Ces derniers mois, je me suis assis avec pas mal de business qui avaient déjà acheté "quelque chose d'IA". Un chatbot sur le site. Une automatisation montée par un freelance vu dans une vidéo. Un "agent" qui enrichit leurs leads. Et presque à chaque fois, quand je pose la même question, simple en apparence, le silence s'installe :

"OK, et ça fait exactement quoi, et par où passent les données de tes clients ?"

Ils ne savent pas. Pas par manque de compétence : ce sont des gens sérieux qui gèrent de vrais business. Ils ne savent pas parce qu'on leur a vendu ça comme une boîte noire, et le marché leur a appris que comprendre ce qui se passe à l'intérieur c'est "un truc de techniciens". C'est exactement ce que je veux démanteler ici, parce que c'est faux et parce que, depuis un an, la loi te demande justement le contraire.

Contexte : j'ai terminé le master en Intelligence Artificielle en Communication et Médias à l'UCM, et je passe mon temps à intégrer de l'IA dans de vrais business. Je n'écris pas ça depuis la peur ni depuis le "l'IA c'est dangereux". L'IA bien appliquée est une des meilleures choses qui puisse arriver à une PME. Je l'écris depuis le contraire : l'IA que tu ne comprends pas n'est pas la tienne, c'est un problème qui n'a pas encore explosé. L'IA bien montée te fait gagner des heures, réduit les erreurs et structure des processus que tu fais à la main aujourd'hui. L'opaque te fait juste économiser de comprendre ce que tu paies.

Le règlement IA européen t'oblige déjà à comprendre ce que tu utilises.

Commençons par ce que presque personne ne te dit quand il te vend un workflow. Le Règlement Européen sur l'Intelligence Artificielle (l'AI Act, Règlement UE 2024/1689) a un article, le 4, qui s'appelle "alphabétisation en matière d'IA". Et il dit quelque chose de très précis : toute entreprise qui déploie des systèmes d'IA doit garantir que les personnes qui les utilisent en son nom disposent d'un niveau suffisant de connaissances sur ce qu'ils font, leurs limites et leurs risques.

Souligne le mot déploie. Il ne parle pas uniquement de qui fabrique l'IA en Silicon Valley. Il parle de toi, qui mets un chatbot sur ton site ou utilises un outil IA avec les données de tes clients. Dans le jargon du règlement, tu es un "responsable du déploiement", et l'obligation est la tienne.

L'essentiel : ça n'entre pas en vigueur l'année prochaine. C'est en vigueur depuis le 2 février 2025. C'est-à-dire maintenant. Pendant que tu lisais la phrase précédente, c'était déjà exigible.

Ce que ça veut dire concrètement La loi ne te demande pas un master. Elle te demande que toi, et quiconque touche à l'IA dans ton business, soyez capables d'expliquer ce qu'elle fait, quelles données elle touche et ce qui se passe quand elle se trompe. Exactement ce que presque personne ne sait répondre aujourd'hui. "C'est un gars vu sur Instagram qui me l'a monté" n'est pas une réponse valable lors d'une inspection, ni face à un client mécontent.

Et ce n'est que le début du calendrier. Le 2 août 2026 entrent les obligations de transparence (l'article 50) : entre autres, que ton chatbot soit tenu d'avertir clairement qu'il est une IA, et que certain contenu généré ou manipulé par IA (en particulier les deepfakes) soit identifiable comme tel. Les sanctions du règlement vont jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour les infractions les plus graves. Ne te laisse pas effrayer par le chiffre (il est pensé pour les grands groupes), mais comprends la direction : l'Europe a décidé que l'opacité en IA se paie.

Le détail français et espagnol (la future loi IA, l'AESIA comme superviseur, ce que tu dois faire concrètement), je l'ai détaillé dans un autre article, donc je ne me répète pas ici. Tu le trouves ici si tu t'intéresses à la partie conformité. Cet article porte sur quelque chose d'antérieur et de plus pratique : comment arrêter d'acheter des boîtes noires.

