Services · EU AI Act et gouvernance IA
L'EU AI Act est en vigueur depuis février 2025 — les prochaines obligations dures arrivent à partir d'août 2026 pour les systèmes IA à haut risque et à partir d'août 2027 pour l'IA embarquée dans des produits régulés. Qui utilise Microsoft 365 Copilot, Copilot for Sales, Copilot for Service, Copilot Studio Agents ou Microsoft Foundry est concerné en tant que Deployer — et en tant que constructeur de ses propres Agents, même en tant que Provider. arades GmbH vous conseille comme Partenaire Microsoft et Partenaire Microsoft de licences pour la mise en œuvre de l'EU AI Act dans le contexte Microsoft Cloud : classification des risques, documentation, gouvernance IA, formation. Prix fixe, évaluation honnête des risques, roadmap claire.
EU AI Act — définition et statut 2026
L'EU AI Act (règlement (UE) 2024/1689) est la première régulation IA globale au monde. Publié en juillet 2024, entré en vigueur le 1er août 2024, applicable par étapes sur jusqu'à trois ans. En mai 2026, les premières obligations sont déjà actives et les étapes suivantes ne sont qu'à quelques mois. Contrairement au RGPD et à NIS2, l'EU AI Act n'est pas une loi de « conformité sur demande » — il s'applique dès le premier jour, et les amendes sont élevées (jusqu'à 35 M€ ou 7 % du chiffre d'affaires annuel mondial pour les infractions les plus graves).
Pour les entreprises mid-market qui utilisent Microsoft Copilot, Copilot Studio ou Microsoft Foundry, deux rôles en découlent. Premièrement — et cela concerne presque tout le monde : vous êtes Deployer (utilisateur) de systèmes IA. Il en découle surtout des obligations de formation, de transparence et de supervision. Deuxièmement — et cela concerne tous ceux qui construisent leurs propres Copilot Studio Agents ou modèles Foundry : vous devenez Provider de systèmes IA dérivés avec des obligations nettement plus élevées — évaluation des risques, documentation, évaluation de conformité, tests de biais, audit-trails.
Un conseil EU AI Act honnête couvre cinq domaines :
Comme Partenaire Microsoft basé à Offenbach am Main, nous accompagnons des entreprises mid-market dans toute la région Rhin-Main et au-delà — de Frankfurt à Darmstadt, Wiesbaden et Aschaffenburg.
Les phases de l'EU AI Act
Interdiction de pratiques IA inacceptables (Social Scoring, IA manipulatrice, scraping non ciblé d'images de visages, reconnaissance d'émotions au travail/à l'école, profilage de risque pour application de la loi sans exceptions strictes). Obligation d'AI Literacy : tous les collaborateurs qui utilisent des systèmes IA ou exploitent leurs résultats doivent être formés. Cela concerne aussi les utilisateurs de Microsoft 365 Copilot au sens large.
Obligations pour les modèles General-Purpose-AI (GPAI) : documentation technique, conformité copyright, rapport de transparence. Cette obligation concerne Microsoft comme Provider des modèles sous-jacents — mais pas directement ses clients, à une exception près : qui adapte substantiellement un modèle GPAI (Fine-Tuning, base de données propre avec gros volume) peut devenir Provider et reprend les obligations correspondantes. De plus : l'AI Office à la Commission européenne est opérationnel et peut prendre les premières mesures de surveillance du marché.
Les obligations haut risque deviennent pleinement applicables : système de gestion des risques, gouvernance des données, documentation technique, obligation de journalisation (logs), transparence envers les Deployers, Human Oversight, exigences de précision et de cybersécurité, évaluation de conformité avant mise sur le marché. Plus les obligations de transparence pour les contenus générés par IA (Watermarking, marquage des chatbots, deepfakes). Qui construit ou utilise lui-même de l'IA haut risque a ainsi des tâches étendues. Qui n'utilise « que » Microsoft Copilot standard a essentiellement des obligations Deployer (voir février 2025).
Exigences étendues pour l'IA embarquée dans des produits régulés (dispositifs médicaux, jouets, machines, ascenseurs, équipements sous pression etc.) — pertinent pour les industriels mid-market dont les produits nécessitent déjà des évaluations de conformité CE. L'IA devient ici partie de l'évaluation de conformité du produit.
