Cabinet · Format expert unique · France
AUDIT TECHNIQUE · 3 FORFAITS PUBLICS

Audit conformité
IA Act + RGPD
pour TPE-PME.

3 forfaits publics, de 1 500 à 18 000 € HT selon votre taille. Inventaire technique, classification de risque, registre, plan d'action chiffré. Vous repartez avec des livrables prêts à publier et un budget précis pour vous mettre en règle.

VOIR LES 3 FORFAITS AUDIT 45 MIN GRATUIT
AVANT L'AUDIT PAYANT

Testez-vous gratuitement en 10 minutes.

Avant de commander un forfait, évaluez-vous d'abord avec nos outils interactifs gratuits (à partir de 1 500 € HT). Vous saurez si l'audit payant est pertinent pour votre situation.

Calculateur risque IA Act

10 questions · score sur 100 · 5 min

Audit-flash RGPD

25 questions · plan d'action · 5 min
3 FORFAITS · TARIFS PUBLICS

Choisissez selon
la taille de votre entreprise

3 forfaits en fourchettes, de 1 500 à 18 000 € HT selon votre taille, votre périmètre et votre exposition IA Act. Livrable sous 1 à 5 semaines, 100 % en visio.

Trois formats clairs. Pas de devis surprise, pas de tarif à la tête du client. Le Diagnostic Express est conçu comme produit d'appel pour qualifier le besoin avant un audit plus profond si nécessaire.

Fourchettes indicatives. Tarif final ajusté en discovery selon votre périmètre et profondeur souhaitée.

01

DIAGNOSTIC EXPRESS

1 500 à 2 000 € HT

Livrable sous 1 semaine · TPE 5-15 pers

Démarrez la conformité sans vous engager lourdement

Format compact pour comprendre où vous en êtes et quoi faire en priorité. Idéal si vous voulez démarrer la conformité sans vous engager sur un gros budget. Vous repartez avec un état des lieux honnête, 5 actions priorisées et une lecture personnalisée des opportunités identifiées.

CE QU'ON FAIT

  • → Entretien découverte 45 min (gratuit)
  • → Inventaire des systèmes IA en place (jusqu'à 10)
  • → Classification de risque selon IA Act
  • → Identification des 5 non-conformités prioritaires
  • → Lecture juridique personnalisée par opportunité identifiée

LIVRABLE

  • → Note de cadrage exécutive
  • → Registre des traitements (RGPD art. 30, adapté TPE)
  • → Plan d'action priorisé (5 fixes urgents, impact / effort estimés)
  • → Restitution 1h en visio
RÉSERVER MON DIAGNOSTIC

02

AUDIT STANDARD

6 000 à 9 000 € HT

Livrable sous 3 semaines · PME 15-50 pers

⭐ LE PLUS CHOISI

L'audit complet pour une PME qui prend la conformité au sérieux

Inventaire complet de tous vos systèmes IA, classification de risque rigoureuse, plan d'action priorisé sur 12 mois. Le forfait Standard couvre tout ce dont une PME a besoin pour être en règle et pouvoir le démontrer. Y compris l'identification du shadow IA (outils personnels, abonnements diffus) souvent sous-estimé.

CE QU'ON FAIT

  • → Entretiens 3-4 personnes-clés
  • → Inventaire exhaustif systèmes IA (illimité)
  • → Classification Annex III détaillée
  • → Cartographie flux de données (RGPD) avec identification des données sensibles
  • → Estimation shadow IA tous comptes confondus (usage personnel, abonnements diffus)
  • → Audit technique des garde-fous existants
  • → Plan de mise en conformité chiffré 12 mois

LIVRABLES

  • → Rapport d'audit détaillé (structuré par pôle métier)
  • → Registre des traitements (RGPD art. 30)
  • → Cartographie données sensibles (Excel, utilisable par votre DPO)
  • → Estimation shadow IA documentée
  • → Plan d'action priorisé (impact / effort / budget)
  • → DPIA si système haut risque détecté
  • → Restitution 1h30 + Q&R
DEMANDER UN DEVIS

03

AUDIT COMPLET

10 500 à 18 000 € HT

Livrable sous 4-5 semaines · PME 50-100 pers ou système haut risque

Pour les PME avec systèmes haut risque ou périmètre étendu

Tout l'audit Standard, plus une couverture étendue : entretiens 8 personnes-clés, identification complète du shadow IA, faisabilité technique sur vos outils tiers, DPIA complet et deux livrables board-ready. Pour les structures qui veulent une conformité solide, démontrable et pilotable au niveau direction.

