1. Reprendre la main sur la classification haut risque AI Act avant le COMEX
La rentrée 2026 IA COMEX septembre CDO sera jugée sur votre capacité à parler de l’AI Act en langage business, en vous appuyant sur des éléments chiffrés et des exemples concrets. Vous ne pouvez plus vous contenter d’un discours général sur l’intelligence artificielle dans l’entreprise, car le COMEX attend des arbitrages clairs sur les systèmes à haut risque et sur leur impact concret sur les activités en première ligne. Si vous arrivez sans cartographie solide des usages d’intelligence artificielle, vous serez immédiatement en difficulté face aux questions du directeur juridique et du DAF, qui demanderont des preuves tangibles et des indicateurs de risque.
Le premier chantier consiste à qualifier, pour chaque usage d’IA, le niveau de risque au regard de la réglementation et de la culture de risque de l’entreprise. Il faut partir des données métiers réellement utilisées par les équipes opérationnelles, puis remonter vers les modèles d’intelligence artificielle et les chaînes de traitement de données qui les alimentent, en intégrant les contraintes de confidentialité et de politique de confidentialité existantes. Concrètement, un extrait d’inventaire peut lister, pour chaque cas d’usage, la finalité, le type de données, la base légale et le niveau de risque AI Act (par exemple, « scoring client – données transactionnelles – article 6 AI Act – risque élevé »). Pour rendre cet inventaire exploitable, structurez un modèle de tableau avec des colonnes explicites : « Domaine métier », « Cas d’usage IA », « Finalité », « Catégorie de données (clients, RH, industrielles) », « Base légale », « Article AI Act / Annexe III », « Niveau de risque (minimal, limité, élevé) », « Décision proposée (arrêt, adaptation, accélération) », « Propriétaire métier », « Date de dernière revue ».
Cette mise en place d’une classification AI Act, en s’appuyant notamment sur les catégories de systèmes à haut risque définies au chapitre III et à l’annexe III du règlement, ne doit pas rester un exercice théorique ; elle doit déboucher sur une vision claire des tendances de risque par domaine, par semaine de projet et par type de données sensibles, avec des KPI comme le pourcentage de cas d’usage évalués, la part de systèmes classés haut risque et le délai moyen de revue. À titre d’ordre de grandeur, une direction commerciale d’environ 200 personnes peut faire remonter entre 15 et 30 cas d’usage d’intelligence artificielle en moins de deux semaines si le modèle d’inventaire est prêt et si les managers sont mobilisés.
En août, vous avez quatre semaines pour structurer ce travail sans bruit politique excessif. Première semaine, vous cadrez le périmètre avec le juridique, la conformité et la sécurité, en listant les systèmes d’intelligence artificielle potentiellement haut risque dans toutes les entités de l’entreprise et en rappelant les exigences clés de l’AI Act (par exemple les obligations de gestion des risques, de gouvernance des données et de documentation technique, telles que décrites aux articles 9 à 13). Deuxième semaine, vous organisez un échange exécutif avec les directions en première ligne pour valider les usages critiques, les impacts possibles sur les clients et les salariés, et les écarts avec la politique de confidentialité actuelle, en illustrant par un mini cas pratique : temps estimé de mise en conformité pour un cas d’usage prioritaire (par exemple 20 à 30 jours homme), coûts de revue juridique et effort de documentation.
Troisième semaine, vos équipes data consolident les inventaires, qualifient les données utilisées et formalisent un contenu principal de synthèse pour le COMEX, en distinguant clairement les usages d’intelligence artificielle à arrêter, à adapter ou à accélérer. Pour rendre ce contenu actionnable, préparez une slide synthétique qui présente, pour chaque domaine métier, le nombre de systèmes IA, la proportion de cas d’usage à haut risque au sens de l’AI Act et les décisions proposées, avec un ordre de grandeur des coûts de mise en conformité et des gains attendus. Une maquette de slide peut comporter quatre blocs : « Cartographie des cas d’usage IA par domaine », « Répartition des niveaux de risque AI Act », « Décisions d’arbitrage (stop / adapt / scale) », « Impacts financiers (CAPEX / OPEX, coûts de conformité, bénéfices estimés) ». Quatrième semaine, vous travaillez la narration exécutive pour la rentrée 2026 IA COMEX septembre CDO, en articulant vision, risques, bénéfices et trajectoire de transition sur l’année à venir. L’objectif est simple : arriver en septembre avec une cartographie des systèmes à haut risque que le COMEX peut endosser, plutôt qu’un débat anxiogène et défensif sur la seule confidentialité des données, en montrant que vous maîtrisez à la fois les textes européens et la réalité opérationnelle.
