[{"data":1,"prerenderedAt":1542},["ShallowReactive",2],{"pillar-conformite-numerique":3},[4,669],{"id":5,"title":6,"artifacts":7,"author":13,"body":14,"brand":577,"date":578,"description":579,"draft":580,"extension":581,"faq":582,"funnel":601,"keywords":602,"meta":609,"navigation":610,"path":611,"pillar":612,"scheduled":613,"seo":614,"slug":615,"sources":616,"stem":659,"tags":660,"__hash__":668},"blog\u002Fblog\u002F2026-04-23-copilot-flex-routing-donnees-hors-ue.md","Copilot envoie vos données hors de l'UE par défaut : ce que chaque entreprise doit vérifier maintenant",[8],{"type":9,"title":10,"description":11,"url":12},"sur demande","Audit Copilot RGPD (30 min)","Vérification de votre configuration M365 et recommandations","https:\u002F\u002Fcal.com\u002Fsmartcto\u002F30min?notes=Source%20:%20Article%20Copilot%20flex%20routing%20-%20Audit%20configuration","Alex",{"type":15,"value":16,"toc":555},"minimark",[17,21,36,48,53,64,67,70,79,83,88,91,103,106,118,139,143,146,150,153,156,159,162,170,174,186,198,202,222,225,229,232,238,247,252,255,258,263,266,271,274,279,295,299,311,323,332,341,345,348,352,358,364,368,374,380,384,391,402,406,509,512,516,532,535,538,541],[18,19,20],"p",{},"Le 17 avril 2026, Microsoft a activé une fonctionnalité par défaut sur tous les tenants européens de Copilot. Aucun email d'alerte ni demande de consentement. Juste un message dans le Message Center de l'admin M365, noyé entre deux annonces de fonctionnalités mineures.",[18,22,23,24,35],{},"Cette fonctionnalité s'appelle le \"flex routing\". Elle permet à Microsoft d'envoyer vos requêtes Copilot, avec tout le contexte qu'elles contiennent (emails, documents, métadonnées), vers des datacenters aux États-Unis, au Canada ou en Australie quand les serveurs européens sont saturés ",[25,26,27],"sup",{},[28,29,31],"a",{"href":30},"#source-1",[32,33,34],"span",{},"1",".",[18,37,38,39,47],{},"J'ai découvert le sujet hier matin en tombant sur un post de Proton dans mon feed LinkedIn ",[25,40,41],{},[28,42,44],{"href":43},"#source-2",[32,45,46],{},"2",". J'ai immédiatement vérifié la configuration de PME que j'accompagne. Sur trois tenants avec Copilot actif, aucun n'avait vu le message (et c'est normal). Le flex routing était activé sur les trois. C'est pour ça que je fais une revue de configuration M365 régulièrement chez mes clients : les changements silencieux de ce type sont devenus trop fréquents pour les ignorer.",[49,50,52],"h2",{"id":51},"ce-qui-quitte-vraiment-lue-et-pourquoi-stockage-en-ue-ne-suffit-pas","Ce qui quitte vraiment l'UE (et pourquoi \"stockage en UE\" ne suffit pas)",[18,54,55,56,35],{},"Microsoft fait une distinction que beaucoup de DSI ne perçoivent pas. Les données \"au repos\" restent dans l'EU Data Boundary. Vos fichiers Sharepoint, vos emails Exchange, vos documents OneDrive ne bougent pas. Mais quand vous demandez à Copilot \"résume mes emails de la semaine\" ou \"synthétise ce contrat\", le LLM a besoin de contexte pour répondre ",[25,57,58],{},[28,59,61],{"href":60},"#source-3",[32,62,63],{},"3",[18,65,66],{},"Ce contexte, c'est du RAG (Retrieval-Augmented Generation). Copilot va chercher vos emails, vos documents, vos métadonnées, les assemble en un prompt et les envoie au modèle pour inférence. Et c'est cette étape de traitement qui peut maintenant sortir de l'UE sans vous demander pendant les pics de charge.",[18,68,69],{},"La distinction \"stocké en UE\" vs \"traité en UE\" est le point central. Quand Copilot envoie le contenu de vos emails confidentiels à un GPU au Texas pour générer un résumé, c'est un transfert de données au sens du RGPD. Peu importe que le fichier original n'ait pas bougé de son datacenter à Amsterdam.",[18,71,72,73,35],{},"Les produits concernés ne se limitent pas à Microsoft 365 Copilot. Copilot Chat, Dynamics 365 Copilot, Power Platform Copilot et Copilot Studio sont tous dans le périmètre ",[25,74,75],{},[28,76,77],{"href":30},[32,78,34],{},[49,80,82],{"id":81},"la-cascade-réglementaire-que-personne-na-vue-venir","La cascade réglementaire que personne n'a vue venir",[84,85,87],"h3",{"id":86},"rgpd-un-transfert-qui-signore","RGPD : un transfert qui s'ignore",[18,89,90],{},"Les articles 44 à 49 du RGPD encadrent strictement les transferts de données personnelles hors UE. Pour qu'un transfert soit licite, il faut une base juridique : décision d'adéquation, clauses contractuelles types (SCCs), ou une dérogation spécifique.",[18,92,93,94,102],{},"Microsoft s'appuie sur l'EU-US Data Privacy Framework (DPF), la décision d'adéquation adoptée en juillet 2023, pour justifier les transferts vers les États-Unis ",[25,95,96],{},[28,97,99],{"href":98},"#source-9",[32,100,101],{},"9",". Le problème, c'est que ce cadre est déjà contesté. Philippe Latombe, député français et membre de la CNIL, a déposé un recours devant la CJUE le 31 octobre 2025. La Cour de justice, rappelons-le, a déjà invalidé deux cadres précédents (Safe Harbor en 2015, Privacy Shield en 2020). Un \"Schrems III\" est dans les tuyaux.",[18,104,105],{},"Pour le Canada et l'Australie, destinations également possibles du flex routing, la situation juridique est encore plus floue. Le Canada bénéficie d'une décision d'adéquation limitée aux traitements soumis à la LPRPDE (loi fédérale), mais pas à tous les traitements. L'Australie n'a aucune décision d'adéquation.",[18,107,108,109,117],{},"Et puis il y a le CLOUD Act. Cette loi américaine de 2018 permet aux autorités US d'exiger l'accès aux données détenues par les entreprises américaines, y compris celles stockées sur des serveurs en Europe ",[25,110,111],{},[28,112,114],{"href":113},"#source-11",[32,115,116],{},"11",". Le chapitre VII du Data Act européen, applicable depuis septembre 2025, tente de contrer ce risque en imposant aux fournisseurs cloud de bloquer les accès illégaux par des gouvernements non européens. Résultat : les organisations qui utilisent une infrastructure cloud américaine se retrouvent prises entre deux juridictions contradictoires.",[18,119,120,121,129,130,138],{},"La CNIL a prononcé 487 M€ de sanctions en 2025, un record historique ",[25,122,123],{},[28,124,126],{"href":125},"#source-7",[32,127,128],{},"7",". Et son guide d'Analyse d'Impact des Transferts de Données (AITD) publié en février 2025 détaille précisément comment documenter et évaluer les risques de ce type de transfert ",[25,131,132],{},[28,133,135],{"href":134},"#source-8",[32,136,137],{},"8",". Le flex routing de Copilot tombe exactement dans le périmètre de ce guide.",[84,140,142],{"id":141},"nis2-savoir-où-transitent-les-données-est-une-obligation","NIS2 : savoir où transitent les données est une obligation",[18,144,145],{},"La transposition française de NIS2 (Loi Résilience) est en cours d'adoption. Les entités essentielles et importantes devront démontrer qu'elles maîtrisent leurs chaînes de sous-traitance IT et qu'elles savent où leurs données sont traitées. Un paramètre qui s'active silencieusement et qui reroute des traitements hors UE, c'est exactement le type de situation que NIS2 vise à prévenir.",[84,147,149],{"id":148},"ai-act-le-flex-routing-est-aussi-un-problème-de-transparence-ia","AI Act : le flex routing est aussi un problème de transparence IA",[18,151,152],{},"Copilot est un système d'IA au sens de l'AI Act. L'entreprise qui l'utilise est \"déployeur\" (article 3(4)). Microsoft est \"fournisseur\". Les deux ont des obligations distinctes, et le flex routing les met en tension.",[18,154,155],{},"L'obligation d'AI literacy (article 4) est en vigueur depuis février 2025. Concrètement, vos équipes doivent comprendre ce que fait l'IA qu'elles utilisent. Est-ce qu'un commercial qui demande à Copilot de résumer un pipeline de prospects sait que sa requête peut être traitée aux États-Unis ? C'est exactement le type de connaissance que l'AI literacy est censée couvrir. Et c'est exactement ce que le flex routing rend opaque.",[18,157,158],{},"Les obligations de transparence (article 50) s'appliquent à partir du 2 août 2026. Le déployeur doit s'assurer que les utilisateurs sont informés qu'ils interagissent avec une IA et comprennent ses capacités et ses limites. Difficile de documenter les limites d'un système quand le fournisseur modifie le périmètre de traitement des données sans notification claire.",[18,160,161],{},"Si Copilot est utilisé dans un contexte relevant de l'Annexe III, analyse de CV, scoring crédit, évaluation de performance, les obligations montent d'un cran : supervision humaine effective, gestion des risques documentée, journalisation. Le flex routing complique chacune de ces exigences parce que le déployeur perd la visibilité sur l'infrastructure de traitement.",[18,163,164,165,169],{},"Le point que peu de PME anticipent, c'est le cumul. Le flex routing déclenche à la fois des obligations RGPD (transfert hors UE, AIPD) et des obligations AI Act (transparence, documentation