Inventaire des usages d’intelligence artificielle : le vrai point de départ de la conformité AI Act
Dans les directions marketing, la mise en conformité AI Act commence par un inventaire précis des systèmes d’intelligence artificielle déjà en production. Une ETI française du retail a ainsi cartographié quarante-sept cas d’usage internes et fournis en mode SaaS, dont douze classés comme systèmes à haut niveau de risque au regard du règlement européen sur l’IA adopté par le Parlement européen en mars 2024 et du RGPD, en raison de l’impact potentiel sur les droits fondamentaux des clients et des salariés. Cet exemple, issu d’un retour d’expérience interne anonymisé, illustre les constats généraux présentés dans les dossiers « AI Act et organisations » de Service Public Entreprises (édition 2024) et dans l’étude KPMG France 2023 sur la maturité IA, qui soulignent la sous-estimation fréquente des cas d’usage réellement en production. L’inventaire a révélé des modèles d’usage intégrés dans des plateformes CRM, des outils de scoring et des systèmes de recommandation, souvent déployés par des fournisseurs externes sans réelle documentation technique ni déclaration de conformité formelle.
Pour un Head of Marketing, le premier enjeu n’est pas la technologie mais le système de gestion des risques qui encadre ces usages. Les juristes internes de cette ETI ont imposé une matrice d’évaluation des risques très lisible, croisant niveau de risque pour les personnes, criticité business et dépendance aux données personnelles, afin de qualifier chaque système à risque et chaque système à risque faible. Ce type d’approche est cohérent avec les recommandations de la CNIL sur les algorithmes (lignes directrices 2020 et 2022) et avec les exigences de gestion des risques prévues par le règlement (UE) sur l’intelligence artificielle. Résultat concret : les campagnes pilotées par une plateforme de marketing automation ont été reclassées comme systèmes de risque moyen, avec obligation de documentation technique renforcée, de mise en conformité progressive du système et de revue trimestrielle par les équipes data et conformité.
Cette même entreprise a dû revoir ses relations avec ses fournisseurs de solutions d’intelligence artificielle marketing. Les obligations des fournisseurs au titre de la loi européenne ont été intégrées dans les contrats, avec des clauses spécifiques sur la gestion des risques IA, la conformité au règlement sur l’intelligence artificielle et la fourniture d’une déclaration de conformité AI Act pour les systèmes à haut niveau de risque. À titre d’exemple, une clause type prévoit que « le Fournisseur s’engage à maintenir un système de gestion des risques IA documenté, à fournir au Client, sur demande, la documentation technique nécessaire à la démonstration de conformité au règlement (UE) sur l’intelligence artificielle et à notifier sans délai tout incident grave lié au système ». Ce type de clause s’inspire des modèles contractuels commentés dans les analyses 2023–2024 de MDP Data sur les obligations des fournisseurs d’IA. Sans cette mise en conformité contractuelle, les directions marketing se retrouvent exposées en première ligne face aux autorités nationales de l’Union européenne, alors même que le pouvoir de négociation reste souvent du côté des grandes plateformes mondiales.
Matrice de risque, contrôle humain et documentation : ce que les DSI exigent désormais des projets marketing IA
Dans les entreprises qui prennent au sérieux la conformité AI Act, les DSI imposent désormais une matrice de niveau de risque commune à tous les métiers, y compris le marketing. Chez un acteur français du e-commerce B2C, cette matrice distingue clairement les systèmes de gestion de campagnes, les systèmes de scoring client et les systèmes de recrutement marketing, avec des exigences graduées de documentation technique, de traçabilité et de supervision humaine selon le niveau de risque. Les systèmes de gestion des ressources humaines, très surveillés par la CNIL dans ses recommandations de 2020 et 2022 sur les algorithmes RH, ont été classés comme systèmes de risque élevé, tandis que certains outils de personnalisation de contenu ont été considérés comme systèmes de risque faible mais soumis à une évaluation annuelle documentée, conformément à l’esprit des contrôles renforcés annoncés par la CNIL dans ses communications 2021–2023.
La fiche « contrôle humain » est devenue l’outil clé de cette mise en œuvre de la conformité des systèmes d’intelligence artificielle. Pour chaque système à risque, la fiche précise qui valide les modèles d’usage, qui peut suspendre la mise en production, à quelle fréquence les décisions automatisées sont échantillonnées et revues, et comment les droits fondamentaux des personnes sont garantis en pratique. Cette mise en conformité opérationnelle dépasse largement la simple charte d’usage responsable, et elle oblige les directions marketing à articuler leurs objectifs de performance avec un système de gestion des risques robuste et documenté, tel que décrit dans les fiches pratiques « Comprendre l’AI Act » de Service Public Entreprises (2024) et dans les retours d’expérience compilés par KPMG France sur la gouvernance IA.
