Cabinet stratégie IA · France
CONFORMITÉ 8 min de lecture

Audit AI Act
interne ou externe ?

Vous pouvez faire votre conformité AI Act en interne (DPO + référent technique + outils gratuits) ou la confier à un prestataire externe. Voici la grille de décision honnête : quand c'est faisable en interne, quand l'externe est rentable, et comment combiner les deux.

Le faux débat "interne vs externe"

Le réflexe TPE-PME est souvent : "on va faire ça en interne, c'est gratuit". Faux. Faire en interne a un coût réel, juste invisible : jours hommes mobilisés sur autre chose, perte de productivité, risque de mauvaise interprétation, retravail. Voici comment décider sereinement.

Quand l'audit interne est faisable

L'audit AI Act en interne est possible si vous cumulez ces 4 conditions :

  1. Vous avez un DPO actif (interne ou mutualisé externe) qui a déjà fait le boulot RGPD et qui se forme à l'AI Act.
  2. Vous avez un référent technique IA dans l'entreprise qui comprend la stack (chatbots, n8n, agents, modèles utilisés). Souvent un dev ou un product manager curieux.
  3. Vous avez 5 à 15 jours hommes à mobiliser sur le sujet, étalés sur 2-3 mois. C'est le coût souvent oublié.
  4. Vous n'avez pas de système haut risque (Annex III). Si vous en avez, le DPIA technique exige une expertise plus pointue, mieux externalisée.

Si ces 4 conditions sont remplies, vous pouvez faire un audit AI Act interne tout à fait correct, en utilisant des ressources gratuites comme :

Quand l'externe est plus rentable

L'audit externe est presque toujours plus rentable si vous êtes dans au moins une de ces situations :

  1. Pas de DPO actif ou DPO uniquement juridique sans expertise technique.
  2. Au moins un système haut risque (RH automatisé, scoring crédit, biométrie). La DPIA technique exige une compétence rare en interne.
  3. Besoin défensif : préparation à un contrôle CNIL, demande client B2B de prouver la conformité, anticipation d'un contentieux RH.
  4. Pas de bande passante : votre équipe est mobilisée sur des projets prioritaires (commercial, dev produit). Ouvrir un chantier interne de 5-15 jours hommes va décaler ces projets.
  5. Maturité IA récente : vous venez de déployer ChatGPT à grande échelle, Copilot, des agents. Votre stack n'est pas encore stabilisée, un œil externe expérimenté évite des erreurs de débutant.

Le coût caché de l'interne

Faisons les comptes pour une PME 30 personnes qui décide de faire l'audit en interne :

  • DPO mobilisé 5 jours : 5 × 600 € = 3 000 €.
  • Référent technique mobilisé 6 jours : 6 × 600 € = 3 600 €.
  • Entretiens 4 personnes-clés × 2h chacune = 8h équipe à 80 €/h = 640 €.
  • Restitution CODIR 1h × 5 personnes = 5h à 100 €/h = 500 €.
  • Outil SaaS de gestion (Saidot ou similaire) : 6 mois × 800 € = 4 800 € (souvent acheté "pour faire propre").
  • Sous-total interne brut : ~12 500 € en jours hommes valorisés.

Plus les coûts cachés :

  • Risque d'erreur de classification (mauvaise compréhension Annex III) : 5 à 15 jours de retravail si CNIL ou audit client détecte le problème.
  • Délai allongé : 2-3 mois interne vs 3-5 semaines externe (donc retard sur la conformité, fenêtre de risque ouverte plus longtemps).
  • Pas de "signature externe" : moins défensif en cas de contestation client B2B ("on a fait notre audit nous-même" vs "audit externe par un tiers indépendant").

Comparé à un Audit Standard externe à 6 000 € HT, l'interne coûte 2x plus cher en réalité tout en étant moins défensif.

La combinaison optimale

Pour beaucoup de PME, le meilleur ratio coût/efficacité est :

  1. Audit externe initial (1 500 à 10 500 € HT selon taille) : un cabinet technique fait l'inventaire, la classification, le plan d'action chiffré, les premiers livrables.
  2. Maintenance interne en cours d'année : votre référent met à jour le registre quand vous déployez de nouveaux systèmes, en suivant le plan d'action et les templates fournis.
  3. Renouvellement annuel léger (50 % du tarif initial) : le cabinet revient une fois par an valider les mises à jour et ajuster la classification.

Vous gardez le contrôle (l'expertise reste en interne après le premier audit) tout en bénéficiant d'un démarrage propre et d'une garantie de qualité externe.

Grille de décision rapide

Votre situation Recommandation
TPE 5-15 pers, peu d'IA, pas de DPODiagnostic Express externe (1 500 €). Trop léger pour mobiliser un projet interne.
PME 15-50 pers, DPO actif, pas de haut risquePossible en interne avec nos templates gratuits. Si pas de bande passante : Audit Standard externe.
PME 15-50 pers, pas de DPO ou DPO juridique purAudit Standard externe (6 000 €). Trop coûteux à monter en compétence interne juste pour ça.
PME 50-100 pers + système haut risque (RH auto, scoring)Audit Complet externe (10 500 €). DPIA technique trop spécifique pour faire en interne.
Anticipation contrôle CNIL ou demande client B2BToujours externe (signature tiers indépendant nécessaire pour défensibilité).

