AI & Copilot · Governance
En tant que partenaire AI Governance pour Microsoft Copilot et Foundry, nous inscrivons vos use-cases IA dans un cadre de gouvernance solide — sans paralyser votre exploitation quotidienne. L'EU AI Act n'est plus une menace lointaine : obligation de formation selon l'Article 4 depuis février 2025, cadre complet de sanctions jusqu'à 35 M€ ou 7 % du chiffre d'affaires annuel en vigueur depuis août 2026.
Ce que l'UE exige
Le règlement UE 2024/1689 — connu sous le nom d'EU AI Act — place chaque utilisation d'intelligence artificielle dans l'une des quatre classes de risque. Des obligations concrètes en découlent. Nous aidons à classer correctement chacun de vos use-cases IA.
Certaines pratiques sont irrecevables — par exemple le social scoring par les autorités publiques, les systèmes manipulatoires, la collecte biométrique de masse non ciblée. Quiconque utilise de tels systèmes risque les sanctions les plus élevées. Nous ne prenons pas en charge de tels use-cases.
Présélection RH, notation de crédit, identification biométrique, infrastructures critiques, évaluation éducative. Exigences strictes : évaluation de conformité, gestion des risques, documentation technique, surveillance continue. Un accompagnement juridique spécialisé est nécessaire ici — nous orientons depuis notre réseau de partenaires.
Chatbots, deepfakes, reconnaissance d'émotions, IA générative à impact externe. Obligation : transparence vis-à-vis des utilisateurs. Une grande partie des agents Copilot Studio relèvent typiquement de cette classe. L'obligation est atteignable — mais elle doit être pratiquée et documentée.
Filtres anti-spam, algorithmes de recommandation à faible impact, classificateurs simples. Aucune obligation spécifique de l'AI Act ne s'applique ici — mais les obligations générales (RGPD, formation Art. 4) restent en vigueur.
Notre programme AI Governance
Nous prenons l'AI Act non comme un frein mais comme une aide structurelle. Quatre briques que nous construisons avec vous en 8 à 12 semaines — pragmatique, sans excès bureaucratique.
Nous cartographions tous les use-cases IA qui tournent aujourd'hui dans votre entreprise — visibles et invisibles. Microsoft Copilot, agents personnalisés, le plugin navigateur ChatGPT utilisé par les équipes marketing, le filtre de candidatures du recrutement. La Shadow AI est réelle et doit devenir visible en premier.
Obligation de formation selon l'Art. 4 EU AI Act. Nous construisons un concept basé sur les rôles : direction différemment du commercial, différemment de l'IT, différemment de la protection des données. Avec des preuves de formation documentées qui résistent à une autorité de contrôle — pas seulement une case cochée.
Chaque use-case identifié est classé : interdit, haut risque, risque limité, minimal. Des obligations concrètes découlent de chaque classe. De la classification découlent les mesures — de la mention de transparence dans le chatbot à l'évaluation de conformité pour un use-case à haut risque.
Nous construisons un audit trail qui s'appuie sur Microsoft Purview et Microsoft Entra ID. Qui a utilisé quel agent, quand, avec quelle question, quelle réponse, quelle source de données. Ce n'est pas seulement une obligation de l'EU AI Act — en cas de sinistre, c'est aussi le seul moyen d'éclaircir rétroactivement une hallucination.
Compliance checks concrets
Cette liste n'est pas exhaustive, mais elle montre la profondeur de notre premier examen. Chaque sujet est documenté avec un statut (rouge, jaune, vert), une justification et une action concrète.
Tout le personnel qui travaille avec des systèmes d'IA est-il démontrablement formé ? Un concept spécifique aux rôles est-il en place ? Les formations sont-elles rafraîchies annuellement ? Les nouveaux arrivants sont-ils intégrés à l'onboarding ? Lacune fréquente : liste Excel avec cases cochées, sans profondeur de contenu.
Lorsqu'une personne interagit avec un système d'IA, elle doit le savoir. Pour les chatbots, les agents de service, l'IA générative à impact externe. Nous vérifions si les mentions sont sans ambiguïté, persistantes et non cachées. Lacune fréquente : mention uniquement dans les CGV, pas dans l'interface.
Microsoft 365 Copilot peut être configuré pour la résidence des données dans l'UE. Nous vérifions la configuration du tenant, l'affectation de région et la logique de flux de données. Lacune fréquente : tenant configuré « worldwide », flux de données vers les États-Unis non exclu.
Nous vérifions si Copilot ou les agents personnalisés peuvent accéder à des données qu'ils ne devraient pas voir. Faiblesse fréquente : sites SharePoint avec « tout le monde dans l'entreprise peut lire » qui ont grandi historiquement et contiennent aujourd'hui des dossiers RH.
Pour chaque agent personnalisé, nous vérifions le use-case par rapport à la classe de risque EU AI Act. Un bot FAQ interne est généralement « risque limité ». Un agent de présélection de candidats est à haut risque. De la classification découlent les mesures — jusqu'à la recommandation de ne pas construire l'agent ainsi.
Nous vérifions si toutes les interactions IA pertinentes sont enregistrées. Microsoft Purview fournit un bon standard mais doit être correctement configuré. Lacune fréquente : logs activés mais jamais examinés — et avec une rétention de 30 jours au lieu de 12 mois.
