Gouvernance IA en PME : éviter que les usages cachés deviennent un coût réel
L’IA s’est installée dans les équipes avant que les directions décident de l’encadrer. Selon Bpifrance Le Lab, 58 % des dirigeants de PME et ETI considèrent l’IA comme un enjeu de survie — 32 % seulement l’ont intégrée dans leurs processus. La question n’est pas de créer une bureaucratie IA. Elle est de reprendre la main sur des usages qui existent déjà, avant qu’ils ne deviennent un risque de données, de qualité ou de responsabilité. Il ne s’adresse pas aux grandes entreprises avec une direction IA dédiée.
Ce que coûte l’absence de gouvernance IA en PME
L’IA est déjà là — dans les messageries, dans les outils métiers, dans les pratiques quotidiennes des collaborateurs. La plupart de ces usages se sont développés sans que la direction en soit informée, sans règles, sans inventaire. L’étude Bpifrance Le Lab de juin 2025, menée auprès de 1 209 dirigeants, donne la mesure de l’écart [1] :
Le problème n’est pas l’adoption en elle-même. C’est l’écart entre l’usage de fait — souvent massif et non déclaré — et le cadre qui n’existe pas. Un commercial envoie un contrat de sous-traitance dans ChatGPT pour le résumer : des informations confidentielles transitent chez un tiers. Une DRH utilise un outil IA pour présélectionner des candidatures : elle entre dans le périmètre réglementaire de l’AI Act sans le savoir. Ces scénarios ne sont pas des hypothèses : ils décrivent la situation moyenne d’une PME française en 2026.
La gouvernance IA en PME désigne l’ensemble des règles, processus et responsabilités qui encadrent l’usage de l’intelligence artificielle dans une organisation — de l’inventaire des outils utilisés jusqu’à la supervision des résultats produits. Ce n’est pas un projet de transformation. C’est une hygiène opérationnelle.
Ce que l’AI Act impose vraiment aux PME en 2026
Le calendrier AI Act ne se résume pas à la date du jour. Les pratiques interdites sont applicables depuis le 2 février 2025. L’échéance structurante suivante est le 2 août 2026, avec l’application générale du règlement et les obligations de transparence, puis des calendriers distincts pour certains systèmes à haut risque. Pour une PME, cela ne change pas le fond du travail : inventorier les usages IA, documenter les risques et former les équipes avant que les obligations ne deviennent opérationnelles [2].
Ce qui entre dans la catégorie haut risque pour une PME
- Outil de tri automatique de candidatures (scoring de CV)
- Système d’évaluation de la performance des employés
- Accès au crédit ou scoring financier algorithmique
- Surveillance automatisée dans des infrastructures critiques
Pour ces usages, l’AI Act impose documentation technique, traçabilité des données d’entraînement et supervision humaine effective. Les amendes pour non-conformité peuvent atteindre 15 millions d’euros ou 3 % du chiffre d’affaires mondial — plafonnées pour les PME au montant le plus bas entre un forfait fixe et ce pourcentage.
Pour la grande majorité des PME, les outils du quotidien ne tombent pas dans cette catégorie. ChatGPT pour rédiger des emails, Copilot pour synthétiser des réunions, un outil IA pour générer des visuels : ces usages relèvent soit de la catégorie « risque limité » (obligation de transparence envers l’utilisateur), soit de « risque minimal » (aucune obligation spécifique).
Mais même sans obligation directe, la gouvernance est devenue un standard de marché, portée au niveau dirigeant lors d’une conférence BYOAI pour dirigeants. Vos donneurs d’ordre l’exigent dans leurs annexes contractuelles. Votre DPO ou votre assureur cyber commencent à poser des questions. Et vos collaborateurs n’attendent pas une charte pour utiliser des outils sur lesquels vous n’avez aucune visibilité.
Inventaire, charte, responsable : les trois piliers
Pour une PME, une gouvernance IA efficace repose sur trois piliers fondamentaux. Pas une DSI dédiée, pas une plateforme de gouvernance à six chiffres, pas un comité hebdomadaire. Un référent interne, une charte d’une page et un processus d’inventaire trimestriel couvrent les principaux risques pour une structure de 10 à 100 personnes [3].
Inventaire IA
Une liste — mise à jour tous les trimestres — de tous les outils IA utilisés dans l’entreprise, y compris les usages personnels sur comptes individuels. Beaucoup de PME découvrent 20 à 30 outils à cette occasion. Le générateur de prompts IA disponible sur farweb.fr aide à structurer les usages les plus courants.
