Le référent IA est-il obligatoire ?

L'AI Act ne crée pas formellement la fonction de référent IA, contrairement au DPO du RGPD. Mais dans les faits, il devient incontournable pour assurer la conformité opérationnelle et tracer les décisions.

Quelles sont ses missions ?

Tenir le registre des usages IA, valider les nouveaux outils, animer la politique interne, organiser la formation, gérer les incidents, produire les preuves en cas de contrôle, faire le lien avec DPO et RSSI.

Faut-il recruter ou externaliser ?

Pour une PME, l'externalisation est souvent plus rationnelle : la charge ne justifie pas un temps plein, et l'expertise est rare. Un cabinet externe apporte la compétence, la mise à jour réglementaire et la distance critique.

Quel profil pour un référent IA interne ?

Un profil hybride à l'aise avec la réglementation, la technique et le terrain. Souvent un DPO, RSSI, juriste ou directeur opérationnel formé spécifiquement à l'AI Act.

Combien de temps représente la fonction ?

Pour une PME de 50 à 200 salariés, comptez entre 0,5 et 2 jours par mois en régime de croisière, plus une charge initiale plus lourde la première année.

Référent IA en entreprise : rôle, missions, externalisation

L'AI Act n'impose pas, à ce jour, la désignation nommée d'un référent IA — contrairement au RGPD qui impose un délégué à la protection des données dans certains cas. Mais toute PME qui a tenté de mettre en œuvre sa conformité l'a constaté : sans point unique, les décisions s'enlisent, les procédures ne vivent pas, et la documentation vieillit. Le référent IA est le maillon qui rend la gouvernance opérationnelle.

Qu'est-ce qu'un référent IA exactement ?

C'est une personne — interne ou externe — à qui l'entreprise confie la cohérence et la tenue du dispositif IA. Sa mission n'est pas de « faire » l'IA à la place des équipes, ni de décider de la stratégie. C'est un rôle de gouvernance et de vigie, au croisement du juridique, du RH, de la sécurité, et des métiers.

Dans une PME, le référent n'est presque jamais un poste à temps plein. C'est souvent 5 à 15 % d'une mission existante, confiée à une personne qui a la bonne combinaison de profil et de légitimité interne.

Les sept missions clés du référent IA

Tenir à jour le registre des systèmes IA et des cas d'usage.
Valider les nouveaux outils avant tout déploiement, selon la procédure de la politique IA.
Suivre le plan de formation et garantir que les attestations individuelles restent à jour.
Être le point de contact pour tout collaborateur qui se pose une question ou remonte un incident.
Organiser la revue annuelle du dispositif avec la direction.
Assurer la veille réglementaire et alerter sur les évolutions AI Act, CNIL, lignes directrices.
Préparer l'entreprise à un contrôle en maintenant le dossier de conformité à jour.

Sept missions, c'est à la fois peu et beaucoup. Peu si l'entreprise a un socle de conformité sérieux. Beaucoup si elle part de zéro et doit construire ce socle en parallèle.

À qui confier la mission en interne ?

Option 1 — Le DPO

C'est le choix le plus fréquent quand l'entreprise en a déjà un. L'avantage : la culture de la conformité est déjà installée. Le risque : saturer un DPO qui gère déjà le RGPD, le dialogue CNIL, et parfois la sécurité. À surveiller si la charge n'est pas ajustée.

Option 2 — Le RSSI

Pertinent dans les entreprises qui voient l'IA d'abord par le prisme du risque informatique. Limite : le RSSI n'a pas toujours la sensibilité aux enjeux RH, marketing ou conduite du changement.

Option 3 — Un responsable métier

Parfois le DAF, parfois un responsable innovation, parfois un membre du COMEX. L'avantage : légitimité et vision transverse. Le risque : manque de temps pour tenir la documentation et la veille réglementaire.

Option 4 — Un duo DPO + métier

La configuration que nous recommandons le plus souvent dans les PME de plus de 50 personnes. Le DPO porte le socle juridique, un responsable métier porte le lien avec les équipes et les arbitrages opérationnels.

Signe d'alerte

Si personne ne veut du rôle, c'est qu'il est mal calibré.

Un référent IA dont la mission tient sur une ligne de fiche de poste échoue neuf fois sur dix. Le rôle doit être cadré, chiffré en temps, et assorti de moyens — budget formation, accès direction, autorité pour bloquer un déploiement.

Quand externaliser la mission ?

L'externalisation est la bonne option dans quatre cas de figure très fréquents en PME.

Moins de 50 salariés et pas de DPO interne : la charge ne justifie pas un poste, mais la conformité est tout aussi exigeante.
Forte rotation des profils juridiques ou sécurité : externaliser évite de tout perdre à chaque départ.
Multi-sites ou groupes avec plusieurs entités : un référent externalisé garantit la cohérence entre les filiales.
Phase de démarrage : le temps de construire le socle (6 à 12 mois), avant éventuelle internalisation.

L'externalisation n'est pas une démission. C'est un moyen de garantir que la mission est tenue par quelqu'un dont c'est le métier quotidien, avec la veille, les outils et les preuves qui vont avec.

Comment se déroule un référent IA externalisé avec Wavoo

Notre offre « Référent IA externalisé » est un abonnement mensuel qui couvre l'ensemble des missions listées plus haut. Concrètement :

Une visio mensuelle de 45 minutes avec le dirigeant ou le DPO interne.
Une veille réglementaire synthétique envoyée chaque mois.
La tenue du registre et de la politique IA, mise à jour à chaque changement.
Un canal direct pour les questions des collaborateurs ou les incidents.
Une revue annuelle complète avec restitution à la direction.
La préparation en cas de contrôle — dossier tenu à jour en permanence.

Pour les PME de Montpellier, de l'Hérault et du Gard, une visite trimestrielle sur site est possible. Pour les autres régions, tout se fait en distanciel avec la même qualité de service.

Combien ça coûte

Un référent IA externalisé en PME coûte typiquement entre quelques centaines et quelques milliers d'euros par mois, selon la taille et la complexité. Ordre de grandeur utile : le coût mensuel est inférieur à une heure d'avocat spécialisé, et largement inférieur au coût d'un salarié à temps plein. Dans la plupart des dossiers que nous suivons, c'est aussi beaucoup moins cher que le premier incident qu'il aurait permis d'éviter.

Et demain ?

Le statut du référent IA va probablement se structurer dans les deux années qui viennent, à l'image de ce qu'on a vu sur le DPO entre 2016 et 2018. Une PME qui s'y met dès 2026 prend une double avance : elle est prête quand le rôle deviendra attendu, et elle peut le valoriser commercialement auprès de ses clients grands comptes, qui posent déjà la question.