AI Act, RGPD, DORA : le guide pour transformer la conformité européenne en levier de souveraineté réelle

# AI Act, RGPD, DORA : le guide pour transformer la conformité européenne en levier de souveraineté réelle

> 2026. L'AI Act entre en application progressive. DORA s'impose au secteur financier. Le RGPD a six ans et reste mal appliqué. La tentation est forte, côté DSI, de traiter tout ça comme une contrainte administrative supplémentaire — et de la sous-traiter à un cabinet de conseil américain qui vous vendra un « AI Compliance Package » clé en main. C'est précisément le piège à éviter.

Ce guide ne vous dira pas que les régulations européennes sont parfaites. Elles ne le sont pas. Certaines dispositions de l'AI Act manquent encore de clarté opérationnelle. Mais elles représentent quelque chose que les acteurs américains n'ont pas : un cadre contraignant qui, bien utilisé, force votre organisation à construire des compétences internes que personne ne pourra vous retirer.

La question n'est pas « comment se conformer à moindre coût ? ». La question est : comment utiliser ces obligations pour reprendre la main sur votre SI — et ne plus dépendre de prestataires qui décident à votre place ?

Étape 1 — Arrêtez de déléguer la cartographie de vos risques IA à un tiers

Pourquoi c'est un problème organisationnel, pas technique

L'AI Act impose une classification des systèmes d'IA par niveau de risque. En théorie, simple. En pratique, la majorité des PME/ETI que nous observons ont confié cet inventaire à leur éditeur de logiciels ou à leur intégrateur — souvent un acteur américain dont le premier intérêt est de minimiser la complexité perçue pour accélérer l'adoption de ses propres outils.

Le problème concret : si c'est votre fournisseur qui cartographie vos risques IA, c'est lui qui définit ce qui est « à risque limité » et ce qui ne l'est pas. Vous perdez la main sur votre propre gouvernance.

Ce que vous devez faire concrètement

1. Désigner un référent IA interne — pas un poste externalisé.

Ce n'est pas nécessairement un nouveau recrutement. C'est souvent une montée en compétence d'un profil existant : un RSSI curieux, un DSI adjoint, un juriste qui maîtrise déjà le RGPD. Ce qui compte, c'est que la personne appartienne à votre organisation et que ses conclusions ne soient pas conditionnées par un contrat commercial.

2. Conduire vous-même l'inventaire des systèmes IA en production.

Listez chaque outil qui prend ou influence une décision : scoring de crédit, tri de CV, priorisation de tickets support, recommandations tarifaires. Posez-vous la question sans filtre : *qui a accès aux données traitées ? Où sont-elles hébergées ? Qui peut modifier le modèle sans vous en informer ?*

3. Refuser les auto-certifications fournisseurs sans vérification.

Un acteur américain qui vous dit « notre solution est AI Act compliant » ne vous dit rien sur votre usage spécifique. La conformité est contextuelle. Ce n'est pas son problème — c'est le vôtre.

Étape 2 — Construire une gouvernance IA qui résiste aux cycles de rachat

La question qui dérange

Combien d'outils IA utilisés dans votre organisation aujourd'hui appartenaient, il y a trois ans, à une entreprise indépendante — européenne, parfois — avant d'être rachetée par un acteur américain ? Et combien de vos processus internes sont maintenant dépendants de ces outils ?

La régulation européenne ne vous protège pas des rachats. Mais elle vous donne les outils pour construire une gouvernance qui, elle, résiste.

Ce que vous devez faire concrètement

4. Intégrer la clause de réversibilité dans tous vos contrats IA — maintenant.

Pas dans six mois, pas lors du prochain renouvellement. Maintenant. Toute solution IA doit prévoir : export des données dans un format standard, documentation du modèle utilisé, délai de préavis suffisant pour migrer. Si votre fournisseur refuse ou complique cette clause, c'est un signal d'alerte, pas une négociation ordinaire.

5. Créer un comité de gouvernance IA interne — même informel au début.

Il réunit au minimum : le DSI, le RSSI, un représentant métier utilisateur de l'IA, et le DPO si vous en avez un. Ce comité se réunit trimestriellement. Son rôle : valider les nouveaux usages IA, surveiller les dérives d'usage, décider des décommissionnements. Ce n'est pas un comité de conformité — c'est un comité de souveraineté.

6. Documenter les décisions algorithmiques qui impactent vos collaborateurs ou clients.

L'AI Act l'impose pour les systèmes à haut risque. Faites-le pour tous les systèmes qui comptent. Cette documentation vous appartient. Elle constitue une mémoire organisationnelle que vous conservez, quelle que soit l'évolution de votre fournisseur.