Un cas pratique illustre cette évolution : dans une ETI B2C, un moteur de recommandation produit a été requalifié en système de risque moyen après analyse conjointe DSI–marketing–juridique. Le projet a intégré un registre des décisions automatisées, un tableau de bord de dérives potentielles et une revue trimestrielle des biais, avec à la clé une réduction de 18 % des réclamations clients liées aux recommandations jugées intrusives. Ce chiffre, issu d’un benchmark interne consolidé par MDP Data dans ses analyses 2023–2024 sur les effets de la mise en conformité IA, illustre l’impact concret d’un pilotage rigoureux. Les sanctions prévues par la loi européenne sur l’intelligence artificielle changent ainsi la conversation budgétaire avec les directions générales. Les montants de sanctions pouvant atteindre plusieurs dizaines de millions d’euros, calculés en pourcentage du chiffre d’affaires mondial, comme le rappelle la fiche « Comprendre l’AI Act » publiée par Service Public Entreprises en 2024, rendent intenable toute approche superficielle de la conformité AI Act. Les Head of Marketing qui continuent à traiter la conformité des systèmes IA comme un sujet purement juridique, sans mise en œuvre concrète dans les plateformes et les flux de données marketing, prennent un risque stratégique qui dépasse largement le périmètre de leurs campagnes.
Gouvernance, CNIL et piège du « responsable IA » isolé : les arbitrages que les directions marketing ne peuvent plus éviter
La montée en puissance des contrôles des autorités nationales, en particulier de la CNIL sur les systèmes RH et les usages marketing des données, oblige les entreprises à clarifier leur gouvernance de l’intelligence artificielle. Dans plusieurs ETI industrielles, le « responsable IA » a été nommé au sein de la DSI sans mandat clair sur les données marketing, ce qui a créé un système de gestion fragmenté et une mise en conformité partielle des systèmes utilisés par les équipes de campagne. Ce modèle isolé montre vite ses limites lorsque les plateformes d’activation média, les outils de scoring et les systèmes de recommandation croisent des données RH, CRM et web analytics, comme l’illustrent les cas de contrôle décrits dans les rapports d’activité 2021–2023 de la CNIL.
Les directions marketing les plus avancées travaillent désormais avec la DSI et la direction juridique sur une gouvernance partagée de la conformité AI Act. Cette gouvernance couvre la mise en conformité des systèmes existants, la revue des annexes contractuelles avec les fournisseurs, la définition des obligations des fournisseurs en matière de documentation technique, ainsi que la préparation des déclarations de conformité pour les systèmes à haut risque. L’étude KPMG France 2023 sur l’adoption des chartes d’usage responsable de l’IA montre d’ailleurs que si plus de la moitié des grandes organisations ont adopté une charte, moins d’un tiers disposent d’un dispositif de gouvernance IA réellement opérationnel, ce qui confirme l’urgence d’un pilotage conjoint marketing–DSI–juridique et d’une articulation claire avec les exigences de l’AI Act.
Pour un Head of Marketing, la question n’est plus de savoir si l’AI Act s’applique, mais à quel niveau de risque chaque système IA marketing se situe et comment la conformité AI Act est démontrée, preuves à l’appui. Les entreprises qui réussiront ce virage seront celles qui auront traité la conformité des systèmes d’intelligence artificielle comme un investissement de gouvernance, et non comme un coût de mise en conformité subi. Dans ce contexte, la vraie différenciation ne viendra pas de la prochaine démo de plateforme, mais de la solidité du dossier de conformité présenté au quatrième trimestre en cas de contrôle, dossier qui devra s’appuyer sur un inventaire exhaustif, une matrice de risques partagée, des fiches de contrôle humain et des contrats fournisseurs alignés sur le règlement européen.
Chiffres clés sur l’AI Act et la conformité des systèmes d’IA
- Les sanctions prévues par l’AI Act peuvent atteindre jusqu’à plusieurs dizaines de millions d’euros, en pourcentage du chiffre d’affaires mondial des organisations concernées, selon le texte adopté par le Parlement européen en mars 2024 et les synthèses publiées par Service Public Entreprises dans ses dossiers 2024.
- Une large majorité d’organisations françaises ont déjà adopté une charte d’usage responsable de l’intelligence artificielle, mais peu disposent d’un système de gestion des risques pleinement aligné sur l’AI Act, comme le souligne l’étude KPMG France 2023 sur la maturité IA et la gouvernance des algorithmes.
- Les autorités nationales de protection des données, comme la CNIL, annoncent un renforcement des contrôles sur les systèmes d’IA utilisés pour les ressources humaines et les activités marketing sensibles, dans la continuité de leurs lignes directrices publiées entre 2020 et 2023 sur les algorithmes, la prospection commerciale et la gestion des données RH.
