Règlement européen sur l’IA : checklist de conformité pour les PME industrielles en 2026

1. Avez-vous déjà des outils avec une fonction IA, même vendus comme simple option logicielle ?

Passez en revue vos outils qualité, maintenance, ERP, MES, GMAO, vision industrielle, RH, service client et bureautique. Si un fournisseur parle de recommandation automatique, détection d’anomalie, classification, prédiction, génération de contenu ou scoring, vous avez probablement déjà de l’IA quelque part.

2. L’IA influence-t-elle seulement l’information, ou une décision importante ?

Un moteur qui aide à retrouver une procédure n’a pas le même niveau de sensibilité qu’un système qui influence le contrôle qualité, la sécurité d’une machine, l’affectation des équipes, le recrutement ou l’évaluation de salariés. Cette distinction vous dira si vous êtes dans une zone simple, intermédiaire ou beaucoup plus sensible.

3. Savez-vous quel rôle réglementaire vous jouez ?

Dans beaucoup de PME, l’entreprise n’est pas le “fournisseur” du système IA. Elle est plutôt le déployeur ou l’utilisateur opérationnel. Cela change surtout les obligations concrètes : bon usage, supervision humaine, documentation d’exploitation, remontée d’incidents et traçabilité minimale.

4. Utilisez-vous l’IA sur des sujets RH ou sécurité produit ?

C’est le test le plus simple pour repérer les zones rouges. Si l’IA intervient dans le recrutement, la présélection de candidats, l’organisation du travail, l’évaluation de performance, ou dans un produit, équipement ou composant soumis à des exigences de sécurité, le niveau d’attention doit monter immédiatement.

1. Avez-vous une liste unique des systèmes IA utilisés ou testés ?

Cette liste doit inclure :

• les outils déjà en production
• les pilotes en cours
• les tests menés par un service
• les fonctions IA activées chez un éditeur existant
• les usages informels avec des outils grand public

Dans une PME industrielle, les usages les plus oubliés sont souvent les plus banals : résumé d’emails, recherche documentaire, assistance commerciale, tri de tickets SAV, fonctions intelligentes dans des outils de vision ou de planification.

2. Pour chaque système, pouvez-vous préciser son propriétaire interne ?

Chaque usage doit avoir un responsable identifié. Pas forcément un expert IA. Un responsable métier suffit, à condition qu’il sache pourquoi l’outil est utilisé, ce qu’il influence et quand il faut remonter un problème.

3. Savez-vous quelles données entrent et quelles sorties sont utilisées ?

Il faut pouvoir répondre simplement : quelles données l’outil consomme, d’où elles viennent, si elles touchent à des données sensibles, quelle sortie il produit et qui la valide avant action.

4. Avez-vous classé chaque usage par criticité opérationnelle ?

Une méthode simple suffit pour commencer :

• Vert : aide documentaire, recherche interne, synthèse, support non décisionnel
• Orange : recommandation ou classement qui influence une décision métier
• Rouge : sécurité, conformité produit, RH, surveillance, évaluation de personnes, ou impact fort sur droits et obligations

Cette couleur ne remplace pas une qualification juridique complète, mais elle donne une première priorisation crédible.

1. Conservez-vous la documentation fournisseur pour chaque outil IA ?

Vous devez pouvoir retrouver rapidement la description de la fonctionnalité IA, les conditions d’usage prévues par le fournisseur, les limites connues, les consignes de supervision humaine et les restrictions d’usage.

Si votre fournisseur ne sait pas vous dire clairement ce que fait son module IA, c’est déjà un signal de risque.

2. Avez-vous une fiche interne d’usage par système ?

Pour chaque système, tenez une fiche d’une page avec :

• nom de l’outil
• fournisseur
• processus concerné
• équipe utilisatrice
• finalité métier
• données utilisées
• niveau de criticité
• responsable interne
• mode de validation humaine

Cette simple discipline réduit déjà fortement le risque de chaos documentaire.

3. Savez-vous prouver qu’un humain garde la main sur les décisions sensibles ?

Si l’IA suggère une action, qui la confirme ? Si elle signale une anomalie, qui tranche ? Si elle classe une candidature ou un incident, qui revoit le résultat ? Si vous ne pouvez pas montrer ce mécanisme, votre gouvernance est trop faible.

4. Tenez-vous un journal des incidents ou anomalies liés à l’IA ?

Il n’a pas besoin d’être sophistiqué. Un tableau simple suffit avec la date, le système concerné, l’incident observé, l’impact potentiel, la décision prise et l’action corrective.

Sans cela, vous ne pouvez ni apprendre, ni démontrer un pilotage sérieux.

1. Avez-vous nommé un sponsor direction et un référent opérationnel ?

Il faut au minimum deux rôles :

• un sponsor de direction pour arbitrer et prioriser
• un référent métier ou opérationnel pour suivre l’usage réel

Sans sponsor, personne ne tranche. Sans référent terrain, personne ne voit les dérives.

2. Existe-t-il une règle claire avant mise en production d’un nouvel usage IA ?

Avant tout lancement, posez systématiquement cinq questions :

• quel problème métier résout-on ?
• quelle donnée utilise-t-on ?
• qui valide les sorties ?
• quel risque en cas d’erreur ?
• qui est responsable après lancement ?

Si ce filtre n’existe pas, l’entreprise accumule rapidement des outils IA non cadrés.

3. Vos équipes savent-elles quand ne pas suivre la recommandation de l’outil ?

La supervision humaine ne se résume pas à “un humain regarde”. Les équipes doivent savoir reconnaître un résultat incohérent, une réponse incomplète, une recommandation inapplicable au contexte réel ou un cas où la décision doit rester 100 % humaine.

4. Avez-vous formé les équipes concernées à un niveau pratique ?

Pas besoin d’un grand programme académique. Il faut une formation courte et utile sur ce que l’outil fait, ce qu’il ne fait pas, ses limites, le bon canal d’escalade et la personne qui décide en dernier ressort.

Sans cette base, le risque d’usage naïf ou de confiance excessive augmente vite.

1. Pouvez-vous finaliser un inventaire complet en 30 jours ?

Objectif : lister tous les usages IA, même imparfaitement, et obtenir un premier classement vert / orange / rouge. Si cela vous semble impossible, c’est souvent le signe qu’il y a déjà plus d’usages dispersés que prévu.

2. Pouvez-vous auditer les zones orange et rouge dans les 60 jours ?

Sur ces usages, il faut vérifier en priorité :

• rôle de l’entreprise
• documentation disponible
• données concernées
• niveau de supervision humaine
• incidents possibles
• réponses du fournisseur

3. Pouvez-vous décider en 90 jours ce qu’il faut sécuriser, suspendre ou accélérer ?

À la fin du trimestre, chaque usage IA doit tomber dans une des trois cases suivantes :

• sécuriser : usage pertinent mais gouvernance insuffisante
• suspendre : usage trop flou, trop sensible ou mal documenté
• accélérer : usage bien cadré, faible risque, valeur claire

4. Avez-vous un point de passage direction mensuel jusqu’à fin 2026 ?

La conformité n’est pas un projet one shot. Un comité mensuel court suffit, à condition qu’il regarde les nouveaux usages, les incidents, les questions fournisseurs et les zones à recadrer.