BYOAI et AI Act : préparer votre entreprise avant août 2026
Le 2 août 2026, la majorité des obligations de l’AI Act entrent en vigueur. Or, les pratiques BYOAI non encadrées — ces outils d’IA que vos collaborateurs utilisent de leur propre initiative — tombent directement dans le périmètre du règlement. Voici ce qu’il faut comprendre et ce qu’il faut faire.
Vos collaborateurs utilisent déjà l’IA — avec ou sans votre accord. Le problème n’est plus l’adoption : c’est l’absence de cadre. À partir du 2 août 2026, chaque outil d’IA utilisé dans votre organisation peut engager votre responsabilité juridique au regard du règlement européen AI Act. Cet article détaille les obligations concrètes, le calendrier, et un plan d’action pour y répondre.
Pour quiDirigeants, DPO, DSI, responsables conformité et managers intermédiaires en PME et ETI.
Ce que cet article ne prétend pasRemplacer un avis juridique. Les obligations décrites sont issues du règlement UE 2024/1689 et des travaux de recherche les plus récents. Pour une analyse adaptée à votre situation, consultez un avocat spécialisé.
Après lectureLes repères pour situer votre exposition réelle au règlement, identifier ce qui relève de l’obligation ou de la bonne pratique, et savoir où commence le travail d’adaptation spécifique à votre organisation.
Pourquoi le BYOAI est devenu un sujet réglementaire
Le BYOAI — Bring Your Own AI — désigne le fait que des collaborateurs utilisent leurs propres outils d’intelligence artificielle dans un contexte professionnel, en dehors de tout cadre défini par l’entreprise. Jusqu’à récemment, le problème était traité sous l’angle de la sécurité informatique ou de la fuite de données. C’était légitime, mais insuffisant.
Avec l’entrée en application progressive du règlement européen sur l’intelligence artificielle (AI Act, règlement UE 2024/1689)[1], le BYOAI n’est plus seulement un risque opérationnel. C’est un risque juridique. Chaque outil d’IA utilisé au sein de l’organisation, même choisi par un collaborateur à titre individuel, peut engager la responsabilité de l’entreprise au regard du règlement.
Le problème est structurel. Les chercheurs Barbara H. Wixom et Nick van der Meulen, du MIT Center for Information Systems Research, le formulent clairement : le BYOAI expose l’organisation à des risques de perte de données, de fuite de propriété intellectuelle, de violation du droit d’auteur et de faille de sécurité[3]. Ajoutez-y un règlement européen assorti de sanctions financières, et le problème change de dimension.
Le calendrier de l’AI Act : quatre échéances clés
L’AI Act ne s’applique pas d’un bloc. Son entrée en vigueur est échelonnée. Certaines obligations sont déjà effectives. D’autres le seront dans moins de cinq mois.
Pratiques interdites
Notation sociale, manipulation comportementale, exploitation des vulnérabilités. Déjà sanctionnable.
Modèles GPAI
Obligations de transparence et de respect du droit d’auteur pour les fournisseurs de modèles à usage général.
Haut risque + transparence
Application complète des obligations pour les systèmes à haut risque et les exigences de l’article 50.
Intégration complète
Systèmes à haut risque liés à des produits réglementés (dispositifs médicaux, véhicules, etc.).
Échéance confirmée
Malgré des tentatives de lobbying pour repousser les délais, la Commission européenne a confirmé en juillet 2025 que le calendrier serait maintenu[4]. En France, le Sénat a validé en février 2026 la désignation de la CNIL comme autorité de surveillance du marché pour l’AI Act[5]. Le dispositif de contrôle est désormais en place.
Mise à jour — Digital Omnibus (18 mars 2026)
Le 18 mars 2026, les commissions IMCO et LIBE du Parlement européen ont adopté (101 voix pour, 9 contre) une position proposant de reporter les obligations « haut risque" (Annexe III) au 2 décembre 2027[7]. Ce texte doit encore être validé en plénière puis négocié en trilogues. Tant que le Digital Omnibus n’est pas formellement adopté, la date du 2 août 2026 reste l’échéance légalement contraignante. Les obligations de transparence (article 50) ne sont pas concernées par ce report.
Quel rôle l’AI Act attribue à votre entreprise
L’une des erreurs les plus fréquentes consiste à penser que l’AI Act ne concerne que les éditeurs de solutions d’IA. En réalité, le règlement distingue trois rôles — et la plupart des entreprises qui pratiquent le BYOAI entrent dans au moins l’un d’entre eux.