déployeur, AI literacy). Ce sont deux couches de conformité sur le même outil, le même paramètre, le même risque. J'ai détaillé ce mécanisme de ",[28,166,168],{"href":167},"\u002Fconformite-numerique\u002Fai-act-rgpd-cumul-obligations\u002F","double conformité AI Act + RGPD"," dans un article dédié avec une matrice par cas d'usage.",[84,171,173],{"id":172},"dora-microsoft-est-sous-surveillance-directe","DORA : Microsoft est sous surveillance directe",[18,175,176,177,185],{},"Pour les entreprises du secteur financier, le risque est encore plus concret. DORA est applicable depuis janvier 2025, et en novembre 2025, les autorités de surveillance européennes (EBA, EIOPA, ESMA) ont publié la liste des 19 prestataires IT critiques (CTPPs), dont Microsoft Azure ",[25,178,179],{},[28,180,182],{"href":181},"#source-10",[32,183,184],{},"10",". Ces prestataires sont désormais sous supervision directe de l'UE, avec des inspections sur site et des obligations de reporting.",[18,187,188,189,197],{},"L'ESMA a d'ailleurs publié un document d'évaluation des risques spécifique à Copilot pour M365 ",[25,190,191],{},[28,192,194],{"href":193},"#source-5",[32,195,196],{},"5",". Quand le régulateur financier européen prend le temps d'évaluer un outil IA spécifique, c'est un signal qu'il ne faut pas ignorer.",[84,199,201],{"id":200},"ce-que-les-pays-bas-et-la-norvège-ont-déjà-fait","Ce que les Pays-Bas et la Norvège ont déjà fait",[18,203,204,205,213,214,35],{},"Les entreprises françaises ne sont pas les seules à découvrir le sujet. L'autorité norvégienne de protection des données (Datatilsynet) a publié un rapport complet sur Copilot vu sous l'angle de la protection des données ",[25,206,207],{},[28,208,210],{"href":209},"#source-4",[32,211,212],{},"4",". Aux Pays-Bas, le SLM Rijk (gestion stratégique des fournisseurs du ministère de la Justice) et SURF ont conduit une DPIA complète de Copilot qui avait identifié 4 risques élevés en décembre 2024. Après 9 mois de négociation avec Microsoft, ces risques ont été réduits, mais pas éliminés ",[25,215,216],{},[28,217,219],{"href":218},"#source-6",[32,220,221],{},"6",[18,223,224],{},"La France ? La CNIL n'a pas encore publié d'avis spécifique sur Copilot ou le flex routing. Mais tous les outils réglementaires sont déjà en place pour agir.",[49,226,228],{"id":227},"_5-actions-immédiates-si-vous-utilisez-copilot","5 actions immédiates si vous utilisez Copilot",[18,230,231],{},"Je ne vais pas vous dire de désinstaller Copilot. Ce serait malhonnête, c'est un outil utile quand il est correctement configuré. Mais il y a cinq choses à faire cette semaine.",[18,233,234],{},[235,236,237],"strong",{},"1. Vérifier si le flex routing est activé",[18,239,240,241,35],{},"Connectez-vous au Microsoft 365 admin center avec un compte ayant le rôle \"AI Administrator\". Allez dans Copilot > Settings > Flexible inferencing during peak load periods. Si le paramètre est sur \"Allow flex routing\", vos données peuvent sortir de l'UE à tout moment ",[25,242,243],{},[28,244,245],{"href":30},[32,246,34],{},[18,248,249],{},[235,250,251],{},"2. Désactiver le flex routing",[18,253,254],{},"Sélectionnez \"Do not allow flex routing\" et enregistrez. La propagation prend environ une semaine. Attention, autre feinte, il existe un paramètre séparé dans le Power Platform admin center pour Dynamics 365 et Copilot Studio.",[18,256,257],{},"Tant que vous êtes dans l'admin center, vérifiez deux autres paramètres : les modèles Anthropic Claude (activables dans Copilot depuis le 3 avril, désactivés par défaut en UE mais à confirmer sur votre tenant) et les labels de sensibilité Microsoft Purview, qui permettent de restreindre l'accès de Copilot aux documents confidentiels. Ces trois réglages forment le socle minimum de sécurisation d'un tenant M365 avec Copilot.",[18,259,260],{},[235,261,262],{},"3. Documenter la décision",[18,264,265],{},"Que vous désactiviez ou que vous gardiez le flex routing activé, documentez la décision. Votre DPO en aura besoin. Si vous le gardez activé, vous devez pouvoir justifier la base juridique du transfert (probablement le DPF pour les US - quid du Canada et de l'Australie ?).",[18,267,268],{},[235,269,270],{},"4. Mettre à jour votre registre des traitements",[18,272,273],{},"Ajoutez une ligne \"traitement IA Copilot\" à votre registre RGPD si ce n'est pas déjà fait. Précisez les données traitées, les finalités, et la localisation du traitement (UE, ou UE + US\u002FCA\u002FAU si flex routing actif).",[18,275,276],{},[235,277,278],{},"5. Évaluer la nécessité d'une AIPD",[18,280,281,282,288,289,35],{},"Si Copilot traite des données personnelles à grande échelle dans votre organisation (résumé d'emails, analyse de documents RH, qualification de prospects), une Analyse d'Impact relative à la Protection des Données est probablement nécessaire. Si le risque résiduel reste élevé après l'AIPD, la consultation préalable de la CNIL est obligatoire ",[25,283,284],{},[28,285,286],{"href":98},[32,287,101],{},". Pour les entreprises sans DPO dédié, c'est le type de livrable qu'un CTO externalisé peut structurer en une à deux semaines, en s'appuyant sur la DPIA néerlandaise comme modèle ",[25,290,291],{},[28,292,293],{"href":218},[32,294,221],{},[49,296,298],{"id":297},"le-vrai-sujet-lopt-out-silencieux-comme-méthode","Le vrai sujet : l'opt-out silencieux comme méthode",[18,300,301,302,310],{},"Microsoft a partiellement fait machine arrière après le tollé. Selon un entretien avec le média néerlandais Tweakers, les grandes organisations commerciales, les clients éducation et le secteur public pourraient bénéficier d'un modèle opt-in plutôt qu'opt-out ",[25,303,304],{},[28,305,307],{"href":306},"#source-14",[32,308,309],{},"14",". Mais pour les PME et ETI, à l'heure où j'écris, c'est toujours l'opt-out qui s'applique.",[18,312,313,314,322],{},"C'est surtout la façon de faire qui me pose le plus problème en mission. Des changements structurants sur la localisation des données, activés par défaut, sans consentement explicite. Dans un contexte où la moitié des PME n'ont personne de dédié à l'IT, qui va lire le Message Center de l'admin M365 pour repérer une notification MC1269223 ",[25,315,316],{},[28,317,319],{"href":318},"#source-12",[32,320,321],{},"12"," ? La gestion proactive d'un tenant M365, c'est exactement ce que ça veut dire : surveiller les changements de configuration, appliquer les durcissements de sécurité, et s'assurer que les paramètres de conformité ne dérivent pas entre deux release notes.",[18,324,325,326,35],{},"L'ensemble de la promesse EU Data Boundary repose sur l'idée que les organisations peuvent faire confiance au fait que leurs données restent dans l'UE. Quand une fonctionnalité court-circuite silencieusement cette garantie pendant un pic de charge un mardi matin, les équipes conformité ont un vrai problème ",[25,327,328],{},[28,329,330],{"href":43},[32,331,46],{},[18,333,334,335,35],{},"Et ce n'est pas la première fois. La communauté Microsoft s'en est fait l'écho sur le Community Hub, où le fil de discussion s'intitule sans détour \"Copilot Compliance Nightmare\" ",[25,336,337],{},[28,338,339],{"href":318},[32,340,321],{},[49,342,344],{"id":343},"les-alternatives-existent-elles-ne-sont-plus-expérimentales","Les alternatives existent, elles ne sont plus expérimentales",[18,346,347],{},"Pour les PME qui veulent garder un assistant IA sans les risques de transfert, le paysage a changé depuis un an. Les alternatives souveraines se répartissent en trois familles selon le niveau de contrôle souhaité et les compétences disponibles en interne.",[84,349,351],{"id":350},"assistants-saas-souverains","Assistants SaaS souverains",[18,353,354,357],{},[235,355,356],{},"Mistral Le Chat Enterprise"," est aujourd'hui l'option la plus complète pour remplacer Copilot comme assistant de travail. Création d'agents personnalisés, recherche documentaire RAG, connecteurs natifs vers SharePoint, Gmail et Google Drive pour indexer les connaissances internes sans passer par des services américains. L'hébergement est en Europe avec option on-premise pour les organisations qui veulent garder le contrôle total. Les tarifs sont compétitifs face à Copilot, avec des modèles significativement moins chers. Pour une PME sous Microsoft 365 ou Google Workspace qui veut limiter les transferts hors UE, c'est la brique la plus proche d'un Copilot souverain en termes de fonctionnalités générales (résumé de documents, génération de contenus, Q&A sur base documentaire).",[18,359,360,363],{},[235,361,362],{},"Exahia"," se positionne explicitement comme alternative française à Copilot. Hébergement OVHcloud en France, zéro rétention (données traitées en RAM, pas de stockage persistant), Cloud Act-free. L'offre ACCESS est à 29€\u002Futilisateur\u002Fmois, avec une interface de chat prête à l'emploi. Pas d'intégration native dans la suite