Lorsqu'un dirigeant de PME espagnole commence à recevoir des questions de ses clients sur l'AI Act ou l'ISO 42001, la première question pratique est toujours la même : «Combien cela va-t-il me coûter ?». La réponse honnête est que cela dépend de plusieurs facteurs, mais les fourchettes de marché en 2026 sont désormais suffisamment stables pour fournir des chiffres indicatifs utiles. Cet article les détaille, explique ce que comprend chaque poste et décrit les facteurs qui font monter ou baisser le prix.
Qu'est-ce que la gouvernance technique de l'IA et pourquoi a-t-elle un coût propre ?
Le Règlement (UE) 2024/1689 sur l'Intelligence Artificielle — connu sous le nom d'AI Act — établit des obligations différenciées selon le niveau de risque du système d'IA. La plupart des PME ne développent pas de systèmes d'IA à haut risque au sens strict du règlement (ceux de l'Annexe III : crédit, emploi, infrastructures critiques, justice…), mais elles utilisent des outils qui entrent dans la catégorie risque limité ou minimal. Même ainsi, l'AI Act impose des obligations horizontales à tous les déployeurs d'IA : des politiques d'utilisation acceptable aux mécanismes de surveillance humaine et aux registres d'incidents.
La norme ISO 42001:2023 — Système de Management de l'IA — est la norme certifiable qui fournit le cadre de contrôle interne permettant de satisfaire ces obligations de manière auditable. Elle n'est pas obligatoire légalement, mais de plus en plus de clients entreprises et d'organismes d'appels d'offres publics l'exigent comme preuve de maturité. La gouvernance technique de l'IA est, en définitive, l'ensemble des politiques, contrôles, enregistrements et processus qu'une organisation doit mettre en place pour opérer l'IA de façon responsable, traçable et conforme à la réglementation.
Ce travail technique est distinct du conseil juridique sur l'AI Act (qui relève de la consultance légale) et distinct également de la certification ISO 42001 proprement dite (qui est délivrée par un organisme accrédité externe comme AENOR, Bureau Veritas ou SGS). La gouvernance technique, c'est la préparation interne : inventaire des systèmes, analyse des risques, contrôles techniques, documentation et formation.
Fourchettes de prix indicatives sur le marché espagnol (2026)
Les prix pratiqués sur le marché pour des projets de gouvernance technique de l'IA dans des PME de 20 à 250 salariés en Espagne s'articulent en trois niveaux selon le périmètre :
| Niveau du projet | Périmètre typique | Durée estimée | Fourchette d'honoraires (conseil) |
|---|---|---|---|
| Niveau de base | Inventaire des systèmes IA, classification des risques AI Act, politique d'utilisation acceptable, formation de l'équipe dirigeante | 6–10 semaines | 4 500 € – 9 000 € |
| Niveau intermédiaire | Tout ce qui précède + contrôles techniques documentés, registres d'incidents, procédure de surveillance humaine, évaluation de l'impact sur les droits fondamentaux (FRIA) si applicable | 3–5 mois | 12 000 € – 22 000 € |
| Niveau certification ISO 42001 | Implantation complète du Système de Management de l'IA + audit interne + préparation à l'audit de certification externe | 6–10 mois | 18 000 € – 40 000 € |
Sources de référence pour ces fourchettes : rapports de marché de l'ISACA (2025), enquête annuelle sur les honoraires IT de l'ASTIC, et benchmarks publiés par des cabinets de conseil spécialisés aux États-Unis et dans l'UE (Oliver Wyman AI Governance Report 2025, PwC AI Regulations Survey 2025). Les fourchettes excluent les frais d'audit de certification externe, qui sont indépendants et facturés directement par l'organisme de certification.
À ces honoraires de conseil, il convient d'ajouter, le cas échéant, le coût de l'audit de certification ISO 42001. Sur le marché espagnol, des organismes tels qu'AENOR, Bureau Veritas ou SGS facturent entre 3 000 € et 8 000 € pour l'audit initial d'étape 1 et d'étape 2 d'une PME, auxquels s'ajoutent les coûts de surveillance annuelle. Ces montants varient selon le nombre de salariés, la complexité du périmètre et le nombre de systèmes d'IA déclarés.
Les facteurs qui font monter ou baisser le prix
Nombre et complexité des systèmes d'IA utilisés
Le premier déterminant du prix est l'inventaire des systèmes. Une PME qui n'utilise que des outils SaaS standard avec IA intégrée (Microsoft Copilot, un chatbot commercial, des outils d'analyse de données) a un périmètre bien plus limité qu'une entreprise qui a développé ou personnalisé ses propres modèles, ou qui utilise l'IA dans des processus affectant des personnes (sélection de candidats, scoring de crédit interne, détection de fraude). Plus il y a de systèmes, plus les heures d'analyse et d'inventaire sont nombreuses.
