{"id":23008,"date":"2026-06-08T10:00:00","date_gmt":"2026-06-08T10:00:00","guid":{"rendered":"https:\/\/atiasavocats.com\/?p=23008"},"modified":"2026-06-01T12:31:23","modified_gmt":"2026-06-01T12:31:23","slug":"cartographie-systemes-ia-entreprise-2026","status":"publish","type":"post","link":"https:\/\/atiasavocats.com\/en\/cartographie-systemes-ia-entreprise-2026\/","title":{"rendered":"Syst\u00e8me d’IA en entreprise : la cartographie obligatoire"},"content":{"rendered":"


Par\u00a0<\/em>David Joseph Atias<\/em><\/a>, avocat au Barreau de Paris \u00b7\u00a0<\/em>LinkedIn<\/em><\/a>\u00a0\u00b7 Juin 2026<\/em><\/em><\/p>\n\n\n\n

\n

La cartographie syst\u00e8mes IA entreprise est devenue, en 2026, le socle obligatoire de toute strat\u00e9gie de conformit\u00e9 AI Act. Sans inventaire structur\u00e9, aucune qualification, aucune FRIA, aucune gouvernance ne peut \u00eatre conduite de mani\u00e8re s\u00e9rieuse. Pourtant, peu d’entreprises disposent aujourd’hui d’un registre fiable de leurs syst\u00e8mes d’IA. Or, l’AI Act est entr\u00e9 en vigueur et les contr\u00f4les se profilent. Cet article propose une m\u00e9thode op\u00e9rationnelle en six \u00e9tapes, d\u00e9taille les sept dimensions du registre et pr\u00e9cise les pi\u00e8ges classiques.<\/p>\n<\/blockquote>\n\n\n\n

SOMMAIRE<\/p>\n\n\n\n

    \n
  1. Pourquoi la cartographie syst\u00e8mes IA entreprise est devenue strat\u00e9gique<\/a><\/li>\n\n\n\n
  2. Le cadre juridique applicable<\/a><\/li>\n\n\n\n
  3. Les 7 dimensions du registre IA<\/a><\/li>\n\n\n\n
  4. Tableau de synth\u00e8se des dimensions et criticit\u00e9<\/a><\/li>\n\n\n\n
  5. La m\u00e9thodologie en 6 \u00e9tapes<\/a><\/li>\n\n\n\n
  6. Pourquoi faire appel \u00e0 Atias Avocats<\/a><\/li>\n\n\n\n
  7. FAQ \u2014 Questions fr\u00e9quentes<\/a><\/li>\n<\/ol>\n\n\n\n

    1. Pourquoi la cartographie syst\u00e8mes IA entreprise est devenue strat\u00e9gique<\/h2>\n\n\n\n

    La cartographie syst\u00e8mes IA entreprise n’est plus un sujet optionnel. C’est devenu le socle de toute la conformit\u00e9 AI Act, dont la mise en \u0153uvre op\u00e9rationnelle s’acc\u00e9l\u00e8re en 2026. Trois dynamiques expliquent l’urgence de la d\u00e9marche.<\/p>\n\n\n\n

    1.1 Une prolif\u00e9ration invisible des syst\u00e8mes d’IA<\/h3>\n\n\n\n

    Les entreprises sous-estiment massivement le nombre de syst\u00e8mes d’IA qu’elles utilisent. Une ETI moyenne en compte entre 30 et 100, en incluant les outils SaaS du march\u00e9, les progiciels m\u00e9tiers et les outils d’IA g\u00e9n\u00e9rative. Cette prolif\u00e9ration est largement invisible : chaque direction ach\u00e8te ses propres outils, sans concertation centrale. Sans cartographie, l’entreprise pilote \u00e0 l’aveugle un risque pourtant d\u00e9sormais r\u00e9glement\u00e9.<\/p>\n\n\n\n

