Le reporting de conformité RGPD et AI Act n'est pas un logiciel à acheter. C'est un journal à produire. La différence n'a l'air de rien, et elle décide de tout : un outil qui vous demande de saisir ce que vos systèmes savent déjà produit un dossier déclaratif, que vous devrez défendre. Un dispositif qui enregistre la preuve au moment du geste produit un dossier factuel, qui se défend tout seul.
Ce guide donne les obligations réelles avec leurs échéances exactes, les trois familles d'outils du marché et ce que chacune ne fait pas, les sept critères pour choisir un fournisseur, et le test unique qui élimine la majorité des candidats en une question.
Dans cet article
- 1. Ce que la loi exige vraiment, et quand
- 2. Les trois familles d'outils, et leur angle mort commun
- 3. La preuve doit être un sous-produit, jamais une saisie
- 4. Les sept critères de choix d'un fournisseur
- 5. Le test qui élimine la majorité des outils
- 6. Ce que nous avons construit pour nous-mêmes
- 7. Questions fréquentes
1. Ce que la loi exige vraiment, et quand
Avant de comparer des outils, il faut savoir ce qu'on doit produire. Deux textes se superposent, et on les confond en permanence.
Le RGPD : déjà applicable, depuis 2018
L'obligation centrale du reporting est le registre des activités de traitement (article 30). Ce n'est pas un document de communication : c'est un inventaire tenu à jour, qui doit dire pour chaque traitement les finalités, les catégories de données et de personnes concernées, les destinataires, les transferts hors UE, les durées de conservation et les mesures de sécurité. Il doit être mis à disposition de l'autorité de contrôle sur demande.
À cela s'ajoutent, selon les cas, l'analyse d'impact (AIPD) pour les traitements à risque élevé, le registre des violations de données, et la traçabilité des consentements. Le RGPD ne demande pas un outil : il demande de pouvoir démontrer — c'est le principe d'accountability de l'article 5.2.
L'AI Act : un calendrier, pas une date
C'est là que les erreurs se paient. Le règlement européen sur l'intelligence artificielle (règlement (UE) 2024/1689) n'entre pas en vigueur d'un bloc :
- Obligations de transparence (article 50) — applicables au 2 août 2026. C'est l'échéance qui concerne la quasi-totalité des entreprises : si un système d'IA interagit avec des personnes, génère du contenu ou produit des sorties synthétiques, cela doit être signalé.
- Systèmes à haut risque de l'annexe III — 2 décembre 2027 (échéance repoussée par le Digital Omnibus). C'est le régime lourd : gestion des risques, gouvernance des données, documentation technique, journalisation, surveillance humaine.
- Pratiques interdites (article 5) — déjà applicables, et c'est le seul régime auquel se rattachent les sanctions les plus élevées (article 99).
L'erreur qu'on lit partout. Le plafond de sanction « 35 M€ ou 7 % du chiffre d'affaires » est agité à propos de n'importe quelle obligation de l'AI Act. Il ne concerne que les pratiques interdites de l'article 5. Un défaut de transparence relève d'un autre barème. Un fournisseur qui vous vend son outil en brandissant les 7 % sur une obligation de transparence vous vend de la peur, pas de la conformité — et vous venez d'apprendre à le repérer en une phrase.
Retenez la conséquence pratique : à la mi-2026, ce que vous devez produire, c'est un registre RGPD tenu à jour et un inventaire de vos systèmes d'IA avec leur classification et leurs mentions de transparence. Le régime documentaire lourd du haut risque, lui, se prépare — il ne s'improvisera pas en décembre 2027.
2. Les trois familles d'outils, et leur angle mort commun
Le marché du « reporting de conformité » mélange trois métiers différents sous un même mot. Les distinguer évite d'acheter un outil qui ne répond pas à votre problème.
Les plateformes GRC (gouvernance, risques, conformité)
Elles hébergent le registre, les politiques, les analyses d'impact, le suivi des actions. Elles sont conçues pour structurer un travail documentaire. Ce qu'elles ne font pas : elles ne savent pas ce qui se passe dans vos systèmes. Le registre y est déclaré, à la main, par quelqu'un qui recopie ce que le système d'information sait déjà. Le jour où un développeur ajoute un champ, branche une API ou change un prestataire d'hébergement, la plateforme GRC ne le voit pas. Elle décrit un système d'information qui a cessé d'exister.
Les outils d'observabilité et de journalisation IA
Ils enregistrent les appels aux modèles, les prompts, les sorties, les coûts, parfois les dérives. Ils produisent des traces réelles, horodatées, non déclaratives — c'est leur force. Ce qu'ils ne font pas : ils ne parlent pas la langue du régulateur. Une trace d'appel API n'est pas une preuve de conformité : personne, chez vous, ne saura relier dix millions de lignes de logs à l'article 50. Et beaucoup stockent ces traces hors d'Europe, ce qui transforme votre outil de conformité en nouveau problème de conformité.