Charte des usages
Pas un document juridique de 40 pages. Une page A4, validée par la direction, qui répond à trois questions : que peut-on faire avec ces outils ? quelles données ne peuvent pas y être saisies ? que faire en cas de doute ? La charte est présentée lors d’une réunion de 30 minutes et accessible à tous.
Référent IA désigné
Ce n’est pas un poste à créer. C’est une responsabilité ajoutée à quelqu’un qui existe déjà — souvent le DAF, le responsable informatique ou le dirigeant lui-même dans les structures de moins de 30 personnes. Ce référent reçoit les questions, arbitre les cas limites, met à jour l’inventaire.
Ce triptyque n’est pas un idéal à atteindre progressivement. C’est le minimum viable. Sans lui, chaque nouvel outil IA déployé par un collaborateur est un risque non identifié.
Trois signaux que vos usages IA réclament un cadre
Si vous ne savez pas encore si votre PME a besoin d’une gouvernance IA, ces trois signaux diagnostiques suffisent à répondre.
Si vous devez réfléchir avant de répondre, la réponse est « trop ». Chaque outil non inventorié est un point de fuite potentiel pour vos données — client, financières, ou RH. L’invisible se gère mal.
ChatGPT, Gemini, Claude en accès gratuit — ces outils ne sont pas couverts par un DPA (accord de traitement de données) avec vos clients ou votre convention collective. Coller un fichier de devis ou des évaluations de performance dans ces outils expose directement votre conformité RGPD.
Ce type d’usage entre dans la catégorie haut risque de l’AI Act — quelle que soit la taille de votre entreprise et quel que soit le fournisseur de l’outil. La documentation réglementaire vous incombe dès que vous déployez ce système, même si c’est le logiciel qui « fait tourner l’IA » [2].
Internaliser ou se faire accompagner
La question n’est pas idéologique — elle est pratique. Construire sa gouvernance IA en interne est tout à fait faisable pour les structures simples. L’accompagnement externe devient pertinent dès que les usages sont fragmentés, les métiers hétérogènes ou les enjeux réglementaires présents.
Gérer en interne
- PME de moins de 20 personnes, usages simples et homogènes
- Aucun système d’IA classifiable en haut risque
- Profil tech disponible en interne pour piloter le projet
- Disponibilité de 2 à 3 jours de travail pour construire le cadre
Se faire accompagner
- PME de plus de 30 personnes, usages IA fragmentés entre métiers
- Outil RH, recrutement automatisé ou scoring dans le périmètre
- DPO interne ou externe non consulté sur les usages IA actuels
- Besoin d’une charte validée rapidement, sans tâtonnements
L’avantage d’un consultant indépendant sur ce type de mission : il n’a pas de logiciel à placer, pas de plateforme partenaire à recommander. Le diagnostic est aligné sur les contraintes réelles de la PME, pas sur un catalogue de solutions. Raphaël Uhlrich accompagne les PME et ETI dans la mise en place de leur cadre de gouvernance IA — inventaire, charte, vérification réglementaire — via l’audit IA.
Les 30 premiers jours : par quoi commencer
Une gouvernance IA se construit en quatre semaines, pas en quatre mois. Voici la séquence. Son objectif n’est pas la perfection — c’est de ne plus naviguer sans visibilité.
Inventaire des outils IA
Envoyez un formulaire simple à toutes vos équipes pour lister les outils IA utilisés — y compris les usages personnels sur comptes individuels. Objectif : avoir une liste complète. Comptez 1 heure de préparation et 48 heures de collecte.
Priorisation des usages exposés
Identifiez les 2 à 3 usages présentant les risques les plus élevés. Critère principal : y a-t-il des données clients, RH ou financières qui transitent dans ces outils ? Deuxième critère : cet outil prend-il ou influence-t-il une décision sur une personne physique ?
Rédaction de la charte IA
Une page. Trois sections : ce qui est autorisé, ce qui est interdit, que faire en cas de doute. Rédigée par le référent IA, validée par la direction. Pas de jargon juridique — un document que tout collaborateur comprend en 5 minutes.
Désignation et déploiement
Nommez le référent IA officiellement — une phrase dans un email de direction suffit. Présentez la charte lors d’une réunion de 30 minutes. Planifiez un point de révision dans 90 jours. La gouvernance est en place.
Passer de l’usage IA non encadré au cadre minimal — en 30 jours
Un consultant indépendant sans logiciel à placer. Un audit adapté à la taille et aux usages réels de votre PME.
En discuter avec Raphaël UhlrichUne charte IA ne suffit pas : il faut un système de décision
La difference avec le Shadow AI est simple. Le Shadow AI revele un usage cache. La gouvernance IA PME decide ce qui est permis, limité ou interdit avant que l’usage ne se disperse. Une charte peut aider, mais elle ne remplace pas une discipline de décision partagée par la direction, les métiers et les personnes qui manipulent les données.