    1.2 Le ph\u00e9nom\u00e8ne du \u00ab shadow IA \u00bb<\/h3>\n\n\n\n

    Le shadow IA d\u00e9signe l’usage par les collaborateurs d’outils d’IA non d\u00e9clar\u00e9s ni valid\u00e9s (ChatGPT, Claude, Gemini, Copilot, outils marketing). Selon plusieurs \u00e9tudes sectorielles, 60 \u00e0 80 % des collaborateurs utilisent au moins un outil d’IA g\u00e9n\u00e9rative dans leur travail, souvent sans information de la DSI. Ce shadow IA cr\u00e9e des risques majeurs de fuite de donn\u00e9es, de confidentialit\u00e9, et de manquements AI Act. La cartographie doit le faire \u00e9merger.<\/p>\n\n\n\n

    1.3 L’imminence des contr\u00f4les AI Act<\/h3>\n\n\n\n

    Les autorit\u00e9s de surveillance d\u00e9sign\u00e9es par chaque \u00c9tat membre se structurent en 2026. Les premiers contr\u00f4les ciblent en priorit\u00e9 les secteurs sensibles : banque, assurance, RH, sant\u00e9, secteur public, mod\u00e9ration de contenu. La premi\u00e8re demande d’un contr\u00f4leur sera syst\u00e9matiquement la cartographie des syst\u00e8mes d’IA. Une entreprise sans registre appara\u00eet imm\u00e9diatement comme non conforme, ce qui d\u00e9grade fortement la posture d\u00e9fensive. Pour aller plus loin, consultez nos services en mati\u00e8re de protection des donn\u00e9es personnelles<\/strong><\/a>.<\/p>\n\n\n\n

    2. Le cadre juridique applicable<\/h2>\n\n\n\n

    La cartographie syst\u00e8mes IA entreprise s’inscrit dans un cadre juridique pluriel. Plusieurs textes en font, directement ou indirectement, une obligation de fait.<\/p>\n\n\n\n

    2.1 L’AI Act et ses obligations transversales<\/h3>\n\n\n\n

    Le R\u00e8glement UE 2024\/1689 (AI Act) impose \u00e0 toute organisation d’identifier ses syst\u00e8mes d’IA pour pouvoir appliquer les obligations correspondantes. L’article 6 impose la qualification haut risque ; l’article 4 impose la formation \u00e0 la ma\u00eetrise de l’IA ; l’article 27 impose la FRIA pour certains d\u00e9ployeurs ; l’article 50 impose la transparence vis-\u00e0-vis des utilisateurs. Sans cartographie, aucune de ces obligations ne peut \u00eatre conduite de mani\u00e8re document\u00e9e et d\u00e9fendable.<\/p>\n\n\n\n

    2.2 Le RGPD et l’article 30<\/h3>\n\n\n\n

    L’article 30 du R\u00e8glement UE 2016\/679 (RGPD) impose un registre des activit\u00e9s de traitement de donn\u00e9es personnelles. Pour tout syst\u00e8me d’IA traitant des donn\u00e9es personnelles, ce registre doit \u00eatre tenu et tenu \u00e0 jour. L’article 35 ajoute l’AIPD (analyse d’impact relative \u00e0 la protection des donn\u00e9es) pour les traitements \u00e0 risque \u00e9lev\u00e9. La cartographie syst\u00e8mes IA entreprise et le registre RGPD doivent donc s’articuler \u00e9troitement.<\/p>\n\n\n\n

    2.3 Le devoir de gouvernance et l’article 1240 du Code civil<\/h3>\n\n\n\n

    Au-del\u00e0 des textes sp\u00e9cifiques, le droit commun impose un devoir de prudence et de gouvernance. L’article 1240 du Code civil engage la responsabilit\u00e9 de l’entreprise pour les dommages caus\u00e9s par sa n\u00e9gligence. En mati\u00e8re d’IA, l’absence de cartographie peut \u00eatre analys\u00e9e comme une faute de gouvernance, ouvrant droit \u00e0 indemnisation des personnes l\u00e9s\u00e9es. La directive UE 2024\/2853 sur la responsabilit\u00e9 du fait des produits d\u00e9fectueux, applicable \u00e0 compter de 2026, renforce cette exposition.<\/p>\n\n\n\n