Délimitation honnête
Nous ne sommes pas un cabinet d'avocats. Nous sommes des consultants Microsoft avec une connaissance approfondie de l'EU AI Act et de sa mise en œuvre technique. Pour les évaluations juridiques formelles, pour l'évaluation de conformité avec accompagnement par organisme notifié pour les systèmes à haut risque, pour les audits sur site par une autorité de contrôle, nous orientons vers des cabinets spécialisés de notre réseau de partenaires DACH.
Ce que nous délivrons en revanche : une AI Governance pragmatique, techniquement fondée, qui s'inscrit dans la stack Microsoft — Copilot, Copilot Studio, Microsoft Purview, Microsoft Entra ID. Nous conseillons, documentons, formons. Le tampon juridique en fin de parcours est posé par un cabinet avec lequel nous sommes assis à la même table.
Questions fréquentes (FAQ)
Le règlement UE 2024/1689 distingue quatre classes de risque : pratiques interdites (Art. 5), systèmes à haut risque (Annexe III), systèmes à risque limité avec obligation de transparence, et risque minimal. Depuis février 2025, l'obligation de formation IA selon l'Art. 4 s'applique à toutes les entreprises qui utilisent ou fournissent des systèmes d'IA. À partir d'août 2026, le cadre complet de sanctions s'applique aux systèmes à haut risque.
Oui. L'obligation de formation de l'Art. 4 EU AI Act s'applique à toute organisation qui utilise des systèmes d'IA — qu'elle les développe elle-même ou les achète comme service. Quiconque utilise Microsoft 365 Copilot, ChatGPT Enterprise ou des agents personnalisés doit former son personnel de manière démontrable. La profondeur dépend du rôle et de la classe de risque du système.
L'EU AI Act prévoit des sanctions allant jusqu'à 35 M€ ou 7 % du chiffre d'affaires annuel mondial — selon l'infraction et le type d'entreprise. Les violations des dispositions relatives aux systèmes à haut risque entraînent la fourchette la plus élevée. Les violations des obligations de transparence ou de formation sont moindres, mais restent significatives.
L'Annexe III de l'EU AI Act liste les domaines à haut risque — dont la présélection RH, la notation de crédit, l'identification biométrique, les infrastructures critiques et l'évaluation éducative. Quiconque utilise un agent Copilot Studio dans l'un de ces domaines doit satisfaire à des exigences strictes de conformité.
Pour les PME et ETI, nous travaillons dans un cadre forfaitaire — selon le nombre de use-cases IA, la taille de l'organisation et la profondeur de la conception de formation. Les organisations plus grandes avec leurs propres développements de modèles sont chiffrées individuellement.
Un déroulement de programme typique dure 8 à 12 semaines — inventaire des risques durant les deux premières semaines, classification et développement du concept de formation en parallèle, puis déploiement des formations et construction de l'audit trail. Le résultat est un cadre AI Governance documenté, revu annuellement.
Non — et nous le disons explicitement. Nous sommes des consultants Microsoft avec une connaissance approfondie de l'EU AI Act et de sa mise en œuvre technique. Pour les évaluations juridiques formelles, les évaluations de conformité avec accompagnement par organisme notifié et les audits sur site, nous recommandons des cabinets spécialisés — nous travaillons avec trois partenaires permanents dans la zone DACH.
30 min · confidentiel · sans engagement
Nous écoutons votre situation, faisons une première évaluation des risques de vos use-cases IA actifs et vous disons honnêtement où se situe le plus grand besoin d'action — avant que l'autorité de contrôle ne demande.
Services d'accompagnement
Les projets d'engineering ne sont rarement isolés — logique de licences, clarification d'architecture, quality gates, transfert de connaissances et exploitation de suivi tournent généralement en parallèle. Voici les services d'accompagnement les plus fréquents que nous ajoutons aux Discovery Spikes, aux engagements forfaitaires sprint ou aux contrats Application Care.
En amont · architecture
Avant l'implémentation : structure du tenant, modèle de données, concept de sécurité, mapping d'intégration. Le résultat est un document d'architecture que toute équipe d'engineering peut reprendre — y compris une autre que nous.
Voir la page →
En amont · CSP
Quels bundles de licences pour quels utilisateurs, quels add-on SKUs sont nécessaires, où vous êtes sur- ou sous-licencié. Acheté via partenaire licences Microsoft — avec l'option d'utiliser CSP purement comme mécanisme de contrôle sans maximisation de marge.
Voir la page →
Pendant · quality gate
Deuxième avis indépendant pendant un projet d'implémentation en cours — que nous le réalisions ou un autre partenaire. Quality gates basés sur CMMI, revues de risques, prix fixe par gate.
Voir la page →
Pendant · adoption
Pas le classique atelier de deux jours oublié après une semaine — mais un programme d'apprentissage dynamique sur 4–6 semaines avec formation de lancement, phases d'application et sessions avancées. Matrice de formation pour rôles et thèmes.
Voir la page →
Après · exploitation
Après le go-live : un contrat Application Care prévisible avec forfait mensuel, basé sur SLA. Inclut releases, hotfixes, extensions, durcissement du tenant — et un accompagnement continu plutôt qu'une simple réaction au ticket.
Voir la page →
Après · connaissances
Quand les développeurs d'origine sont partis, que le partenaire précédent n'est plus joignable ou que la documentation est obsolète — rétro-ingénierie de la solution existante avec un résultat documenté : carte du code, modèle de données, inventaire de customizing.
Voir la page →