Le fournisseur est celui qui développe ou met sur le marché un système d’IA. Le déployeur est celui qui utilise ce système dans le cadre de son activité professionnelle — même via un simple abonnement SaaS. L’utilisateur final est la personne qui interagit directement avec l’outil.
Pour la très grande majorité des PME et ETI françaises, la catégorie pertinente est celle de déployeur[4]. Et c’est précisément le cas de figure BYOAI : un collaborateur souscrit à un outil IA externe, l’utilise sur des données professionnelles, et l’organisation devient déployeur de fait — même si elle n’a jamais validé cet usage.
Le MIT CISR observe qu’un verrouillage trop strict des outils ne supprime pas les usages BYOAI : il les rend plus difficiles à voir et à encadrer.
Autrement dit, l’interdiction ne règle pas le problème. Elle le rend invisible. La seule stratégie viable est d’organiser l’usage pour le rendre conforme. C’est précisément l’objet de la conférence BYOAI proposée par farweb.fr : aider les équipes dirigeantes à comprendre le phénomène et à structurer une réponse.
Les quatre obligations BYOAI du règlement
Selon le niveau de risque de l’usage, le règlement impose des exigences précises. Voici les quatre qui concernent le plus concrètement les pratiques BYOAI en entreprise.
Les sanctions sont calibrées en conséquence : jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial pour les pratiques interdites, 15 millions ou 3 % pour les manquements aux obligations de haut risque, et 7,5 millions ou 1 % pour les défauts de transparence[1]. Les plafonds sont adaptés pour les PME, mais les obligations, elles, ne sont pas allégées.
Matrice de risque par usage BYOAI courant
Le tableau ci-dessous synthétise les obligations selon le type d’usage. Il ne couvre pas tous les cas — la classification dépend du contexte exact — mais il donne un cadre de lecture immédiatement exploitable.
| Usage BYOAI | Niveau de risque | Transparence (art. 50) | Supervision (art. 26) | Action requise |
|---|---|---|---|---|
| Assistant de rédaction (emails, comptes-rendus) | Minimal | Non obligatoire | Non requise | Politique d’usage interne |
| Chatbot face client | Limité | Obligatoire | Non requise | Signalisation IA visible |
| Générateur de contenu synthétique (image, vidéo) | Limité | Obligatoire | Non requise | Marquage du contenu généré |
| Scoring client automatisé (CRM) | Haut | Obligatoire | Obligatoire | Documentation complète avant mise en service |
| Analyse de CV / tri de candidatures (RH) | Haut | Obligatoire | Obligatoire | Conformité Annexe III + RGPD |
Source : synthèse farweb.fr d’après le règlement UE 2024/1689, Annexe III et articles 26, 50.
Ce que cela change concrètement pour l’entreprise
Jusqu’ici, le BYOAI était un sujet de DSI. Avec l’AI Act, il devient un sujet de direction générale.
Le premier changement est la responsabilité. L’entreprise qui déploie (ou laisse déployer) un système IA sans respecter les obligations du règlement est juridiquement responsable, même si elle n’a pas choisi l’outil, même si elle ne savait pas qu’il était utilisé. L’ignorance n’est pas une défense.
Le deuxième changement est la traçabilité. Documenter quels outils sont utilisés, pour quels traitements, sur quelles données, avec quelle supervision — ce n’est plus une bonne pratique. C’est une obligation. Et pour les systèmes à haut risque, cette documentation doit être prête avant la mise en service, pas après un contrôle.
Le troisième changement concerne la culture de l’organisation. Les chercheurs Anthuvan et al. (2025) ont identifié six profils comportementaux de collaborateurs face au BYOAI et quatre postures de gouvernance organisationnelle[6]. Leur cadre BYOAI-Gov propose de traiter l’usage informel de l’IA non pas comme une infraction, mais comme un comportement organisationnel gouvernable. Cela suppose un changement de posture : passer du contrôle réactif à la gouvernance proactive.
Ce qu’il faut mettre en place maintenant
Cinq mois, c’est court. Mais c’est suffisant pour poser les fondations d’une démarche de conformité crédible. Voici un plan d’action réaliste, ordonné par priorité.
Semaines 1–2
Cartographier tous les usages IA
Quels outils d’IA sont utilisés dans l’entreprise, par qui, pour quoi ? Y compris les outils non référencés par la DSI. Un audit BYOAI structuré permet d’objectiver la situation en quelques jours. C’est le préalable à toute classification.
