L'AI Act entre en application progressive en 2026. La question que tout le monde se pose : « Quels outils on peut utiliser sans se mettre en risque ? » La réponse honnête : ça dépend de ton contexte d'usage. Voici les critères qui comptent vraiment.
Les 4 critères à vérifier pour chaque outil
- Data residency — où sont hébergées et traitées les données ? UE, États-Unis, autres ? Quel niveau de garantie sur l'absence d'export hors zone choisie ?
- Certifications — l'éditeur dispose-t-il d'ISO 27001, SOC 2 type 2, et idéalement d'engagements spécifiques sur l'AI Act ? Y a-t-il un rapport d'audit récent disponible ?
- Transparence — l'éditeur publie-t-il une fiche modèle (capacités, limites, données d'entraînement, biais connus) ? L'utilisateur pro peut-il comprendre comment fonctionne le modèle qu'il utilise ?
- Traçabilité — peux-tu logger les prompts, les outputs, les utilisateurs ? En cas d'audit ou d'incident, peux-tu reconstituer ce qui s'est passé ?
Claude — Anthropic
Pour les usages sensibles côté RH, juridique, conformité, c'est notre choix par défaut chez Kariér Pro. Anthropic offre une option de traitement UE (Claude on AWS Europe) avec clauses contractuelles types, refus d'entraînement sur les données client en offre Enterprise, fiches modèle publiques détaillées, et une politique d'utilisation acceptable claire. La suite Claude for Work permet de logger l'historique au niveau organisation. Bon profil pour les fonctions où le risque réputationnel et la confidentialité priment.
ChatGPT — OpenAI
Excellent pour les usages marketing créatif, brainstorm, génération courte. L'offre Enterprise garantit la non-utilisation des données pour l'entraînement et propose des contrôles administrateurs. Attention au volet data residency : par défaut, le traitement passe par les US. La version Microsoft Azure OpenAI permet de fixer la région de traitement (Europe disponible) — c'est cette voie qu'on recommande pour les usages plus sensibles. Pour la production marketing à grand volume, ChatGPT reste très performant.
Mistral — l'option européenne
Pour les structures qui veulent privilégier un acteur européen, Mistral est une option crédible. Hébergement UE par défaut, modèles open-weights pour les versions communautaires (déploiement on-premise possible), conformité AI Act native. Les modèles propriétaires (Mistral Large, Codestral) sont compétitifs sur la majorité des usages bureautique et code. Limite à connaître : sur certaines tâches très créatives ou raisonnement long, Claude et GPT-4 gardent une marge. Très bien pour la souveraineté, à compléter selon les usages exigeants.
Copilot — Microsoft
Si ton SI est déjà sur Microsoft 365, Copilot s'intègre nativement (Outlook, Word, Excel, Teams). Avantage majeur : les données restent dans le périmètre M365 du tenant, donc dans la zone géographique configurée. Pas d'entraînement sur les données client. Inconvénient : Copilot reste un produit applicatif — pour des cas d'usage avancés (workflows custom, intégration produit), tu auras besoin de compléter avec une API directe. Bon profil pour la productivité bureautique de masse, moins pour les cas pointus.
Recommandations selon le contexte
- RH — Claude (Enterprise UE) pour la rédaction d'évaluations, fiches de poste, traitement de CV. Les données candidats sont sensibles, le risque biais doit être encadré, la traçabilité est utile en cas de contentieux.
- Juridique — Claude pour la synthèse de longs documents et la rédaction. Mistral ou Claude pour le ground truth si tu veux garder le data flow en UE. Ne jamais confier de prise de décision finale à un outil — l'IA assiste, l'humain décide.
- Marketing — ChatGPT pour le brainstorm créatif et la production de masse. Mistral pour le multilingue européen. Claude pour le contenu long avec ton de marque travaillé.
- Code et tech — Copilot ou Claude. Pour les codebases sensibles, vérifier les engagements de non-entraînement et privilégier les versions Enterprise.
Ce qu'il faut documenter en interne
L'AI Act ne demande pas de prouver une conformité parfaite — il demande une démarche structurée. À minima, tu dois pouvoir présenter à un contrôle : la liste des outils IA autorisés en interne, les usages permis et interdits par outil, la formation des utilisateurs (article 4), les engagements éditeurs, le registre des incidents. Pas besoin d'un classeur de 200 pages — un document de 8 à 15 pages, tenu à jour, suffit pour démontrer la diligence.