Office, les connexions se font via API et connecteurs. Pour les PME qui ne veulent ni gérer d'infrastructure ni recruter de profils ML ou DevOps, c'est l'option la plus simple à déployer.",[84,365,367],{"id":366},"plateformes-genai-dentreprise-pour-construire-un-copilot-maison","Plateformes GenAI d'entreprise pour construire un \"Copilot maison\"",[18,369,370,373],{},[235,371,372],{},"LightOn Paradigm"," (Paris) propose de la RAG avancée, y compris multimodale, des agents métier et plusieurs modes de déploiement : cloud privé, on-premise, infrastructure souveraine. Leur brique Private Chat cible les secteurs régulés et le public. Tarifs sur devis, positionnement mid-market. Intéressant quand l'objectif est de construire un assistant fortement verticalisé sur des processus métier spécifiques, avec un contrôle fin sur l'hébergement.",[18,375,376,379],{},[235,377,378],{},"Aleph Alpha"," (Allemagne) fonctionne plutôt comme socle pour des intégrateurs. L'éditeur développe ses propres modèles de langage avec résidence des données en Europe et architecture pensée pour ne pas utiliser les données clients pour l'entraînement. Pour une PME, ça passe concrètement par un partenaire (ESN, éditeur vertical) qui propose une solution packagée.",[84,381,383],{"id":382},"self-hosting-sur-infrastructure-eu","Self-hosting sur infrastructure EU",[18,385,386,387,390],{},"La stack ",[235,388,389],{},"Ollama + Open WebUI"," sur un serveur GPU chez Hetzner (datacenters en Allemagne et Finlande), Scaleway ou OVHcloud permet de faire tourner des modèles comme Llama 3, Mistral ou Qwen 3 avec un contrôle total. Pas de télémétrie, pas de transferts hors UE. Les benchmarks récents montrent environ 40 tokens\u002Fseconde par utilisateur sur GPU dédié, suffisant pour une équipe de 10 à 50 personnes. Comptez 250 à 500€\u002Fmois d'infrastructure selon la carte et la redondance.",[18,392,393,394,397,398,401],{},"OVHcloud propose aussi ",[235,395,396],{},"AI Endpoints"," et ",[235,399,400],{},"AI Deploy"," pour déployer des modèles via API dans une infrastructure souveraine avec tarification à l'usage GPU. C'est un intermédiaire entre le SaaS clé en main et le self-hosting complet, qui demande des compétences DevOps mais évite de gérer le hardware.",[84,403,405],{"id":404},"le-vrai-arbitrage-intégration-bureautique-vs-souveraineté","Le vrai arbitrage : intégration bureautique vs souveraineté",[407,408,409,428],"table",{},[410,411,412],"thead",{},[413,414,415,419,422,425],"tr",{},[416,417,418],"th",{},"Solution",[416,420,421],{},"Coût indicatif (50 utilisateurs\u002Fan)",[416,423,424],{},"Souveraineté",[416,426,427],{},"Intégration M365",[429,430,431,449,464,480,494],"tbody",{},[413,432,433,440,443,446],{},[434,435,436,439],"td",{},[235,437,438],{},"Copilot"," (flex routing off)",[434,441,442],{},"10 800-16 800€ (add-on seul, 18-28€\u002Fuser\u002Fmois)",[434,444,445],{},"EU Data Boundary, sous réserve de config, Cloud Act",[434,447,448],{},"Native (Word, Excel, Outlook, Teams)",[413,450,451,455,458,461],{},[434,452,453],{},[235,454,356],{},[434,456,457],{},"Sur devis, compétitif vs Copilot",[434,459,460],{},"France \u002F on-premise",[434,462,463],{},"Connecteurs SharePoint, Gmail, Drive",[413,465,466,471,474,477],{},[434,467,468],{},[235,469,470],{},"Exahia ACCESS",[434,472,473],{},"~17 400€ (29€\u002Fuser\u002Fmois)",[434,475,476],{},"France (OVHcloud), zéro rétention",[434,478,479],{},"API et connecteurs",[413,481,482,486,489,492],{},[434,483,484],{},[235,485,372],{},[434,487,488],{},"Sur devis (mid-market)",[434,490,491],{},"France, cloud privé \u002F on-premise",[434,493,479],{},[413,495,496,500,503,506],{},[434,497,498],{},[235,499,389],{},[434,501,502],{},"3 000-6 000€ (infra GPU) + temps DevOps",[434,504,505],{},"Totale",[434,507,508],{},"Aucune (API custom)",[18,510,511],{},"Aucune de ces alternatives ne remplace Copilot à l'identique. L'intégration native dans Word, Excel, Outlook et Teams reste le vrai lock-in de Microsoft, aucune solution souveraine ne la reproduit aujourd'hui. Mais si votre priorité est la conformité et la maîtrise des transferts, les options ne sont plus expérimentales. La question n'est plus \"est-ce que ça existe ?\", c'est \"est-ce que le risque de non-conformité justifie le coût de migration ?\"",[49,513,515],{"id":514},"le-contexte-de-fond-microsoft-augmente-les-prix-leurope-augmente-les-contrôles","Le contexte de fond : Microsoft augmente les prix, l'Europe augmente les contrôles",[18,517,518,519,527,528,531],{},"Deux mouvements simultanés méritent attention. Microsoft prévoit une hausse de 12 à 25 % des tarifs M365 à partir de juillet 2026 ",[25,520,521],{},[28,522,524],{"href":523},"#source-13",[32,525,526],{},"13",". En parallèle, l'arsenal réglementaire européen se renforce chaque trimestre : RGPD (en vigueur depuis 2018), NIS2 (transposition en cours), DORA (applicable depuis janvier 2025), ",[28,529,530],{"href":167},"AI Act (transparence obligatoire en août 2026)",", Data Act (chapitre VII applicable depuis septembre 2025).",[18,533,534],{},"Le coût de la conformité augmente. Celui de la non-conformité augmente encore plus vite, et Meta en sait quelque chose avec 1,2 Milliard d'euros de sanction pour des transferts de données illégaux vers les États-Unis.",[18,536,537],{},"La question n'est pas de quitter Microsoft ou de rester. La question, c'est de savoir exactement ce qui se passe dans votre tenant, de le documenter, et de prendre une décision éclairée plutôt que de subir un paramètre par défaut.",[539,540],"hr",{},[18,542,543,544,548,549,35],{},"Si vous utilisez Copilot et que vous n'êtes pas certain de votre configuration, prenez 30 minutes pour vérifier. Et si vous préférez qu'un ",[28,545,547],{"href":546},"\u002Fdirection-technique\u002Fmanifeste-cto-externalise\u002F","CTO externalisé"," passe en revue votre tenant M365, configuration Copilot, labels de sensibilité, paramètres de transfert, registre des traitements : ",[28,550,554],{"href":551,"rel":552},"https:\u002F\u002Fcal.com\u002Fsmartcto\u002F30min?notes=Source%20:%20Article%20Copilot%20flex%20routing%20-%20Audit%20configuration%20M365",[553],"nofollow","diagnostic flash, 30 minutes, sans engagement",{"title":556,"searchDepth":557,"depth":557,"links":558},"",2,[559,560,568,569,570,576],{"id":51,"depth":557,"text":52},{"id":81,"depth":557,"text":82,"children":561},[562,564,565,566,567],{"id":86,"depth":563,"text":87},3,{"id":141,"depth":563,"text":142},{"id":148,"depth":563,"text":149},{"id":172,"depth":563,"text":173},{"id":200,"depth":563,"text":201},{"id":227,"depth":557,"text":228},{"id":297,"depth":557,"text":298},{"id":343,"depth":557,"text":344,"children":571},[572,573,574,575],{"id":350,"depth":563,"text":351},{"id":366,"depth":563,"text":367},{"id":382,"depth":563,"text":383},{"id":404,"depth":563,"text":405},{"id":514,"depth":557,"text":515},"smartcto","2026-04-23","Depuis le 17 avril 2026, Microsoft route les requêtes Copilot vers les États-Unis, le Canada ou l'Australie en période de charge. Voici comment vérifier, désactiver et documenter pour rester conforme RGPD, NIS2 et DORA.",false,"md",[583,586,589,592,595,598],{"question":584,"answer":585},"Qu'est-ce que le flex routing de Microsoft Copilot ?","Le flex routing est une fonctionnalité qui permet à Microsoft de traiter les requêtes Copilot (l'inférence LLM) en dehors de l'EU Data Boundary, dans des datacenters aux États-Unis, au Canada ou en Australie, lorsque les serveurs européens sont saturés. Ce n'est pas du stockage mais du traitement : vos emails, documents et métadonnées sont envoyés comme contexte RAG à un GPU hors UE \u003Csup>\u003Ca href=\"#source-1\">[1]\u003C\u002Fa>\u003C\u002Fsup>.",{"question":587,"answer":588},"Le flex routing est-il activé par défaut ?","Oui. Depuis le 17 avril 2026, le flex routing est activé par défaut pour tous les tenants EU et EFTA. Les tenants créés après le 25 mars 2026 l'avaient déjà par défaut. Microsoft a annoncé un passage en opt-in pour les grandes organisations commerciales, l'éducation et le secteur public, mais la date reste floue \u003Csup>\u003Ca href=\"#source-1\">[1]\u003C\u002Fa>\u003C\u002Fsup> \u003Csup>\u003Ca href=\"#source-14\">[14]\u003C\u002Fa>\u003C\u002Fsup>.",{"question":590,"answer":591},"Comment désactiver le flex routing ?","Dans le Microsoft 365 admin center, allez dans Copilot > Settings > Flexible inferencing during peak load periods. Sélectionnez 'Do not allow flex routing'. Le rôle AI Administrator est requis. La propagation prend environ une semaine \u003Csup>\u003Ca href=\"#source-1\">[1]\u003C\u002Fa>\u003C\u002Fsup>.",{"question":593,"answer":594},"Le flex routing viole-t-il le RGPD ?","Le traitement de données personnelles hors UE constitue un transfert au sens des articles 44 à 49 du RGPD, qui nécessite une base juridique (décision d'adéquation, clauses contractuelles types, etc.). L'activation par