2. Inventorier les agents IA et verrouiller le RACI avant que les incidents n’arrivent
Le deuxième chantier de la rentrée 2026 IA COMEX septembre CDO concerne les agents IA, souvent déployés en mode expérimental dans plusieurs entreprises sans gouvernance claire ni responsabilités formalisées. Avec l’arrivée d’outils comme Microsoft Agent 365, la frontière entre expérimentation et production s’estompe, et vos équipes métiers se retrouvent en première ligne sans cadre de responsabilité explicite. Si vous ne présentez pas un inventaire consolidé des agents d’intelligence artificielle et un RACI robuste, le COMEX dresse immédiatement le parallèle avec les dérives passées du shadow IT et demandera des garanties sur la supervision, la confidentialité et la traçabilité des décisions automatisées.
Votre inventaire doit couvrir tous les agents d’intelligence artificielle, qu’ils soient intégrés aux outils bureautiques, aux CRM, aux plateformes de service client ou aux environnements data internes. Pour chaque usage, vous devez préciser les données consommées, les décisions automatisées ou assistées, les impacts potentiels sur les clients et les salariés, ainsi que les points de contrôle de confidentialité et de politique de confidentialité. Un extrait d’inventaire peut par exemple indiquer : « agent IA support client – données de tickets et historique d’achats – réponse assistée – contrôle a priori par un conseiller – revue mensuelle des logs par la conformité ». Pour industrialiser ce recensement, définissez un template commun avec des colonnes telles que : « Nom de l’agent IA », « Outil ou plateforme », « Cas d’usage métier », « Données en entrée », « Données en sortie », « Type de décision (assistée / automatisée) », « Niveau de criticité », « Contrôles de confidentialité », « Incidents recensés », « Statut (pilote / production) ».
Ce travail ne se limite pas à un fichier Excel ; il doit refléter une culture de responsabilité partagée entre les équipes data, les métiers et les fonctions support, avec un modèle RACI détaillé qui précise, pour chaque agent, qui est responsable, qui rend des comptes, qui est consulté et qui est informé. Un modèle de RACI peut par exemple comporter les colonnes suivantes : « Agent IA », « Responsable métier (R) », « Responsable data / IA (A) », « Sécurité / RSSI (C) », « Juridique / conformité (C) », « DSI (I) », « Fréquence de revue », « Indicateurs de performance et de risque suivis ». Un agent IA critique de relation client pourra ainsi être rattaché à un directeur de marché comme responsable, avec une revue trimestrielle conjointe sécurité–conformité.
Sur le mois d’août, structurez le calendrier semaine par semaine pour que ce chantier ne déraille pas. Première semaine, vous activez votre réseau exécutif et vos relais dans les directions métiers, en vous appuyant sur les communautés de pratiques et sur les responsables de produits digitaux qui connaissent les usages réels d’intelligence artificielle, et vous leur demandez un premier recensement chiffré des agents IA en production et en pilote. Deuxième semaine, vous organisez un échange structuré avec les responsables de la sécurité, de la conformité et du juridique pour définir le RACI cible, en clarifiant qui décide, qui valide, qui opère et qui contrôle chaque agent IA, et en illustrant ce modèle par un exemple rempli pour un agent critique, avec une estimation des temps de revue et des coûts de supervision associés.
Troisième semaine, vous faites converger les retours des équipes et vous préparez un support synthétique pour le COMEX, en mettant en avant les tendances d’adoption, les risques de dérive et les gains attendus sur l’année à venir. Cette slide de synthèse doit faire apparaître, pour chaque grande famille d’agents, le nombre d’utilisateurs, le niveau de criticité, les incidents recensés et les décisions de gouvernance, avec trois KPI chiffrés : taux d’agents couverts par un RACI formalisé, pourcentage d’agents ayant fait l’objet d’une revue de confidentialité et part des décisions critiques encore validées par un humain. Quatrième semaine, vous ajustez la vision avec le DAF pour aligner les budgets de mise en place, les coûts de supervision et les investissements nécessaires dans les compétences data, en évitant de sous estimer l’impact organisationnel. Pour approfondir la dimension réseau et influence du CDO dans cette gouvernance, vous pouvez vous appuyer sur cet article sur la création d’un réseau B2B performant pour l’entreprise, qui éclaire la façon de mobiliser les sponsors exécutifs autour de ces enjeux.
