AccueilServicesTous les servicesApplications métierAutomatisation & IALogiciels sur-mesureConseil & auditAccompagnement & TMAÀ proposContact
Stratégie IA — Article pilier

Cadrer l'IA dans ses processus métier : par où commencer

L'IA utile ne commence pas par le choix d'un outil : elle commence par un cadrage des processus. Méthode en 5 étapes, obligations AI Act et angle collectivités.

Par Paul — Groupe Milestone··Lecture ~7 min

L'essentiel en bref

L'IA utile ne commence pas par le choix d'un outil : elle commence par un cadrage des processus. Avant d'automatiser quoi que ce soit, il faut cartographier ce qui existe, identifier les cas d'usage à vraie valeur, et évaluer les risques — y compris réglementaires. Depuis le 02/02/2025, l'AI Act impose à tout déployeur d'IA d'assurer la littératie IA de ses équipes (art. 4). La méthode en 5 étapes détaillée dans cet article vous donne un point de départ opérationnel.

Pourquoi « acheter un outil d'IA » échoue souvent

La plupart des projets IA en entreprise ne butent pas sur la technologie. Ils butent sur le manque de préparation : un outil générique déployé sur un processus mal cartographié, sans appropriation des équipes, sans gouvernance de la donnée — et dont personne ne comprend vraiment les sorties.

Ce schéma est répandu. Des usages d'IA non encadrés se diffusent dans les organisations, portés par des initiatives individuelles (ce qu'on appelle le « shadow IA ») : des collaborateurs utilisent des outils grand public pour des tâches sensibles, parfois avec des données confidentielles, sans que la direction en soit informée. Le risque n'est pas dans l'IA elle-même — c'est dans l'absence de cadre.

L'autre piège est l'outil générique vendu comme une réponse universelle. Une IA générative peut rédiger un email ou résumer un document. Elle ne remplace pas une application conçue pour vos règles métier, vos flux de données et vos contraintes réglementaires. La différence entre l'une et l'autre devient visible au premier cas limite — et souvent coûteuse à corriger.

La littératie IA, désormais une obligation (AI Act, article 4)

Ce que dit l'AI Act et pour qui

Le règlement européen sur l'intelligence artificielle (UE 2024/1689, dit « AI Act ») distingue deux catégories d'acteurs : les fournisseurs (ceux qui développent des systèmes d'IA) et les déployeurs (ceux qui utilisent ces systèmes dans leurs activités). Les entreprises et collectivités qui intègrent des outils d'IA dans leurs processus — même des outils tiers — sont des déployeurs et entrent directement dans le champ de l'article 4.

Cet article impose à tout déployeur de prendre « les mesures appropriées pour s'assurer que le personnel qui utilise ou supervise les systèmes d'IA dispose d'un niveau suffisant de littératie IA ». En pratique : vos équipes doivent comprendre ce qu'elles utilisent, ses limites, et le moment où une supervision humaine est nécessaire.

Il ne s'agit pas d'une obligation de résultat standardisée — la littératie attendue est proportionnelle au type de système déployé et au niveau de risque associé. Mais ignorer l'article 4 expose l'organisation à des sanctions, et l'absence de cadrage rend toute conformité très difficile à démontrer. Pour les questions d'interprétation juridique, nous renvoyons vers les autorités compétentes (CNIL, DGE, AMF selon le secteur).

Le calendrier à connaître

DateÉtape
Août 2024Entrée en vigueur du règlement AI Act (UE 2024/1689)
02/02/2025Entrée en application des interdictions (pratiques IA inacceptables) et de l'obligation de littératie IA (art. 4)
02/08/2025Obligations relatives aux modèles d'IA à usage général (GPAI) + désignation des autorités nationales de surveillance
02/08/2026Obligations pleines pour les systèmes d'IA à haut risque + bascule du régime de sanctions national
02/08/2027Extension aux produits réglementés intégrant de l'IA (dispositifs médicaux, machines, etc.)