CE QU'ON FAIT EN PLUS

  • → Entretiens 8 personnes (vs 3-4 en Standard)
  • → Identification shadow IA (usages comptes personnels, abonnements diffus)
  • → Faisabilité technique sur outils tiers (intégrations, connecteurs, APIs IA)
  • → DPIA complet pour chaque système haut risque
  • → Audit technique des logs et traçabilité
  • → Rédaction de la charte d'usage IA pour vos équipes
  • → Rédaction du document de cadrage stratégique IA
  • → Mentions art. 50 prêtes à publier (chatbots, contenus générés)

LIVRABLES SUPPLÉMENTAIRES

  • → Rapport étendu et détaillé
  • → DPIA(s) complet(s) (template CNIL)
  • → Charte d'usage IA (présentable au board)
  • → Document de cadrage stratégique IA (présentable au board)
  • → Bibliothèque de mentions art. 50 personnalisées
  • → Restitution 2h CODIR + Q&R + atelier
DEMANDER UN DEVIS
FOURCHETTES INDICATIVES

Ce qui fait varier le prix dans votre fourchette

Fourchettes indicatives. Le tarif final est calé en discovery selon le périmètre réel : nombre de systèmes IA à inventorier, présence de shadow IA significatif, profondeur du document de gouvernance souhaité, secteur réglementé ou Qualiopi, système haut risque Annex III nécessitant un DPIA approfondi.

  • Nombre de systèmes IA à inventorier : de 5 à 50+ systèmes selon la taille de votre structure.
  • Présence de shadow IA significatif : usages via comptes personnels, abonnements diffus non recensés.
  • Profondeur du document de gouvernance : note interne vs charte présentable au board.
  • Secteur réglementé ou exigences Qualiopi : traçabilité contenus pédagogiques, données sensibles.
  • Présence d'un système haut risque Annex III : nécessite un DPIA complet dédié. Obligations applicables à partir du 2 décembre 2027 (Digital Omnibus on AI, accord politique provisoire du 7 mai 2026).
  • Nombre de pôles métiers concernés : 1 service ciblé vs toute l'entreprise.
STANDARD OU COMPLET ?

Les 4 critères décisifs

La taille seule ne suffit pas. Choisissez le Complet dès qu'un critère s'applique :

  • Effectif 50-100 personnes : couverture étendue nécessaire.
  • Système haut risque Annex III : outil RH automatisé, scoring, biométrie, décision crédit, recrutement algorithmique.
  • DPIA déjà engagé ou obligatoire : selon votre DPO ou la CNIL.
  • Plus de 5 systèmes IA actifs : ou présence de données sensibles (santé, RH, mineurs).

Le calculateur de risque AI Act gratuit aide à trancher en 5 minutes.

−50 %

renouvellement annuel

Suivi annuel : maintenir le registre vivant

Le registre IA Act doit vivre : nouveaux usages, nouveaux outils, reclassifications selon évolution de votre activité. On revient une fois par an pour mettre à jour proprement. Tarif : 50 % du tarif initial de votre forfait.

MÉTHODOLOGIE 5 ÉTAPES

Comment se déroule
un audit chez nous

01

Inventaire technique

Recensement des systèmes IA réellement utilisés

On ne se contente pas de ce qui est déclaré. On regarde la stack technique : comptes SaaS (ChatGPT Team, Claude, Copilot), workflows n8n avec nodes IA, scripts internes, agents déployés, modèles open-source auto-hébergés. Souvent on découvre 30 à 50 % de plus de systèmes qu'annoncés au départ.

02

Classification

Classification de risque selon AI Act

Pour chaque système identifié : risque inacceptable (à arrêter immédiatement), haut (Annex III, documentation lourde requise), limité (transparence art. 50 obligatoire), minimal (libre). On utilise la grille officielle de la Commission Européenne, complétée par les premières interprétations CNIL.

03

Cartographie données

Croisement IA Act + RGPD

Quelles données alimentent quels systèmes ? Où sont-elles hébergées ? Quels sont les sous-traitants ? Quelles bases légales RGPD (consentement, intérêt légitime, contrat) ? Quelle durée de conservation ? On produit une cartographie Excel exploitable par votre DPO et auditable.

04

Plan d'action chiffré

Non-conformités classées par priorité

Chaque non-conformité détectée est notée par impact (sanction potentielle, risque réputationnel) et effort (heures internes, coût externe). Vous recevez un plan d'action sur 12 mois, avec estimation budgétaire pour chaque chantier. Ainsi vous pouvez décider lesquels traiter en interne, lesquels externaliser, et lesquels reporter.

05

Livrables prêts

Documents prêts à publier ou diffuser

Selon le forfait : registre des traitements (RGPD art. 30), mentions de transparence art. 50, charte d'usage IA pour vos équipes, mentions à publier sur vos sites/outils, DPIA si applicable. Tous les livrables sont au format texte (Markdown / Excel / Word) et restent votre propriété. Pas de lock-in dans un outil propriétaire.

COMPARATIF

Pourquoi nous
plutôt qu'un cabinet d'avocats ?

Différentes solutions existent pour l'audit IA Act. Voici honnêtement où nous nous positionnons et où nous ne sommes pas la meilleure réponse.

