En 2025, 31 % des TPE-PME françaises déclaraient utiliser au moins un outil d'IA générative, contre 3 % deux ans plus tôt (Bpifrance Le Lab, 2025). Cette adoption rapide s'est faite, pour l'essentiel, sans cadre de gouvernance. Moins de 30 % des PME européennes avaient engagé une démarche de conformité AI Act à cette même date, alors que les sanctions prévues par le règlement (UE) 2024/1689 peuvent atteindre 15 millions d'euros ou 3 % du chiffre d'affaires mondial pour les systèmes à haut risque non conformes.
La tension entre ces deux réalités, à savoir l'adoption accélérée et la gouvernance absente, produit une catégorie spécifique de risque : celui de l'organisation qui déploie un outil performant mais juridiquement exposé, ou qui se conforme au texte sans comprendre ce que cela coûte à la performance réelle du système.
Ces deux postures sont également problématiques. Elles partagent le même défaut : elles regardent la performance et la conformité l'une sans l'autre.
C'est également l'approche structurée du marché sur le sujet : des cabinets d'avocat d'un côté, des ESN et cabinets techniques de l'autre.
Ce que la conformité ne protège pas, si elle se cantonne au technique
L'AI Act classe les systèmes d'IA selon quatre niveaux de risque (art. 5, 6 et 50, Règlement UE 2024/1689). Les systèmes à haut risque, dont relèvent notamment les outils de recrutement, de scoring de crédit, d'évaluation des performances ou d'aide à la décision judiciaire, sont soumis depuis le 2 août 2026 à des obligations strictes : documentation technique, traçabilité des données, supervision humaine effective, registre des incidents.
Appliquer ces obligations de façon purement procédurale produit des systèmes conformes sur le papier, mais désalignés avec la réalité opérationnelle.
- Les équipes produisent des livrables de conformité sans en comprendre les implications métier.
- Les responsables techniques documentent les modèles sans que les responsables juridiques sachent ce qu'ils valident.
- Les directions générales signent des déclarations de conformité sans avoir cartographié les systèmes concernés.
Ce décrochage entre la règle déclarée et le processus réel est précisément ce que le régulateur vient sanctionner. En 2024, la CNIL a prononcé 87 sanctions totalisant plus de 55 millions d'euros d'amendes. Cette exposition concerne autant les secteurs privé que public.
- Le 22 janvier 2026, France Travail a été sanctionné de 5 millions d'euros pour défaut de sécurité des données.
- Le même mois, Free Mobile et Free ont écopé respectivement de 27 et 15 millions d'euros.
Ces décisions ne portent pas sur des organisations qui ignoraient le droit, elles portent sur des organisations où la conformité déclarée ne correspondait pas aux pratiques réelles.
Ce que la performance occulte, si elle reste aveugle aux règles
L'erreur symétrique consiste à optimiser un algorithme sans prendre en compte le cadre juridique dans lequel il opère, y compris dans ses conséquences indirectes.
L'article 22 du Règlement (UE) 2016/679 (RGPD) interdit les décisions entièrement automatisées produisant des effets juridiques ou significatifs sur les personnes, sans intervention humaine réelle.
La performance technique du modèle masque le risque juridique de son déploiement. Plus le modèle est précis, plus il est tentant de le laisser décider seul. C'est exactement l'inverse de ce que la réglementation exige.
Le même raisonnement vaut pour les biais algorithmiques. Le Défenseur des droits, en partenariat avec la CNIL, a publié des recommandations spécifiques sur les discriminations algorithmiques, rappelant que les traitements de données RH peuvent produire des discriminations indirectes sans que l'organisation en ait l'intention. Dans notre cas documenté de prédiction des démissions, l'algorithme entraîné sur les données complètes atteignait 90 % de fiabilité, mais ses recommandations auraient structurellement favorisé les salariés européens sur les salariés non-européens, constituant une discrimination indirecte au sens du code pénal. La performance était réelle. Le déploiement, lui, était impossible.
