Aller au contenu principal
Aller au contenu
📡 Actualite9 min de lecture

SaaS B2B et conformité AI Act : étude de cas

Étude de cas : un éditeur SaaS B2B de 30 salariés se met en conformité AI Act en 6 semaines. Classification, transparence, registre IA, migration vers Mistral AI. Coût documents légaux : 0 €.

É

Équipe COCORRIDOR

23 février 2026

étude de casSaaSAI Actconformitéchatbot

En décembre 2025, un éditeur SaaS B2B français de 30 salariés (nom anonymisé : « DataFlow ») a entrepris sa mise en conformité avec l'AI Act européen. L'entreprise utilise un chatbot fondé sur ChatGPT (GPT-4) pour son support client et un système de scoring automatisé pour qualifier les leads. En 6 semaines, DataFlow est passé d'une conformité AI Act nulle à une couverture complète, avec migration vers Mistral AI pour la souveraineté des données. Coût des documents légaux : zéro euro grâce au Legal Builder.

Contexte : deux systèmes d'IA à classifier

Le chatbot support client

DataFlow avait intégré l'API ChatGPT (GPT-4) dans son application SaaS pour répondre aux questions des clients sur le produit. Le chatbot accédait à la base de connaissances interne et pouvait créer des tickets de support. Chaque mois, il traitait environ 3 000 conversations contenant des données clients (noms, emails, questions techniques, parfois des données métier sensibles).

Le scoring de qualification des leads

Un deuxième système utilisait un modèle ML (machine learning) pour attribuer un score de 0 à 100 à chaque lead entrant, déterminant la priorité de traitement par l'équipe commerciale. Le modèle analysait le comportement sur le site, les données firmographiques et l'historique CRM.

Étape 1 : classification des risques (semaine 1)

La première étape a été de classifier chaque système d'IA selon les catégories de l'AI Act :

SystèmeClassification AI ActArticles applicablesJustification
Chatbot support clientRisque limité (article 50)Art. 50 (transparence), Art. 53 (GPAI)Système interagissant directement avec des personnes, générant du texte
Scoring leadsRisque limitéArt. 50 (transparence)Décision automatisée affectant le traitement commercial, mais pas de domaine haut risque (annexe III)

Aucun des deux systèmes ne relève de la catégorie « haut risque » (annexe III) car ils ne concernent pas l'emploi, le crédit, l'éducation, la justice ou les services publics essentiels. La classification « risque limité » impose des obligations de transparence mais pas d'évaluation de conformité complète.

« Les fournisseurs de systèmes d'IA destinés à interagir directement avec des personnes physiques [...] veillent à ce que les personnes physiques soient informées qu'elles interagissent avec un système d'IA. »

Règlement (UE) 2024/1689, article 50, paragraphe 1

Étape 2 : mise en transparence (semaines 2-3)

Chatbot : mention d'interaction avec une IA

L'article 50 impose d'informer l'utilisateur qu'il interagit avec un système d'IA. DataFlow a ajouté :

  • Un message d'avertissement au début de chaque conversation : « Vous échangez avec un assistant alimenté par intelligence artificielle. Un conseiller humain est disponible sur demande. »
  • Un bouton permanent « Parler à un humain » accessible à tout moment
  • Une mention dans les CGU et la politique de confidentialité

Scoring : droit à l'explication

Bien que non classé haut risque, DataFlow a choisi d'anticiper l'article 86 (droit à l'explication) en offrant à chaque lead la possibilité de comprendre comment son score a été calculé. Un bouton « Comprendre votre score » affiche les facteurs principaux (taille d'entreprise, secteur, pages visitées).

Étape 3 : mise à jour des documents légaux (semaines 3-4)

Le Legal Builder COCORRIDOR a généré les documents suivants, sans coût supplémentaire :

  • Registre des systèmes d'IA : listing des deux systèmes avec classification, finalité, fournisseur du modèle, données traitées, mesures de transparence
  • Politique de confidentialité mise à jour : section dédiée au traitement par IA, bases légales, droits des personnes incluant le droit à l'explication
  • Mentions légales enrichies : déclaration des systèmes d'IA utilisés et de leur niveau de risque
  • CGV mises à jour : clauses sur le traitement IA des données clients, limitation de responsabilité sur les réponses générées

Temps passé : 2 heures. Coût : 0 € (fonctionnalité incluse dans l'abonnement COCORRIDOR PRO).