3. Auditer la dépendance aux clouds non souverains sur les données sensibles
Le troisième chantier de la rentrée 2026 IA COMEX septembre CDO touche à un sujet que le COMEX ne laissera plus passer : la dépendance aux fournisseurs cloud non souverains pour les données sensibles. Entre le décret SREN, les exigences de cybersécurité et l’évolution du référentiel SecNumCloud de l’ANSSI, la question n’est plus de savoir si l’entreprise doit se poser le sujet, mais à quelle vitesse elle doit organiser la transition. Si vous arrivez en septembre sans audit clair des flux de données sensibles vers ces clouds, vous serez en position défensive face aux administrateurs et aux régulateurs, qui attendent une lecture consolidée des risques de souveraineté et des engagements contractuels.
Commencez par cartographier les données clients, les données RH et les données industrielles qui alimentent vos usages d’intelligence artificielle, en distinguant les environnements de développement, de test et de production. Pour chaque usage, identifiez les fournisseurs, les régions d’hébergement, les clauses de confidentialité et les engagements contractuels, en les confrontant à la politique de confidentialité officielle de l’entreprise et aux recommandations de l’ANSSI. Un mini cas pratique peut consister à estimer, pour un domaine prioritaire, le temps nécessaire pour qualifier les flux (par exemple deux semaines pour un périmètre CRM), les coûts d’audit et les scénarios de migration vers un prestataire qualifié SecNumCloud, en s’appuyant sur les textes de référence publiés dans le cadre du décret SREN et sur les guides de l’agence nationale.
Sur le mois d’août, structurez l’audit en trois temps pour rester réaliste. Première semaine, vous consolidez les inventaires existants et vous identifiez les zones d’ombre, notamment les projets IA en première ligne qui ont été lancés rapidement avec des fournisseurs non souverains, en documentant les volumes de données concernés et les localisations d’hébergement. Deuxième semaine, vous organisez un échange exécutif avec le DSI, le RSSI et le DAF pour qualifier les scénarios de transition, les impacts financiers et les risques opérationnels, en arbitrant ce qui doit être rapatrié, redondé ou simplement mieux encadré, et en reliant ces décisions aux exigences de l’AI Act sur la gouvernance des données et aux critères du référentiel SecNumCloud.
Troisième semaine, vous préparez un contenu principal pour le COMEX qui présente les tendances de dépendance, les risques associés et les options de trajectoire, sans dramatiser mais sans minimiser les enjeux de souveraineté. Cette présentation doit intégrer une slide synthétique qui met en regard, pour chaque fournisseur, le niveau de sensibilité des données, la conformité aux référentiels nationaux et européens, les coûts estimés de transition et les bénéfices attendus en termes de maîtrise des risques. Quatrième semaine, vous travaillez votre posture personnelle de CDO, car ce sujet sera aussi un test de leadership face au COMEX et aux administrateurs. Pour renforcer cette dimension de leadership, un retour sur la manière de valoriser un profil de Chief Digital Officer peut vous aider à structurer votre discours et votre positionnement exécutif, en montrant que vous savez articuler AI Act, SecNumCloud, décret SREN et stratégie cloud globale.
4. Orchestrer août : note de cadrage, arbitrages budgétaires et narratif COMEX
Ces trois chantiers IA ne tiendront pas sans une orchestration fine du mois d’août, pensée dès maintenant pour la rentrée 2026 IA COMEX septembre CDO. La clé se joue avant le 25 juillet, avec une note de cadrage claire envoyée aux équipes data, aux directions métiers et aux fonctions support, qui précise le périmètre, les livrables attendus et le calendrier semaine par semaine. Cette note doit aussi rappeler la vision globale de l’entreprise sur l’intelligence artificielle, les principes de confidentialité des données et les attentes exécutives pour le premier COMEX de l’année fiscale, en citant explicitement les textes de référence (AI Act, recommandations de la CNIL, référentiels ANSSI et décret SREN) qui structurent vos engagements.
Dans cette note, explicitez le rôle de chaque équipe dans la mise en place des trois chantiers : classification AI Act, inventaire des agents IA et audit de dépendance cloud. Précisez les usages prioritaires d’intelligence artificielle à couvrir, les données critiques à analyser et les impacts attendus sur les activités en première ligne, en lien avec les objectifs de l’année. Vous pouvez aussi y intégrer un lien vers votre rituel de mi année, par exemple en vous appuyant sur cet article sur le rituel de COMEX de mi année pour recadrer les chantiers digitaux, afin de montrer la continuité de votre démarche et de préparer le terrain pour les arbitrages de septembre.
