue quatre niveaux : inacceptable (interdit), élevé, limité, minimal. Pour une PME classique, l'essentiel des usages tombera en niveau limité (IA générative grand public) ou minimal. Mais trois catégories méritent une vigilance particulière :
Une PME qui identifie au moins un système haut risque doit déclencher un plan d'action spécifique avec le fournisseur, car les obligations deviennent lourdes.
C'est vrai dans 80 % des cas. Mais pas si votre logiciel ATS trie les CV automatiquement, ou si votre outil de support client décide seul d'escalader un dossier. Le statut « haut risque » ne dépend pas de votre secteur, il dépend de la fonction de l'outil.
C'est le document central de votre dispositif. Il fixe les usages autorisés, restreints et interdits, précise les outils officiels, les règles de confidentialité, la procédure de validation d'un nouvel outil, et le rôle de chacun. La politique IA se rédige en une semaine quand les trois étapes précédentes ont été faites sérieusement. Nous détaillons la structure et fournissons une trame dans cet article dédié.
La formation est le cœur de la littératie IA imposée par l'article 4. Elle doit être calibrée par rôle : un commercial n'a pas les mêmes risques qu'un DRH, qui n'a pas les mêmes enjeux qu'un développeur. Nos parcours combinent un module cadre légal commun à tous, puis des modules métier ciblés sur les outils réellement utilisés. Les attestations individuelles sont délivrées par notre partenaire Qualiopi.
Même quand la loi ne l'impose pas nommément, la désignation d'un référent IA est la meilleure manière de rendre la gouvernance opérationnelle. Dans une PME, il est rarement pertinent de créer un poste à temps plein : c'est souvent une mission partagée par le DPO ou le RSSI, ou — de plus en plus — externalisée à un cabinet comme le nôtre.
À la fin du projet, vous devez disposer d'un dossier de conformité en six pièces : le registre des usages, la politique IA, les preuves de formation, la procédure de validation d'outils, la procédure d'incident, et la fiche référent. Ce dossier se revoit une fois par an et à chaque nouvel outil. C'est ce qui vous rend opposable en cas de contrôle.
L'offre « Mise en conformité + formation » de Wavoo couvre l'intégralité du parcours, du cadrage initial à la remise du dossier opposable et à la formation de vos équipes. Voir le détail des offres.
Pour une PME de 20 à 80 salariés, sans système IA à haut risque, le parcours complet prend six à dix semaines, avec un investissement généralement compris entre le coût d'une mise en conformité RGPD sérieuse et celui d'un audit qualité. L'ordre de grandeur utile à retenir : quelques milliers d'euros pour éviter d'être pris de court, plutôt que plusieurs dizaines de milliers pour courir après une mise en demeure.
Parlons de votre contexte, de vos usages actuels, et repartez avec une feuille de route réaliste avant le 2 août 2026.
Réserver un appel