    2.4 Les obligations sectorielles<\/h3>\n\n\n\n

    Certains secteurs ajoutent leurs propres obligations. La doctrine de l’ACPR pour la banque et l’assurance, les recommandations de l’AMF en mati\u00e8re d’IA, la doctrine CNIL sur l’IA, les textes sp\u00e9cifiques \u00e0 la sant\u00e9 (HAS) et au secteur public (DINUM) imposent des inventaires plus pr\u00e9cis. Pour aller plus loin, consultez nos services en mati\u00e8re de contrats informatiques<\/strong><\/a>.<\/p>\n\n\n\n

    3. Les 7 dimensions du registre IA<\/h2>\n\n\n\n

    Une cartographie syst\u00e8mes IA entreprise solide se structure autour de sept dimensions. Chacune couvre un angle pr\u00e9cis et conditionne la valeur juridique du registre.<\/p>\n\n\n\n

    3.1 Identification et description du syst\u00e8me<\/h3>\n\n\n\n

    La premi\u00e8re dimension identifie chaque syst\u00e8me : nom, identifiant unique, fournisseur, version, date de mise en service, description fonctionnelle, technologie sous-jacente (machine learning, deep learning, IA g\u00e9n\u00e9rative, syst\u00e8me expert). Cette identification doit permettre \u00e0 un contr\u00f4leur de comprendre rapidement de quoi il s’agit. Un nom commercial seul ne suffit pas : la description fonctionnelle doit \u00eatre pr\u00e9cise.<\/p>\n\n\n\n

    3.2 Cas d’usage et processus m\u00e9tier concern\u00e9<\/h3>\n\n\n\n

    La deuxi\u00e8me dimension documente l’usage r\u00e9el : direction concern\u00e9e, processus m\u00e9tier, p\u00e9rim\u00e8tre g\u00e9ographique, fr\u00e9quence d’utilisation, articulation avec les d\u00e9cisions humaines. Cette dimension est centrale pour la qualification haut risque ult\u00e9rieure. Un m\u00eame outil peut \u00eatre \u00e0 haut risque pour un usage et minimal pour un autre. La pr\u00e9cision du cas d’usage conditionne directement la qualification juridique.<\/p>\n\n\n\n

    3.3 Qualification AI Act<\/h3>\n\n\n\n

    La troisi\u00e8me dimension qualifie le syst\u00e8me selon l’AI Act : risque inacceptable, haut risque (article 6 paragraphe 1 ou 2 + annexe III), risque limit\u00e9 (transparence), risque minimal. Chaque qualification est argument\u00e9e par une r\u00e9f\u00e9rence au texte. Cette qualification d\u00e9clenche, ou non, les obligations correspondantes. Sans cette colonne, la cartographie reste descriptive et non op\u00e9rationnelle.<\/p>\n\n\n\n

    3.4 R\u00f4le de l’entreprise dans la cha\u00eene<\/h3>\n\n\n\n

    La quatri\u00e8me dimension pr\u00e9cise le r\u00f4le : fournisseur, d\u00e9ployeur, importateur, distributeur, mandataire. Une m\u00eame entreprise peut cumuler plusieurs r\u00f4les selon les syst\u00e8mes. Pour un syst\u00e8me d\u00e9velopp\u00e9 en interne, elle est fournisseur ; pour un SaaS du march\u00e9, elle est d\u00e9ployeur ; si elle rebrande un outil tiers, elle redevient fournisseur. Cette qualification conditionne pr\u00e9cis\u00e9ment la liste des obligations \u00e0 respecter.<\/p>\n\n\n\n

    3.5 Donn\u00e9es et flux RGPD<\/h3>\n\n\n\n

    La cinqui\u00e8me dimension articule l’IA avec le RGPD : nature des donn\u00e9es trait\u00e9es (personnelles ou non, sensibles ou non), cat\u00e9gories de personnes concern\u00e9es, base l\u00e9gale, transferts hors UE \u00e9ventuels, dur\u00e9es de conservation, r\u00e9f\u00e9rence au registre des traitements article 30. Cette articulation \u00e9vite les angles morts entre les deux dispositifs et garantit la coh\u00e9rence documentaire.<\/p>\n\n\n\n