Parallèlement, vous devez verrouiller les arbitrages budgétaires avec le DAF avant les vacances, en alignant les coûts de mise en conformité, les investissements data et les ressources nécessaires pour les équipes. Ne laissez pas le COMEX de septembre découvrir des besoins budgétaires non anticipés sur l’intelligence artificielle, car cela décrédibiliserait votre pilotage exécutif. Enfin, préparez votre narratif pour le COMEX comme un épisode de podcast stratégique, structuré autour de quelques messages clés, d’exemples concrets d’usage et d’un échange ouvert sur les tendances IA qui vont marquer la prochaine année. Cette narration doit s’appuyer sur des KPI lisibles (par exemple pourcentage de cas d’usage cartographiés, part des systèmes à haut risque couverts par la classification AI Act et niveau de dépendance aux clouds non souverains pour les données sensibles) et sur une slide de synthèse unique qui relie les trois chantiers, les coûts, les risques et les bénéfices pour l’entreprise.
FAQ
Comment prioriser les cas d’usage IA à présenter au COMEX de septembre ?
Commencez par sélectionner les cas d’usage d’intelligence artificielle qui ont un impact direct sur le chiffre d’affaires, la satisfaction client ou la productivité des équipes en première ligne. Écartez les POC trop techniques ou trop éloignés des priorités de l’entreprise, même s’ils sont séduisants pour les équipes data. Enfin, reliez chaque usage à un indicateur clair et à un risque identifié, pour faciliter les arbitrages exécutifs, en montrant comment il se positionne au regard de l’AI Act, de la politique de confidentialité et des objectifs de performance.
Que doit contenir la note de cadrage IA envoyée avant le 25 juillet ?
La note de cadrage doit préciser le périmètre des systèmes d’intelligence artificielle concernés, les responsabilités de chaque équipe et le calendrier détaillé des livrables jusqu’au COMEX de septembre. Elle doit rappeler la politique de confidentialité, les exigences de l’AI Act et les attentes du COMEX en matière de transparence sur les données et les risques. Ajoutez une synthèse des trois chantiers prioritaires et des points d’arbitrage attendus avec le DAF et le juridique, en mentionnant les principaux textes de référence (CNIL, Commission européenne, ANSSI, décret SREN, référentiel SecNumCloud) qui guideront vos décisions.
Comment articuler AI Act, SecNumCloud et stratégie cloud de l’entreprise ?
Traitez l’AI Act comme un cadre pour classer les risques liés aux usages d’intelligence artificielle, puis utilisez SecNumCloud comme référentiel pour évaluer la maturité de vos fournisseurs cloud sur les données sensibles. La stratégie cloud de l’entreprise doit ensuite arbitrer entre performance, coûts et souveraineté, en définissant des trajectoires de transition réalistes par domaine métier. Présentez au COMEX une vision consolidée qui relie ces trois dimensions plutôt que des silos réglementaires difficiles à lire, en explicitant les impacts du décret SREN, les recommandations de l’ANSSI et les attentes de la CNIL sur la protection des données personnelles.
Quels indicateurs présenter pour démontrer la maturité IA au COMEX ?
Concentrez vous sur quelques indicateurs lisibles : pourcentage de cas d’usage IA réellement industrialisés, part des décisions critiques assistées par l’intelligence artificielle, couverture des systèmes à haut risque par la classification AI Act et niveau de dépendance aux clouds non souverains pour les données sensibles. Ajoutez des indicateurs d’adoption par les équipes, comme le taux d’usage des agents IA dans les outils quotidiens. Évitez les métriques trop techniques et privilégiez celles qui éclairent les décisions d’investissement et de gestion des risques, en les reliant aux exigences des textes européens et aux référentiels nationaux.
Quels sujets IA éviter d’annoncer au COMEX sans préparation suffisante ?
Évitez d’annoncer un déploiement massif d’agents IA en première ligne sans inventaire complet, RACI clair et analyse de confidentialité des données. Ne promettez pas non plus une migration rapide vers un cloud souverain sans audit détaillé des dépendances actuelles et des coûts de transition. Enfin, ne lancez pas de grands engagements publics sur l’intelligence artificielle éthique si la culture interne, les processus et les équipes ne sont pas encore alignés sur ces principes, car le COMEX attendra des preuves concrètes de mise en œuvre et des indicateurs de suivi.
Références suggérées : CNIL, Commission européenne (AI Act), ANSSI, décret SREN, référentiel SecNumCloud.