Étape 4 : migration vers Mistral AI (semaines 4-6)

Pourquoi migrer

Le scan COCORRIDOR avait identifié l'API OpenAI comme un risque de souveraineté : données clients envoyées à un fournisseur américain soumis au Cloud Act. DataFlow a décidé de migrer vers Mistral AI pour trois raisons :

  • Souveraineté : API hébergée en France, droit français, pas de Cloud Act
  • Coût : Mistral Large coûte 30 à 40 % moins cher que GPT-4 pour des performances comparables
  • Conformité AI Act : documentation technique et politique de droit d'auteur déjà publiées par Mistral AI

La migration technique

Le changement de fournisseur LLM a nécessité les adaptations suivantes :

  1. Changement d'API : l'API Mistral est compatible OpenAI (même format de messages). Migration en 2 heures.
  2. Ajustement des prompts : fine-tuning des instructions système pour Mistral Large 2. 2 jours de tests.
  3. Validation qualité : tests sur 500 conversations historiques, taux de satisfaction équivalent (87 % vs 89 % sous GPT-4).
  4. Déploiement progressif : 10 % du trafic pendant 1 semaine, puis 100 %.

Résultat final

En 6 semaines, DataFlow a atteint :

  • Conformité AI Act complète : transparence, registre, documents légaux
  • Souveraineté IA : zéro donnée client envoyée hors UE pour le traitement IA
  • Économie : réduction de 35 % de la facture LLM (de 1 200 €/mois à 780 €/mois)
  • Documents légaux : coût zéro (contre 5 000 à 15 000 € chez un cabinet d'avocats)
  • Score de Souveraineté Numérique : gain de +18 points grâce à la migration LLM

FAQ

L'AI Act s'applique-t-il à toutes les entreprises utilisant de l'IA ?

Oui, dès lors que vous déployez ou mettez sur le marché un système d'IA dans l'Union européenne. La classification détermine le niveau d'obligations : risque minimal (aucune obligation), risque limité (transparence), risque élevé (documentation, évaluation, supervision humaine), risque inacceptable (interdit). La plupart des usages PME relèvent du risque limité, qui impose principalement la transparence.

Combien coûte la mise en conformité AI Act pour une PME ?

Pour un usage à risque limité (chatbot, scoring non sensible), les coûts sont minimaux : mise à jour des documents légaux (gratuit via le Legal Builder), mention de transparence dans l'interface (quelques heures de développement), registre des systèmes d'IA (généré automatiquement). Pour un usage haut risque, les coûts sont nettement plus élevés (documentation technique, évaluation de conformité, supervision humaine).

Peut-on continuer à utiliser ChatGPT tout en étant conforme AI Act ?

Oui, l'AI Act n'interdit pas l'utilisation de fournisseurs américains. Il impose des obligations de transparence qui s'appliquent indépendamment du fournisseur. Cependant, le RGPD impose de gérer les transferts de données vers les États-Unis (DPA, clauses contractuelles types). La migration vers un fournisseur européen comme Mistral AI simplifie la conformité sur les deux tableaux (AI Act + RGPD) et réduit les risques liés au Cloud Act.

Article suivant

Souveraineté numérique : le guide complet pour les PME en 2026

À lire aussi
📡 Actualite

Sanctions CNIL 2025-2026 : analyse des décisions clés

7 mars · 10 min

📡 Actualite

CNIL et cookies : les sanctions récentes et comment les éviter

1 mars · 10 min

Retour au blog

Mesurez votre souveraineté en 30 secondes

Scannez votre site gratuitement. Identifiez chaque service extra-européen et découvrez les alternatives souveraines.

Scanner mon site