Cinq endroits où ton IA fait quelque chose que tu ignores.

Je vais être concret, parce que c'est la seule chose qui serve. Voici cinq scénarios réels de marketing et d'acquisition où j'ai vu le même schéma : le business paie, le truc "fonctionne", et personne ne sait ce qui se passe à l'intérieur. Pour chacun, je te laisse la question exacte que tu devrais poser à celui qui te l'a vendu.

1 · Le chatbot de ton site.

Tu mets un chat "intelligent" sur la home. Un visiteur écrit son nom, son email, parfois son téléphone ou le problème de santé pour lequel il s'informe. Où part cette conversation ? Dans la majorité des montages bon marché, le texte quitte ton site, voyage vers un serveur d'un fournisseur IA (souvent hors UE, ou d'une entreprise américaine même si l'interface est européenne), et y est traité. Si c'est le cas, ce sont des données personnelles de tes clients qui sortent d'Europe.

Ce que presque personne n'a vérifié : y a-t-il un contrat de sous-traitance signé avec ce fournisseur ? Y a-t-il des garanties pour ce transfert hors UE (les fameuses clauses contractuelles types) ? Les conversations sont-elles conservées, où, et combien de temps ? Et la surprise la plus courante : le bot, pour paraître utile, invente des prix, des délais ou des promesses que tu n'as jamais faites. Et un engagement que ton site donne par écrit peut t'être réclamé.

Question à poser Par quels serveurs passent les conversations, qu'est-ce qui est conservé, et qu'est-ce qui empêche le bot de promettre des choses que je n'offre pas ?

2 · La chaîne d'automatisation montée par l'"expert".

C'est la reine. Un lead remplit ton formulaire et, en coulisses, cette donnée saute par cinq ou six outils différents : un Make ou un n8n, un enrichisseur, un CRM, une feuille de calcul, une API IA qui classifie, un email automatique. Sur le papier, de la magie. En pratique, la donnée personnelle de ton client est passée par six entreprises et tu ne sais pas lesquelles, ni où elles se trouvent, ni si tu as signé quelque chose avec elles.

Beaucoup de ces outils sont, en termes légaux, des sous-traitants (ou des sous-sous-traitants) de tes données, et la relation avec chacun qui traite des données pour ton compte devrait être encadrée par contrat. Si demain il y a une fuite au maillon numéro quatre d'une chaîne dont tu ne savais même pas qu'elle existait, le client n'appellera pas l'outil. Il t'appellera toi.

Question à poser Dessine-moi le parcours complet d'un lead, outil par outil, et dis-moi avec lesquels j'ai un contrat de traitement de données.

3 · L'enrichissement de leads par IA.

"Tu passes un email et ça te renvoie le nom, le poste, l'entreprise, le téléphone et le LinkedIn." Ça semble très puissant pour vendre. La question inconfortable : d'où vient toute cette information ? Beaucoup de ces services se nourrissent de bases de données construites en scrapant internet sans que la personne le sache, ou sans une base juridique claire que tu pourrais défendre. Tu traites des données de gens qui n'ont aucune idée que tu les as.

Ce n'est pas de la théorie. L'autorité de protection des données peut te demander sur quelle base juridique tu t'appuies pour avoir ces données, et "un outil IA me les a données" n'en est pas une. Le risque est le tien, pas celui de l'outil.

Question à poser D'où viennent ces données, et quelle base légale j'ai pour les avoir et les utiliser ?

4 · Le contenu de tes annonces, généré par IA.

De plus en plus de créations (textes, images, voix) sortent d'une IA. Deux problèmes que presque personne ne regarde. Premier : à partir d'août 2026, il y a des obligations de transparence pour certain contenu synthétique. Si ton annonce utilise une voix clonée ou une image qui imite quelque chose de réel (un deepfake) sans le signaler, tu entres en terrain réglementé. Deuxième, et plus urgent : l'IA affirme des choses fausses avec un aplomb total. Une annonce qui promet un résultat que tu ne peux pas tenir, c'est de la publicité mensongère, et tu en réponds toi, pas le modèle.