Niveau de risque des systèmes selon l'AI Act
L'AI Act classe les systèmes d'IA en quatre niveaux : risque inacceptable (interdits), haut risque (obligations strictes), risque limité (obligations de transparence) et risque minimal (sans obligations spécifiques). Si l'un des systèmes de l'entreprise relève de la catégorie haut risque selon l'Annexe III du règlement, le coût de mise en conformité se multiplie : une documentation technique exhaustive doit être produite, des évaluations de conformité doivent être réalisées, le système doit être enregistré dans la base de données de l'UE et des révisions périodiques sont nécessaires.
Maturité documentaire préalable de l'organisation
Une entreprise qui dispose déjà d'un Système de Management de la Sécurité de l'Information (ISO 27001) ou d'un Système de Management de la Qualité (ISO 9001) part avec un avantage : elle possède déjà une structure documentaire, des procédures d'audit interne et une culture du contrôle interne. L'effort d'implantation de l'ISO 42001 est réduit car les cadres sont compatibles et de nombreux contrôles sont réutilisables. Dans les entreprises sans aucune certification préalable, le projet repart de zéro et les coûts augmentent.
Nécessité d'adaptations technologiques
La gouvernance technique n'est pas uniquement une question de documentation. Dans de nombreux cas, elle requiert la mise en place de contrôles réels dans les systèmes : journaux d'enregistrement des décisions automatisées, mécanismes de dérogation manuelle, filtres de biais, contrôles de dérive des modèles ou intégrations entre plateformes pour assurer la traçabilité. Chaque adaptation technique ajoute des heures de développement qui vont au-delà des honoraires de conseil purs. Si le projet nécessite un travail d'ingénierie, le budget global peut augmenter de 30 % à 80 % par rapport au coût de conseil pur.
Taille de l'équipe et périmètre de la formation
L'AI Act exige que les personnes qui exploitent des systèmes d'IA bénéficient d'une formation adéquate. Plus le nombre de salariés utilisant ou supervisant des outils d'IA est élevé, plus il faut de sessions de formation. Une équipe de 5 personnes utilisant l'IA en interne a des besoins de formation très différents de ceux d'une entreprise comptant 80 utilisateurs répartis dans plusieurs départements.
Ce qu'inclut un projet de gouvernance technique de l'IA bien mené
Quel que soit le niveau de prix, un projet rigoureux de conformité technique à l'AI Act et à l'ISO 42001 devrait couvrir ces phases :
- Inventaire et classification : Identifier tous les systèmes d'IA en cours d'utilisation ou de développement, classer leur niveau de risque selon l'AI Act et déterminer si l'entreprise agit en tant que fournisseur, déployeur ou les deux.
- Analyse des écarts : Comparer l'état actuel aux exigences de l'AI Act et de l'ISO 42001 afin d'identifier les contrôles manquants.
- Conception et implantation des contrôles : Rédiger des politiques d'utilisation acceptable, des procédures de surveillance humaine, des mécanismes d'incidents et des registres de décisions.
- Formation et sensibilisation : Former l'équipe dirigeante et les utilisateurs opérationnels aux obligations, aux risques et aux procédures.
- Audit interne et préparation à la certification : Vérifier l'efficacité des contrôles avant l'audit externe si l'objectif est la certification ISO 42001.
La certification ISO 42001 vaut-elle la peine pour une PME ?
La réponse dépend du secteur et du profil des clients. En 2025 et 2026, la demande de certification ISO 42001 croît particulièrement dans trois segments :
- Fournisseurs des administrations publiques qui participent à des appels d'offres où le cahier des charges exige déjà des preuves de gouvernance de l'IA.
- Entreprises B2B qui vendent à de grandes entreprises disposant de programmes de qualification des fournisseurs incluant des critères d'IA responsable.
- Entreprises des secteurs financier, sanitaire et éducatif qui exploitent des systèmes d'IA classés à haut risque ou frôlant cette catégorie.
Pour les entreprises extérieures à ces profils, le niveau de base ou intermédiaire — sans certification formelle — peut être suffisant pour satisfaire aux obligations légales de l'AI Act et documenter l'engagement vis-à-vis des clients. La certification formelle est un différenciateur commercial, pas une exigence universelle.
Calendrier de l'AI Act : quand faut-il être en conformité ?
