01JOURS 1–2
Audit & inventaire
Workshop avec les key users. On cartographie tout ce qui touche à l'IA aujourd'hui — outils, données, flux, décisions automatisées.
01 — PRODUCTION
2 semaines pour rendre votre IA opérable à grande échelle.
Sprint Mise en production — sécuriser, documenter, industrialiser
Audit trail, human-in-the-loop, vendor selection, conformité AI Act et RGPD. Tout ce qu'il faut pour que votre IA tienne en production — et survive à un audit.
02 — POURQUOI
Ce qui se passe quand l'IA est déployée sans cadre.
Pourquoi un Sprint de mise en production ?
Quand on déploie un agent IA en PME sans préparation, deux scénarios attendent au tournant. Le premier : un employé colle des données client dans ChatGPT, fuite involontaire, exposition RGPD. Le second : la CNIL ou Bpifrance vous audite, vous n'avez ni inventaire des usages, ni audit trail, ni charte interne — vous vous retrouvez à improviser sous pression.
L'AI Act de l'UE est entré en application par phases en 2025-2027. Sanctions max : 35 M€ ou 7 % du CA mondial pour pratiques interdites, 15 M€ ou 3 % pour non-conformité. La grande majorité des PME françaises n'ont aucune visibilité sur leur exposition.
Le sprint Mise en production règle ça en deux semaines. Pas un audit théorique. Une mise en condition opérationnelle : ce que vous avez, ce qui est risqué, ce qu'on documente, comment on conçoit la suite pour que ça tienne.
03 — LIVRABLES
Ce que vous tenez en main au bout de 2 semaines.
Ce que vous recevez
- Inventaire complet des usages IA dans l'entreprise (déclarés + shadow IT).
- Classification AI Act : chaque cas d'usage mappé sur les 4 niveaux de risque.
- Revue RGPD des traitements impliquant l'IA (DPIA si nécessaire).
- Architecture human-in-the-loop sur les décisions sensibles.
- Design du logging et de l'audit trail (traçabilité légale).
- Vendor selection report : OpenAI, Anthropic, Mistral, open-source — quoi choisir et quand, avec hébergement UE.
- Charte IA interne (3-5 pages, signable par les collaborateurs).
- Policy d'usage opérationnelle (10-15 pages).
- Pack de formation : slides + 30 min de session enregistrée.
Tout livrable est board-ready : présentable au COMEX, au DPO, à un auditeur Bpifrance ou CNIL.
04 — DÉROULÉ
Quatre phases, deux semaines.
Le déroulé en 4 phases
02JOURS 3–5
Analyse des risques
AI Act + RGPD + sécurité des données. Pour chaque cas, on identifie les zones d'exposition et les actions correctives prioritaires.
03JOURS 6–8
Design technique
Architecture human-in-the-loop, logging, audit trail, choix vendor/modèle. On dessine ce que doit être l'IA dans 6 mois.
04JOURS 9–10
Documentation finale
Charte, policy, pack de formation. Restitution en COMEX (90 min). Vous sortez avec tout ce qu'il faut pour passer un audit.
05 — INVESTISSEMENT
Forfait sprint, prix fixe.
Investissement
Le Sprint est facturé à prix fixe. Pas de TJM qui dérape. Calibré sur la taille et la complexité de votre organisation.
PME < 30 PERSONNES
Sprint de 2 semaines, scope serré sur 5 à 10 cas d'usage IA.
PME 30 À 100 PERSONNES
Sprint de 2 semaines, couverture élargie multi-départements.
AU-DELÀ DE 100 PERSONNES
Organisations multi-sites ou multi-pays.
Suivi trimestriel optionnel : 1 500 € HT / trimestre — 1 jour d'audit + mise à jour des documents pour rester conforme dans le temps.
06 — QUESTIONS
Ce que les gens nous demandent souvent.
Questions fréquentes
L'AI Act s'applique-t-il à ma PME même si je n'ai pas développé de modèle IA ?
Oui. L'AI Act concerne tout usage d'IA en entreprise, pas seulement les développeurs de modèles. Si vous utilisez ChatGPT pour aider à des décisions RH, ou un agent pour traiter des données client, vous êtes concerné. Les obligations dépendent du niveau de risque du cas d'usage.
Si on n'utilise que ChatGPT en interne, est-ce qu'on est concerné ?
Oui. Au minimum : charte d'usage interne, formation des collaborateurs, et politique de gestion des données partagées avec l'IA. Si ChatGPT est utilisé pour des décisions impactant des personnes (recrutement, scoring client, modération), les obligations sont plus lourdes.
Quelle sanction si on ne fait rien ?
Pour les pratiques interdites (scoring social, manipulation, etc.) : jusqu'à 35 M€ ou 7 % du CA mondial. Pour la non-conformité aux obligations de gouvernance : 15 M€ ou 3 %. Pour des PME, l'exposition est plus souvent indirecte (litige client, contrôle CNIL, impact réputationnel) que l'amende directe.
Que se passe-t-il après le sprint ?
Vous repartez avec tous les documents à jour, prêts à être présentés. Si votre usage IA évolue (nouveau cas d'usage, nouveau vendor, nouvelle régulation), un suivi trimestriel optionnel maintient la conformité. Sans suivi, on recommande une mise à jour annuelle minimum.
Pouvez-vous être notre DPO IA ?
Non. Le DPO est une fonction interne (ou externalisée à un cabinet certifié). Ce qu'on fait : on prépare le terrain pour votre DPO existant — il reçoit l'inventaire, la classification des risques et la doc, et peut s'appuyer dessus pour ses obligations RGPD.
07 — RENDEZ-VOUS
30 minutes pour évaluer votre exposition.