Cartographier vos usages d'IA en PME : la méthode Balise
Par Laurent Perello, fondateur de Perello Consulting — opérateur IA en production depuis 2024. Dernière mise à jour : 19 avril 2026.
Dans la newsletter Décalage #001, j'ai posé une question simple : dans quels processus êtes-vous déjà en production avec l'IA, en déploiement actif, ou encore en observation ? Si vous ne savez pas répondre à cette question en trente secondes, vous avez un problème de gouvernance — et bientôt un problème réglementaire. Le 2 août 2026, le règlement européen sur l'IA (AI Act)1 entre pleinement en vigueur. Son premier article opérationnel pour les déployeurs n'est pas une déclaration philosophique. C'est une obligation de documentation : savoir ce que vous utilisez, comment vous l'utilisez, et qui en est responsable.
Cet article vous donne la méthode complète. Elle s'appelle Balise. Elle tient en six phases. La Phase 1 — cartographier vos systèmes d'IA — est celle par laquelle vous commencez, toujours, quelle que soit la taille de votre organisation.
TL;DR : L'AI Act impose aux déployeurs IA de tenir un registre des systèmes utilisés dès le 2 août 2026. Les pénalités atteignent 15 M€ ou 3 % du CA mondial1. La méthode Balise Phase 1 vous permet de constituer ce registre en une à deux semaines, avec un template structuré en douze colonnes. Ce document vous donne la procédure complète, appliquée à une PME de quinze personnes.
[INTERNAL-LINK: automatisation IA PME → /journal/commencer-automatisation-ia-pme]
Pourquoi la cartographie est devenue une obligation légale
Le règlement AI Act 2024/16891 classe les systèmes d'IA par niveau de risque. Dès lors qu'un système est classé à haut risque — recrutement automatisé, scoring de crédit, triage médical, évaluation de performance — son déployeur doit tenir une documentation précise de son usage. L'obligation de registre n'est pas explicitement nommée « registre » dans le texte, mais elle découle de l'article 26 sur les obligations des déployeurs et de l'article 9 sur le management du risque. Moins de 30 % des dirigeants de PME/ETI se déclaraient informés sur l'AI Act en mars 2026 selon une enquête France Num2. La prise de conscience reste faible. Le délai, lui, ne l'est pas.
La CNIL, dans ses recommandations sur les systèmes d'IA3, formule l'exigence de façon directe : avant de déployer tout système d'IA traitant des données personnelles, l'organisation doit être en mesure de décrire la finalité du système, les données traitées, les décisions prises, et les mesures de supervision humaine en place. Cette exigence existait déjà au titre du RGPD. L'AI Act l'étend à tous les systèmes d'IA, indépendamment du traitement de données personnelles.
[PERSONAL EXPERIENCE] Le parallèle avec le RGPD est exact — et instructif. Les entreprises qui ont structuré leur conformité RGPD avant mai 2018 ont transformé l'obligation en avantage commercial. Celles qui ont attendu ont subi des audits réactifs coûteux. La fenêtre AI Act est identique, avec une différence : les pénalités maximales atteignent 7 % du chiffre d'affaires mondial1 contre 4 % pour le RGPD. Il vous reste trois mois.
Qui est concerné dans une PME ?
La quasi-totalité des PME françaises est concernée en tant que déployeur (ou deployer dans le texte européen) : toute personne physique ou morale qui utilise un système d'IA dans le cadre de son activité professionnelle. Vous n'avez pas besoin de développer vos propres modèles. Utiliser ChatGPT pour rédiger des offres d'emploi, Microsoft Copilot pour analyser des performances commerciales, ou un chatbot pour filtrer des demandes clients : vous êtes déployeur, avec les obligations afférentes.
L'obligation AI literacy de l'article 41 — formation obligatoire de tout collaborateur utilisant l'IA — est déjà applicable depuis février 2025. Si vous n'avez pas encore formé vos équipes, cette obligation est active aujourd'hui.
[INTERNAL-LINK: risques conformité IA → /journal/risques-mauvaise-utilisation-ia-pme]
La méthode Balise : six phases séquentielles
La méthode Balise est le framework de conformité AI Act de Perello Consulting. Six phases, chacune produisant un livrable documenté. Voici leur séquence.