défaut, sans consentement explicite de l'organisation, pose question sur la conformité. La CNIL n'a pas encore publié d'avis spécifique sur le flex routing, mais son guide AITD s'applique directement \u003Csup>\u003Ca href=\"#source-8\">[8]\u003C\u002Fa>\u003C\u002Fsup>.",{"question":596,"answer":597},"Quels produits Microsoft sont concernés ?","Microsoft 365 Copilot, Copilot Chat, Dynamics 365 Copilot, Power Platform Copilot et Copilot Studio sont tous concernés par le flex routing \u003Csup>\u003Ca href=\"#source-1\">[1]\u003C\u002Fa>\u003C\u002Fsup>.",{"question":599,"answer":600},"Existe-t-il des alternatives souveraines à Copilot ?","Trois familles d'alternatives souveraines existent. En SaaS clé en main : Mistral Le Chat Enterprise (agents IA, connecteurs SharePoint\u002FDrive, hébergement EU) et Exahia (29€\u002Fuser\u002Fmois, OVHcloud France, zéro rétention). En plateforme GenAI pour construire un assistant sur mesure : LightOn Paradigm (RAG avancée, déploiement cloud privé\u002Fon-premise). En self-hosting : Ollama + Open WebUI sur un serveur GPU Hetzner, Scaleway ou OVHcloud pour un contrôle total dans l'UE. Aucune ne reproduit l'intégration native de Copilot dans Word, Excel et Outlook.","MOFU",[603,604,605,606,607,608],"copilot flex routing rgpd","microsoft copilot données hors ue","copilot conformité rgpd pme","flex routing désactiver microsoft 365","alternative copilot souveraine","microsoft données ue dora nis2",{"publishDate":578},true,"\u002Fblog\u002F2026-04-23-copilot-flex-routing-donnees-hors-ue","conformite-numerique","true",{"title":6,"description":579},"copilot-flex-routing-donnees-hors-ue",[617,620,623,626,629,632,635,638,641,644,647,650,653,656],{"title":618,"url":619},"Microsoft Learn — Flex routing (EU and EFTA)","https:\u002F\u002Flearn.microsoft.com\u002Fen-us\u002Fmicrosoft-365\u002Fcopilot\u002Fcopilot-flex-routing",{"title":621,"url":622},"Proton — What Microsoft 365 Copilot flex routing means for EU businesses","https:\u002F\u002Fproton.me\u002Fbusiness\u002Fblog\u002Fmicrosoft365-copilot-flex-routing",{"title":624,"url":625},"Office365 IT Pros — Flex Routing Dilemma for European Copilot Customers","https:\u002F\u002Foffice365itpros.com\u002F2026\u002F04\u002F07\u002Fflex-routing-copilot-europe\u002F",{"title":627,"url":628},"Datatilsynet (Norvège) — Exit Report: Copilot through the lens of data protection","https:\u002F\u002Fwww.datatilsynet.no\u002Fcontentassets\u002Fdfac8d8cd50c4ceb991efc21cacec1b9\u002Fexit-report-copilot-through-the-lens-of-data-protection.pdf",{"title":630,"url":631},"ESMA — Copilot for M365 Record (évaluation des risques)","https:\u002F\u002Fwww.esma.europa.eu\u002Fsites\u002Fdefault\u002Ffiles\u002F2025-09\u002FESMA65-955014868-13139_Copilot_for_M365_record.pdf",{"title":633,"url":634},"SLM Rijk \u002F SURF (Pays-Bas) — DPIA Microsoft 365 Copilot (mise à jour sept. 2025)","https:\u002F\u002Fslmmicrosoftrijk.nl\u002Fdownloads\u002F",{"title":636,"url":637},"CNIL — Bilan des sanctions 2025 (487 M€)","https:\u002F\u002Fwww.cnil.fr\u002Ffr\u002Fbilan-sanctions-2025",{"title":639,"url":640},"CNIL — Guide AITD (Analyse d'impact des transferts de données)","https:\u002F\u002Fwww.cnil.fr\u002Fsites\u002Fcnil\u002Ffiles\u002F2025-02\u002Fguide_aitd_pdf.pdf",{"title":642,"url":643},"Leto Legal — Copilot Microsoft et RGPD 2026 : guide conformité","https:\u002F\u002Fwww.leto.legal\u002Fguides\u002Fmicrosoft-copilot-rgpd-guide",{"title":645,"url":646},"DORA Blog — Liste des 19 CTPPs désignés (nov. 2025)","https:\u002F\u002Fwww.regulation-dora.eu\u002Fblog\u002Fcritical-ict-third-party-designations-october-2025",{"title":648,"url":649},"Kiteworks — EU Data Act vs US CLOUD Act : conflit de souveraineté","https:\u002F\u002Fwww.kiteworks.com\u002Ffr\u002Fconformite-rgpd\u002Feu-data-act-rgpd-conflit-cloud\u002F",{"title":651,"url":652},"Microsoft Community Hub — Copilot Compliance Nightmare: Flex Routing","https:\u002F\u002Ftechcommunity.microsoft.com\u002Fdiscussions\u002Fmicrosoft365copilot\u002Fcopilot-compliance-nightmare-microsoft-suddenly-rolls-out-flex-routing\u002F4509150",{"title":654,"url":655},"Le Monde Informatique — Hausse des prix Microsoft 365 pour les entreprises en 2026","https:\u002F\u002Fwww.lemondeinformatique.fr\u002Factualites\u002Flire-hausse-des-prix-de-microsoft-365-pour-les-entreprises-en-2026-98712.html",{"title":657,"url":658},"ITdaily — Microsoft keeps Copilot data within the EU by default (reversal)","https:\u002F\u002Fitdaily.com\u002Fnews\u002Fcloud\u002Fmicrosoft-copilot-standaard-binnen-eu\u002F","blog\u002F2026-04-23-copilot-flex-routing-donnees-hors-ue",[661,662,663,664,665,666,667],"rgpd","copilot","microsoft","souveraineté","cloud","pme","nis2","4S7ZAyZiRk-CDo-ZnpBcxbPfo8-zFTAYIpEXZ1QHGzs",{"id":670,"title":671,"artifacts":672,"author":13,"body":700,"brand":577,"date":1438,"description":1439,"draft":580,"extension":581,"faq":1440,"funnel":601,"keywords":1465,"meta":1474,"navigation":610,"path":1475,"pillar":612,"scheduled":1476,"seo":1477,"slug":1478,"sources":1479,"stem":1536,"tags":1537,"__hash__":1541},"blog\u002Fblog\u002F2026-04-09-ai-act-rgpd-cumul-obligations.md","AI Act + RGPD : la double conformité qui va piéger les PME et ETI en 2026",[673,678,683,687,692,696],{"type":674,"title":675,"description":676,"url":677},"interactif","Timeline AI Act + RGPD","Calendrier des deadlines 2025-2027","\u002Fpartages\u002Fai-act-rgpd-timeline\u002F",{"type":679,"title":680,"description":681,"file":682},"pdf","Matrice de cumul AI Act x RGPD","5 cas d'usage, obligations cumulées","\u002Fressources\u002Fai-act-rgpd-cumul-obligations\u002FMatrice-de-cumul-par-cas-dusage.pdf",{"type":679,"title":684,"description":685,"file":686},"Carousel 5 étapes audit","Process visuel à partager","\u002Fressources\u002Fai-act-rgpd-cumul-obligations\u002Fcarousel-5-etapes-audit.pdf",{"type":688,"title":689,"description":690,"file":691},"xlsx","Template DPIA","8 onglets, exemples pré-remplis","\u002Fressources\u002Fai-act-rgpd-cumul-obligations\u002Ftemplate-dpia-ai-act-rgpd.xlsx",{"type":688,"title":693,"description":694,"file":695},"Registre IA SmartCTO","Notre registre réel, anonymisé","\u002Fexemples-internes\u002Fsmartcto-registre-ia\u002Fregistre-ia-smartcto-2026.xlsx",{"type":9,"title":697,"description":698,"url":699},"Guide complet AI Act + RGPD (PDF 25 pages)","Disponible sur rendez-vous","https:\u002F\u002Fcal.com\u002Fsmartcto\u002F30min?notes=Source%20:%20Article%20AI%20Act%20RGPD%20-%20Guide%20complet",{"type":15,"value":701,"toc":1417},[702,705,708,711,714,723,727,743,746,769,772,775,778,782,792,795,798,802,812,835,842,845,861,864,868,875,889,899,902,905,908,912,928,934,1060,1077,1083,1094,1105,1111,1114,1123,1127,1144,1147,1150,1156,1160,1170,1173,1177,1186,1189,1193,1196,1199,1203,1206,1209,1212,1229,1233,1236,1251,1263,1267,1270,1274,1278,1281,1312,1315,1319,1322,1325,1337,1340,1343,1350,1359,1371,1375,1379,1382,1385,1391,1398,1400,1403,1406,1409],[18,703,704],{},"J'ai ouvert l'AI Act et le RGPD côte à côte. J'ai cherché le tableau qui croise les obligations des deux textes pour une PME ou ETI qui utilise un chatbot, un agent IA commercial ou un CRM avec scoring intégré.",[18,706,707],{},"Il n'existe pas. Nulle part.",[18,709,710],{},"Pas sur le site de la CNIL. Pas dans les guides des cabinets d'avocats, qui écrivent pour des directions juridiques de groupes du CAC 40. Pas dans les livres blancs des éditeurs SaaS, qui traitent l'AI Act seul comme si le RGPD avait disparu. Deux textes qui se cumulent dès que l'IA touche à des données personnelles, et personne ne les met en face pour les PME et ETI ?",[18,712,713],{},"Alors je l'ai construit.",[715,716,717],"blockquote",{},[18,718,719,722],{},[235,720,721],{},"Avertissement."," Je suis CTO, pas juriste. Cet article traduit l'AI Act et le RGPD en actions concrètes pour les PME et ETI, mais ce n'est pas un avis juridique. La réglementation évolue vite (Digital Omnibus en trilogue, lignes directrices EDPB à venir) et chaque situation est spécifique. Pour un audit de conformité engageant votre responsabilité, faites-vous accompagner par un professionnel du droit spécialisé en données personnelles et IA.",[49,724,726],{"id":725},"_55-utilisent-lia-90-ne-savent-pas-ce-quelles-déclenchent","55 % utilisent l'IA, 90 % ne savent pas ce qu'elles déclenchent",[18,728,729,730,736,737,35],{},"55 % des TPE-PME françaises utilisent l'IA générative fin 2025 ",[25,731,732],{},[28,733,734],{"href":30},[32,735,34],{},". C'est 24 points de plus qu'un an plus tôt. Le baromètre France Num confirme la tendance : 26 % des TPE\u002FPME déclarent utiliser l'IA, un chiffre qui a doublé en douze mois ",[25,738,739],{},[28,740,741],{"href":43},[32,742,46],{},[18,744,745],{},"C'est un basculement, pas une tendance douce.",[18,747,748,749,755,756,762,763,35],{},"Le problème, c'est ce qui se passe de l'autre côté du tableau. 