Source : règlement UE 2024/1689 ; entreprises.gouv.fr / Direction générale des Entreprises (DGE).

L'obligation de littératie (art. 4) est donc déjà en vigueur. Les sanctions, elles, deviennent pleinement opérationnelles à partir d'août 2026 — ce qui laisse une fenêtre d'action, mais pas indéfinie.

Les 5 étapes pour cadrer l'IA dans vos processus

1. Cartographier les processus et les usages réels (y compris le shadow IA)

Avant de décider quoi automatiser, il faut savoir ce qui existe. Cela implique deux niveaux : la cartographie formelle des processus (ceux qui sont documentés et pilotés) et la détection des usages informels — les outils d'IA que vos équipes utilisent déjà, parfois sans que vous le sachiez. Cet inventaire est souvent révélateur : il montre où l'IA est déjà présente, quel type de données elle touche, et quels risques latents se sont constitués.

2. Identifier les cas d'usage à vraie valeur (et écarter les gadgets)

Tous les processus ne gagnent pas à être assistés par l'IA. Un cas d'usage pertinent répond à au moins un de ces critères : il mobilise des volumes de données importants que l'humain traite lentement, il comporte des tâches répétitives à forte charge cognitive, ou il nécessite une synthèse rapide d'informations hétérogènes. À l'inverse, un processus qui requiert du jugement contextuel fin, une relation de confiance directe ou une règle métier très particulière n'est pas forcément un bon candidat — ou demande une approche sur-mesure plutôt qu'un outil générique.

3. Évaluer risques, données et conformité (RGPD, niveau de risque AI Act)

Chaque cas d'usage identifié doit être évalué sur trois axes : le niveau de risque AI Act (l'annexe III du règlement liste les cas à haut risque : RH, crédit, justice, éducation, infrastructures critiques, etc.), la conformité au RGPD (qualité des données, base légale du traitement, droits des personnes), et la souveraineté des données (où les données sont-elles traitées et stockées ?). La CNIL publie des recommandations spécifiques sur l'IA et les données personnelles — elles constituent une référence pratique pour cette étape.

4. Acculturer les décideurs sur vos cas concrets

La littératie IA attendue par l'AI Act ne s'acquiert pas à travers un module générique. Ce qui construit une compréhension opérationnelle, c'est une lecture partagée des cas d'usage que vous envisagez réellement : comment fonctionne le système, ce qu'il ne peut pas faire, comment en contrôler les sorties. Cette acculturation doit cibler en premier lieu les décideurs et les managers — ceux qui valideront les déploiements et en assumeront la responsabilité.

C'est ce que nous faisons lors de nos missions de conseil et audit : nous partons de votre contexte, pas d'un contenu pré-écrit.

5. Décider : concevoir l'outil métier sur-mesure, ou pas

À l'issue du cadrage, la décision est beaucoup plus claire. Deux scénarios principaux : soit un outil existant (générique ou sectoriel) couvre le besoin de façon satisfaisante, avec des ajustements de paramétrage — auquel cas nous le disons ; soit le cas d'usage est suffisamment spécifique, stratégique ou lié à des données sensibles pour justifier une application métier sur-mesure, augmentée par l'IA, conçue pour vos règles et vos flux. C'est là que le développement sur-mesure prend tout son sens.

IA générique ou IA métier ?

Un assistant d'IA générative répond à des questions, reformule des textes, synthétise des documents. C'est utile — et c'est limité. Sa logique est celle d'un outil universel : il ne connaît pas votre secteur, vos règles métier, vos données historiques ni vos contraintes réglementaires. Il produit des résultats vraisemblables, pas nécessairement fiables pour un usage professionnel critique.