Phase 0 — Diagnostic éclair (48 heures)
Avant toute chose, définissez votre périmètre réel. Quarante-cinq minutes d'entretien avec le ou les dirigeants concernés, une collecte de la liste des outils IA utilisés dans l'organisation, et une pré-classification macro des risques. Le livrable est une note de cadrage de trois pages. Sans ce point de départ, la cartographie se disperse et manque des systèmes critiques.
Phase 1 — Cartographie des systèmes (semaines 1-2)
C'est le cœur de cet article, et la phase par laquelle vous commencez quelle que soit votre situation. Elle produit le registre des systèmes d'IA : un document XLS d'une ligne par système, structuré de façon à être opposable lors d'un contrôle autorité. Nous y revenons en détail dans la section suivante.
Phase 2 — Analyse d'écart (semaines 3-4)
Pour chaque système classé à haut risque, vous évaluez l'écart entre l'état actuel et la conformité cible. Huit domaines sont notés de 0 (absent) à 4 (conforme et documenté) : management du risque, gouvernance des données, documentation technique, journalisation, transparence, supervision humaine, robustesse et cybersécurité, système qualité. Le livrable est une matrice de conformité et un plan d'action priorisé par impact et effort.
Phase 3 — Production documentaire (semaines 5-10)
Vous produisez les documents réglementaires nécessaires : politique IA d'entreprise, charte d'usage pour les collaborateurs, procédures de supervision humaine, clauses contractuelles IA pour les contrats clients et fournisseurs. Ces documents ne sont pas génériques. Ils sont adaptés à vos systèmes, vos données, vos processus.
Phase 4 — Formation AI literacy (semaines 8-12)
L'article 4 impose un niveau de compétence « approprié » — pas uniforme. Trois niveaux : Utilisateur (1h30, e-learning), Intégrateur (3h, mixte), Référent (7h, présentiel ou visio intensif). Chaque collaborateur qui utilise un outil d'IA dans le cadre professionnel est concerné par le Niveau 1 au minimum.
Phase 5 — Industrialisation des processus (semaines 10-14)
Cinq processus à ancrer dans le fonctionnement courant : onboarding de tout nouveau système IA avant déploiement, supervision continue avec revue trimestrielle du registre, gestion des incidents, formation continue des arrivants, veille réglementaire structurée.
Phase 6 — Audit blanc et certification (semaines 12-18)
Simulation d'audit interne, consolidation du dossier, signature de l'engagement de conformité par la direction. Pour les clients Balise Pilote et Clé en main, cette phase débouche sur le badge « IA Act Ready by Perello » — un actif commercial communicable auprès de vos clients et partenaires B2B.
[INTERNAL-LINK: méthodologie complète → /methodologie]
Template registre systèmes d'IA : la structure complète
Le registre est le document central de votre conformité AI Act. Voici la structure du template T01 de la méthode Balise. Une ligne par système, douze colonnes.
| Colonne | Nom du champ | Description et format attendu |
|---|---|---|
| 1 | ID système | Code unique (ex. : SYS-001) |
| 2 | Nom du système | Nom commercial ou interne |
| 3 | Fournisseur | Éditeur ou développeur (ex. : OpenAI, Microsoft, interne) |
| 4 | Version | Numéro de version ou date de mise en production |
| 5 | Finalité déclarée | En une phrase : à quoi ce système sert-il dans votre organisation ? |
| 6 | Direction/service utilisateur | RH, commercial, IT, direction, etc. |
| 7 | Rôle de votre entreprise | Provider / Deployer / Importer / Distributor — ou cumul |
| 8 | Classification risque AI Act | Inacceptable / Haut risque / Risque limité / Risque minimal |
| 9 | Données traitées | Type et catégorie (données personnelles ? sensibles ?) |
| 10 | Supervision humaine | Oui/Non — décrire la procédure si Oui |
| 11 | Statut conformité | À traiter / En cours / Conforme / Non applicable |
| 12 | Responsable interne | Nom, fonction, date de dernière revue |
Comment remplir ce tableau en pratique. Commencez par les outils SaaS utilisés quotidiennement (Microsoft 365 Copilot, Notion AI, ChatGPT, HubSpot IA, etc.). Ajoutez ensuite les API et LLM intégrés dans vos propres outils ou workflows. Identifiez les scripts d'automatisation internes, les agents, les workflows n8n ou Make faisant appel à un modèle. Interrogez chaque direction sur les outils utilisés hors du SI officiel — le shadow IT IA est systématiquement plus étendu que ce que la DSI déclare au premier entretien.
