Le Règlement européen sur l’intelligence artificielle (AI Act) entre progressivement en vigueur et bouleverse déjà les pratiques. Cartographie des usages, traçabilité des décisions, gestion du shadow AI : les entreprises doivent anticiper pour éviter sanctions et blocages, mais aussi transformer la conformité en levier de confiance. Cédric Autret, expert IA chez Softeam (société acquise en 2019 par Docaposte, filiale numérique du groupe La Poste), décrypte les enjeux et livre ses conseils aux COMEX.
SNC : Pourquoi août 2025 est-il perçu comme un moment charnière pour les entreprises face à l’AI Act ?
Cédric Autret : En réalité, le premier tournant a déjà eu lieu il y a plusieurs mois : certaines pratiques inacceptables, comme l’usage de l’IA pour analyser les réactions d’un candidat lors d’un entretien d’embauche, sont interdites depuis le début de l’année. Ce qui change en août 2025 concerne les grands modèles (les GPAI, comme GPT-4, GPT-5, Claude, Gemini…). Les entreprises doivent dès maintenant diagnostiquer leurs usages : quels systèmes d’IA sont utilisés, de façon officielle ou non, et sont-ils conformes ? Le « shadow AI » est déjà une réalité, parfois innocente, mais risquée : les données envoyées à des systèmes non maîtrisés peuvent être réutilisées pour l’entraînement, voire accessibles à des juridictions étrangères.
Comment accompagnez-vous vos clients dans ce diagnostic ?
C.A. : C’est un travail de fond que nous connaissons bien. Nous menons des interviews par service (paye, RH, etc.) pour cartographier les systèmes existants, y compris les outils utilisés « à la marge ». Cela permet d’identifier les besoins, les tâches redondantes où l’automatisation a du sens, et de hiérarchiser les actions de mise en conformité.
Le texte impose registres, audits, traçabilité. Comment rendre ces preuves concrètes ?
C.A. : Dès qu’une décision est déléguée à une IA, il faut être capable d’en tracer le processus. Par exemple, si une IA trie des dossiers de location, il faut conserver les preuves permettant d’expliquer pourquoi tel dossier a été refusé. Docaposte propose déjà des solutions de stockage de preuves probantes. Nous travaillons aussi sur la recherche de biais (avec des tests de type red teaming) pour démontrer qu’un système ne discrimine pas.
Et face au phénomène du shadow AI ?
C.A. : La meilleure réponse, c’est le dialogue. Plutôt que d’interdire, il faut interroger les équipes sur leurs usages et leurs besoins, puis les accompagner. Les blocages techniques seuls ne suffisent pas : les utilisateurs trouveront toujours des moyens de contourner.
Avez-vous déjà mené des projets pilotes autour de l’AI Act ?
C.A. : L’AI Act est récent, mais ses principes rejoignent déjà l’ADN de Docaposte : respect de l’humain, souveraineté, conformité. Nous avons l’expérience du RGPD, de la facturation électronique, ou encore de la gestion documentaire. Cela nous donne une solide base pour accompagner nos clients dans l’intégration progressive des nouvelles exigences.
Quels secteurs sont les plus exposés ?
C.A. : Tous ceux qui interagissent directement avec le public : la banque (octroi de crédit), la santé (dossier patient, génération de comptes rendus), l’immobilier… Les risques majeurs concernent la discrimination et les biais systémiques.
Comment transformer cette contrainte en levier de confiance et de compétitivité ?
C.A. : Pour Docaposte, c’est naturel : la dimension humaine est au cœur de notre mission. Mettre la conformité en avant, c’est créer un avantage compétitif face à des acteurs internationaux pour qui seule la rentabilité compte.
L’AI Act croise aussi d’autres enjeux : numérique responsable, souveraineté…
C.A. : Exactement. Utiliser un LLM massif pour tout et n’importe quoi n’a pas de sens, ni économique ni environnemental. Il existe des modèles plus légers, qui tournent en local sur un PC et suffisent largement à beaucoup d’usages. Nous conseillons à nos clients d’adapter la taille des modèles à leurs besoins : c’est plus frugal, plus souverain et plus efficace.
Quel conseil donneriez-vous à un COMEX aujourd’hui ?
C.A. : Mettre en place un comité de pilotage pluridisciplinaire, documenter exhaustivement les usages, travailler dès maintenant sur la qualité des données, et anticiper la certification auprès des futurs organismes notifiés. Attendre août 2026 pour se mettre en conformité, ce sera trop tard. Enfin, former et sensibiliser les équipes : l’IA doit être comprise comme un « stagiaire numérique », qu’il faut guider avec précision.
Un dernier mot ?
C.A. : Attention aux sanctions : elles peuvent aller jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial pour les pratiques interdites. L’AI Act n’est pas un gadget, c’est une norme structurante, et les entreprises doivent s’y préparer dès maintenant.