90 % des PME peinent à comprendre leur statut de \"Déployeur\" sous l'AI Act ",[25,750,751],{},[28,752,753],{"href":60},[32,754,63],{},". Seulement 17 % des organisations ont mis en place une gouvernance IA au niveau de la direction ",[25,757,758],{},[28,759,760],{"href":209},[32,761,212],{},". Et 78 % des usages IA en entreprise relèvent du shadow IT, des outils installés par les salariés sans validation, sans documentation, sans que la DSI le sache ",[25,764,765],{},[28,766,767],{"href":193},[32,768,196],{},[18,770,771],{},"La moitié des PME utilisent de l'IA. Presque aucune ne sait ce que ça déclenche juridiquement.",[18,773,774],{},"En préparant ma propre veille réglementaire, parce que j'ai des clients PME et ETI qui me posent ces questions chaque semaine, j'ai constaté un trou béant dans les contenus français. Soit ce sont des analyses juridiques de 40 pages écrites par des cabinets pour des directeurs juridiques de grands groupes. Soit ce sont des articles de blog qui survolent l'AI Act sans jamais mentionner le RGPD. Comme si les deux textes vivaient dans des univers parallèles.",[18,776,777],{},"Sauf que dès qu'un système IA entre dans le champ de l'AI Act et traite des données personnelles (un nom, un email, un comportement de navigation), les obligations des deux textes se cumulent. Et c'est la majorité des cas d'usage en PME et ETI.",[49,779,781],{"id":780},"pourquoi-cest-ai-act-et-rgpd-pas-lun-ou-lautre","Pourquoi c'est AI Act ET RGPD, pas l'un ou l'autre",[18,783,784,785,791],{},"La CNIL le rappelle : l'AI Act ne remplace pas le RGPD, il s'y ajoute ",[25,786,787],{},[28,788,789],{"href":218},[32,790,221],{},". Quand un même usage entre à la fois dans le champ d'application de l'AI Act et dans celui du RGPD, les obligations des deux textes se cumulent.",[18,793,794],{},"L'AI Act encadre la sécurité, la transparence et les risques des systèmes d'IA, y compris quand ils traitent des données anonymisées. Le RGPD protège les données personnelles. Un chatbot qui collecte le nom et l'email d'un prospect pour qualifier un lead ? Si l'usage entre dans le champ de l'AI Act (ce qui est le cas pour la plupart des chatbots IA) et traite des données perso, les deux s'appliquent. Un agent IA qui analyse des CV ? Les deux. Un CRM avec scoring IA ? En principe aussi, sous réserve de vérifier le champ d'application concret de chaque texte.",[18,796,797],{},"Quand un texte de loi dit \"supervision humaine\", moi je traduis : quel dashboard, quel seuil de confiance, quel workflow d'escalade quand le modèle se trompe. Les avocats commentent les articles de loi. Mon métier de CTO, c'est de les transformer en actions techniques qu'une entreprise peut exécuter.",[84,799,801],{"id":800},"les-sanctions-pas-daddition-mécanique-mais-pas-de-protection-absolue-non-plus","Les sanctions : pas d'addition mécanique, mais pas de protection absolue non plus",[18,803,804,805,811],{},"C'est le point que personne n'explique clairement. L'AI Act prévoit ses propres plafonds d'amende, par palier ",[25,806,807],{},[28,808,809],{"href":125},[32,810,128],{}," :",[813,814,815,823,829],"ul",{},[816,817,818,819,822],"li",{},"Jusqu'à ",[235,820,821],{},"35 M EUR"," (ou 7 % du CA mondial) pour les pratiques interdites (article 99(3))",[816,824,818,825,828],{},[235,826,827],{},"15 M EUR"," (ou 3 %) pour la plupart des autres obligations, y compris la transparence (article 99(4))",[816,830,818,831,834],{},[235,832,833],{},"7,5 M EUR"," (ou 1 %) pour la fourniture d'informations incorrectes (article 99(5))",[18,836,837,838,841],{},"Le RGPD, lui, prévoit jusqu'à ",[235,839,840],{},"20 M EUR"," (ou 4 % du CA mondial).",[18,843,844],{},"L'article 99(7) de l'AI Act impose aux autorités de tenir compte des sanctions déjà infligées, que ce soit pour la même infraction ou pour des infractions résultant de la même activité. Ce n'est pas une règle de non-cumul absolu, mais une obligation de coordination et de proportionnalité. Concrètement, les plafonds ne s'additionnent pas mécaniquement. Mais des manquements distincts relevant de textes différents peuvent donner lieu à des sanctions parallèles.",[18,846,847,848,854,855,35],{},"Pour mettre ces chiffres en perspective : la CNIL a prononcé 487 M EUR de sanctions en 83 décisions rien qu'en 2025 ",[25,849,850],{},[28,851,852],{"href":134},[32,853,137],{},". Record historique. Et les contrôles prioritaires 2026 ciblent explicitement le recrutement assisté par IA, ce qui préfigure le rôle de la CNIL comme autorité de surveillance AI Act dans le domaine de l'emploi ",[25,856,857],{},[28,858,859],{"href":98},[32,860,101],{},[18,862,863],{},"La machine à contrôler est déjà en route.",[84,865,867],{"id":866},"le-calendrier-est-en-escalier-pas-une-date-unique","Le calendrier est en escalier, pas une date unique",[18,869,870,871,874],{},"En droit positif, l'article 113 de l'AI Act fixe le calendrier. L'AI literacy (former ses équipes aux fondamentaux de l'IA) est obligatoire depuis février 2025. Les obligations de transparence (article 50) s'appliquent à compter du ",[235,872,873],{},"2 août 2026"," (l'article 50 n'apparaît pas dans les exceptions listées à l'article 113).",[18,876,877,878,884,885,888],{},"Un projet de modification est en discussion : le Digital Omnibus, voté en plénière au Parlement européen le 26 mars 2026 ",[25,879,880],{},[28,881,882],{"href":181},[32,883,184],{},", propose de repousser les obligations sur les systèmes haut risque (Annexe III) à décembre 2027. Mais il s'agit d'un ",[235,886,887],{},"projet non encore adopté",". Les trilogues sont en cours (deuxième session prévue le 28 avril 2026). Tant que le texte n'est pas formellement adopté, le calendrier initial reste le droit en vigueur.",[18,890,891,892,898],{},"L'EDPB prépare en parallèle ses premières lignes directrices conjointes AI Act \u002F RGPD ",[25,893,894],{},[28,895,896],{"href":113},[32,897,116],{},". La matrice que je vous propose ici se fonde sur les textes déjà adoptés, pas sur des projets de modification.",[18,900,901],{},"Et le RGPD, lui, ne connaît aucun report. Il s'applique depuis 2018.",[18,903,904],{},"Pour visualiser l'ensemble des deadlines dans le temps :",[906,907],"timeline-ai-act",{},[49,909,911],{"id":910},"la-matrice-de-cumul-5-cas-concrets-que-vous-allez-reconnaître","La matrice de cumul : 5 cas concrets que vous allez reconnaître",[18,913,914,915,921,922,35],{},"C'est le coeur de cet article. Pour chaque cas d'usage courant dans une PME ou une ETI, voici ce que déclenchent les deux textes en parallèle ",[25,916,917],{},[28,918,919],{"href":318},[32,920,321],{}," ",[25,923,924],{},[28,925,926],{"href":523},[32,927,526],{},[18,929,930,933],{},[235,931,932],{},"Point de méthode"," : la classification AI Act dépend de l'usage concret et de la finalité, pas du nom de l'outil. Un même système peut être \"risque limité\" dans un contexte et \"haut risque\" dans un autre. Et même pour les systèmes relevant de l'Annexe III, l'article 6(3) prévoit une dérogation : si le système ne pose pas de risque significatif et n'influence pas matériellement l'issue de la décision, il peut ne pas être traité comme haut risque.",[407,935,936,955],{},[410,937,938],{},[413,939,940,943,946,949,952],{},[416,941,942],{},"Cas d'usage",[416,944,945],{},"Risque AI Act (en principe)",[416,947,948],{},"Obligations AI Act",[416,950,951],{},"Obligations RGPD",[416,953,954],{},"DPIA requise ?",[429,956,957,976,1000,1022,1041],{},[413,958,959,964,967,970,973],{},[434,960,961],{},[235,962,963],{},"Chatbot qualification leads",[434,965,966],{},"Limité (art. 50)",[434,968,969],{},"Transparence : informer que c'est une IA. Documentation déployeur",[434,971,972],{},"Base légale, registre des traitements, information articles 13\u002F14",[434,974,975],{},"Probable si traitement à grande échelle (art. 35 RGPD)",[413,977,978,983,989,992,995],{},[434,979,980],{},[235,981,982],{},"Scoring crédit automatisé",[434,984,985,988],{},[235,986,987],{},"Haut risque"," (Annexe III, sous réserve art. 6(3))",[434,990,991],{},"Conformité fournisseur, supervision humaine, enregistrement UE, marquage CE",[434,993,994],{},"Art. 22 si décision exclusivement automatisée, DPIA, droits de recours",[434,996,997],{},[235,998,999],{},"Très probable",[413,1001,1002,1007,1012,1015,1018],{},[434,1003,1004],{},[235,1005,1006],{},"Analyse CV par IA",[434,1008,1009,1011],{},[235,1010,987],{}," (emploi, Annexe III, sous réserve art. 6(3))",[434,1013,1014],{},"Documentation technique, gestion des risques, supervision humaine, cybersécurité",[434,1016,1017],{},"Données potentiellement sensibles (art. 9), DPIA, information candidats",[434,1019,1020],{},[235,1021,999],{},[413,1023,1024,1029,1032,1035,1038],{},[434,1025,1026],{},[235,1027,1028],{},"Agent SDR automatisé",[434,1030,1031],{},"Limité (art. 50 si interaction directe)",[434,1033,1034],{},"Transparence, documentation déployeur",[434,1036,1037],{},"Intérêt