AI Act : 62% des entreprises sans inventaire IA
L'AI Act exige un inventaire complet des systèmes IA avant le 2 août 2026. Problème : 62% des entreprises n'en ont pas. Ce chiffre n'est pas un retard, c'est un angle mort.
62% des entreprises ne savent pas ce qu'elles déploient
Selon un rapport EY 2026 compilé par SoftwareSeni, seulement 38% des organisations maintiennent un inventaire complet des applications IA en production. Les 62% restants naviguent à vue.
Ce n'est pas un détail administratif. L'AI Act (qui entre en pleine application pour les systèmes à haut risque le 2 août 2026) pose l'inventaire comme condition préalable absolue. Pas d'inventaire, pas de classification possible. Pas de classification, pas de documentation possible.
Pas de documentation, pas de conformité possible. La chaîne est linéaire et impitoyable.
En clair : une entreprise qui ignore ce qu'elle déploie ne peut pas respecter la loi. Même si elle le voulait.
L'inventaire, brique zéro que personne ne construit
L'AI Act oblige les déployeurs à identifier, classifier et documenter chaque système IA utilisé. En particulier ceux qui touchent à des domaines sensibles : recrutement, crédit, santé, éducation, infrastructure critique. Ce sont les systèmes listés en Annexe III, les plus encadrés.
Mais avant de classifier, il faut lister. Et lister, c'est déjà le premier problème.
Pense à un entrepôt dont personne n'a jamais fait le tour. On sait vaguement ce qui est entré, mais pas ce qui y est encore, ni dans quel état, ni depuis quand. C'est exactement la situation de la majorité des grandes organisations avec leurs outils IA : des outils arrivent, d'autres sont testés puis oubliés, des équipes déploient sans passer par la DSI.
L'étude appliedAI sur 106 systèmes IA enterprise illustre bien le problème : 18% sont clairement haut risque, 42% clairement bas risque, et 40% ne peuvent pas être classifiés sans ambiguïté. Même avec un inventaire existant, la classification reste floue pour une grande partie des systèmes.
Le shadow AI sabote les inventaires
Le vrai angle mort, c'est le shadow AI.
Selon le Work Trend Index 2025 de Microsoft, 71% des employés utilisent des outils IA non approuvés au travail. Ces outils n'existent sur aucun inventaire officiel. L'entreprise pense gérer 5 systèmes IA, elle en a peut-être 50.
Une enquête EY 2026 confirme : 52% des initiatives IA au niveau des départements fonctionnent sans approbation formelle de la direction IT. La moitié des déploiements opérationnels sont, par définition, invisibles pour les équipes conformité.
Selon Deloitte, seulement 21% des entreprises ont un modèle mature de gouvernance pour leurs agents IA, alors que 75% prévoient d'en déployer davantage dans les deux prochaines années. On construit plus vite qu'on ne gouverne. Avec l'AI Act, ça devient une exposition financière directe.
Le parallèle RGPD : les entreprises procrastinent, les sanctions arrivent plus tard
On a déjà vu ce film.
En mai 2018, le RGPD entrait en vigueur après deux ans de délai. Dans les semaines précédant la deadline, les cabinets juridiques tournaient à plein régime, les DPO recrutés en urgence faisaient la queue. Beaucoup d'entreprises n'étaient pas prêtes, et une partie l'ont assumé, pariant que l'enforcement serait lent.
Ils avaient raison sur le court terme. L'enforcement RGPD a mis du temps à s'organiser. Mais il est arrivé : les amendes se comptent désormais en milliards d'euros cumulés sur l'ensemble de l'UE.
L'AI Act suit le même schéma : annonce en 2024, délai de 2 ans, deadline août 2026, et les mêmes signaux d'une conformité de surface. Des politiques sur papier, mais pas d'inventaire réel.
La différence, c'est le niveau des amendes. Le RGPD plafonne à 20 millions d'euros ou 4% du CA mondial. L'AI Act monte à 35 millions ou 7%. Et si un système IA traite aussi des données personnelles (ce qui est fréquent), les deux régimes s'empilent. Le plafond combiné peut atteindre 55 millions d'euros pour une seule infraction.
L'enforcement asymétrique : un faux confort
Autre signal qui pourrait rassurer à tort : à date de mars 2026, seulement 8 des 27 États membres de l'UE ont désigné un point de contact national pour l'application de l'AI Act, soit sept mois après la deadline légale prévue pour cette désignation.
On est en droit de se demander si l'enforcement sera vraiment uniforme. La réponse honnête : probablement pas, au moins dans un premier temps.
Mais "ils n'appliquent pas encore" n'est pas une stratégie de conformité. C'est un pari. Les entreprises qui ont parié sur la lenteur des autorités RGPD ont parfois eu raison pendant 2 ou 3 ans. Certaines paient aujourd'hui des amendes avec intérêts.
La question n'est pas "est-ce qu'on va se faire attraper ?". C'est "est-ce qu'on veut prendre ce risque avec un passif documenté de non-conformité ?"
Par où commencer : les 3 premières étapes d'un inventaire IA
Si ton organisation n'a pas encore d'inventaire IA, voilà ce que tu peux faire maintenant, sans attendre un projet de conformité officiel.
Étape 1 : Recenser les outils actifs. Demande à chaque département de lister tous les outils IA utilisés, approuvés ou non. Donne-leur une semaine et une garantie : l'objectif est l'inventaire, pas la sanction. Tu seras probablement surpris par le volume.
Étape 2 : Prioriser par usage. Les systèmes qui touchent aux RH, à la gestion du crédit, à la santé ou à l'évaluation de personnes sont ceux qui relèvent de l'Annexe III. Ce sont eux qui doivent passer en tête de file pour la documentation.
Étape 3 : Identifier les systèmes "flous". Pour les outils que personne n'est sûr de savoir classifier, documente le doute. Une liste des systèmes non classifiés avec une justification est déjà un début de preuve de bonne foi.
Ce n'est pas de la conformité complète. C'est du triage. Mais c'est la seule façon de transformer un angle mort en problème gérable.
L'AI Act n'a pas inventé le problème de la gouvernance IA. Il lui a juste mis une date limite et un tarif.