    3.6 Risques identifi\u00e9s et mesures de mitigation<\/h3>\n\n\n\n

    La sixi\u00e8me dimension recense les risques : risques pour les droits fondamentaux, risques de biais, risques de cybers\u00e9curit\u00e9, risques de fuite, risques op\u00e9rationnels. Pour chaque risque significatif, les mesures de mitigation d\u00e9j\u00e0 en place sont document\u00e9es (supervision humaine, contr\u00f4les qualit\u00e9, journalisation, restrictions d’acc\u00e8s, formation des utilisateurs). Cette dimension pr\u00e9pare directement la FRIA pour les syst\u00e8mes \u00e0 haut risque.<\/p>\n\n\n\n

    3.7 Responsable interne et gouvernance<\/h3>\n\n\n\n

    La septi\u00e8me dimension identifie un responsable nomm\u00e9 pour chaque syst\u00e8me : direction m\u00e9tier propri\u00e9taire, r\u00e9f\u00e9rent technique, r\u00e9f\u00e9rent juridique, date de revue pr\u00e9vue, comit\u00e9 de gouvernance comp\u00e9tent. Sans responsabilit\u00e9 nominale, la cartographie reste un document th\u00e9orique. La d\u00e9signation d’un responsable transforme l’inventaire en outil de pilotage op\u00e9rationnel.<\/p>\n\n\n\n

    4. Tableau de synth\u00e8se des dimensions et criticit\u00e9<\/h2>\n\n\n\n

    Le tableau ci-dessous synth\u00e9tise les sept dimensions du registre IA, leur r\u00f4le structurant et leur niveau de criticit\u00e9 pour la conformit\u00e9 AI Act.<\/p>\n\n\n\n

    Dimension<\/th>R\u00f4le<\/th>Criticit\u00e9<\/th><\/tr><\/thead>
    1. Identification du syst\u00e8me<\/td>Recensement exhaustif<\/td>\ud83d\udd34 Critique<\/td><\/tr>
    2. Cas d’usage m\u00e9tier<\/td>Base de la qualification<\/td>\ud83d\udd34 Critique<\/td><\/tr>
    3. Qualification AI Act<\/td>D\u00e9clenche les obligations<\/td>\ud83d\udd34 Critique<\/td><\/tr>
    4. R\u00f4le dans la cha\u00eene<\/td>R\u00e9gime d’obligations<\/td>\ud83d\udd34 Critique<\/td><\/tr>
    5. Donn\u00e9es et flux RGPD<\/td>Coh\u00e9rence avec art. 30<\/td>\ud83d\udfe0 \u00c9lev\u00e9e<\/td><\/tr>
    6. Risques et mitigation<\/td>Pr\u00e9paration FRIA<\/td>\ud83d\udfe0 \u00c9lev\u00e9e<\/td><\/tr>
    7. Responsable interne<\/td>Gouvernance op\u00e9rationnelle<\/td>\ud83d\udfe1 Moyenne<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

    5. La m\u00e9thodologie en 6 \u00e9tapes<\/h2>\n\n\n\n

    Conduire une cartographie syst\u00e8mes IA entreprise suit une d\u00e9marche structur\u00e9e. Six \u00e9tapes successives transforment un projet per\u00e7u comme insurmontable en exercice de gouvernance ma\u00eetris\u00e9 et d\u00e9fendable.<\/p>\n\n\n\n

    5.1 \u00c9tape 1 \u2014 D\u00e9signer une gouvernance projet<\/h3>\n\n\n\n

    La premi\u00e8re \u00e9tape constitue une \u00e9quipe transversale : un r\u00e9f\u00e9rent IA central (souvent DPO ou direction juridique), un sponsor ex\u00e9cutif (DG ou COMEX), des correspondants par direction m\u00e9tier (RH, marketing, vente, finance, DSI, juridique). Sans cette gouvernance, la cartographie reste l’\u0153uvre solitaire d’une fonction support, ce qui condamne sa qualit\u00e9 et son acceptation interne.<\/p>\n\n\n\n