L'AI Act est entré en vigueur le 1er août 2024, mais son application est progressive :
| Date | Ce qui entre en application |
|---|---|
| 2 février 2025 | Interdiction des systèmes à risque inacceptable (manipulation subliminale, notation sociale de masse, etc.) |
| 2 août 2025 | Obligations pour les modèles d'IA à usage général (GPAI), y compris les modèles à fort impact comme ceux entraînés avec plus de 10^25 FLOPs |
| 2 août 2026 | Application pleine pour les systèmes d'IA à haut risque (Annexe III) et obligations pour les déployeurs |
| 2 août 2027 | Extension aux systèmes d'IA à haut risque déjà sur le marché avant août 2026 (produits existants) |
Pour la plupart des PME, l'échéance critique est août 2026. Avec une marge minimale de six mois pour implanter les contrôles, la fenêtre pour démarrer le projet est ouverte maintenant. Les projets de niveau de base peuvent être achevés en 6 à 10 semaines ; les projets de certification ISO 42001 nécessitent entre 6 et 10 mois. Commencer aujourd'hui, c'est arriver confortablement avant l'échéance.
Différence entre conformité légale AI Act et certification ISO 42001
Il est fréquent de confondre les deux. L'AI Act est du droit positif européen : le non-respect entraîne des sanctions allant jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial, selon l'infraction. L'ISO 42001 est volontaire : personne ne peut vous sanctionner pour ne pas être certifié. Ce que la norme apporte, c'est un cadre de travail structuré qui facilite la démonstration de la conformité à l'AI Act et à d'autres obligations de gouvernance auprès des clients, des auditeurs et des autorités de contrôle.
Autrement dit : vous pouvez respecter l'AI Act sans l'ISO 42001, mais la certification vous fournit la documentation que le régulateur pourrait vous demander. Chez Summum IA, nous accompagnons les entreprises sur les deux voies : la conformité technique au règlement et, lorsque le client en décide, la certification ISO 42001 avec un organisme accrédité de son choix.
Questions fréquentes
Une PME qui n'utilise que ChatGPT ou Copilot a-t-elle des obligations au titre de l'AI Act ?
Oui, bien qu'elles soient plus légères. En tant que déployeur d'un système d'IA à usage général, la PME doit s'assurer que ses salariés reçoivent une formation adéquate, que l'utilisation est conforme aux conditions du fournisseur et qu'il existe un mécanisme de surveillance humaine pour les décisions importantes. De plus, si le système est utilisé dans des contextes à risque limité (par exemple, des chatbots interagissant avec des clients), des obligations de transparence s'appliquent : informer l'utilisateur qu'il interagit avec une IA.
Combien de temps faut-il pour amortir le coût de la gouvernance technique de l'IA ?
Il n'existe pas de formule universelle, mais les vecteurs de retour les plus clairs sont : éviter les sanctions (qui dans les cas graves peuvent être disproportionnées pour une PME), remporter des appels d'offres où une preuve de gouvernance est demandée, et réduire le risque réputationnel en cas d'incident d'IA (décision discriminatoire, fuite de données traitées par IA, etc.). Dans les secteurs B2B avec de grands clients, la certification ISO 42001 peut être le facteur qui débloque des contrats qui auraient autrement été perdus lors de la qualification des fournisseurs.
La certification ISO 42001 couvre-t-elle également la protection des données traitées par l'IA ?
L'ISO 42001 couvre la gouvernance du système d'IA, pas la protection des données au sens large. Pour les données personnelles traitées par l'IA, le respect du RGPD reste nécessaire, et, le cas échéant, les exigences de protection des données dès la conception (privacy by design) que l'AI Act impose aux systèmes à haut risque. Dans les projets intégraux, il est habituel d'aborder les deux couches en coordination : la gouvernance de l'IA (ISO 42001 + AI Act) et la protection des données (RGPD + analyses d'impact). Si votre entreprise doit aligner les deux réglementations, l'équipe de Summum Consultoría peut vous conseiller sur la partie juridique RGPD en parallèle au projet technique.
Puis-je financer ce projet avec des aides publiques ?
En 2025-2026, il existe plusieurs lignes de financement applicables. Le programme Kit Consulting de Red.es permet de financer entre 12 000 € et 24 000 € de conseil stratégique pour les PME de 10 à 249 salariés (le maximum de 24 000 € s'applique au segment des 100 à 249 salariés), et la gouvernance de l'IA entre dans le périmètre éligible en tant que conseil en transformation numérique avancée. Il existe également des appels régionaux en Castille-et-León et aux Canaries pour des projets de numérisation et d'innovation technologique. Consultez votre gestionnaire d'aides sur l'adéquation de chaque appel au profil de votre entreprise avant d'engager votre propre budget.