Questions fréquentes
Qu’est-ce que la gouvernance IA en PME ?
La gouvernance IA en PME désigne l’ensemble des règles, processus et responsabilités qui encadrent l’usage de l’intelligence artificielle dans une organisation. Concrètement, elle couvre l’inventaire des outils utilisés, les règles d’usage (charte), la désignation d’un responsable et la vérification périodique des pratiques. Ce n’est pas un projet de transformation — c’est une hygiène opérationnelle accessible à toute structure.
L’AI Act s’applique-t-il à ma PME ?
L’AI Act s’applique à toute entreprise qui déploie ou utilise des systèmes d’IA dans l’Union européenne. Pour la grande majorité des PME, seuls les outils de recrutement automatisé, d’évaluation des performances ou de scoring crédit entrent dans la catégorie haut risque avec obligations lourdes. Les outils d’assistance générale (rédaction, traduction, résumé) relèvent des catégories à faibles obligations. Une vérification au cas par cas reste recommandée via un audit IA.
Combien coûte une gouvernance IA en PME ?
Le cadre minimal — inventaire, charte, désignation d’un référent — peut être construit en interne en 2 à 3 jours de travail, sans budget dédié. Un accompagnement externe est justifié dès que les usages sont fragmentés entre plusieurs métiers ou qu’un outil RH ou recrutement est en jeu. La non-gouvernance, elle, à un coût réel : risque RGPD, responsabilité AI Act, exposition des données confidentielles.
Faut-il interdire ChatGPT à ses équipes ?
Non — mais l’encadrer, oui. Interdire les outils IA grand public revient à repousser le problème sans le résoudre : les équipes continueront à les utiliser depuis leurs appareils personnels, hors de toute visibilité. La bonne réponse est une charte claire qui définit ce qui peut y être saisi (textes de communication, reformulations) et ce qui ne le doit pas (données clients, RH, financières, contrats en cours de négociation).
Comment détecter mes usages IA à risque ?
Trois signaux suffisent à diagnostiquer l’exposition : vous ne savez pas combien d’outils IA sont utilisés dans votre structure ; vos équipes saisissent des données clients ou RH dans des outils grand public ; vous utilisez un outil IA pour présélectionner des candidatures ou évaluer des performances. Si l’un de ces signaux est présent, un audit de gouvernance IA est la première étape.
Par où commencer concrètement ?
Par l’inventaire — une liste simple de tous les outils IA utilisés dans l’entreprise, y compris les usages personnels des collaborateurs. Cette liste prend 1 à 2 heures à constituer et révèle la plupart des points de risque. Ensuite : prioriser les usages exposés, rédiger une charte d’une page, désigner un référent. Le générateur de prompts IA sur farweb.fr aide à structurer les usages les plus courants.
Sources et références
- Bpifrance Le Lab — L’IA dans les PME et ETI françaises : une révolution tranquille — juin 2025 — étude quantitative (1 209 dirigeants) et qualitative (40+ entretiens). lelab.bpifrance.fr
- Commission européenne — Règlement (UE) 2024/1689 du Parlement européen et du Conseil établissant des règles harmonisées concernant l’intelligence artificielle (AI Act) — publié au Journal officiel de l’UE le 12 juillet 2024, en vigueur le 1er août 2024. eur-lex.europa.eu
- France Num (Direction générale des entreprises) — Guide du déploiement de l’IA au travail à destination des dirigeants de TPE/PME — 2024. francenum.gouv.fr
- Bpifrance Université — Formation « Projet IA 6/6 : Mettre en place une gouvernance IA au service de votre stratégie » — 2024. bpifrance-universite.fr
- CNIL — IA et RGPD : recommandations pour accompagner une innovation responsable — repères opérationnels pour encadrer les systèmes IA et les données personnelles. cnil.fr
- NIST — Artificial Intelligence Risk Management Framework (AI RMF 1.0) — cadre de gouvernance, mesure et maîtrise des risques IA. nist.gov
- Commission européenne - Règlement européen sur l’intelligence artificielle et calendrier d’application. digital-strategy.ec.europa.eu
- ANSSI - Recommandations de sécurité pour un système d’IA générative - 2024. cyber.gouv.fr
Ce sujet concerne votre organisation ? Un premier échange de 15 minutes permet d’évaluer la situation et de décider de la suite.
Échanger avec Raphaël UhlrichSans engagement · 15 min · Strasbourg ou visio