légitime B2B, opt-out, information source des données (art. 14)",[434,1039,1040],{},"Selon impact du traitement",[413,1042,1043,1048,1051,1054,1057],{},[434,1044,1045],{},[235,1046,1047],{},"CRM avec IA intégrée",[434,1049,1050],{},"Dépend de l'usage concret",[434,1052,1053],{},"Transparence si interaction directe. Vérifier conformité fournisseur",[434,1055,1056],{},"Registre des traitements, DPA fournisseur, vigilance transferts hors UE",[434,1058,1059],{},"Selon usage",[18,1061,1062,1063,921,1069,35],{},"Quelques points qui surprennent quand on lit les textes de près ",[25,1064,1065],{},[28,1066,1067],{"href":306},[32,1068,309],{},[25,1070,1071],{},[28,1072,1074],{"href":1073},"#source-15",[32,1075,1076],{},"15",[18,1078,1079,1082],{},[235,1080,1081],{},"Le chatbot de qualification n'est pas haut risque en soi."," Mais s'il est intégré à un processus relevant d'une catégorie de l'Annexe III (accès au crédit, recrutement) et qu'il influence matériellement la décision, l'analyse peut basculer via l'article 6. C'est l'usage concret qui détermine le niveau de risque, pas le nom de l'outil.",[18,1084,1085,1088,1089,1093],{},[235,1086,1087],{},"L'agent SDR demande une analyse au cas par cas."," Tant qu'il se contente de personnaliser et d'envoyer des emails B2B, c'est de l'article 50 (transparence) côté AI Act et du RGPD classique (intérêt légitime, opt-out, information article 14). Le fait de \"scorer\" des leads ne suffit pas à déclencher automatiquement le haut risque AI Act : il faut que l'usage entre dans une catégorie de l'Annexe III et influence matériellement une décision relative à des personnes physiques. Côté RGPD, l'article 22 ne s'applique que si la décision est fondée ",[1090,1091,1092],"em",{},"exclusivement"," sur un traitement automatisé et produit des effets juridiques ou similaires significatifs, ce qui suppose l'absence d'intervention humaine significative dans la boucle.",[18,1095,1096,1099,1100,1104],{},[235,1097,1098],{},"Le CRM avec IA intégrée"," (HubSpot Breeze, Salesforce Einstein, Dynamics Copilot) ne se classe pas par le nom du produit, mais par l'usage concret de ses fonctions IA. Un assistant rédactionnel et une segmentation marketing ne se traitent pas comme un module de scoring crédit. Deux angles morts reviennent systématiquement : les transferts de données hors UE via l'infrastructure cloud du fournisseur (le ",[28,1101,1103],{"href":1102},"\u002Fconformite-numerique\u002Fcopilot-flex-routing-donnees-hors-ue\u002F","flex routing de Copilot"," en est l'exemple le plus récent), et l'absence de DPA (Data Processing Agreement) couvrant spécifiquement le traitement IA.",[18,1106,1107,1110],{},[235,1108,1109],{},"L'analyse CV est en principe le cas le plus lourd."," L'usage recrutement\u002Fsélection relève de l'Annexe III (sous réserve de l'article 6(3)). Côté RGPD, un CV peut contenir, sans que ce soit systématique, des données sensibles au sens de l'article 9 (origine ethnique déductible du nom, situation de handicap, activités syndicales). La DPIA est très probable au regard de l'article 35, et les contrôles CNIL ciblent explicitement ce domaine à partir de l'automne 2026.",[18,1112,1113],{},"Ce tableau résume les cas les plus fréquents. Pour la version complète avec détails, sanctions et méthodologie d'audit :",[18,1115,1116,1117],{},"📥 ",[28,1118,1122],{"href":682,"target":1119,"rel":1120},"_blank",[1121],"noopener","Télécharger la matrice complète (PDF, 12 pages)",[49,1124,1126],{"id":1125},"laudit-croisé-en-5-étapes-la-méthode-que-je-vais-appliquer","L'audit croisé en 5 étapes : la méthode que je vais appliquer",[18,1128,1129,1130,1136,1137,1143],{},"Je construis cette méthodologie à partir des textes officiels : la FAQ CNIL ",[25,1131,1132],{},[28,1133,1134],{"href":218},[32,1135,221],{},", les orientations EDPB ",[25,1138,1139],{},[28,1140,1141],{"href":113},[32,1142,116],{},", les feuilles de route publiées par les associations de DPO. Je la documente publiquement parce que je vais l'appliquer chez mes clients et parce qu'aucun équivalent en accès libre n'existe en France.",[18,1145,1146],{},"Je préfère être clair : c'est une proposition méthodologique structurée, pas un retour d'expérience terrain. La démarche est rigoureuse, mais chaque entreprise devra l'adapter à son contexte.",[18,1148,1149],{},"Pour une version visuelle à partager avec votre équipe :",[18,1151,1116,1152],{},[28,1153,1155],{"href":686,"target":1119,"rel":1154},[1121],"Télécharger le process en carousel (PDF, 10 slides)",[84,1157,1159],{"id":1158},"étape-1-inventaire-des-systèmes-ia-journée-de-travail-1-2-semaines-de-délai","Étape 1 – Inventaire des systèmes IA (½ journée de travail, 1-2 semaines de délai)",[18,1161,1162,1163,1169],{},"Listez tout. Les outils déclarés ET le shadow AI. Quand 78 % des usages IA sont apportés par les salariés eux-mêmes ",[25,1164,1165],{},[28,1166,1167],{"href":193},[32,1168,196],{},", l'inventaire \"officiel\" ne suffit pas. Préparez un questionnaire court et envoyez-le à chaque équipe : \"Quels outils IA utilisez-vous au quotidien, y compris ChatGPT, Copilot, Gemini, les extensions de navigateur ?\" La réponse vous surprendra. Le temps de préparation est court, mais comptez une à deux semaines pour que les réponses remontent et que vous les consolidiez.",[18,1171,1172],{},"Pour chaque outil : nom, fournisseur, données traitées, qui l'utilise, depuis quand, pour quelle finalité.",[84,1174,1176],{"id":1175},"étape-2-classification-ai-act-journée-de-travail","Étape 2 – Classification AI Act (½ journée de travail)",[18,1178,1179,1180,35],{},"Pour chaque outil identifié, déterminez le niveau de risque : interdit, haut risque, limité, minimal. La matrice ci-dessus couvre les cas les plus fréquents en PME et ETI. Pour les cas ambigus, l'Annexe III du texte officiel fait référence ",[25,1181,1182],{},[28,1183,1184],{"href":318},[32,1185,321],{},[18,1187,1188],{},"Attention : la classification dépend de l'usage, pas de l'outil. Un même LLM peut être minimal (traduction interne) ou haut risque (tri de candidatures).",[84,1190,1192],{"id":1191},"étape-3-croisement-rgpd-1-2-journées-de-travail-1-semaine-de-délai","Étape 3 – Croisement RGPD (1-2 journées de travail, ~1 semaine de délai)",[18,1194,1195],{},"Pour chaque outil classifié : traite-t-il des données personnelles ? Si oui, quelle base légale ? Le registre des traitements est-il à jour ? Le traitement est-il susceptible d'engendrer un risque élevé pour les droits des personnes (article 35 RGPD), auquel cas une DPIA s'impose ? Une décision est-elle fondée exclusivement sur un traitement automatisé avec des effets significatifs (article 22), auquel cas des garanties spécifiques sont nécessaires ?",[18,1197,1198],{},"C'est l'étape la plus substantielle. Elle suppose des allers-retours avec le DPO (ou le prestataire RGPD) et une vérification du registre des traitements existant.",[84,1200,1202],{"id":1201},"étape-4-matrice-de-cumul-journée-de-travail","Étape 4 – Matrice de cumul (½ journée de travail)",[18,1204,1205],{},"Combinez les obligations AI Act et RGPD par système dans un tableau unique. Les redondances et les trous apparaissent vite.",[18,1207,1208],{},"Attention à ne pas confondre deux obligations distinctes. Le registre RGPD (article 30) est un document interne qui recense vos traitements de données. L'article 49 de l'AI Act impose, dans certains cas précis (fournisseurs de systèmes haut risque, déployeurs publics), un enregistrement dans la base de données de l'UE. C'est une obligation de nature différente. En interne, un référentiel unique de gouvernance avec les colonnes supplémentaires AI Act (classification risque, fournisseur, supervision humaine) est pragmatique, mais il ne dispense pas de l'enregistrement UE lorsque l'article 49 l'exige.",[18,1210,1211],{},"Dans une entreprise de 50 à 300 personnes, c'est aussi le moment de clarifier qui fait quoi. L'AI Act n'impose pas, à ce stade, la désignation d'un responsable conformité IA distinct sur le modèle du DPO. Le DPO, interne ou externalisé, peut prendre en charge ce rôle, c'est un choix de gouvernance que beaucoup d'entreprises feront. Mais c'est un choix organisationnel, pas une obligation textuelle. Le DG sponsorise, le DPO ou un référent désigné pilote, le CTO ou DSI met en oeuvre techniquement, les métiers déclarent leurs usages.",[715,1213,1214,1220,1226],{},[18,1215,1216,1219],{},[235,1217,1218],{},"Transparence totale."," Voici comment nous documentons nos propres systèmes IA chez SmartCTO. Ce registre est notre version réelle, anonymisée pour protéger nos clients. On applique ce qu'on recommande.",[18,1221,1116,1222],{},[28,1223,1225],{"href":695,"target":1119,"rel":1224},[1121],"Télécharger notre registre IA (Excel)",[18,1227,1228],{},"8 systèmes documentés : Agent SDR Smart CRO (n8n + Claude API + Dropcontact), Chatbot qualification, Assistant