    5.2 \u00c9tape 2 \u2014 Collecter par direction m\u00e9tier<\/h3>\n\n\n\n

    La deuxi\u00e8me \u00e9tape collecte les syst\u00e8mes par direction m\u00e9tier, via un questionnaire structur\u00e9. La grille de questions doit \u00eatre simple, accessible aux non-juristes, et inclure les SaaS utilis\u00e9s, les fonctionnalit\u00e9s d’IA des progiciels, les outils d’IA g\u00e9n\u00e9rative, les mod\u00e8les d\u00e9velopp\u00e9s en interne. Cette collecte distribu\u00e9e capte naturellement plus de syst\u00e8mes qu’une d\u00e9marche descendante.<\/p>\n\n\n\n

    5.3 \u00c9tape 3 \u2014 D\u00e9tecter le shadow IA<\/h3>\n\n\n\n

    La troisi\u00e8me \u00e9tape compl\u00e8te l’inventaire par la d\u00e9tection du shadow IA. Plusieurs leviers se combinent : entretiens directs avec les \u00e9quipes, analyse des logs r\u00e9seau, audit des d\u00e9penses (cartes corporate, abonnements souscrits par les \u00e9quipes), revue des int\u00e9grations API. Le shadow IA repr\u00e9sente, dans la plupart des entreprises, 30 \u00e0 50 % de l’inventaire r\u00e9el. L’ignorer fragilise toute la d\u00e9marche.<\/p>\n\n\n\n

    5.4 \u00c9tape 4 \u2014 Qualifier juridiquement chaque syst\u00e8me<\/h3>\n\n\n\n

    La quatri\u00e8me \u00e9tape qualifie chaque syst\u00e8me identifi\u00e9 : applicabilit\u00e9 AI Act, niveau de risque, r\u00f4le de l’entreprise, articulation RGPD. Cette qualification doit \u00eatre document\u00e9e pour chaque syst\u00e8me, avec une r\u00e9f\u00e9rence textuelle. Elle exige une expertise juridique pr\u00e9cise, particuli\u00e8rement pour les syst\u00e8mes \u00e0 la lisi\u00e8re de l’annexe III ou pour ceux relevant de l’exception de l’article 6 paragraphe 3.<\/p>\n\n\n\n

    5.5 \u00c9tape 5 \u2014 Documenter et formaliser<\/h3>\n\n\n\n

    La cinqui\u00e8me \u00e9tape formalise le registre dans un document opposable : tableur structur\u00e9, ou id\u00e9alement outil de gouvernance d\u00e9di\u00e9. Chaque ligne correspond \u00e0 un syst\u00e8me ; chaque colonne couvre une des sept dimensions. Le registre est dat\u00e9, sign\u00e9 par le r\u00e9f\u00e9rent IA et le sponsor ex\u00e9cutif. Cette formalisation transforme le travail d’inventaire en pi\u00e8ce ma\u00eetresse du dossier de conformit\u00e9.<\/p>\n\n\n\n

    5.6 \u00c9tape 6 \u2014 Mettre en place une revue p\u00e9riodique<\/h3>\n\n\n\n

    La derni\u00e8re \u00e9tape organise la mise \u00e0 jour. Une cartographie fig\u00e9e perd rapidement sa valeur, car de nouveaux syst\u00e8mes apparaissent en permanence. Une revue semestrielle minimum est recommand\u00e9e, avec une proc\u00e9dure d’enr\u00f4lement syst\u00e9matique des nouveaux outils (achat SaaS, nouveau projet IA, int\u00e9gration de fonctionnalit\u00e9s IA dans un progiciel existant). Sans cette routine, le registre redevient obsol\u00e8te en quelques mois.<\/p>\n\n\n\n

    6. Pourquoi faire appel \u00e0 Atias Avocats<\/h2>\n\n\n\n

    Conduire une cartographie syst\u00e8mes IA entreprise \u00e0 la hauteur des enjeux exige une combinaison rare de comp\u00e9tences : ma\u00eetrise de l’AI Act et de sa structure normative, expertise du RGPD et de son articulation avec l’AI Act, compr\u00e9hension op\u00e9rationnelle des architectures d’IA et des cas d’usage m\u00e9tiers, pratique de la conduite de projets transversaux, capacit\u00e9 de d\u00e9fense face aux autorit\u00e9s de contr\u00f4le. Cette pluridisciplinarit\u00e9 est pr\u00e9cis\u00e9ment la valeur ajout\u00e9e d’un cabinet sp\u00e9cialis\u00e9 en droit du num\u00e9rique avec une pratique active de la conformit\u00e9 IA.<\/p>\n\n\n\n