Critère AzenFlow Cabinet d'avocats Big 4 (Deloitte, PwC) Outil SaaS (Saidot...)
Tarif PME 1 500-18 000 € 5 000-25 000 € 50 000 €+ 500-2 000 €/mois
Inventaire technique réel ✅ Vrai vs déclaré ❌ Sur déclaratif ⚠️ Selon mission ⚠️ Selon intégrations
Conseil juridique formel ❌ Hors périmètre ✅ Cœur métier ✅ Avocats internes ❌ Outil seulement
Plan d'action chiffré ✅ Toujours inclus ⚠️ Variable ✅ Mais long ❌ Outil seulement
Adapté TPE-PME ✅ Pensé pour ça ⚠️ Souvent surdimensionné ❌ Hors budget ⚠️ Trop technique sans aide
Délai de livraison 1 à 5 semaines 4 à 12 semaines 8 à 16 semaines Immédiat (mais à compléter)
100 % remote ✅ Toujours ⚠️ Hybride ❌ Présentiel ✅ SaaS

Quand un cabinet d'avocats reste indispensable

Si vous êtes déjà en contentieux (plainte CNIL ou ANSSI, action collective), si vous avez un système clairement à risque inacceptable (interdit par l'IA Act), ou si vous voulez défendre une interprétation juridique innovante, vous avez besoin d'un avocat, pas d'un audit technique. Dans ces cas, tournez-vous vers un cabinet d'avocats spécialisé en droit du numérique.

Quand l'audit interne est faisable

Vous pouvez aussi mener cet audit en interne si vous avez un DPO actif et un référent technique IA, en vous appuyant sur nos ressources gratuites : le template de registre des traitements et le calculateur de risque AI Act. Pour savoir si c'est le bon choix pour votre structure, voir notre guide : audit IA Act interne ou externe, comment choisir.

AUDIT GRATUIT · 45 MIN

Pas sûr du forfait
qui vous correspond ?

45 minutes pour qualifier votre besoin réel, vous orienter sur le bon forfait (ou vous dire qu'aucun ne s'impose), et identifier les 2-3 quick wins urgents. Sans engagement, sans discours commercial.

RÉSERVER L'AUDIT GRATUIT Retour au hub conformité

45 min · Gratuit · Sans engagement · 100 % en visio

QUESTIONS FRÉQUENTES

Vos questions sur
l'audit conformité

Comment savoir quel forfait choisir ?

Règle simple basée sur votre effectif : 5-15 personnes → Diagnostic Express. 15-50 personnes → Audit Standard (le plus demandé). 50-100 personnes ou présence d'un système haut risque (RH automatisé, scoring, biométrie) → Audit Complet. Le mieux est de réserver un audit 45 min gratuit pour qualifier ensemble.

Que se passe-t-il après l'audit ?

Vous repartez avec un plan d'action chiffré sur 12 mois. Vous décidez ensuite : tout faire en interne (avec ou sans votre DPO), nous confier la mise en conformité technique (workflows n8n compliants, garde-fous, mentions IA), ou choisir un autre prestataire. Le livrable est à vous, pas de lock-in.

Vous êtes avocat ou DPO certifié ?

Non, et c'est précisément ce qui me différencie. AzenFlow est un cabinet de stratégie IA technique. Je fais l'audit opérationnel de la conformité (vrai inventaire, vraie classification, vrai plan d'action). Pour les questions d'interprétation juridique (défense en cas de litige, qualification ambiguë d'un système), tournez-vous vers un cabinet d'avocats spécialisé en droit du numérique.

Le suivi annuel à 50 % est-il obligatoire ?

Non, pas du tout. C'est une option si vous voulez maintenir le registre vivant sans le faire vous-même. Beaucoup de clients gèrent l'entretien en interne après le premier audit (le plan d'action et le registre fournissent tout ce qu'il faut). D'autres préfèrent qu'on revienne une fois par an pour valider, c'est leur choix.

Vous travaillez avec quel cabinet d'avocats ?

Je suis en cours de référencement avec un cabinet spécialisé en droit du numérique et conformité IA. Le partenariat sera annoncé sur cette page une fois finalisé. En attendant, si votre situation requiert un avis juridique formel, je vous oriente vers un cabinet de confiance selon votre secteur.

Qu'arrive-t-il si une nouvelle obligation IA Act sort entre-temps ?

Le cadre IA Act évolue, et le 7 mai 2026 a apporté un changement majeur. L'accord politique provisoire du Digital Omnibus on AI reporte Annex III de 16 mois (au 2 décembre 2027) et Annex I de 12 mois (au 2 août 2028). Mon audit intègre toujours le dernier état du calendrier réglementaire. Le suivi annuel à 50 % du tarif initial sert précisément à mettre à jour votre registre selon ces évolutions. Si une nouvelle obligation impacte votre périmètre entre deux audits, je vous notifie et nous évaluons ensemble si une mise à jour ciblée est nécessaire.

Pouvez-vous mettre en conformité techniquement après l'audit ?

Oui. Beaucoup de non-conformités sont des fixes techniques : ajouter une mention IA dans un chatbot, journaliser les décisions automatisées, anonymiser les données envoyées à un LLM, mettre en place une supervision humaine. Tout cela rentre dans nos prestations automatisation n8n et cartographie. Devis selon les fixes à appliquer (forfait par workflow ou jours/homme).