Les quatre catégories de risque
L'EU AI Act distingue quatre niveaux de risque. Le niveau auquel se place votre système IA détermine obligations, effort et exposition aux amendes.
Systèmes IA en principe interdits : Social Scoring par les autorités, IA manipulatrice contre les Vulnerable Groups, scraping non ciblé de visages, reconnaissance d'émotions au travail ou à l'école, catégorisation biométrique selon critères protégés, identification biométrique en temps réel dans l'espace public par les forces de l'ordre (avec exceptions strictes). Amende jusqu'à 35 M€ ou 7 % du chiffre d'affaires annuel mondial.
IA dans des produits ou domaines régulés de l'Annexe III : infrastructures critiques, éducation et formation professionnelle, emploi et gestion du personnel (par ex. screening IA de candidats), accès aux services publics, application de la loi, gestion de l'asile et des migrations, justice, processus démocratiques. Plus IA embarquée dans des produits régulés (médical, machines, jouets). Obligations étendues de documentation, évaluation de conformité, Human Oversight, système de gestion des risques, logs, transparence.
Systèmes IA avec obligations de transparence : les chatbots doivent se signaler comme IA (Microsoft Copilot Studio Agents tombent typiquement ici), les deepfakes doivent être marqués, les contenus générés par IA ont besoin de filigranes (audio, vidéo, texte synthétiques dans certains contextes), la reconnaissance d'émotions hors travail/école doit être divulguée. Obligations modérées mais concrètes à mettre en œuvre.
Systèmes IA sans obligations spécifiques : filtres anti-spam, systèmes de recommandation en e-commerce, IA dans les jeux vidéo, outils de traduction, assistants d'écriture. La majorité des use-cases Microsoft 365 Copilot standard tombe typiquement ici — mais attention : dès que Copilot est utilisé dans des processus RH, des décisions critiques pour la relation client ou des domaines réglementairement sensibles, la classification peut monter.
Microsoft Copilot & Foundry · obligations de conformité spécifiques
Microsoft Copilot n'est pas un produit, mais une famille de produits avec au moins cinq déclinaisons pertinentes dans le contexte mid-market. Chacune a sous l'EU AI Act une logique de conformité légèrement différente :
Assistant de productivité général pour Word, Excel, PowerPoint, Outlook, Teams. En usage standard typiquement catégorie 4 (risque minimal), mais vous êtes responsable comme Deployer de la formation AI Literacy (depuis 02/2025). Concrètement : les collaborateurs doivent comprendre ce que fait Copilot, où sont ses limites, comment les données sont traitées et comment vérifier les sorties. Nous fournissons les briques de formation comme partie de l'audit.
Copilots spécifiques aux applications en CRM et ERP. Dans la plupart des cas catégorie 4, mais en cas d'impact sur les décisions du personnel ou la notation de crédit aussi catégorie 3 ou 2. Exemple : si Copilot for Sales fait des priorisations de leads qui alimentent l'Account Management, c'est généralement encore catégorie 4. Mais si des évaluations conduisent automatiquement au blocage d'un client sans contrôle humain, cela bascule vers haut risque.
Ici cela devient complexe : dès que vous construisez vos propres Copilot Studio Agents, vous devenez typiquement Provider d'un système IA. Les obligations dépendent du cas d'usage de l'Agent — assistant de connaissance interne est généralement catégorie 4, bot de service client externe est catégorie 3 (obligation de transparence : doit se signaler comme IA), bot de screening RH serait catégorie 2 (haut risque).
Qui utilise Microsoft Foundry pour du RAG avec ses propres données ou du Fine-Tuning de modèles propres se déplace en territoire Provider. S'y ajoutent éventuellement des obligations GPAI (documentation, conformité copyright, rapport de transparence), plus toutes les obligations haut risque si le cas d'usage tombe dans l'Annexe III.
Microsoft met à disposition plusieurs outils qui soutiennent techniquement la conformité : Microsoft Purview Audit (audit-trails complets pour les interactions Copilot — licence E5 ou add-on), Microsoft Defender for Cloud Apps (détection de Shadow-AI dans le tenant), Microsoft Entra ID Conditional Access pour les workloads IA, outils Copilot Studio Governance, Microsoft Foundry Content Safety (filtres de biais et toxicité, Prompt Shields). Nous configurons ces outils pour que les obligations EU AI Act soient techniquement démontrables.