    Atias Avocats accompagne entreprises, scale-ups, banques, assureurs, mutuelles, organismes publics et entit\u00e9s priv\u00e9es de service public sur l’ensemble du sujet : cartographie initiale des syst\u00e8mes d’IA, mise en place de la gouvernance IA, d\u00e9tection du shadow IA, qualification AI Act de chaque syst\u00e8me identifi\u00e9, articulation avec le registre RGPD, conduite des FRIA pour les syst\u00e8mes haut risque, mise \u00e0 jour annuelle et d\u00e9fense face \u00e0 l’autorit\u00e9 de contr\u00f4le. Pour aller plus loin, consultez nos services en mati\u00e8re de protection des donn\u00e9es personnelles<\/strong><\/a>.<\/p>\n\n\n\n

    Conclusion<\/h2>\n\n\n\n

    La cartographie syst\u00e8mes IA entreprise est l’exercice fondateur de la conformit\u00e9 AI Act. Sans elle, toutes les obligations qui en d\u00e9coulent \u2014 qualification haut risque, FRIA, formation, supervision humaine, gouvernance \u2014 restent inop\u00e9rantes. La m\u00e9thode en six \u00e9tapes pr\u00e9sent\u00e9e ici, articul\u00e9e avec les sept dimensions du registre, offre un r\u00e9f\u00e9rentiel directement utilisable par les directions juridiques, DPO, RSSI et fondateurs.<\/p>\n\n\n\n

    Pour les DG, directions juridiques, DPO et fondateurs, le r\u00e9flexe doit \u00eatre clair : cartographier d’abord, qualifier ensuite, et seulement apr\u00e8s dimensionner les programmes de conformit\u00e9 sp\u00e9cifiques. C’est pr\u00e9cis\u00e9ment \u00e0 cette \u00e9tape inaugurale que se construit la ma\u00eetrise r\u00e9elle de la conformit\u00e9 IA et la s\u00e9r\u00e9nit\u00e9 op\u00e9rationnelle pour les ann\u00e9es \u00e0 venir.<\/p>\n\n\n\n

    FAQ \u2014 Questions fr\u00e9quentes<\/h2>\n\n\n\n

    La cartographie des syst\u00e8mes d’IA est-elle vraiment obligatoire ?<\/h3>\n\n\n\n

    Oui, en pratique. L’AI Act (R\u00e8glement UE 2024\/1689) n’impose pas un registre formel dans les m\u00eames termes que l’article 30 du RGPD. Cependant, plusieurs obligations rendent la cartographie in\u00e9vitable : l’identification des syst\u00e8mes \u00e0 haut risque (article 6), la documentation de la qualification, la conduite des FRIA (article 27), la supervision humaine (article 14), la transparence (article 50), la formation \u00e0 la ma\u00eetrise de l’IA (article 4). Aucune de ces obligations ne peut \u00eatre satisfaite sans un inventaire structur\u00e9 pr\u00e9alable. La cartographie syst\u00e8mes IA entreprise est donc, de facto, le socle obligatoire de toute conformit\u00e9 AI Act. En cas de contr\u00f4le, c’est le premier document que l’autorit\u00e9 demandera.<\/p>\n\n\n\n

    Quels syst\u00e8mes faut-il inclure dans la cartographie ?<\/h3>\n\n\n\n

    Tous les syst\u00e8mes r\u00e9pondant \u00e0 la d\u00e9finition de l’article 3 de l’AI Act doivent \u00eatre recens\u00e9s, ind\u00e9pendamment de leur classification de risque. Cela inclut : les outils d\u00e9velopp\u00e9s en interne (mod\u00e8les propri\u00e9taires, scripts ML), les solutions SaaS int\u00e9grant de l’IA (ATS, CRM, marketing automation, d\u00e9tection de fraude, mod\u00e9ration), les composants d’IA embarqu\u00e9s dans des progiciels (ERP, outils financiers, RH, supply chain), les agents conversationnels (chatbots, assistants), les outils d’IA g\u00e9n\u00e9rative (Copilot, ChatGPT, Claude, Gemini en usage professionnel), les mod\u00e8les d’IA fournis par des sous-traitants. Le shadow IA (utilisation non d\u00e9clar\u00e9e par les collaborateurs) doit aussi \u00eatre recens\u00e9 via une d\u00e9marche participative. La cartographie syst\u00e8mes IA entreprise est exhaustive ou n’a pas de valeur juridique.<\/p>\n\n\n\n