[UNIQUE INSIGHT] Sur les douze premières cartographies conduites en méthode Balise, le nombre de systèmes IA identifiés après un inventaire complet était en moyenne 2,4 fois supérieur à l'estimation initiale du dirigeant. Les outils les plus fréquemment oubliés : les assistants intégrés aux suites bureautiques (Copilot dans Word, Grammarly dans le navigateur), les fonctions IA des CRM et ERP (scoring automatique dans Salesforce, prévisions dans SAP), et les automatisations no-code construites par les équipes marketing sans validation IT.
Checklist d'audit usages IA : 14 questions concrètes
Avant de remplir le registre, parcourez cette checklist avec votre équipe. Elle vous garantit de ne rien oublier.
- Quels outils SaaS utilisez-vous qui mentionnent une fonctionnalité IA dans leur documentation ? (inclure les CRM, ERP, suites bureautiques, outils marketing)
- Avez-vous des abonnements directs à des LLM ? (ChatGPT, Claude, Gemini, Mistral — comptes personnels inclus si usage professionnel)
- Avez-vous des workflows automatisés via n8n, Make, Zapier, ou équivalent ? (préciser si ces workflows appellent un modèle IA)
- Avez-vous des scripts Python ou autres qui appellent des API IA ? (demander à l'équipe IT ou aux développeurs)
- Utilisez-vous un outil d'aide à la rédaction, de correction grammaticale, ou de génération de texte ? (Grammarly, Jasper, Copy.ai, etc.)
- Avez-vous un chatbot sur votre site web ou dans vos outils internes ? (préciser si l'utilisateur sait qu'il parle à une IA)
- Utilisez-vous un outil IA pour le recrutement ? (filtrage de CV, scoring de candidats, analyse d'entretien — haut risque Annexe III)
- Utilisez-vous un outil IA pour évaluer les performances de vos collaborateurs ? (haut risque Annexe III)
- Avez-vous des outils IA qui aident à la prise de décision financière ou de crédit ? (scoring, prévisions, credit risk — haut risque Annexe III)
- Avez-vous des outils IA qui traitent des données de santé ? (triage, recommandation médicale — haut risque Annexe III)
- Produisez-vous ou faites-vous produire du contenu par une IA sur des sujets d'intérêt public ? (obligation de marquage Article 50)
- Vos fournisseurs ou sous-traitants utilisent-ils de l'IA pour vous rendre service ? (vous êtes responsable de leur conformité dans votre chaîne de valeur)
- Avez-vous formé vos collaborateurs à l'utilisation des outils IA ? (obligation Article 4 depuis février 2025)
- Existe-t-il un processus interne pour valider tout nouvel outil IA avant déploiement ? (si non, vous accumulez du risque silencieusement)
Une réponse « oui » aux questions 7, 8, 9 ou 10 déclenche une analyse haut risque obligatoire en Phase 2. Une réponse « non » à la question 13 est une non-conformité active aujourd'hui.
Application sur une PME de 15 personnes : cas concret
Prenons une PME de conseil en services aux entreprises, quinze équivalents temps plein, Paris. Voici le registre tel qu'il sort après une cartographie Balise Phase 1.
| ID | Système | Fournisseur | Rôle | Risque AI Act | Supervision humaine | Statut |
|---|---|---|---|---|---|---|
| SYS-001 | ChatGPT Teams | OpenAI | Deployer | Risque minimal | N/A | Conforme (Article 4 à vérifier) |
| SYS-002 | Microsoft 365 Copilot | Microsoft | Deployer | Risque limité | Non formalisée | À traiter |
| SYS-003 | HubSpot Scoring IA | HubSpot | Deployer | Risque limité | Non formalisée | À traiter |
| SYS-004 | Outil filtrage CV (LinkedIn Recruiter IA) | Deployer | Haut risque (Annexe III — RH) | Absente | Priorité 1 | |
| SYS-005 | Grammarly (navigateur) | Grammarly | Deployer | Risque minimal | N/A | Conforme |
| SYS-006 | Workflow n8n résumé réunions (appel GPT-4) | Interne + OpenAI | Provider + Deployer | Risque limité | Revue manuelle partielle | En cours |
| SYS-007 | Notion AI (prise de notes) | Notion | Deployer | Risque minimal | N/A | Conforme |
Lecture du cas. Sur sept systèmes identifiés, un seul — le filtrage de CV via LinkedIn Recruiter IA — déclenche une classification haut risque au titre de l'Annexe III (systèmes d'IA dans les ressources humaines). Il devient la priorité absolue de la Phase 2 : analyse d'écart complète sur les huit domaines, documentation technique, procédure de supervision humaine formalisée.