Semaines 3–4
Classifier chaque usage par niveau de risque
Pour chaque outil identifié, déterminer s’il relève du risque minimal, limité ou haut risque. Les cas les plus fréquents en contexte BYOAI : scoring client (haut risque), chatbot face client (risque limité), assistant de rédaction (minimal). Impératif : ne pas sous-estimer les usages RH, qui sont presque toujours classés haut risque par l’Annexe III.
Semaines 5–8
Rédiger la politique IA interne
Définir trois zones d’usage : ce qui est autorisé librement, ce qui est encadré sous conditions, ce qui est interdit. Le cadre Enable / Regulate / Restrict proposé par Anthuvan et al.[6] offre une grille directement opérationnelle. Intégrer les obligations de transparence (article 50) et de supervision humaine (article 26) dans la politique.
Semaines 9–12
Former les équipes et désigner un référent
Former le management intermédiaire à la détection des usages non conformes. Désigner un référent conformité IA (souvent le DPO, parfois un profil dédié). Mettre en place des sessions régulières d’acculturation. La conférence BYOAI de farweb.fr est conçue pour initier cette démarche auprès des comités de direction.
En continu
Proposer des alternatives encadrées
Le MIT CISR recommande de créer un catalogue interne d’outils validés — une sorte d’« app store IA" avec licences, guides d’usage et formation intégrée[3]. L’entreprise Zoetis, citée dans l’étude, a mis en place des permanences bihebdomadaires pour accompagner l’adoption. Le studio digital de farweb.fr peut aider à construire ces outils internes conformes.
Bacs à sable réglementaires
L’AI Act prévoit des « bacs à sable réglementaires" permettant aux entreprises, et en particulier aux PME, de tester leurs innovations IA dans un cadre supervisé par les autorités. Les PME bénéficient d’un accès prioritaire et souvent gratuit à ces espaces[4]. C’est une ressource encore sous-utilisée.
Questions fréquentes
Mon entreprise est-elle concernée par l’AI Act ?
Oui. Le règlement distingue fournisseurs et déployeurs. Dès qu’une entreprise utilise un outil intégrant de l’IA — un CRM avec scoring, un chatbot, un outil d’analyse de CV — elle entre dans le périmètre en tant que déployeur. C’est le cas de la très grande majorité des PME et ETI.
Quelles sanctions en cas de non-conformité ?
Les amendes sont échelonnées : jusqu’à 35 millions d’euros (ou 7 % du CA mondial) pour les pratiques interdites, 15 millions (ou 3 %) pour les systèmes à haut risque non conformes, 7,5 millions (ou 1 %) pour les manquements de transparence. Des plafonds spécifiques sont prévus pour les PME, mais aucune catégorie n’est exemptée.
Faut-il interdire le BYOAI pour se conformer ?
Non, et c’est même contre-productif. Le MIT CISR souligne que l’interdiction rend les usages invisibles sans les supprimer. L’approche recommandée consiste à définir des zones d’usage (autorisé, encadré, interdit), à fournir des alternatives validées, et à former les équipes. C’est cette démarche de gouvernance qui démontre la conformité.
Qui contrôle l’AI Act en France ?
La CNIL a été désignée autorité de surveillance du marché pour l’AI Act en février 2026. Elle contrôle les pratiques interdites, les systèmes à haut risque dans les domaines de l’emploi, de l’éducation et de la biométrie. D’autres autorités interviennent selon les secteurs : ARCOM pour les contenus, ACPR pour la finance, DGCCRF pour la coordination générale.
Par où commencer sans politique IA ?
Première étape : cartographier les outils IA déjà utilisés dans l’entreprise, y compris les outils non référencés. Deuxième étape : classifier ces usages par niveau de risque. Troisième étape : rédiger une politique minimale définissant ce qui est autorisé, encadré ou interdit. Même provisoire, cette politique constitue un premier acte de gouvernance démontrable. Un audit BYOAI peut structurer cette démarche.
Le Digital Omnibus reporte-t-il à 2027 ?
Le 18 mars 2026, les commissions IMCO et LIBE ont voté en faveur d’un report des obligations « haut risque" au 2 décembre 2027. Mais ce texte doit encore passer en plénière puis en trilogues avec le Conseil. Tant qu’il n’est pas formellement adopté, l’échéance légale reste le 2 août 2026. Les obligations de transparence (article 50) ne sont en tout état de cause pas concernées par ce report.