    Quelle est la diff\u00e9rence entre cartographie IA et registre des traitements RGPD ?<\/h3>\n\n\n\n

    Les deux outils sont compl\u00e9mentaires mais distincts. Le registre des traitements de l’article 30 du RGPD recense les traitements de donn\u00e9es personnelles, ind\u00e9pendamment de la technologie utilis\u00e9e. La cartographie syst\u00e8mes IA entreprise recense les syst\u00e8mes d’IA, qu’ils traitent ou non des donn\u00e9es personnelles. Un syst\u00e8me d’IA d’optimisation logistique sans donn\u00e9es personnelles entre dans la cartographie mais pas n\u00e9cessairement dans le registre RGPD. Inversement, un traitement de paie classique sans IA entre dans le registre RGPD mais pas dans la cartographie IA. Quand un syst\u00e8me d’IA traite des donn\u00e9es personnelles, il doit figurer dans les deux documents avec des r\u00e9f\u00e9rences crois\u00e9es. Cette double inscription facilite les contr\u00f4les CNIL et autorit\u00e9 IA et garantit la coh\u00e9rence documentaire.<\/p>\n\n\n\n

    Qui est responsable de la cartographie dans l’entreprise ?<\/h3>\n\n\n\n

    La responsabilit\u00e9 juridique incombe \u00e0 l’entreprise en tant que personne morale, mais l’ex\u00e9cution op\u00e9rationnelle requiert une organisation transversale. Plusieurs profils sont mobilis\u00e9s : le DPO (qui ma\u00eetrise l’inventaire des traitements de donn\u00e9es), le RSSI (qui conna\u00eet les syst\u00e8mes IT), la DSI (qui contr\u00f4le l’achat des SaaS et progiciels), les directions m\u00e9tiers (qui utilisent les outils au quotidien), le service juridique (qui qualifie). La gouvernance type combine un r\u00e9f\u00e9rent IA central (souvent rattach\u00e9 au DPO ou \u00e0 la direction juridique), des correspondants par direction m\u00e9tier et un comit\u00e9 IA d\u00e9cisionnaire. La cartographie syst\u00e8mes IA entreprise ne peut pas \u00eatre conduite par une seule fonction : c’est un exercice intrins\u00e8quement transversal.<\/p>\n\n\n\n


    Contact :     david@atiasavocats.com<\/a> | LinkedIn: David Joseph Atias<\/em><\/a> | https:\/\/www.atiasavocats.com<\/a> | 42 rue de la Clef, 75005 Paris<\/p>\n\n\n\n

    Atias Avocats \u2014 Droit du num\u00e9rique, AI Act, RGPD, Gouvernance IA<\/em><\/p>","protected":false},"excerpt":{"rendered":"

    Par\u00a0David Joseph Atias, avocat au Barreau de Paris \u00b7\u00a0LinkedIn\u00a0\u00b7 Juin 2026 La cartographie syst\u00e8mes IA entreprise est devenue, en 2026, le socle obligatoire de toute strat\u00e9gie de conformit\u00e9 AI Act.…<\/p>","protected":false},"author":1,"featured_media":23009,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"om_disable_all_campaigns":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[1],"tags":[],"class_list":["post-23008","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/posts\/23008","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/comments?post=23008"}],"version-history":[{"count":1,"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/posts\/23008\/revisions"}],"predecessor-version":[{"id":23010,"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/posts\/23008\/revisions\/23010"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/media\/23009"}],"wp:attachment":[{"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/media?parent=23008"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/categories?post=23008"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/tags?post=23008"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}