rédaction, Analyse sentiment NPS, Dashboard Umami, Agent veille réglementaire, Scoring conformité projets, Générateur templates.",[84,1230,1232],{"id":1231},"étape-5-plan-daction-priorisé-journée-de-travail-1-semaine-de-délai","Étape 5 – Plan d'action priorisé (½ journée de travail, ~1 semaine de délai)",[18,1234,1235],{},"Séparez les quick wins des chantiers structurels. Les mentions de transparence sur les chatbots et la mise à jour du registre des traitements, ça se boucle en quelques jours. La DPIA complète sur un système haut risque ou la renégociation des contrats fournisseurs SaaS, c'est un chantier de plusieurs mois. Le plan se rédige vite, mais le délai réel c'est la validation par la direction et les arbitrages budgétaires.",[18,1237,1238,1239,1242,1243,35],{},"Le surcoût estimé de la conformité AI Act par rapport à une conformité RGPD existante : ",[235,1240,1241],{},"+20 à 50 %",". Pour une PME ou ETI, cela représente entre 15 000 et 80 000 EUR par an, audit et accompagnement inclus. Les entreprises qui investissent dans une plateforme de gouvernance IA sont 3,4 fois plus efficaces dans leur mise en conformité ",[25,1244,1245],{},[28,1246,1248],{"href":1247},"#source-17",[32,1249,1250],{},"17",[18,1252,1253,1254,1262],{},"Bonne nouvelle : la CNIL, l'ANSSI et l'Inria développent conjointement un outil d'audit open source, le projet PANAME, prévu pour l'automne 2026 ",[25,1255,1256],{},[28,1257,1259],{"href":1258},"#source-16",[32,1260,1261],{},"16",". C'est exactement le type de ressource qui manque aujourd'hui.",[84,1264,1266],{"id":1265},"checklist-auto-diagnostic-10-questions-à-vous-poser-maintenant","Checklist auto-diagnostic : 10 questions à vous poser maintenant",[18,1268,1269],{},"Répondez par oui ou non. Comptez vos \"oui\".",[1271,1272],"quiz",{"id":1273},"ai-act",[84,1275,1277],{"id":1276},"modèle-de-mention-transparence-ia-rgpd","Modèle de mention transparence IA + RGPD",[18,1279,1280],{},"Quand un chatbot ou un agent IA interagit directement avec des personnes et traite des données personnelles, les deux textes exigent une information claire. Voici un modèle à adapter et à afficher :",[715,1282,1283],{},[18,1284,1285,1288,1289,1292,1293,1296,1297,1300,1301,1304,1305,1308,1309,35],{},[235,1286,1287],{},"Information."," Vous échangez avec un assistant propulsé par intelligence artificielle. Les informations que vous partagez sont traitées par ",[32,1290,1291],{},"Nom de l'entreprise",", responsable de traitement, sur la base de ",[32,1294,1295],{},"votre consentement \u002F notre intérêt légitime"," pour ",[32,1298,1299],{},"finalité : qualification de votre demande, orientation vers le bon interlocuteur, etc.",". Vos données ne sont pas utilisées pour entraîner le modèle d'IA sous-jacent. Elles sont conservées ",[32,1302,1303],{},"durée"," et ne sont pas transférées hors de l'Union européenne. Vous pouvez exercer vos droits (accès, rectification, effacement, opposition) en contactant ",[32,1306,1307],{},"email",". Pour en savoir plus : ",[32,1310,1311],{},"lien politique de confidentialité",[18,1313,1314],{},"Ce modèle couvre simultanément l'obligation de transparence AI Act (article 50(1) : informer qu'on interagit avec une IA, sauf si c'est évident pour une personne raisonnablement informée) et l'obligation d'information RGPD (articles 13 et 14 : finalité, base légale, durée, droits). Les deux obligations sont complémentaires, pas redondantes. Adaptez le modèle à votre cas d'usage : un chatbot client n'a pas la même finalité qu'un agent de qualification B2B.",[49,1316,1318],{"id":1317},"le-cadre-européen-un-avantage-et-pas-un-frein","Le cadre européen, un avantage et pas un frein",[18,1320,1321],{},"Je sais. À ce stade de l'article, la réaction naturelle c'est : \"Encore de la réglementation européenne qui nous freine pendant que les Américains avancent.\"",[18,1323,1324],{},"Je ne suis pas d'accord. Et les faits récents me donnent raison.",[18,1326,1327,1328,1336],{},"Marietje Schaake, ancienne eurodéputée et chercheuse à Stanford, l'a documenté dans le Financial Times en avril 2026 : les interventions exécutives de l'administration Trump dans la tech dépassent désormais toute régulation européenne ",[25,1329,1330],{},[28,1331,1333],{"href":1332},"#source-18",[32,1334,1335],{},"18",". Alondra Nelson, ancienne conseillère scientifique de la Maison Blanche sous Biden, parle d'\"hyper-regulation by other means\", une préférence systématique pour la discrétion exécutive plutôt que pour des processus délibératifs et prévisibles.",[18,1338,1339],{},"TikTok vendu sous la contrainte d'un ultimatum présidentiel. Nvidia dont les licences d'export changent à chaque décision. Le Département de la Défense qui punit Anthropic, une entreprise américaine, pour avoir respecté ses propres clauses contractuelles limitant l'usage militaire de son IA. Quand respecter ses engagements devient un risque commercial, quelque chose ne tourne plus rond.",[18,1341,1342],{},"C'est ça, l'absence de cadre réglementaire : l'imprévisibilité totale. Chaque tweet peut changer les règles du jeu.",[18,1344,1345,1346,1349],{},"Le cadre européen, lui, offre de la ",[235,1347,1348],{},"prévisibilité",". Les règles sont écrites, publiques, avec un calendrier connu à l'avance. Une PME conforme ne risque pas de se faire retirer une autorisation du jour au lendemain sur un caprice politique.",[18,1351,1352,1353,35],{},"Et le cadre vient avec des outils concrets. Le Plan Osez l'IA mobilise 200 M EUR pour l'adoption de l'IA par les PME. Les bacs à sable réglementaires (sandbox, article 62 de l'AI Act) offrent un accès prioritaire aux PME pour tester leurs systèmes IA sous supervision du régulateur ",[25,1354,1355],{},[28,1356,1357],{"href":318},[32,1358,321],{},[18,1360,1361,1362,1370],{},"Pendant ce temps, côté assurance, le marché a déjà tranché. AIG, Great American, W.R. Berkley demandent à exclure le risque IA de leurs polices ",[25,1363,1364],{},[28,1365,1367],{"href":1366},"#source-19",[32,1368,1369],{},"19",". C'est le phénomène \"Silent IA\" : des polices d'assurance qui couvrent théoriquement le risque numérique mais qui n'ont jamais intégré l'IA dans leurs modèles de couverture. Les entreprises non conformes risquent de devenir inassurables. Le marché n'attend pas la réglementation pour arbitrer.",[49,1372,1374],{"id":1373},"ressources-complètes-pour-aller-plus-loin","Ressources complètes pour aller plus loin",[84,1376,1378],{"id":1377},"template-dpia-ai-act-rgpd-xlsx","Template DPIA AI Act + RGPD (.xlsx)",[18,1380,1381],{},"Un fichier Excel prêt à remplir pour documenter votre conformité :",[18,1383,1384],{},"✓ 8 onglets structurés (inventaire, classification, obligations, DPIA, plan d'action)\n✓ Exemples concrets pré-remplis (chatbot, agent SDR, analyse CV, CRM IA)\n✓ Méthodologie d'audit détaillée",[18,1386,1116,1387],{},[28,1388,1390],{"href":691,"target":1119,"rel":1389},[1121],"Télécharger le template DPIA (Excel)",[18,1392,1393,1394,35],{},"Pour le guide complet et un accompagnement personnalisé : ",[28,1395,1397],{"href":699,"rel":1396},[553],"prendre rendez-vous",[539,1399],{},[18,1401,1402],{},"Tout ça représente du travail. Personne ne dit le contraire.",[18,1404,1405],{},"Mais c'est du travail structurant. Le même type que la mise en conformité RGPD en 2018. Les entreprises qui l'ont fait sérieusement en ont tiré un avantage concurrentiel et une relation de confiance avec leurs clients. Celles qui l'ont bâclé payent encore des consultants pour rattraper le retard huit ans plus tard.",[18,1407,1408],{},"L'AI Act + RGPD, c'est la même logique, en plus complexe.",[18,1410,1411,1412,35],{},"La matrice, la checklist et le modèle de mention que vous venez de lire sont un point de départ. Si vous voulez qu'on passe vos systèmes IA en revue ensemble : ",[28,1413,1416],{"href":1414,"rel":1415},"https:\u002F\u002Fcal.com\u002Fsmartcto\u002F30min?notes=Source%20:%20Article%20AI%20Act%20RGPD%20double%20conformit%C3%A9",[553],"30 minutes de diagnostic flash, sans engagement",{"title":556,"searchDepth":557,"depth":557,"links":1418},[1419,1420,1424,1425,1434,1435],{"id":725,"depth":557,"text":726},{"id":780,"depth":557,"text":781,"children":1421},[1422,1423],{"id":800,"depth":563,"text":801},{"id":866,"depth":563,"text":867},{"id":910,"depth":557,"text":911},{"id":1125,"depth":557,"text":1126,"children":1426},[1427,1428,1429,1430,1431,1432,1433],{"id":1158,"depth":563,"text":1159},{"id":1175,"depth":563,"text":1176},{"id":1191,"depth":563,"text":1192},{"id":1201,"depth":563,"text":1202},{"id":1231,"depth":563,"text":1232},{"id":1265,"depth":563,"text":1266},{"id":1276,"depth":563,"text":1277},{"id":1317,"depth":557,"text":1318},{"id":1373,"depth":557,"text":1374,"children":1436},[1437],{"id":1377,"depth":563,"text":1378},"2026-04-09","Quand DPIA RGPD et registre IA AI Act se superposent : matrice de cumul par cas d'usage, checklist