· le paradoxe de la taille intermédiaire

Ni les ressources des grands groupes, ni l'agilité des startups.

Les grands groupes ont les moyens de créer des directions IA dédiées, de recruter des experts en gouvernance, de financer des audits EU AI Act. Les startups sont nées dans l'IA : elles n'ont pas de systèmes legacy à transformer et peuvent concevoir leur gouvernance dès le départ.

Les ETI sont dans la position la plus dangereuse : et la plus sous-estimée. Elles ont suffisamment de processus critiques pour être pleinement concernées par l'EU AI Act. Elles n'ont pas suffisamment de ressources pour absorber facilement la charge de conformité. Et leurs décisions IA sont souvent prises sans la visibilité systémique que leur taille exige pourtant.

Une ETI de 500 personnes peut avoir exactement le même niveau d'exposition EU AI Act qu'un groupe de 5 000 : avec dix fois moins de ressources pour y faire face.
· les trois vulnérabilités spécifiques

Ce que les ETI cumulent que les autres n'ont pas.

vulnérabilité 01
Des décisions IA prises sans cadre stratégique
Dans la plupart des ETI, les décisions IA se prennent au niveau des directions opérationnelles : RH, finance, production, commercial. Chaque direction choisit ses outils, ses fournisseurs, ses usages. Sans vision d'ensemble, sans arbitrage stratégique global, des dépendances se forment dans tous les sens. Quand le dirigeant réalise l'ampleur du phénomène, il est souvent trop tard pour reconfigurer sans coût.
vulnérabilité 02
Une exposition EU AI Act sous-estimée
Beaucoup de dirigeants d'ETI pensent que l'EU AI Act concerne principalement les grandes entreprises tech. C'est inexact. Une ETI industrielle qui utilise l'IA dans ses processus RH, une ETI financière qui recourt à des outils de scoring, une ETI de santé qui déploie des assistants IA : toutes sont dans le périmètre des systèmes à haut risque. Avec les mêmes obligations que les grands groupes et sans leurs équipes dédiées.
vulnérabilité 03
Un rapport de force défavorable avec les fournisseurs IA dominants
Une ETI de 300 salariés ne négocie pas avec Microsoft, Salesforce ou OpenAI au même niveau qu'un grand groupe. Elle prend les conditions standard. Elle accepte les tarifs affichés. Elle ne peut pas imposer des clauses de portabilité des données ou des SLA personnalisés. Résultat : les dépendances se forment dans des conditions contractuelles défavorables, difficiles à renégocier par la suite.
· la responsabilité directe du dirigeant

L'EU AI Act ne demande pas à votre DSI de prouver la conformité. Il vous demande à vous : en tant qu'opérateur : de démontrer que vous contrôlez vos systèmes IA.

Si un de vos fournisseurs SaaS utilise de l'IA dans ses processus et que vous l'intégrez dans un processus RH ou financier, vous êtes potentiellement l'opérateur d'un système à haut risque. Même si vous ne l'avez pas choisi explicitement.

· le shadow ai dans les eti

71 % des collaborateurs utilisent des outils IA non approuvés.

Dans les ETI, le Shadow AI est particulièrement répandu. Les collaborateurs utilisent ChatGPT, Claude, Gemini, des outils de transcription, des assistants de rédaction : souvent sans que la direction en soit informée, sans cadre d'utilisation, sans contrôle des données qui transitent.

Ce n'est pas un problème de discipline. C'est un problème de gouvernance absente. Quand les outils sont disponibles, utiles et gratuits, ils sont adoptés spontanément. Sans cadre, cette adoption crée des expositions de données, des dépendances informelles et des usages qui peuvent entrer en conflit avec l'EU AI Act.

· le cas samsung

En 2023, trois ingénieurs Samsung ont involontairement partagé du code source confidentiel et des notes de réunion stratégiques avec ChatGPT. L'information est potentiellement devenue partie des données d'entraînement. Ce type d'incident se produit probablement chaque semaine dans des dizaines d'ETI françaises. Personne ne le sait parce que personne ne le mesure.

· deuxième preuve concrète · repricing OpenAI

En mars 2023, OpenAI a modifié unilatéralement ses conditions tarifaires et ses limites d'usage. Les organisations qui avaient intégré GPT-4 dans leurs processus critiques ont découvert du jour au lendemain que leur modèle économique reposait sur une dépendance dont elles ne maîtrisaient pas les conditions. C'est exactement ce que signifie une dépendance subie : vous n'avez pas pris la mauvaise décision. Vous n'avez juste pas vu ce que vous étiez en train de céder.

· la fenêtre d'action

L'avantage des ETI qui agissent maintenant.

L'exposition spécifique des ETI est réelle. Mais elle n'est pas une fatalité. Les ETI qui structurent leur approche IA maintenant bénéficient d'un avantage que les grands groupes n'ont plus : la capacité à construire une gouvernance cohérente dès le départ, sans avoir à démonter des structures installées.

Une ETI qui cartographie ses dépendances aujourd'hui, qui établit sa gouvernance IA avant les obligations d'août 2026, et qui structure ses décisions stratégiques avec la bonne visibilité : construit un actif difficile à rattraper pour ses concurrents qui attendent.

La fenêtre pour construire un avantage IA durable dans les ETI se referme. Celles qui lisent correctement la situation aujourd'hui prendront une longueur d'avance structurelle.
→ intervention associée
Shadow IA dans l'entreprise →
40% de vos équipes utilisent probablement des outils IA non approuvés. C'est là que commence l'exposition réelle.
· analyses & interventions connexes
Analyse : dépendances IA Analyse : décisions IA stratégiques Analyse : gouvernance IA Comex Intervention : données de production exposées toutes les analyses
· tointelligence

Vous ne voyez probablement pas
70% de votre exposition IA actuelle.
Nous la rendons visible.

Avant qu'elle ne devienne irréversible. Nous cartographions votre exposition réelle : dépendances, EU AI Act, données, risques invisibles : avant que le coût de correction dépasse le coût de décision.

cartographier votre exposition IA
exclusivement Comex & direction générale · réponse sous 24h