Les suites « tout-en-un » conformité
Elles promettent le registre, l'inventaire IA, les mentions, les rapports, le tableau de bord. Elles sont séduisantes en démonstration. Ce qu'elles ne font pas : se connecter à vos systèmes réels. Regardez le nombre de connecteurs. Regardez surtout ce qu'ils lisent : dans la plupart des cas, un annuaire d'utilisateurs et une liste d'applications SaaS. Pas votre ERP maison, pas votre plateforme métier, pas l'agent qui traite vos e-mails — c'est-à-dire précisément l'endroit où vos données personnelles vivent réellement.
L'angle mort commun
Les trois familles partagent le même défaut : elles vous demandent de décrire votre conformité au lieu de l'enregistrer. Vous saisissez, vous cochez, vous mettez à jour. Et le jour de l'inspection, vous ne présentez pas des faits : vous présentez vos propres déclarations sur les faits. C'est exactement ce qu'un contrôleur sait ne pas devoir croire sur parole.
3. La preuve doit être un sous-produit, jamais une saisie
Voici la position que nous défendons, et elle est tranchée : toute conformité qui repose sur une saisie parallèle finit périmée. Pas par négligence — par physique. Une saisie parallèle demande de la discipline à des gens qui ont un autre métier. Elle tient trois mois. Elle tient jusqu'au premier trimestre chargé.
La conformité qui tient est celle qui n'a rien à saisir, parce que la preuve naît du geste métier lui-même. Quand un collaborateur valide un traitement, quand un agent IA répond à un client, quand un document est généré : à cet instant précis, une trace est écrite, horodatée, scellée par une empreinte cryptographique, et étiquetée avec l'obligation à laquelle elle répond.
Le rapport de conformité devient alors ce qu'il aurait toujours dû être : un sous-produit, pas un projet. Vous ne le « faites » pas. Vous l'exportez.
Les conséquences sont concrètes :
- Impossible d'antidater. Une preuve scellée à l'instant du geste, avec l'identité de l'auteur et l'horodatage, ne peut pas être reconstituée la veille du contrôle.
- Impossible d'oublier. Si le geste a eu lieu, la trace existe. Personne n'a besoin de « penser à » la créer.
- Impossible de mentir en sa faveur. Un dispositif bien conçu doit pouvoir se déclarer non conforme. S'il est toujours vert, il ne mesure rien.
4. Les sept critères de choix d'un fournisseur
Quel que soit le fournisseur que vous retenez — éditeur, intégrateur ou construction interne — voici la grille. Elle est ordonnée : les trois premiers critères sont éliminatoires.
| Critère | La question à poser | Ce qui doit vous alerter |
|---|---|---|
| 1. Origine de la preuve | La trace est-elle produite par le système, ou saisie par un humain ? | « Vous complétez le registre dans l'interface » |
| 2. Localisation des données | Où sont hébergées les preuves, et sous quelle juridiction ? | Une réponse qui parle de chiffrement au lieu de juridiction |
| 3. Réversibilité | Puis-je exporter l'intégralité des preuves, dans un format lisible sans vous ? | Un export PDF « rapport » sans les données brutes |
| 4. Intégrité | Une preuve peut-elle être modifiée après coup, et cela se voit-il ? | Pas d'empreinte, pas d'horodatage, un simple champ « date » |
| 5. Couverture réelle | L'outil lit-il mes systèmes métier, ou seulement mes SaaS ? | Une liste de connecteurs sans votre ERP ni vos outils internes |
| 6. Capacité à se contredire | Le dispositif peut-il retirer une conformité qu'il avait constatée ? | Un tableau de bord qui ne devient jamais rouge |
| 7. Coût de sortie | Que me reste-t-il si j'arrête l'abonnement demain ? | « Vous perdez l'accès à l'historique » |
Le critère 7 mérite un mot. Vos preuves de conformité doivent survivre à votre fournisseur : ce sont vos obligations, pas les siennes. Un dispositif dont l'arrêt vous fait perdre votre registre transforme un contrat commercial en dépendance réglementaire.
5. Le test qui élimine la majorité des outils
Une seule question, à poser en démonstration :
« Montrez-moi le journal brut. Pas le tableau de bord : la ligne de preuve, telle qu'elle est stockée. Je veux voir l'horodatage, l'identité de l'auteur, l'empreinte, et l'obligation à laquelle elle se rattache. »
Trois issues, et elles sont toutes instructives :
- Il montre le journal. Le fournisseur est sérieux : la preuve existe comme objet, pas comme graphique. Vous pouvez continuer la conversation.
