En février 2025, l’AI Act est entré en application. Son article 4 impose à toute organisation utilisant des systèmes d’IA de garantir un niveau suffisant de compétences IA parmi ses équipes. Mais avant de former, il faut savoir : quels outils IA sont utilisés, par qui, pour quoi, avec quelles données, et avec quel niveau de risque.
C’est exactement ce que fait une cartographie IA. Selon une étude KPMG (2025), 67 % des grandes entreprises européennes n’ont pas de vision consolidée de leurs usages IA. Le shadow AI — l’utilisation d’outils IA non validés par l’organisation — concerne 41 % des collaborateurs (Microsoft Work Trend Index, 2025). Le résultat : des risques de conformité, de sécurité et de réputation que personne ne pilote.
À retenir
- 67 % des grandes entreprises n'ont pas de cartographie de leurs usages IA — un angle mort majeur
- L'AI Act impose de catégoriser les systèmes IA par niveau de risque (inacceptable, haut, limité, minimal)
- La cartographie est le prérequis de toute démarche de gouvernance, conformité et formation IA
- Une cartographie complète prend 4 à 8 semaines et implique toutes les directions métier
Pourquoi cartographier maintenant
Obligation réglementaire (AI Act)
L’AI Act classe les systèmes IA en quatre niveaux de risque. Les systèmes à haut risque (recrutement IA, scoring crédit, surveillance, etc.) sont soumis à des obligations lourdes : documentation technique, gestion des risques, supervision humaine, transparence. Les systèmes à risque limité (chatbots, génération de contenu) ont des obligations de transparence. Les systèmes à risque minimal (filtres anti-spam, recommandations internes) sont peu encadrés.
Sans cartographie, impossible de savoir quels systèmes tombent dans quelle catégorie — et donc quelles obligations s’appliquent. Le risque : découvrir un usage à haut risque non conforme lors d’un contrôle. Les sanctions de l’AI Act vont jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial.
Pour approfondir le cadre réglementaire, consultez notre guide sur la réglementation IA en Europe.
Maîtrise du shadow AI
41 % des collaborateurs utilisent des outils IA non validés par leur entreprise (Microsoft, 2025). ChatGPT gratuit pour rédiger des emails, Midjourney pour des visuels, des plugins IA dans Chrome pour résumer des documents. Ces usages ne sont pas malveillants — ils répondent à un besoin réel. Mais ils créent des risques :
- Confidentialité : des données clients ou internes partagées avec des LLM publics
- Conformité : des décisions prises avec des outils non documentés
- Qualité : des contenus publiés sans vérification ni validation
- Sécurité : des plugins tiers non audités avec accès aux données de l’entreprise
La cartographie rend visible ce qui est invisible. C’est la première étape pour passer du shadow AI à une utilisation maîtrisée.
41%
des collaborateurs utilisent des outils IA non validés par leur entreprise
Source : Microsoft, Work Trend Index 2025
Méthode de cartographie en 5 étapes
Étape 1 : Périmètre et équipe (semaine 1)
Définir le périmètre. Toute l’entreprise ou direction par direction ? Pour une première cartographie, commencez par les directions les plus exposées : IT, RH, marketing/communication, juridique, finance.
Constituer l’équipe. La cartographie n’est pas un projet IT. Elle implique :
- Un sponsor direction générale (légitimité)
- Le DPO ou responsable conformité (cadre réglementaire)
- Le DSI ou RSSI (sécurité, architecture)
- Un représentant de chaque direction métier (connaissance terrain)
Étape 2 : Inventaire des usages (semaines 2-3)
Trois méthodes complémentaires pour recenser les usages IA :
Questionnaire dirigé. Envoyez un questionnaire structuré à chaque direction : quels outils IA utilisez-vous ? Pour quels cas d’usage ? Avec quelles données ? À quelle fréquence ? Le questionnaire doit être simple (moins de 15 minutes) et concret (exemples de réponses).
Entretiens métier. Complétez le questionnaire par des entretiens de 30 à 45 minutes avec les responsables de chaque direction. L’objectif : identifier les usages non déclarés dans le questionnaire (souvent les plus intéressants et les plus risqués).
Audit technique. Le DSI recense les outils IA déployés (licences, API, intégrations) et identifie les flux de données associés. Cela complète la vision métier par une vision technique.
Ne jugez pas pendant l’inventaire. Si vous sanctionnez les usages non autorisés dès la phase de collecte, les collaborateurs ne déclareront rien. Adoptez une posture de curiosité : l’objectif est de comprendre, pas de punir. La charte d’utilisation IA viendra après.