- Les obligations au titre de l’AI Act incluent l’inscription des systèmes à haut risque dans une base européenne, le marquage CE, un système de gestion des risques documenté et une supervision humaine effective, tels que décrits dans le règlement européen sur l’intelligence artificielle et détaillés dans les fiches pratiques de Service Public Entreprises 2024.
Questions fréquentes sur l’AI Act et la conformité pour les directions marketing
Comment une direction marketing doit elle lancer son projet de conformité AI Act ?
Le point de départ est un inventaire exhaustif des systèmes d’intelligence artificielle utilisés pour le ciblage, la personnalisation, le scoring et l’automatisation des campagnes, y compris ceux intégrés dans des plateformes externes. Chaque système doit être rattaché à un niveau de risque, en fonction des données traitées, de l’impact potentiel sur les droits fondamentaux et du degré d’autonomie de la décision. Cet inventaire sert ensuite de base à la priorisation de la mise en conformité, en concentrant les efforts sur les systèmes à risque élevé ou critique, comme le recommandent les guides opérationnels de Service Public Entreprises et les bonnes pratiques recensées par KPMG France.
Quels sont les systèmes marketing les plus exposés au regard de l’AI Act ?
Les systèmes de scoring individuel, les moteurs de recommandation personnalisée et les outils d’optimisation dynamique des prix sont particulièrement sensibles, car ils combinent données personnelles, décisions automatisées et impact direct sur les personnes. Lorsqu’ils interfacent avec des données RH, par exemple pour la gestion des forces de vente ou le recrutement marketing, ces systèmes peuvent basculer dans la catégorie des systèmes à haut risque. Ils exigent alors une documentation technique renforcée, une supervision humaine structurée et, le cas échéant, une déclaration de conformité AI Act, en cohérence avec les exigences de transparence et de gestion des risques rappelées par la CNIL et par le règlement européen.
Comment articuler RGPD et AI Act dans les projets marketing ?
Le RGPD reste le socle pour la protection des données personnelles, tandis que l’AI Act ajoute une couche de gouvernance spécifique aux systèmes d’intelligence artificielle. Concrètement, un même projet marketing doit démontrer à la fois la licéité du traitement des données, la minimisation et la sécurité, et l’existence d’un système de gestion des risques IA couvrant les modèles d’usage. Les directions marketing gagnent à traiter ces deux cadres comme un seul chantier de conformité, piloté conjointement avec la DSI et la direction juridique, en s’appuyant sur les recommandations de la CNIL et sur les référentiels de gouvernance IA mis en avant par KPMG France.
Quel rôle pour les fournisseurs de solutions marketing IA dans la conformité ?
Les fournisseurs de plateformes et de solutions d’intelligence artificielle marketing portent des obligations spécifiques au titre de l’AI Act, notamment en matière de documentation technique, de transparence et de gestion des risques. Les directions marketing doivent intégrer ces obligations des fournisseurs dans leurs contrats, exiger des preuves de conformité système et clarifier la répartition des responsabilités en cas de contrôle par les autorités nationales. Sans cette clarification, le risque juridique et réputationnel reste largement à la charge de l’entreprise utilisatrice, comme le rappellent les analyses 2023–2024 de MDP Data sur les contentieux et les sanctions liées aux systèmes d’IA.
Comment organiser le contrôle humain sur les systèmes d’IA marketing ?
Le contrôle humain ne se limite pas à une validation ponctuelle des modèles, il suppose une organisation continue de la supervision. Les entreprises les plus avancées définissent des fiches de contrôle humain par système, précisant qui peut arrêter le système, quels indicateurs déclenchent une revue, et comment les décisions automatisées sont auditées. Cette approche transforme la supervision humaine en véritable garde-fou opérationnel, plutôt qu’en simple formalité documentaire, et s’inscrit dans la logique de « supervision humaine effective » exigée par l’AI Act et rappelée dans les fiches pratiques de Service Public Entreprises.
Sources de référence
- Service Public Entreprises – Dossiers 2024 sur l’AI Act, fiches « Comprendre l’AI Act » et guides pratiques de mise en conformité pour les organisations
- MDP Data – Analyses 2023–2024 des sanctions, des obligations des fournisseurs et des exigences de mise en conformité liées à l’AI Act
- KPMG France – Étude 2023 sur l’adoption des chartes d’usage responsable de l’IA et la maturité des dispositifs de gouvernance IA dans les organisations françaises
- CNIL – Lignes directrices 2020–2022 sur les algorithmes et les systèmes d’aide à la décision, recommandations sur les données RH et la prospection commerciale