auto-diagnostic et plan d'action pour les PME et ETI qui utilisent de l'IA.",[1441,1444,1447,1450,1453,1456,1459,1462],{"question":1442,"answer":1443},"Comment s'articulent le RGPD et l'AI Act ?","L'AI Act couvre la sécurité et la transparence des systèmes IA, le RGPD protège les données personnelles. Quand un même usage entre à la fois dans le champ d'application de l'AI Act et dans celui du RGPD, les obligations des deux textes se cumulent. L'AI Act ne remplace pas le RGPD : il s'y ajoute \u003Csup>\u003Ca href=\"#source-6\">[6]\u003C\u002Fa>\u003C\u002Fsup>.",{"question":1445,"answer":1446},"Les sanctions RGPD et AI Act s'additionnent-elles vraiment ?","L'article 99(7) de l'AI Act impose aux autorités de tenir compte des sanctions déjà infligées pour la même infraction ou la même activité. Il n'y a donc pas d'addition mécanique. Mais il n'y a pas non plus de règle absolue de non-cumul : pour des manquements distincts relevant de textes différents, des sanctions parallèles restent possibles. Les plafonds AI Act vont jusqu'à 35 M EUR et le RGPD jusqu'à 20 M EUR \u003Csup>\u003Ca href=\"#source-7\">[7]\u003C\u002Fa>\u003C\u002Fsup>.",{"question":1448,"answer":1449},"Mon chatbot client est-il considéré comme haut risque ?","Pas automatiquement. Un chatbot de qualification relève en principe de l'article 50 (transparence). S'il est intégré à un processus relevant de l'Annexe III (accès au crédit, recrutement) et influence matériellement la décision, il peut basculer en haut risque, sous réserve de la dérogation de l'article 6(3). C'est l'usage concret qui détermine le niveau de risque, pas l'outil \u003Csup>\u003Ca href=\"#source-12\">[12]\u003C\u002Fa>\u003C\u002Fsup>.",{"question":1451,"answer":1452},"Mon registre RGPD suffit-il ou dois-je créer un registre IA séparé ?","Le registre RGPD (article 30) est un document interne. L'article 49 de l'AI Act impose, dans certains cas précis (fournisseurs haut risque, déployeurs publics), un enregistrement dans la base de données de l'UE, c'est une obligation distincte. En interne, un référentiel unique de gouvernance combinant les deux est pragmatique, mais il ne dispense pas de l'enregistrement UE lorsqu'il est requis.",{"question":1454,"answer":1455},"L'AI Act et le RGPD ne se contredisent-ils pas sur la minimisation des données ?","Tension apparente : l'AI Act exige des jeux de données représentatifs et complets, le RGPD impose la minimisation. En pratique, la documentation lève la contradiction : il faut justifier pourquoi le volume de données est nécessaire à la performance du système \u003Csup>\u003Ca href=\"#source-11\">[11]\u003C\u002Fa>\u003C\u002Fsup>.",{"question":1457,"answer":1458},"Mon DPO peut-il gérer la conformité AI Act ?","L'AI Act n'impose pas, à ce stade, la désignation d'un responsable conformité IA distinct sur le modèle du DPO. Dans une PME ou ETI, cette fonction peut être rattachée au DPO ou à une autre fonction de conformité, sous réserve de compétences suffisantes et d'une gouvernance claire. C'est un choix organisationnel, pas une obligation textuelle.",{"question":1460,"answer":1461},"Ai-je jusqu'à août 2026 ou dois-je agir avant ?","En droit positif, le calendrier est en escalier : AI literacy obligatoire depuis février 2025, transparence chatbots au 2 août 2026 (article 113). Un projet de report (Digital Omnibus) est en discussion pour repousser les obligations haut risque, mais il n'est pas encore adopté \u003Csup>\u003Ca href=\"#source-10\">[10]\u003C\u002Fa>\u003C\u002Fsup>. Le RGPD, lui, ne connaît aucun report : il s'applique depuis 2018.",{"question":1463,"answer":1464},"Que dois-je exiger de mes fournisseurs SaaS comme clauses AI Act ?","Au minimum : déclaration de conformité CE pour les systèmes haut risque, documentation technique accessible, notification des incidents, coopération en cas de contrôle. Vérifiez aussi les clauses sur les transferts de données hors UE et la sous-traitance du traitement IA \u003Csup>\u003Ca href=\"#source-13\">[13]\u003C\u002Fa>\u003C\u002Fsup>.",[1466,1467,1468,1469,1470,1471,1472,1473],"ai act rgpd conformité pme","ai act pme obligations 2026","dpia rgpd intelligence artificielle","cumul obligations ai act rgpd","chatbot ia conformité rgpd","registre ia ai act","sanctions ai act rgpd","audit conformité ia pme",{"publishDate":1438},"\u002Fblog\u002F2026-04-09-ai-act-rgpd-cumul-obligations","false",{"title":671,"description":1439},"ai-act-rgpd-cumul-obligations",[1480,1483,1486,1489,1492,1495,1498,1501,1503,1506,1509,1512,1515,1518,1521,1524,1527,1530,1533],{"title":1481,"url":1482},"Bpifrance Le Lab — Basculement des usages IA générative TPE-PME (55 % fin 2025)","https:\u002F\u002Fitsocial.fr\u002Fcontenus\u002Factualites\u002Fintelligence-artificielle-actualites-contenus\u002Fbpifrance-constate-un-basculement-des-usages-avec-55-des-tpe-pme-utilisatrices-dia-generative-fin-2025\u002F",{"title":1484,"url":1485},"France Num \u002F DGE — Baromètre numérique TPE-PME 2025 (26 % utilisent l'IA)","https:\u002F\u002Fwww.francenum.gouv.fr\u002Fguides-et-conseils\u002Fstrategie-numerique\u002Fcomprendre-le-numerique\u002Fbarometre-france-num-2025-le",{"title":1487,"url":1488},"KPMG — AI Act : 90 % des PME peinent à comprendre leur statut de Déployeur","https:\u002F\u002Fkpmg.com\u002Ffr\u002Ffr\u002Finsights\u002Frisques-ia\u002Feu-ai-act-2025.html",{"title":1490,"url":1491},"McKinsey — State of AI 2025 : 17 % des organisations ont une gouvernance IA au board","https:\u002F\u002Fwww.mckinsey.com\u002Fcapabilities\u002Fquantumblack\u002Four-insights\u002Fthe-state-of-ai",{"title":1493,"url":1494},"Deloitte France — State of AI in the Enterprise (78 % d'usages IA en shadow IT)","https:\u002F\u002Fwww.deloitte.com\u002Ffr\u002Ffr\u002Fservices\u002Fconsulting\u002Fperspectives\u002Fstate-of-ai-in-the-enterprise.html",{"title":1496,"url":1497},"CNIL — Questions-réponses sur l'entrée en vigueur de l'AI Act","https:\u002F\u002Fwww.cnil.fr\u002Ffr\u002Fentree-en-vigueur-du-reglement-europeen-sur-lia-les-premieres-questions-reponses-de-la-cnil",{"title":1499,"url":1500},"Paperclipped — Coordination des sanctions AI Act \u002F RGPD (art. 99)","https:\u002F\u002Fwww.paperclipped.de\u002Fen\u002Fblog\u002Fdsgvo-ai-agents-compliance-2026\u002F",{"title":1502,"url":637},"CNIL — Bilan des sanctions 2025 (487 M EUR en 83 décisions)",{"title":1504,"url":1505},"CNIL — Contrôles prioritaires 2026 (recrutement et IA)","https:\u002F\u002Fcnil.fr\u002Ffr\u002Fcontroles-prioritaires-2026",{"title":1507,"url":1508},"Parlement européen — Vote Digital Omnibus AI Act (26 mars 2026)","https:\u002F\u002Fwww.europarl.europa.eu\u002Fnews\u002Fen\u002Fpress-room\u002F20260323IPR38829\u002Fartificial-intelligence-act-delayed-application-ban-on-nudifier-apps",{"title":1510,"url":1511},"EDPB-EDPS — Joint Opinion 1\u002F2026 on the Digital Omnibus proposal","https:\u002F\u002Fwww.edpb.europa.eu\u002Four-work-tools\u002Four-documents\u002Fedpbedps-joint-opinion\u002Fedpb-edps-joint-opinion-12026-proposal_en",{"title":1513,"url":1514},"artificialintelligenceact.eu — Texte officiel complet de l'AI Act","https:\u002F\u002Fartificialintelligenceact.eu\u002Ffr\u002F",{"title":1516,"url":1517},"MDP Data — AI Act : obligations et mise en conformité des organisations","https:\u002F\u002Fmdp-data.com\u002Fai-act-obligations-et-mise-en-conformite-des-organisations\u002F",{"title":1519,"url":1520},"Ikendo — AI Act PME françaises : obligations et échéances 2025-2026","https:\u002F\u002Fwww.ikendo.fr\u002Fethique-gouvernance-ia\u002Fai-act-pme-francaises-obligations-echeances-2025-2026\u002F",{"title":1522,"url":1523},"Leto Legal — Guide conformité AI Act (calendrier, obligations, sanctions)","https:\u002F\u002Fwww.leto.legal\u002Fguides\u002Fai-act-conformite",{"title":1525,"url":1526},"CNIL — Projet PANAME : outil d'audit RGPD des modèles d'IA (CNIL + ANSSI + Inria)","https:\u002F\u002Fcnil.fr\u002Ffr\u002Fprojet-paname-participez-aux-tests-dun-outil-daudit-rgpd-des-modeles-dia",{"title":1528,"url":1529},"Gartner — AI Regulations Fuel Billion-Dollar Market for Governance Platforms","https:\u002F\u002Fwww.gartner.com\u002Fen\u002Fnewsroom\u002Fpress-releases\u002F2026-02-17-gartner-global-ai-regulations-fuel-billion-dollar-market-for-ai-governance-platforms",{"title":1531,"url":1532},"FT \u002F Marietje Schaake — How Trump became tech's regulator-in-chief","https:\u002F\u002Fwww.ft.com\u002Fcontent\u002F16bc1f88-0ae0-4de8-91ef-ea947876dc7d",{"title":1534,"url":1535},"Tribune de l'Assurance — Risque IA : les assureurs commencent à exclure","https:\u002F\u002Ftribune-assurance.optionfinance.fr\u002Fdroit-technique\u002Frisque-ia-ou-en-est-la-couverture-du-marche-francais-en-2026.html","blog\u002F2026-04-09-ai-act-rgpd-cumul-obligations",[1273,661,1538,1539,666,1540],"conformité","ia-agents","eti","AK6oVHfNyi8JH6N1EHEPnN_BFnW8gud8-Xrq4I1TJkw",1778018617667]