À l’approche de l’entrée en vigueur du deuxième volet de l’AI Act, Yuksel Aydin, RSSI et DPO chez RSM France, revient sur les enjeux concrets pour les entreprises : IA à haut risque, gouvernance, compétences hybrides, coopération… Une interview sans détour sur ce que change vraiment le règlement européen pour les RSSI et DPO.
SNC – Quels sont selon vous les systèmes d’IA les plus fréquemment utilisés en entreprise qui pourraient tomber sous la catégorie « à haut risque » avec cette nouvelle réglementation ?
Y. A. – L’IA est désormais omniprésente en entreprise, avec des gains de productivité majeurs. Mais l’AI Act rappelle qu’elle a aussi un impact sociétal, et impose aux entreprises de nouvelles responsabilités. Les systèmes « à haut risque », comme le tri de CV ou l’analyse d’imagerie médicale, restent autorisés, mais nécessitent une supervision humaine obligatoire. L’objectif n’est pas d’interdire, mais d’encadrer. Et les efforts demandés (cartographie, audit) peuvent être compensés par les gains de l’automatisation.
Et concrètement, comment ce deuxième volet va-t-il modifier la gestion des données sensibles et des infrastructures critiques ?
Sur de nombreux aspects, ce deuxième volet s’inscrit dans la continuité du RGPD : cartographie, analyse de risques, tests d’intrusion… Les entreprises appliquant déjà ces mesures sont en partie prêtes.
La vraie nouveauté, c’est la prise en compte de l’impact sur les utilisateurs. L’AI Act oblige à reconnaître les usages informels de l’IA (comme ChatGPT) et à leur donner un cadre. Il s’agit de sensibiliser les collaborateurs avec pragmatisme, car la plupart cherchent avant tout à gagner du temps, sans mauvaise intention.
La gouvernance devra se renforcer : le DPO aura un rôle accru sur la transparence, et le RSSI devra élargir sa notion de confiance, au-delà des systèmes, pour inclure la qualité des données et des modèles. Car des données biaisées produisent des IA biaisées. C’est là que commence la nouvelle responsabilité du RSSI.
On est donc dans une forme de continuité. Mais concernant la surveillance humaine des systèmes d’IA, devenue obligatoire avec l’AI Act, qu’est-ce que cela implique concrètement pour les entreprises ? Qui doit en avoir la charge, et avec quelles compétences ?
Le principal défi est humain, plus que financier : les entreprises manquent de profils capables d’encadrer l’IA. C’est déjà le cas en cybersécurité, où les compétences pratiques sont rares. Avec l’IA, il faut des experts hybrides, à la croisée de la sécurité, de la privacy et de la data science.
En France, ces métiers émergent à peine, alors que la demande explose. Former ces profils est une urgence. D’ici 2030, 15 % des métiers pourraient être transformés, et certains prédisent des entreprises unipersonnelles boostées par l’IA dès 2026. Dans ce contexte, la formation continue devient vitale.
Donc il faut être prêt. Et en Europe, en France, où en est-on selon vous ?
La France regorge de talents, d’ingénieurs brillants, d’entrepreneurs reconnus. Ce qui manque, c’est une vraie confiance collective et une culture du partage. Universités et entreprises collaborent encore trop peu, chacun avançant dans son coin au lieu d’enrichir ses idées par l’échange.
Des signaux positifs existent : l’intérêt d’Apple pour Mistral montre la qualité de notre écosystème. Mais il faut aller plus loin, dépasser la peur de se faire voler une idée, et renforcer les synergies, notamment dans des domaines d’intérêt commun comme la cybersécurité ou la protection des données.
Appliquer l’AI Act ne signifie pas tout réinventer. Plutôt que d’attendre des consignes précises de l’État tout en dénonçant la sur-réglementation, les entreprises doivent apprendre à naviguer, à adapter les règles à leur réalité. Une usine n’aura pas les mêmes priorités qu’un cabinet comme RSM. D’où l’importance de la coopération entre DPO, RSSI et acteurs de terrain.
Et si vous deviez donner un conseil concret aux entreprises pour se préparer à ces nouvelles obligations ?
Je le résumerais en quatre étapes : cartographier les usages de l’IA dans l’entreprise, classifier les cas (haut risque, interdit, faible impact), analyser la conformité actuelle, puis planifier les actions à mener, en tenant compte des priorités et des budgets.
Il ne faut pas voir l’AI Act comme une contrainte, mais comme une opportunité. Comme pour la cybersécurité il y a quelques années, se mettre en conformité permet non seulement de se protéger, mais aussi de gagner en maîtrise, en agilité, et en productivité.
Et en cas de non-conformité, à quels types de sanctions ou litiges peut-on s’attendre ?
Le régulateur peut sanctionner lourdement, qu’il s’agisse d’un géant comme Google ou d’une PME. Mais comme pour le RGPD, on peut s’attendre à une application proportionnée.
L’enjeu principal reste la responsabilité vis-à-vis des citoyens : instaurer une relation de confiance, être transparent. Au-delà des amendes, le risque réputationnel est réel : se faire épingler par la CNIL laisse des traces, surtout pour les entreprises visibles.
Finalement, est-ce que ce règlement ne pourrait pas aussi renforcer la confiance autour de l’IA en entreprise ?
Oui, l’AI Act peut clairement renforcer la confiance, en interne comme vis-à-vis des outils numériques. Il aide à clarifier les usages de l’IA, à rendre les processus plus transparents. Les dirigeants comprennent mieux les systèmes, les employés gagnent en lisibilité, et l’entreprise montre qu’elle prend ses responsabilités.
Et peut-être aussi rassurer les employés qui utilisent l’IA sans le dire, un peu en cachette ?
Oui, comme aux débuts d’Internet, beaucoup utilisent l’IA en cachette. Mieux vaut reconnaître ces usages, les encadrer et accompagner les employés. Chez RSM, on adopte une approche pragmatique : encourager l’usage responsable, sans mettre l’entreprise en risque.
Concrètement, comment accompagnez-vous cette transition chez RSM ?
Nous lançons à la rentrée une campagne de sensibilisation centrée sur deux principes : préserver l’indépendance intellectuelle, réfléchir avant de demander à l’IA et vérifier systématiquement les résultats, pour éviter le piège du biais d’autorité. Réfléchir avant de demander, vérifier avant de croire : c’est la clé d’un usage éclairé et responsable de l’IA.