Étape 3 : Classification par niveau de risque (semaine 4)
Pour chaque usage identifié, évaluez le niveau de risque selon la grille AI Act :
Risque inacceptable (interdit) :
- Scoring social
- Manipulation subliminale
- Exploitation de vulnérabilités
- Identification biométrique en temps réel dans l’espace public
Haut risque (obligations lourdes) :
- Recrutement et gestion RH (tri de CV, évaluation de performance)
- Scoring crédit et assurance
- Accès aux services publics
- Systèmes de surveillance
- Infrastructures critiques
Risque limité (obligations de transparence) :
- Chatbots (obligation d’indiquer que c’est une IA)
- Génération de contenu (texte, image, audio, vidéo)
- Systèmes de recommandation
Risque minimal (pas d’obligation spécifique) :
- Filtres anti-spam
- Correcteurs orthographiques IA
- Suggestions de réponse dans les emails
Pour chaque usage, documentez : l’outil, le fournisseur, les données utilisées, le niveau de risque AI Act, le responsable métier, et les mesures de contrôle existantes.
Étape 4 : Analyse des écarts (semaines 5-6)
Comparez la situation actuelle avec les exigences réglementaires et vos propres standards de gouvernance. Identifiez les écarts :
- Usages à haut risque sans documentation — priorité absolue
- Shadow AI avec données sensibles — risque immédiat
- Absence de supervision humaine sur des décisions automatisées
- Pas de processus de mise à jour des modèles utilisés
- Formation insuffisante des équipes qui utilisent l’IA
Pour chaque écart, définissez une action corrective, un responsable et un délai. Notre guide sur l’audit IA détaille cette méthodologie.
67%
des grandes entreprises européennes n'ont pas de vision consolidée de leurs usages IA
Source : KPMG, AI Governance Survey, 2025
Étape 5 : Plan d’action et gouvernance continue (semaines 7-8)
La cartographie n’est pas un exercice ponctuel. Les usages IA évoluent chaque mois — de nouveaux outils apparaissent, de nouveaux cas d’usage émergent, des collaborateurs adoptent de nouvelles pratiques.
Livrables de la cartographie :
- Registre des usages IA (document vivant, mis à jour trimestriellement)
- Matrice de risques par usage et par direction
- Plan d’action corrective (actions, responsables, délais)
- Processus de déclaration des nouveaux usages IA
- Recommandations pour la gouvernance IA
Gouvernance continue :
- Mise à jour trimestrielle du registre
- Processus de validation pour tout nouvel outil IA
- Reporting au comité de direction (semestriel)
- Lien avec le DPO pour les analyses d’impact (AIPD) sur les usages à haut risque
Template de cartographie IA
Voici la structure minimale de votre registre des usages IA :
| Champ | Description | Exemple |
|---|---|---|
| Nom de l’usage | Description courte | Chatbot RH FAQ collaborateurs |
| Direction | Direction responsable | DRH |
| Outil / fournisseur | Nom et version | Glean + GPT-4 |
| Données utilisées | Types de données | FAQ RH, accords d’entreprise |
| Données personnelles | Oui/Non + catégories | Oui — noms, matricules |
| Niveau de risque AI Act | Inacceptable / Haut / Limité / Minimal | Limité |
| Supervision humaine | Processus en place | Validation RH hebdomadaire |
| Formation | Équipes formées | Oui — formation Brain mars 2026 |
| Date de déploiement | Mise en production | Janvier 2026 |
| Prochaine revue | Date de mise à jour | Juin 2026 |
La cartographie IA doit être cohérente avec votre registre des traitements RGPD. Si un usage IA traite des données personnelles, il doit figurer dans les deux registres. Coordonnez avec votre DPO dès le début du projet pour éviter les doublons et les incohérences.
De la cartographie à l’action
La cartographie est un moyen, pas une fin. Elle nourrit trois chantiers prioritaires :
1. Conformité AI Act. Identifier les usages à haut risque, documenter, mettre en place la supervision humaine. Consultez notre guide sur l’AI Act et les obligations de formation.
2. Formation des équipes. Identifier les lacunes en compétences IA et prioriser les formations. Les équipes qui utilisent l’IA au quotidien doivent comprendre les risques, les limites et les bonnes pratiques.
3. Stratégie IA. Identifier les opportunités : quels métiers n’utilisent pas encore l’IA alors qu’ils pourraient en bénéficier ? Quels cas d’usage sont sous-exploités ?
Lancer votre cartographie avec Brain
Brain accompagne les entreprises dans leur démarche de cartographie et de gouvernance IA. Nos parcours de formation permettent aux équipes de comprendre les enjeux de l’AI Act, d’identifier les risques et de structurer une utilisation responsable de l’IA.
Découvrez les formules Brain et lancez votre démarche de cartographie IA.
Articles similaires
Audit IA entreprise : methode en 6 etapes (2026)
Realisez un audit IA complet : cartographie des usages, evaluation des risques et documentation de conformite. Methode et outils inclus.
Certification IA : ISO 42001, CertAI et couts (2026)
Choisissez la bonne certification IA pour votre entreprise. ISO 42001, CertAI : processus, couts et avantages concrets compares.
Éthique IA en entreprise : cadre et principes clés
Construisez un cadre éthique IA concret pour votre entreprise. Principes, dilemmes réels, lien avec l'AI Act et la RSE en 2026.