Question à poser Qui vérifie que ce qu'affirme la création générée par IA est vrai et légal avant qu'elle soit publiée ?

5 · Le "commercial IA" qui envoie des emails en froid.

Le dernier cri : un agent qui cherche des prospects, écrit des emails personnalisés avec l'IA et les envoie seul. Là se cumulent tous les problèmes précédents à la fois : des données obtenues on ne sait comment, des messages que l'IA rédige sans que personne ne les lise, un envoi massif qui frôle (ou franchit) les règles sur les communications commerciales. Et le détail qui m'inquiète le plus : tu ne contrôles pas ce que dit cet agent en ton nom. Il parle pour ta marque, et tu ne l'as pas lu.

Question à poser Qu'envoie exactement ce système en mon nom, à qui, et qui l'approuve avant que ça parte ?

Le test des 30 secondes.

Pas besoin de comprendre les réseaux de neurones. Il faut quelque chose de beaucoup plus simple. Pour chaque bout d'IA que tu as en marche dans ton business, tu devrais pouvoir répondre à ces trois questions en 30 secondes, sans appeler personne :

  1. Qu'est-ce que ça fait, exactement ? En une phrase, sans "optimise" ni "valorise". Ce qui entre, ce qui sort.
  2. Par où passent les données ? Quelles informations ça touche, dans quelles entreprises ça se traite, ce qui est conservé et combien de temps.
  3. Qu'est-ce qui se passe quand ça se trompe ? Parce que ça va se tromper. Qui le détecte, qu'est-ce qui casse, comment on répare.
Si tu ne peux pas répondre à ces trois en trente secondes, tu ne contrôles pas cette IA. Tu la paies.

Et attention, parce que le piège est élégant : quand tout va bien, la boîte noire ressemble à une merveille. Le problème des boîtes noires n'est pas le bon jour. C'est le jour où le bot promet une réduction qui n'existe pas, ou qu'un client demande où tu gardes ses données, ou que le service du maillon quatre tombe en panne et personne ne savait même que ce maillon était là.

Ce que j'exige moi avant de mettre de l'IA chez un client.

Pour que ça ne se résume pas à "sois prudent", je te montre ma propre liste. Ce n'est rien d'héroïque, c'est du bon sens appliqué avec discipline. Avant d'activer quoi que ce soit avec de l'IA dans un business :

Rien de tout ça ne te ralentit vraiment. Ce qui te ralentit, c'est l'incendie que tu éteignes six mois après avoir allumé quelque chose que personne ne comprenait. L'IA bien montée te donne des heures et de la marge. L'IA opaque te donne une bombe à retardement avec un visage de succès.

La conclusion, sans fumée.

Le marché est plein de gens qui vendent l'IA comme un tour de magie : le bon côté, c'est que tu ne comprennes pas comment ça fonctionne. C'est exactement l'inverse. Dans ton business, comprendre ce que fait l'IA pour toi n'est pas un luxe technique : c'est la condition pour qu'elle soit vraiment la tienne. C'était déjà vrai par bon sens. Depuis février 2025, c'est aussi ce que te demande la loi.

Alors la prochaine fois que quelqu'un te propose "d'automatiser avec l'IA" ou de "te mettre un agent", ne demande pas combien ça coûte. Demande ce que ça fait, par où passent tes données et ce qui se passe quand ça merde. S'il ne sait pas te répondre clairement, il ne te vend pas de l'IA. Il te vend une boîte noire avec ton nom sur la facture.

Tu veux vraiment comprendre l'IA que tu as (ou qu'on veut te vendre) ?

Une séance de diagnostic de 90 minutes pendant laquelle on passe en revue chaque brique IA de ton business, par où passent les données de tes clients, quels points légaux méritent d'être regardés et où tu es exposé. Si quelque chose nécessite un avocat ou un DPO, je te le dis clairement. Tu repars avec une carte en langage humain, pas avec plus de fumée. 290 € + TVA.

Réserver un diagnostic