- Il montre un tableau de bord. Reposez la question. Un indicateur vert n'est pas une preuve : c'est une opinion calculée sur des données que vous n'avez pas vues.
- Il explique que « c'est technique ». C'est la réponse la plus honnête que vous obtiendrez : il n'y a pas de journal, il y a un formulaire, et vous êtes en train d'acheter un classeur en ligne.
Ce test fonctionne parce qu'il ne demande rien d'exceptionnel. Un dispositif qui produit vraiment des preuves les stocke forcément quelque part, sous une forme lisible. S'il ne peut pas vous la montrer, c'est qu'elle n'existe pas.
6. Ce que nous avons construit pour nous-mêmes
Nous ne théorisons pas : nous avons appliqué ce principe à notre propre obligation réglementaire, et il a été audité.
JAIKIN est organisme de formation. À ce titre, nous sommes soumis au Référentiel National Qualité (Qualiopi) : 25 indicateurs applicables, chacun exigeant des preuves. La solution évidente aurait été un classeur partagé et un rappel dans l'agenda. Nous avons construit l'inverse : une plateforme où chaque preuve est produite par le geste métier, au moment où il est posé.
Concrètement : quand un formateur émarge, la signature est scellée avec l'identité, la date et l'adresse IP — elle n'est ni antidatable ni transférable. Quand un stagiaire soumet son évaluation d'entrée, la preuve est créée avec son score. Quand un client valide le plan de formation, sa signature électronique produit la trace. Personne ne « remplit » quoi que ce soit pour la conformité : la conformité est le résidu du travail réel.
Et nous avons poussé le principe jusqu'à son point désagréable. Un contrôle automatisé relit chaque jour nos propres pages publiques et vérifie que les mentions obligatoires y figurent. Quand une mention est complète, la preuve est créée. Quand elle disparaît ou régresse, la preuve est automatiquement supprimée. Notre dispositif est structurellement incapable de nous déclarer conformes quand nous ne le sommes plus.
C'est ce que nous entendons par « la preuve est un sous-produit ». Et c'est ce que nous construisons pour nos clients : non pas un outil de conformité de plus, mais des systèmes métier qui produisent leur propre dossier.
7. Questions fréquentes
Faut-il un outil dédié, ou peut-on rester sur un tableur ?
Pour un registre RGPD de quelques traitements stables, un tableur tenu sérieusement est défendable — le RGPD n'impose aucun format. Le tableur devient dangereux quand il décrit un système d'information qui bouge : à ce moment-là, il ne documente plus la réalité, il documente le jour où quelqu'un a eu le temps de le mettre à jour. Le critère n'est pas la taille de l'entreprise, c'est la vitesse à laquelle vos traitements changent.
Mon fournisseur SaaS est certifié : suis-je couvert ?
Non. La certification de votre sous-traitant documente ses pratiques, pas les vôtres. Vous restez responsable de traitement : c'est à vous de démontrer la licéité, l'information des personnes, la durée de conservation et l'exercice des droits. Le certificat de votre fournisseur est une pièce de votre dossier, jamais le dossier.
Que dois-je faire concrètement avant le 2 août 2026 ?
Trois choses. Inventorier les systèmes d'IA réellement utilisés dans l'entreprise, y compris ceux que les équipes ont adoptés sans le dire. Classer chacun (usage interdit, haut risque, risque limité, minimal). Poser les mentions de transparence là où un humain interagit avec une IA ou reçoit un contenu généré. C'est un travail de cartographie, pas d'achat de logiciel.
Un outil peut-il produire mes preuves à ma place ?
Un outil peut les enregistrer à votre place, ce qui est déjà énorme. Il ne peut pas les fabriquer : si le geste n'a pas eu lieu, aucune preuve ne peut exister. C'est d'ailleurs le meilleur argument en faveur de la preuve-sous-produit : elle rend visible ce que vous ne faites pas encore, au lieu de le masquer derrière un formulaire rempli.
Combien coûte un dispositif de reporting sur mesure ?
Cela dépend entièrement du nombre de systèmes à instrumenter. L'erreur est de raisonner en licence : la question utile est « combien de points du système d'information doivent produire une trace ? ». Un diagnostic d'une trentaine de minutes suffit généralement à le savoir, et à dire si un outil du marché fait l'affaire — ce qui arrive, et nous le disons quand c'est le cas.
Votre conformité tient-elle sans discipline ?
Si votre registre dépend de quelqu'un qui pense à le mettre à jour, il est déjà périmé. Nous regardons vos systèmes et nous vous disons où la preuve peut naître toute seule — et si un outil du marché suffit.
Prendre RDV