Une entreprise de logistique aux Pays-Bas, 180 salariés, une équipe opérationnelle solide et une direction véritablement réfléchie, a fait appel à Karven fin 2025, convaincue d'être en bonne posture. Elle avait lu les résumés du Règlement sur l'IA. Elle avait assisté à deux webinaires. Sa responsable RH avait signalé l'échéance d'août 2026 six mois à l'avance. Lorsque nous avons réalisé l'inventaire, nous avons trouvé un outil de présélection de CV dans leur système de suivi des candidatures, activé comme une "fonctionnalité utile" dix-huit mois plus tôt. Personne n'avait procédé à sa classification. Personne n'avait de DPA avec le fournisseur de l'ATS couvrant cette activité de traitement spécifique. Personne n'avait informé les candidats de son existence. Au titre du Règlement, c'est un système d'IA à haut risque déployé sans preuve de conformité, sans journalisation ni documentation de surveillance humaine. Un seul outil. Dix-huit mois. Une lacune qui aurait posé un problème sérieux à l'approche du mois d'août.
Voilà ce que trouve réellement un audit de systèmes d'IA. Non pas ce que vous savez faire tourner, mais ce qui tourne et que vous avez oublié.
Karven a désormais réalisé douze audits de ce type pour des PME européennes. Voici ce qu'ils couvrent réellement.
Ce que couvre réellement un audit de systèmes d'IA
On imagine souvent un audit IA comme une évaluation technique : revue de code, évaluation de modèles, tests de sécurité. Cela en fait parfois partie. Mais ce qui importe le plus est généralement opérationnel et documentaire, non pas la qualité du modèle, mais la capacité à prouver qu'il est utilisé de manière appropriée.
Un audit complet couvre cinq domaines.
1. Découverte : identifier tout ce qui compte comme IA
Le premier travail consiste à constituer l'inventaire. Cela paraît simple. Ce ne l'est pas. L'IA est intégrée dans des dizaines d'outils que les entreprises utilisent déjà : la fonctionnalité de "planification intelligente" de votre logiciel de calendrier, l'analyse des sentiments sur les tickets de support client, la notation des candidats dans votre ATS, les signaux de fraude dans votre plateforme de paiement. Aucun de ces éléments ne ressemble à un "projet IA" pour la plupart des équipes opérationnelles. Tous peuvent néanmoins déclencher des obligations au titre du Règlement.
Nous consacrons la première journée de chaque audit à des entretiens avec les parties prenantes des RH, de la finance, des opérations et de l'IT. L'objectif est de faire remonter chaque outil qui utilise l'apprentissage automatique ou la prise de décision automatisée d'une manière qui affecte des personnes. L'inventaire est le fondement de tout : le reste en dépend.
2. Classification : mapper les outils sur les niveaux de risque
Une fois que vous savez ce que vous avez, vous le classifiez. Le Règlement utilise quatre niveaux : interdit, haut risque, risque limité et risque minimal. Pour les PME, la question critique est de savoir quels outils relèvent de la catégorie à haut risque au titre de l'Annex III.
La liste de l'Annex III est précise : systèmes d'emploi et de RH, notation de crédit et d'assurance, évaluation en matière d'éducation, accès aux services essentiels, identification biométrique. Si vous utilisez l'IA à l'une de ces fins, même comme fonctionnalité secondaire d'une plateforme plus large, vous êtes dans la catégorie à haut risque et le cadre de conformité complet s'applique.
Les décisions de classification doivent être documentées. Si vous déterminez qu'un outil n'est pas à haut risque, consignez les raisons par écrit. Les régulateurs qui se présenteront voudront voir le raisonnement, pas seulement la conclusion.
3. Documentation : ce qui existe par rapport à ce qui est requis
Les systèmes d'IA à haut risque requièrent un ensemble spécifique de documents : documentation technique du fournisseur, instructions d'utilisation, capacités de journalisation et preuves d'évaluation de conformité. En tant que déployeur, vous êtes en droit de les demander à votre fournisseur. S'il ne peut pas les fournir, c'est lui qui est hors conformité en tant que fournisseur, ce qui crée un risque pour vous.
Du côté du GDPR, les exigences documentaires se recoupent : Registre des Activités de Traitement, Accords de Traitement des Données, analyses d'impact relatives à la protection des données et avis de confidentialité. L'audit vérifie l'existence de ces documents, leur actualité et leur applicabilité effective au traitement par IA concerné. D'après notre expérience, environ 60 % des DPA que nous examinons dans les audits de PME ont été rédigés avant la mise en place du parc d'outils IA actuel de l'entreprise. Ils ne le couvrent pas.
4. Surveillance humaine : pouvez-vous réellement intervenir ?
Le Règlement exige que les déployeurs de systèmes à haut risque maintiennent la capacité de suspendre, de remplacer ou d'arrêter les sorties du système. Il exige également qu'une personne au sein de l'organisation comprenne les capacités et les limites du système et soit habilitée à agir.
C'est souvent une lacune dans la pratique. Les entreprises supposent que le fournisseur s'en charge. Le fournisseur suppose que l'entreprise a désigné quelqu'un. Sur douze audits, nous avons trouvé au moins une lacune de surveillance dans chaque cas. Parfois, l'outil ne propose aucune fonctionnalité de remplacement accessible au déployeur. Parfois, la personne nominalement responsable n'a jamais été réellement informée du système. L'audit vérifie les deux aspects et produit en sortie une cartographie précise des responsabilités.