Les 3 erreurs les plus fréquentes

  1. "On va faire en interne sans valoriser le temps". Vous oubliez que les jours hommes ont un coût d'opportunité (votre DPO ne fait pas son boulot RGPD pendant qu'il fait l'AI Act).
  2. "On va acheter un SaaS et c'est réglé". Les outils Saidot, Holistic AI, Comply.AI sont excellents pour automatiser, mais ils ne font pas l'audit pour vous. Vous devez quand même inventorier, classifier, rédiger.
  3. "On va prendre un avocat à 25 000 €". L'avocat fait du juridique pur, pas de l'inventaire technique. Pour la majorité des PME, vous payez 4x le prix pour quelque chose de moins opérationnel.

Notre page audit avec 3 forfaits publics détaille les options. Pour décider : audit gratuit 45 min qui qualifie votre besoin réel.

QUESTIONS FRÉQUENTES

Questions fréquentes.

Si je fais l'audit en interne, comment être sûr de ne pas faire d'erreur de classification ?

Trois sécurités. 1) Utilisez une grille structurée comme l'Annex III officiel (notre calculateur de risque en est un dérivé pratique). 2) Documentez chaque décision de classification avec un raisonnement écrit. En cas d'audit CNIL, c'est ce qui prouve votre bonne foi. 3) Pour les cas limites (où vous hésitez entre limité et haut risque), faites valider par un expert externe (1-2h de consultation, environ 200-400 €).

L'externalisation me met-elle en risque sur la confidentialité de mes systèmes IA ?

Pas si le contrat est bien fait. Tout cabinet sérieux signe un NDA renforcé avant l'audit, et vos données ne sont consultées que pour les besoins de la mission. Vérifiez : 1) NDA signé avant tout document partagé, 2) clause RGPD sous-traitance dans le contrat (vous restez responsable du traitement), 3) destruction des données collectées en fin de mission. Notre processus standard inclut ces 3 clauses.

Quel est le bon moment pour passer de l'externe vers l'interne ?

Après le premier audit externe (qui pose le cadre, le registre, le plan d'action), beaucoup de PME passent à un fonctionnement interne avec accompagnement annuel. Le bon moment : 12-18 mois après le premier audit, quand votre équipe a digéré la méthode et que les processus sont rodés. Vous gardez juste un suivi annuel externe (50% du tarif initial) pour la validation et les nouveautés réglementaires.

Combien de temps faut-il à un DPO pour se former à l'AI Act en interne ?

Pour un DPO RGPD avec base technique : 5 à 10 jours de formation et lecture (texte AI Act + guides Commission + jurisprudence émergente). Pour un DPO juridique sans base technique : 15-25 jours. Une formation accélérée existe : notre formation IA Act 2026 (1 jour) couvre l'essentiel pour un DPO ou référent. Le complément : autoformation continue sur les évolutions.

Les outils SaaS de conformité (Saidot, Holistic) remplacent-ils un audit externe ?

Non. Ces outils sont des plateformes de gestion de la conformité (registres automatisés, alertes réglementaires, dashboards). Ils ne font pas l'audit initial pour vous : il faut quelqu'un qui inventorie, classifie, rédige. Une fois l'audit fait (interne ou externe), un de ces SaaS peut être très utile pour le maintien quotidien. Mais c'est un complément, pas un substitut.

Quelle est la durée typique d'un audit interne vs externe ?

Externe : 1 à 5 semaines selon le forfait (Express 1 sem, Standard 3 sem, Complet 4-5 sem). Interne : 2 à 4 mois en parallèle de l'activité courante. La différence vient surtout de la disponibilité des personnes-clés : un cabinet externe planifie tous les entretiens en quelques jours, tandis qu'en interne ils s'étalent selon les agendas. Pour une PME en course contre la montre (ex : démonstration de conformité demandée par un client B2B), externe est souvent la seule option viable.

🛠️ Outils gratuits pour passer à l'action

Avant d'attaquer un audit payant, évaluez-vous gratuitement avec ces outils interactifs sans email-gate.

AI ACT · 5 MIN

Calculateur risque AI Act

10 questions, score sur 100 + classification (minimal / limité / haut risque). Sans email.

 CHECKLIST · 15 MIN

Checklist IA Act 35 points

Cases à cocher persistantes : auto-évaluation, registre, transparence, sous-traitants. Imprimable.

 TEMPLATE

Template registre AI Act

Mini-éditeur interactif, 13 champs par système. Export JSON, Markdown, PDF.

📚 POUR APPROFONDIR · COURS GRATUIT · 8 chapitres

IA Act 2026 pour TPE-PME

4 classes de risque, calendrier, registre, sanctions, bonnes pratiques. Conformité opérationnelle.

Suivre le cours →
POUR ALLER PLUS LOIN

Conformité IA Act + RGPD : nos ressources dédiées

HUB COMPLET

Hub conformité IA Act + RGPD

Articles, méthodologie, ressources gratuites (registre, calculateur, checklist), forfaits.

AUDIT PROFESSIONNEL

Audit conformité IA Act

3 forfaits publics : 1 500 € (1j), 6 000 € (4j), 10 500 € (7j). Inventaire + classification + plan d'action.

FORMATION 1 JOUR

Formation IA Act 2026

1 jour pour comprendre le cadre, classifier vos systèmes, monter votre conformité en interne.
PROJET CONCRET ?

Cadrons votre projet en 45 minutes.

Audit gratuit pour identifier vos priorités IA Act et RGPD pour votre PME.

Réserver l'audit