Une application métier sur-mesure augmentée par l'IA fonctionne différemment : l'IA y est intégrée dans un processus maîtrisé, sur des données que vous contrôlez, avec des règles de validation et de supervision que vous avez définies. Elle peut automatiser une tâche de traitement documentaire complexe, enrichir une prise de décision à partir de vos données historiques, ou détecter une anomalie dans un flux métier — de façon fiable et traçable.

La distinction entre les deux n'est pas théorique : elle détermine si votre projet IA sera un gain de productivité durable ou un prototype difficile à maintenir. Notre article sur le vibe coding et les limites du prototype IA explore ce point en détail.

Pour les systèmes d'automatisation IA intégrés à vos processus, voir aussi notre service Automatisation & IA.

Le cas particulier des collectivités

Les collectivités territoriales sont des déployeurs d'IA comme les autres au sens de l'AI Act — parfois plus exposées, car elles traitent des données de personnes dans des contextes à fort enjeu (social, éducatif, urbanisme, sécurité). L'obligation de littératie IA (art. 4) s'applique à elles dès lors qu'elles utilisent des systèmes d'IA, qu'ils soient développés en interne ou intégrés via des prestataires.

Selon l'Observatoire Data Publica (novembre 2024), environ 36 % des collectivités expérimentent déjà l'IA et ~15 % envisagent de le faire. Cette adoption progresse souvent par projets pilotes — ce qui rend le cadrage encore plus nécessaire : expérimenter sans gouvernance, c'est créer des précédents difficiles à encadrer ensuite.

Les collectivités font face à des contraintes spécifiques : commande publique, RGPD renforcé sur les données citoyennes, questions de souveraineté numérique, exigences de traçabilité des décisions. Notre article AI Act et collectivités détaille ces enjeux et les étapes de mise en conformité.

Questions fréquentes

L'AI Act s'applique-t-il à mon entreprise si elle n'a pas développé d'IA elle-même ?
Oui. L'AI Act distingue les fournisseurs (qui créent des systèmes d'IA) des déployeurs (qui les utilisent dans leurs activités). Si votre entreprise utilise un logiciel intégrant de l'IA — même un outil tiers — vous êtes déployeur et l'obligation de littératie IA (art. 4) vous s'applique depuis le 02/02/2025. Source : règlement UE 2024/1689 ; entreprises.gouv.fr / DGE.
Qu'est-ce que le « shadow IA » et pourquoi est-ce un risque ?
Le shadow IA désigne les usages d'outils d'IA adoptés par des collaborateurs sans validation de la direction ni encadrement IT — souvent des outils grand public utilisés pour des tâches professionnelles. Le risque est double : fuite de données confidentielles (si des données sensibles sont transmises à des services tiers non homologués) et exposition réglementaire (impossibilité de démontrer la maîtrise des systèmes d'IA utilisés, exigée par l'AI Act). Un audit des usages réels est la première étape pour identifier et encadrer ces pratiques.
Par où commencer concrètement si je n'ai pas d'équipe technique en interne ?
Le point de départ est un diagnostic externe : un partenaire qui audite vos processus, identifie les usages IA existants (formels et informels) et vous aide à prioriser. C'est exactement le rôle de nos missions de conseil et audit. À l'issue du diagnostic, vous avez une feuille de route claire, sans avoir eu à construire une compétence IA en interne au préalable.
L'IA sur-mesure est-elle accessible aux PME ?
Tout dépend du cas d'usage et de sa valeur métier. Certains processus justifient un développement sur-mesure même pour une PME — notamment quand ils touchent à un avantage concurrentiel, à des données sensibles ou à une règle métier très spécifique. La mission de cadrage permet justement d'évaluer si c'est le bon investissement, et d'en dimensionner le périmètre. Nous n'avons pas d'intérêt à recommander du sur-mesure là où un outil existant fait le travail.

Un projet, une problématique métier ?

Un premier échange de 30 minutes pour comprendre votre contexte et évaluer comment nous pouvons vous aider. Sans engagement.

Parlons de votre projet