5. Diligence raisonnable vis-à-vis des fournisseurs : ce que disent réellement vos contrats
Vos obligations au titre du Règlement ne disparaissent pas parce que l'IA a été développée par quelqu'un d'autre. Si vous déployez un système à haut risque, vous êtes responsable des conditions de déploiement. Cela signifie que vos accords avec les fournisseurs doivent couvrir les preuves d'évaluation de conformité, la documentation technique, les chaînes de sous-traitants, la résidence des données et les capacités de surveillance auxquelles vous avez droit.
Nous examinons chaque contrat fournisseur touchant un système d'IA dans le périmètre. Dans la pratique, la plupart nécessitent des mises à jour. Certains ne contiennent pas du tout les clauses spécifiques au Règlement. Quelques-uns, notamment des contrats SaaS plus anciens, n'ont même pas de DPA GDPR adéquat pour les activités de traitement actuelles.
Les lacunes que nous trouvons le plus souvent
Après douze audits, les tendances sont constantes. Voici ce que les PME manquent systématiquement.
Le problème des ATS. Les systèmes de suivi des candidatures intègrent presque universellement désormais une présélection de candidats assistée par IA. Cette fonctionnalité est souvent activée par défaut ou ajoutée comme une mise à niveau sans que quiconque ait formellement évalué les implications en matière de conformité. Le système est à haut risque au titre de l'Annex III. L'entreprise ne dispose d'aucune preuve de conformité, d'aucun processus d'examen des journaux, et les candidats n'ont pas été informés. Cette lacune se retrouve dans environ 8 audits sur 12.
L'angle mort des fonctionnalités intégrées. Les plateformes RH, les CRM et les outils financiers ajoutent discrètement des fonctionnalités d'IA depuis deux ans. "Analyses de performance", "scoring des opportunités commerciales", "détection d'anomalies dans les dépenses". Chacune d'entre elles qui touche à des décisions d'emploi ou à des décisions financières est potentiellement à haut risque. Comme personne n'a lancé de "projet IA" à proprement parler, personne n'a effectué le travail de classification.
Des DPA antérieurs au déploiement de l'IA. Une entreprise a signé un DPA avec son fournisseur CRM en 2021. En 2024, elle a activé la fonctionnalité de scoring des opportunités commerciales par IA. Le DPA ne la couvre pas. Le traitement se déroule sans base légale actuelle pour cette activité spécifique.
Aucune personne désignée pour la surveillance. Le Règlement exige que quelqu'un soit responsable du suivi des systèmes d'IA à haut risque. Dans la plupart des PME, personne n'a été formellement désigné à ce rôle. L'IT sait que les outils fonctionnent. Personne n'a été informé de leurs limites, personne n'a de pouvoir de remplacement en pratique, et personne n'examine les journaux.
Notifications manquantes aux candidats et aux employés. Les articles 13 et 14 du GDPR exigent la transparence sur le traitement, y compris le traitement assisté par IA. Les avis de confidentialité rédigés en 2020 ne mentionnent pas l'outil de présélection de CV introduit en 2023. Les exigences de consultation du comité d'entreprise en France, en Allemagne et aux Pays-Bas ajoutent une couche supplémentaire que plusieurs entreprises n'ont pas traitée.
Faire soi-même ou faire appel à des experts
Une évaluation honnête : une équipe interne compétente peut réaliser cet audit. Cela prend plus de temps et requiert une personne à l'aise pour lire la liste de l'Annex III du Règlement, interpréter la documentation des fournisseurs et avoir des échanges crédibles avec le juridique et l'IT simultanément. Si vous avez un DPO et un responsable conformité techniquement averti, vous avez les ingrédients nécessaires.
Là où les efforts internes tendent à montrer leurs limites : la phase d'inventaire. Les équipes internes sous-estiment le périmètre parce qu'elles se concentrent sur leurs projets IA connus, pas sur les fonctionnalités intégrées dans les outils existants. Elles ont également tendance à se montrer plus conciliantes avec les fournisseurs lorsqu'elles demandent de la documentation, alors que les fournisseurs de systèmes d'IA à haut risque sont légalement tenus de la fournir sur demande.
Faire appel à un prestataire externe est pertinent si votre équipe interne est déjà surchargée, si vous avez des outils d'IA dans une zone véritablement ambiguë (pas clairement à haut risque, pas clairement hors périmètre), ou si vous souhaitez que l'audit produise une documentation qui résisterait à un contrôle réglementaire.
Fourchette de coût pour un audit IA de PME avec accompagnement externe : de 8 000 à 25 000 euros, selon le nombre d'outils dans le périmètre et l'état de la documentation existante. Une entreprise avec 5 outils d'IA et des bases GDPR solides se situe en bas de la fourchette. Une entreprise avec 15 outils et un cadre GDPR qui n'a pas été revu depuis 2019 se situe en haut.
Le coût d'une amende pour une DPIA manquante sur un système à haut risque : jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial. Le calcul n'est pas compliqué.
Par où commencer
Réalisez d'abord l'inventaire, avant tout le reste. Deux jours, les bonnes parties prenantes, un processus d'entretiens structuré. Listez chaque outil qui utilise l'IA ou la prise de décision automatisée d'une quelconque façon qui affecte les employés, les clients ou les décisions financières. Pour chacun, notez le fournisseur, les données qu'il traite et s'il touche à une catégorie de l'Annex III.
Cette liste est votre feuille de route de conformité. Tout le reste, DPIA, prise de contact avec les fournisseurs, désignation des responsables de surveillance, documentation, découle de la connaissance de ce que vous avez réellement.
Si vous souhaitez de l'aide pour mener ce processus, ou si vous voulez que Karven compare vos résultats à ce que nous avons observé dans des entreprises similaires, Contactez-nous sur karven.ai/contact.