Trois formats de conseil
Nous livrons le conseil EU AI Act en trois formats clairement délimités à prix fixe. Vous choisissez le format adapté à votre maturité et à votre capacité d'investissement. Pas de mode horaire, pas de fin ouverte.
1 jour d'audit avec rapport écrit. Contenu : inventaire des systèmes IA utilisés aujourd'hui (Microsoft Copilot, Copilot Studio, Foundry, tiers), première classification de risque par use-case, gap-analyse face aux obligations EU AI Act actuelles, trois actions immédiates concrètes avec effet attendu. Adapté comme premier audit ou comme préparation à une montée en gouvernance plus profonde.
Prix fixe · tarif sur demande
2 à 3 jours sur site à Offenbach, Frankfurt ou chez vous — ou à distance via Microsoft Teams. Contenu : inventaire complet des systèmes IA, classification de risque selon EU AI Act, mise en place d'un AI Governance Register, charte IA documentée, plan de formation AI Literacy, roadmap pour les obligations 08/2026, configuration Microsoft Cloud (Purview, Defender, Entra ID) comme liste d'actions.
Prix fixe · tarif sur demande · Livraison : 2 à 3 semaines
Revues trimestrielles de gouvernance IA en service récurrent. Pour les entreprises qui exploitent plusieurs Copilot Studio Agents ou modèles Foundry et ont besoin d'une discipline de gouvernance continue — classifier les nouveaux use-cases IA, exploiter les audit-trails, mises à jour d'obligations selon décisions de surveillance du marché européen, mises à jour de formation pour les nouveaux collaborateurs, évaluations des fonctionnalités Microsoft.
Tarif sur demande
Les erreurs les plus fréquentes · ce que nous voyons régulièrement dans les audits EU AI Act
L'obligation d'AI Literacy s'applique depuis février 2025 à tous les collaborateurs qui utilisent des systèmes IA ou en exploitent les résultats. Cela couvre presque tout utilisateur de Microsoft 365 Copilot. Dans la plupart des entreprises, cette formation n'a tout simplement pas eu lieu — une infraction documentable avec potentiel d'amende. Nous fournissons les briques de formation incluant preuve de participation comme partie du Quick-Audit.
Des collaborateurs utilisent des outils IA non autorisés (ChatGPT-Free, Claude, Perplexity, LLMs locaux) pour des données métier — souvent avec risque de protection des données et sans gouvernance EU AI Act. Microsoft Defender for Cloud Apps détecte cette Shadow-AI dans le tenant. Nous configurons la détection comme partie de l'atelier stratégie.
Les propres Copilot Studio Agents sont souvent construits dans le foisonnement Power Platform sans que quelqu'un vérifie si un Agent déclenche une obligation haut risque ou de transparence sous l'EU AI Act. Nous évaluons tous les Agents du tenant et les classifions selon l'Annexe III.
Les systèmes IA haut risque doivent à partir de 08/2026 conserver des enregistrements de leur utilisation. Microsoft Purview Audit peut le livrer pour les interactions Copilot — mais seulement si la licence (Microsoft 365 E5 ou add-on Audit) est présente et la configuration active. Dans l'audit, nous vérifions licence et configuration.
Les chatbots dans des portails clients ou sur des sites web doivent depuis 08/2026 se signaler comme IA. Nous voyons des bots commercialisés comme « votre conseil personnel » — une infraction claire à l'obligation de transparence. Dans l'atelier stratégie, nous retravaillons la logique conversationnelle du bot.
L'EU AI Act règle partiellement les obligations d'information entre Provider et Deployer. Qui utilise Microsoft Copilot devrait connaître les contrats Microsoft et la documentation Microsoft EU AI Act. Qui utilise de l'IA tierce devrait voir les obligations Provider de ses fournisseurs dans ses propres conditions contractuelles. Dans l'audit, nous vérifions la situation contractuelle.
Aller plus loin
Vue d'ensemble plateforme de tous les outils IA Microsoft : Microsoft 365 Copilot, Copilots applicatifs, Copilot Studio, Microsoft Foundry.
NIS2 Quick-Assessment, revues RGPD. Conformité multi-réglementations (NIS2, EU AI Act, RGPD) considérées ensemble.
