L'AI Act est là. Votre DPO aussi.
La Polynésie française est un pays et territoire d'outre-mer (PTOM), situé hors du territoire de l'Union européenne. Le RGPD et l'AI Act européens ne s'y appliquent donc pas automatiquement du fait de votre implantation. Le texte réellement contraignant pour vos traitements de données est la loi française n° 78-17 « Informatique et Libertés », transposée en Polynésie française depuis le 1er juin 2019 (décret 2019-536, JOPF) — avec, en pratique, les mêmes obligations. Le RGPD ne s'applique directement que si vous ciblez des clients situés dans l'UE (article 3), et l'AI Act uniquement si vous placez des systèmes d'IA sur le marché européen. Dans cet article, « RGPD » = les obligations Informatique et Libertés en vigueur en PF.
Depuis que l'AI Act européen produit ses premiers effets contraignants, les Délégués à la Protection des Données (DPO) et les conseils juridiques d'entreprise ont commencé à poser des questions très concrètes aux équipes qui déploient des outils d'intelligence artificielle. Ce n'est plus une discussion de conformité abstraite : c'est une conversation opérationnelle, parfois inconfortable, qui arrive souvent au mauvais moment — c'est-à-dire quand votre automatisation est déjà en production.
Que vous soyez une PME en Polynésie française ou une structure plus grande, si vous utilisez de l'IA dans vos processus (recrutement, scoring, génération de contenu, analyse de données clients), vous allez y passer. Autant être prêt.
Question 1 : « Quel est le niveau de risque de vos systèmes IA ? »
L'AI Act classe les systèmes d'IA en plusieurs niveaux de risque : inacceptable, élevé, limité, minimal. Votre DPO va vouloir savoir dans quelle catégorie tombent vos outils. Les systèmes à risque élevé — ceux qui impactent des décisions sur des personnes (recrutement, crédit, accès à des services) — sont soumis à des obligations spécifiques : documentation, supervision humaine, tests de robustesse.
Ce que vous devez préparer : un inventaire de vos usages IA avec, pour chacun, une description de la décision automatisée ou assistée et de son impact sur des individus. Ce document sera la base de toute discussion juridique.
Question 2 : « Avez-vous une documentation technique conforme ? »
Pour les systèmes à risque élevé, l'AI Act exige une documentation technique précise : description du modèle, données d'entraînement, métriques de performance, limites connues. Si vous utilisez des solutions tierces (via API ou SaaS), votre juriste va vous demander si le fournisseur met cette documentation à disposition.
Ce que vous devez préparer : ne pas attendre que votre prestataire IA vous envoie spontanément sa documentation. Posez la question maintenant, par écrit, et conservez les réponses. L'absence de réponse est elle-même une information utile pour votre analyse de risque.
Question 3 : « Qui supervise les décisions automatisées ? »
L'un des principes fondamentaux de l'AI Act pour les systèmes à risque élevé est la supervision humaine. Votre DPO va vouloir savoir : qui, dans votre organisation, a la capacité réelle d'invalider ou de corriger une décision produite par l'IA ? Ce n'est pas une question rhétorique. Il faut un nom, un rôle, une procédure.
Ce que vous devez préparer : formalisez qui est responsable de la validation des sorties IA dans chaque processus concerné. Une simple note interne suffit pour commencer — mais elle doit exister.
Question 4 : « Comment gérez-vous les biais et les erreurs ? »
L'AI Act impose de détecter, documenter et corriger les biais potentiels, notamment dans les systèmes qui traitent des données personnelles. Votre conseil juridique va interroger votre capacité à identifier une dérive du modèle et à y répondre. En pratique : avez-vous des mécanismes de monitoring ? Des alertes ? Un processus de signalement interne ?
Ce que vous devez préparer : même sans infrastructure technique sophistiquée, vous pouvez définir une fréquence de revue humaine des sorties (mensuelle, trimestrielle) et la documenter. C'est minimal mais déjà défendable.
Question 5 : « Vos utilisateurs et vos clients sont-ils informés ? »
L'obligation de transparence de l'AI Act rejoint ici le RGPD. Si des personnes interagissent avec un système IA ou si des décisions les concernant sont assistées par IA, elles doivent en être informées. La Commission européenne a d'ailleurs publié en juin 2026 un guide de bonnes pratiques sur la transparence des systèmes IA — un signal clair que ce sujet est désormais scruté.
Ce que vous devez préparer : vérifiez vos mentions légales, vos CGU et vos politiques de confidentialité. La mention « nous utilisons des outils d'intelligence artificielle pour... » doit être explicite, accessible et compréhensible — pas noyée dans 40 pages de juridique.
Ne subissez pas cet audit : anticipez-le
Ces cinq questions ne sont pas des pièges. Elles sont le reflet d'un cadre réglementaire qui demande aux organisations de réfléchir avant de déployer, pas après. La bonne nouvelle : une préparation structurée en amont — inventaire des usages, documentation, désignation de responsables, politique de transparence — vous permettra de répondre sereinement à votre DPO, à vos clients, et potentiellement à une autorité de contrôle.
L'IA n'est pas l'ennemi du juridique. Mais l'IA déployée sans réflexion de conformité, oui.