Attendre le résultat des trilogues pour commencer serait risqué : même en cas de report, les entreprises doivent démontrer une démarche de mise en conformité.
Quels outils RH sont à haut risque ?
L’Annexe III du règlement classe à haut risque les systèmes utilisés pour le recrutement (tri de CV, présélection), l’évaluation de candidats, les décisions de promotion, de licenciement, d’affectation et de suivi de performance. En contexte BYOAI, un collaborateur RH qui utilise un outil IA non référencé pour présélectionner des candidatures fait basculer l’entreprise dans la catégorie haut risque — sans que la direction en soit nécessairement informée.
RGPD et AI Act : comment les articuler ?
Les deux textes s’appliquent simultanément dès qu’un système d’IA traite des données personnelles. Le RGPD encadre la base légale, la minimisation et les droits des personnes. L’AI Act ajoute des obligations propres au système IA : classification, transparence, supervision, documentation technique. La CNIL, autorité compétente pour les deux textes, peut contrôler l’ensemble sur un même usage. Intégrer les deux cadres dans une seule analyse d’impact est la voie la plus efficace.
PME ou grand groupe : mêmes obligations ?
Les obligations de fond sont identiques : classification, transparence, supervision pour le haut risque. En revanche, les plafonds de sanctions sont adaptés pour les PME et les startups. Le Digital Omnibus propose également des allègements pour les entreprises de moins de 750 salariés. Pour une PME alsacienne, la démarche recommandée est de commencer par un audit IA ciblé, suivi d’une politique d’usage proportionnée. Raphaël Uhlrich, basé à Strasbourg, accompagne les entreprises d’Alsace, du Grand Est, de Paris, de Suisse et du Luxembourg sur ces sujets.
Quel rôle pour le DPO face à l’AI Act ?
Le règlement ne crée pas de fonction dédiée « référent IA". Dans la pratique, le DPO est souvent le profil le mieux positionné pour coordonner la conformité AI Act, compte tenu de sa connaissance du RGPD, des registres de traitements et des processus d’analyse d’impact. Son rôle s’élargit naturellement à la cartographie des usages IA, à la classification des risques et à la rédaction de la politique IA interne. Le parcours de Raphaël Uhlrich combine stratégie digitale et gouvernance IA, ce qui permet d’accompagner aussi bien le DPO que la direction générale.
Sources et références
- Règlement (UE) 2024/1689 du Parlement européen et du Conseil — Règlement européen sur l’intelligence artificielle (AI Act) — Journal officiel de l’Union européenne, 12 juillet 2024. Articles 5, 6, 26, 50, 99, Annexe III.
- ManageEngine (division Zoho Corporation) — The Shadow AI Surge in Enterprises : Insights from the U.S. and Canadian Workplace — Enquête Censuswide, mai 2025, 700 professionnels (350 ITDM + 350 professionals). Donnée citée : 93 % des collaborateurs admettent saisir des informations dans des outils IA sans approbation.
- MIT Center for Information Systems Research — Barbara H. Wixom et Nick van der Meulen — What leaders should know about ‘bring your own AI’ — MIT Sloan, 11 mars 2025.
- Direction générale des Entreprises (DGE) — Les autorités compétentes pour la mise en œuvre du règlement européen sur l’intelligence artificielle — entreprises.gouv.fr, 2026.
- Sénat — Projet de loi Ddadue, volet numérique — discuté le 17 février 2026. Désignation de la CNIL, de l’ARCOM, de la DGCCRF et de l’ACPR comme autorités de surveillance.
- Anthuvan T., Prabhuram S., Raju G., Maheshwari K., Mishra A. — BYOAI-Gov™ Framework for Behavior-Aware Governance — Lex Localis – Journal of Local Self-Government, vol. 23, n° S6, pp. 2693-2716, 19 octobre 2025. Enquête auprès de 345 professionnels, quatre secteurs, modèle Enable / Regulate / Restrict.
- Parlement européen, commissions IMCO et LIBE — Vote sur le Digital Omnibus (AI Act), 18 mars 2026 — 101 voix pour, 9 contre, 8 abstentions. Report proposé des obligations haut risque (Annexe III) au 2 décembre 2027. Rapporteurs : Arba Kokalari (PPE) et Michael McNamara (Renew).
Votre entreprise est-elle prête pour août 2026 ? Un premier échange de 15 minutes permet de faire le point sur votre situation et de voir si une collaboration est envisageable.
Échanger avec Raphaël UhlrichSans engagement · Premier contact · Strasbourg ou visio