Conseil Microsoft holistique, dans lequel la gouvernance IA est pensée comme partie intégrante avec identité, sécurité et adoption.
Calculer les licences Copilot, vérifier les add-ons Microsoft 365 E5 pour Purview Audit — en audit à prix fixe.
Qui construit des Copilot Studio Agents a besoin de gouvernance Power Platform. Audit, policies et outillage pour ALM et lifecycle.
Formation AI Literacy pour Microsoft 365 Copilot, ateliers Copilot Studio, training de construction de modèles Foundry. Prix fixe par module.
Questions fréquentes sur le conseil EU AI Act
L'EU AI Act (règlement (UE) 2024/1689) est la première loi globale sur l'IA au monde, en vigueur depuis août 2024 avec applicabilité progressive. Depuis 02/2025 s'appliquent les interdictions de pratiques inacceptables et l'obligation AI Literacy. À partir de 08/2025, obligations GPAI. À partir de 08/2026, obligations haut risque complètes et exigences de transparence. À partir de 08/2027, obligations haut risque étendues pour l'IA embarquée dans des produits régulés.
Quick-Audit, atelier stratégie de gouvernance IA et Architecture-as-a-Service sont disponibles en formats à prix fixe. Les projets complets de mise en œuvre EU AI Act (inventaire, classification, documentation, mise en place de gouvernance, formations) sont calculés modulairement selon nombre de collaborateurs et nombre de use-cases IA. Tarif sur demande.
Vous êtes en route dans deux rôles : comme Deployer (utilisateur) typiquement formation AI Literacy, transparence, Human Oversight. Comme Provider de vos propres Copilot Studio Agents ou modèles Foundry, obligations nettement plus élevées — évaluation des risques, documentation de conformité, tests de biais, audit-trails. Microsoft lui-même est Provider des modèles sous-jacents et remplit sa part.
Catégorie 1 — Inacceptable (interdit) : par ex. Social Scoring, IA manipulatrice. Catégorie 2 — Haut risque (obligations étendues) : IA dans produits ou domaines régulés comme RH, éducation, infrastructures critiques. Catégorie 3 — Risque limité (obligation de transparence) : chatbots, deepfakes, contenus générés par IA. Catégorie 4 — Minimal : pas d'obligations spécifiques (filtres anti-spam, assistants d'écriture).
Un bon partenaire combine compréhension réglementaire (EU AI Act, RGPD, NIS2 en interaction), compréhension profonde de Microsoft Cloud (Copilot, Foundry, Purview, Defender), pragmatisme mid-market et discipline du prix fixe. arades GmbH est Partenaire Microsoft depuis 2007 avec méthodologie CMMI en direction — expérience démontrable de la gouvernance et des exigences d'audit.
À emporter · deux documents
Deux niveaux de profondeur pour deux besoins de lecture. La fiche descriptive est une référence rapide (3 à 5 min) téléchargeable immédiatement. Le livre blanc est une étude marché avec méthodologie et données comparatives (15 à 30 min) — vous le recevez par e-mail après une courte demande.
3-5 min de lecture · téléchargement direct · sans formulaire
Synthèse concise : périmètre, indicateurs, modèle de tarification, déroulé — idéale à transmettre au DAF, aux achats ou au métier.
15-30 min de lecture · par e-mail sur demande
Méthodologie, données comparatives, cadre de recommandation — matériel d'argumentation interne auprès des décideurs.
Services connexes
Obligation de conformité parallèle — même montée en gouvernance, structures d'audit communes.
Voir →
IA en général — décision de plateforme, RAG, Foundry, LLMs européens.
Voir →
Structures QM comme base d'une gouvernance IA durable.
Voir →
Architecture IA sous contrainte réglementaire — stratégie tenant, data governance.
Voir →
Demander un conseil EU AI Act
30 minutes de premier échange — nous clarifions si un Quick-Audit, un atelier stratégie ou Architecture-as-a-Service est le bon format. Vous obtenez rapidement une évaluation concrète.
À emporter
Référence rapide de deux pages avec structure des packages, périmètres de livraison et trois raisons d'arades — téléchargeable immédiatement, sans formulaire. Idéale à transmettre au DAF, aux achats ou au lead IT.
3-5 min de lecture · téléchargement direct · sans formulaire