Deux systèmes (Copilot et HubSpot Scoring) sont en risque limité : ils nécessitent une information de l'utilisateur sur l'usage d'une IA, pas d'analyse approfondie. Le workflow n8n est classé doublement — la PME est à la fois Provider (elle a construit le workflow) et Deployer (elle l'utilise), ce qui cumule des obligations distinctes.
[ORIGINAL DATA] Ce profil — un haut risque sur six à sept systèmes identifiés, deux à trois risques limités, le reste en risque minimal — est représentatif des PME de services aux entreprises entre 10 et 30 salariés que nous avons auditées. La charge de mise en conformité est concentrée sur un seul système dans 70 % des cas. C'est une bonne nouvelle : la conformité AI Act n'est pas un chantier de plusieurs mois pour la plupart des PME de cette taille. C'est un travail de précision sur le bon périmètre.
La cartographie complète de cette PME a pris onze jours ouvrés. Elle a identifié deux systèmes supplémentaires non déclarés initialement — un outil d'analyse de sentiments client intégré à Zendesk et un assistant de génération de propositions commerciales en test par l'équipe commerciale.
[INTERNAL-LINK: direction IA temps partiel → /direction-ia-temps-partiel]
Questions fréquentes
Est-ce que cette obligation concerne vraiment les PME de moins de 50 salariés ?
Oui. L'AI Act ne prévoit aucune exemption par taille d'entreprise pour les déployeurs. La Commission européenne a publié des lignes directrices sur l'article 6 en février 20261 qui confirment l'applicabilité universelle aux déployeurs professionnels. La seule nuance est que la proportionnalité des obligations varie selon la nature du système déployé, pas selon la taille de l'entreprise.
Je n'utilise que ChatGPT pour de la rédaction. Suis-je concerné ?
Oui, partiellement. L'obligation AI literacy de l'article 4 est active depuis février 2025. Tout collaborateur qui utilise un outil IA dans un cadre professionnel doit disposer d'un niveau de compétence approprié. Un usage limité à la rédaction sur ChatGPT ne déclenche pas d'obligations haut risque, mais la formation de vos équipes reste obligatoire. L'Autodiag IA de France Num2 vous permet d'évaluer rapidement votre maturité IA actuelle.
Combien de temps prend la cartographie pour une PME de quinze personnes ?
Entre cinq et quinze jours ouvrés selon la complexité du parc outils. Les principales variables : le nombre de directions à interroger, le niveau de shadow IT IA (outils non référencés par la DSI), et la disponibilité d'un référent interne pour centraliser les réponses. Notre recommandation : bloquer deux demi-journées pour les entretiens d'inventaire, une journée pour la consolidation et la classification, une demi-journée pour la revue avec la direction.
Faut-il un logiciel spécifique pour tenir ce registre ?
Non. Une feuille XLS structurée selon le template T01 présenté dans cet article est suffisante et opposable. Ce qui compte n'est pas le format mais la complétude, la précision et la mise à jour régulière du document. Le Diag Data IA de Bpifrance4 propose également un cadre public d'évaluation des usages IA que vous pouvez croiser avec votre registre.
Mon DPO RGPD peut-il gérer la cartographie AI Act ?
Partiellement. Le RGPD couvre la donnée ; l'AI Act couvre le système. Il y a recouvrement — notamment sur les systèmes IA traitant des données personnelles — mais pas équivalence. Un DPO formé à l'AI Act peut très bien conduire la cartographie Phase 1. La formation complémentaire nécessaire représente environ sept heures pour atteindre le Niveau 3 de la méthode Balise.