Pourquoi une lecture unique ne suffit pas
La question n'est donc pas de choisir entre performance et conformité. C'est de comprendre que chacune, regardée seule, produit une fausse sécurité.
Une lecture uniquement technique identifie les gains d'efficacité et les indicateurs de performance. Elle ne voit pas les obligations de supervision humaine, les risques de discrimination indirecte, ni les clauses contractuelles avec les fournisseurs qui conditionnent la maîtrise réelle du système.
Une lecture uniquement juridique cartographie les obligations réglementaires et produit la documentation requise. Elle ne mesure pas si les seuils de décision sont économiquement justifiés, si les données d'entraînement sont représentatives, ni si la performance réelle du système justifie les coûts de mise en conformité.
Une lecture uniquement économique évalue le retour sur investissement et les gains de productivité. Elle doit s'enrichir de l'estimation des provisions pour l'engagement de la responsabilité civile et pénale en cas de défaillance, ainsi que des risques de dépendance contractuelle vis-à-vis des fournisseurs de modèles.
La triple lecture, juridique, économique, data, n'est pas un enrichissement optionnel du raisonnement. C'est la condition minimale pour que l'arbitrage soit fondé.
L'AI Act l'a également formalisé : les entreprises doivent désormais qualifier leur rôle dans la chaîne de valeur (fournisseur ou déployeur), cartographier leurs systèmes, documenter leur niveau de risque, et assurer une supervision humaine traçable. Ce sont des décisions qui mobilisent simultanément des compétences juridiques, des compétences data et des compétences économiques. Traiter l'un sans les autres, c'est produire un dossier de conformité incomplet ou un système performant mais exposé.
Ce que ça implique concrètement pour une organisation
Selon les enseignements du Baromètre France Num 2025, l'adoption de l'intelligence artificielle par les TPE et PME françaises est freinée par des enjeux de maîtrise et de sécurité. Si la crainte de la perte de contrôle des données personnelles reste un frein majeur, les préoccupations se cristallisent désormais sur la fiabilité des résultats produits : une part croissante de dirigeants redoute les erreurs techniques ou les "hallucinations" des outils d'IA. Par ailleurs, l'alignement avec les exigences de conformité (RGPD et IA Act) et la gestion des biais algorithmiques apparaissent comme des défis complexes pour des structures qui manquent souvent de compétences internes pour auditer ces solutions.
Ces préoccupations sont légitimes. Elles indiquent que les organisations perçoivent l'existence du risque sans disposer des outils pour l'évaluer. La cartographie des systèmes IA, première étape obligatoire de toute démarche de conformité sérieuse, reste absente dans la majorité des structures. De nombreux dirigeants découvrent tardivement que leurs outils métiers intègrent des composantes d'IA relevant du risque élevé : un logiciel RH avec module de scoring candidats, une solution de credit-scoring B2B, un outil de détection de fraude interne. Dans chacun de ces cas, la PME déployeuse est responsable au sens de l'AI Act, indépendamment du fait qu'elle ait ou non développé le système.
Le coût de cette découverte tardive n'est pas seulement réglementaire. Il est économique : reprise de projets déployés, renégociation de contrats fournisseurs, arrêt de systèmes en production, exposition contentieuse.
Verdict
La conformité et la performance d'un système algorithmique ne peuvent pas être évaluées séparément. Une organisation qui traite l'une comme une contrainte imposée à l'autre s'expose à deux types de défaillance simultanément : le risque juridique d'un système performant mais non conforme, et le risque économique d'un système conforme mais sans valeur réelle.
L'arbitrage entre performance et conformité est une décision structurante. Elle engage l'organisation sur le long terme, mobilise des compétences qui ne coexistent pas naturellement en interne, et produit des conséquences que seule une triple lecture permet d'anticiper correctement.