Étape 3 — Identifier les compétences à internaliser — et celles à ne jamais déléguer

Le mythe de l'externalisation totale

Les éditeurs US ont un intérêt structurel à ce que vous externalisiez tout : l'implémentation, la maintenance, la conformité, l'interprétation des résultats. Plus vous externalisez, plus vous êtes captif. Le discours sur la « complexité » de l'IA sert précisément à justifier cette dépendance.

Mais la régulation européenne crée mécaniquement des besoins de compétences internes que vous ne pouvez pas déléguer sans vous exposer.

Ce que vous devez faire concrètement

7. Former vos équipes RH et managers à l'explicabilité algorithmique.

L'AI Act impose que les décisions automatisées à fort impact (recrutement, évaluation, licenciement) soient explicables. Si votre RH ne comprend pas comment fonctionne l'outil qu'elle utilise, elle ne peut pas expliquer une décision contestée — et c'est votre organisation qui est juridiquement exposée, pas l'éditeur américain.

8. Développer en interne la capacité d'audit de données d'entraînement.

Pas nécessairement une équipe data science complète. Mais a minima : savoir poser les bonnes questions à un fournisseur sur la provenance de ses données, identifier un biais potentiel, comprendre ce qu'est une dérive de modèle. Ces compétences existent dans les universités et écoles européennes — formez vos profils existants, ou recrutez des profils junior avec un potentiel de montée en charge.

9. Ne jamais déléguer à un tiers la responsabilité DORA ou RGPD.

Vous pouvez vous faire accompagner. Vous ne pouvez pas sous-traiter la responsabilité. Cette distinction sémantique est aussi une distinction organisationnelle : le pilotage doit rester interne. Sociétés comme Atempo ou des acteurs spécialisés européens du backup et de la protection des données peuvent vous outiller — mais l'arbitrage stratégique vous appartient.

Étape 4 — Utiliser la régulation comme critère de sélection fournisseur

Retourner la contrainte en avantage

Voici ce que la plupart des guides de conformité ne vous disent pas : l'AI Act, le RGPD et DORA sont des filtres naturels qui avantagent structurellement les acteurs européens. Non parce qu'ils sont meilleurs techniquement — la question ne se pose pas en ces termes — mais parce qu'ils opèrent dans le même cadre juridique que vous.

Un acteur soumis au Cloud Act américain ne peut pas vous garantir la même chose qu'un acteur soumis au droit européen. Ce n'est pas une opinion — c'est une réalité juridique.

Ce que vous devez faire concrètement

10. Intégrer le critère de juridiction dans votre grille d'évaluation fournisseur.

Pas comme un critère parmi dix. Comme un critère éliminatoire pour les données sensibles. Demandez systématiquement : *Êtes-vous soumis au Cloud Act ou à toute législation extraterritoriale non européenne ? Où sont hébergées physiquement nos données ? Qui peut y accéder sans nous en informer ?*

11. Exiger la transparence sur les chaînes de sous-traitance IA.

Un éditeur européen qui sous-traite son inférence à un hyperscaler américain n'est pas souverain, quoi qu'il affirme dans ses plaquettes commerciales. Demandez l'architecture technique complète avant de signer. Preuve de Data Residency vérifiable, pas déclarative.

12. Mettre en place une revue annuelle de votre portefeuille IA.

De la même façon qu'un audit financier, faites une revue de votre portefeuille d'outils IA : quels outils sont devenus critiques ? Quels fournisseurs ont changé de conditions d'utilisation ? Quels rachats ont modifié la localisation des données ? Cette revue n'est pas optionnelle — c'est une obligation de due diligence que la régulation européenne va progressivement formaliser.

Ce que ce guide ne résout pas

Soyons clairs : la conformité réglementaire ne remplace pas une stratégie de souveraineté. Des organisations peuvent cocher toutes les cases de l'AI Act et rester totalement dépendantes d'acteurs américains pour leur infrastructure, leurs modèles et leurs données.

La régulation est une condition nécessaire. Elle n'est pas suffisante.

Ce qu'elle fait, en revanche, c'est créer un momentum organisationnel : elle force des conversations internes sur la gouvernance IA, elle crée des postes et des compétences, elle impose des clauses contractuelles que vous n'osiez peut-être pas demander.

Utilisez ce momentum. Il ne se représentera pas deux fois.

Les acteurs américains ont déjà leurs équipes de lobbyistes à Bruxelles qui travaillent à adoucir les prochaines révisions réglementaires. La fenêtre d'opportunité pour construire votre souveraineté organisationnelle est ouverte. Pas indéfiniment.

*Guide mis à jour en 2026 dans le contexte de l'application progressive de l'AI Act. Les obligations mentionnées reflètent l'état du cadre réglementaire européen à cette date — certaines dispositions restent en cours de précision par les autorités compétentes.*