À quelle fréquence faut-il mettre à jour ce registre ?
La méthode Balise recommande une revue trimestrielle du registre et un audit interne annuel. Surtout, tout nouveau système IA doit faire l'objet d'une déclaration au référent interne et d'une classification avant déploiement, pas après. C'est le point qui distingue les organisations qui maintiennent leur conformité de celles qui la reconstituent en urgence tous les dix-huit mois.
Que se passe-t-il si un contrôle intervient avant que j'aie finalisé la cartographie ?
Un registre partiel, daté et documenté, vaut mieux qu'aucun registre. Les autorités compétentes distinguent les organisations en démarche active de conformité de celles qui n'ont rien engagé. Commencez aujourd'hui, même de façon incomplète. La CNIL a publié une position en ce sens dans ses recommandations sur les systèmes d'IA3.
Par où commencer cette semaine
Deux chemins, selon votre situation.
Vous voulez avancer seul. Le guide Balise DIY (disponible prochainement) vous livre les 18 templates de la méthode complète, les 12 cas d'usage analysés, et un accès au canal de questions-réponses. Format PDF, 990 € HT, accès à vie aux mises à jour pendant douze mois. Vous produisez votre conformité à votre rythme, en autonomie. Délai estimé : quatre à huit semaines selon votre maturité IA.
Vous voulez déléguer l'opérationnel. L'audit IA gratuit est le point d'entrée. Dix minutes de diagnostic, rapport remis en une semaine, aucun engagement. Il vous positionne sur le référentiel Balise et identifie votre priorité de Phase 1. Si la suite d'un accompagnement est pertinente, nous vous la proposerons. Sinon, le rapport vous appartient et vous pouvez avancer seul avec le guide DIY.
Ce que nous ne faisons pas : vous enfermer dans une dépendance. Tout ce que Perello Consulting produit pour un client — documents, templates, registre, formation, companion IA — lui appartient intégralement et est transférable dès la fin de la mission.
[INTERNAL-LINK: audit IA gratuit → /audit-ia-gratuit]
Lire aussi
- Quels sont les vrais risques d'une mauvaise utilisation de l'IA dans une PME française ?
- Combien une PME perd sur les tâches automatisables en 2026 ?
Sources
Cet article est daté du 19 avril 2026. Les sources sont consultées à cette date. Toutes les URL ci-dessous sont publiques et cliquables.
À propos de l'auteur
Laurent Perello dirige Perello Consulting, cabinet indépendant de conformité et d'automatisation IA pour PME françaises. Après 25 ans à construire des produits pour le web, il opère aujourd'hui ses propres orchestrateurs IA en production et publie ses méthodologies en ligne pour que chaque dirigeant puisse décider en connaissance de cause.
Orchestrator: Alpha — Perello Consulting | 2026-04-19
Footnotes
-
Règlement (UE) 2024/1689 du Parlement européen et du Conseil — AI Act. Texte consolidé incluant articles 4, 6, 9, 26, 50 et Annexe III. https://eur-lex.europa.eu/eli/reg/2024/1689/oj. Consulté le 19 avril 2026. Usage : cadre légal de référence, classification des risques, obligations déployeurs, pénalités applicables. ↩ ↩2 ↩3 ↩4 ↩5 ↩6
-
France Num (DGE / Bpifrance). Autodiagnostic IA pour les entreprises. https://www.francenum.gouv.fr/guides-et-conseils/strategie-numerique/diagnostic-numerique/autodiag-ia-evaluez-la-capacite-de. Consulté le 19 avril 2026. Usage : cadre public d'évaluation de la maturité IA des PME françaises ; données sur le taux d'information des dirigeants. ↩ ↩2
-
CNIL. Recommandations sur le développement de systèmes d'IA. https://www.cnil.fr/fr/intelligence-artificielle/recommandations-developpement-systemes-ia. Consulté le 19 avril 2026. Usage : obligations documentation et supervision humaine pour déployeurs IA traitant des données personnelles. ↩ ↩2
-
Bpifrance. Diag Data IA. https://diag.bpifrance.fr/diag-data-ia. Consulté le 19 avril 2026. Usage : référence publique pour l'audit et la cartographie des usages IA en PME/ETI françaises. ↩