Le Golden Place for DPO, organisé par le Club DPO ce 9 décembre 2025, a une nouvelle fois confirmé son statut d’événement incontournable pour toutes les organisations engagées dans la conformité et la gouvernance des données. Cette édition a été particulièrement riche : échanges nourris, retours terrain précieux, et surtout une présentation structurée et très attendue de la feuille de route de conformité au Règlement IA (RIA), ou en anglais l'AI Act.
Chez Leto, nous sommes ravis d'avoir participé à cet événement stimulant, qui contribue concrètement à faire progresser la compréhension et la mise en œuvre de la conformité IA en France.
Un événement à forte valeur pour l’écosystème conformité
Le Golden Place for DPO est l’un de ces rendez-vous où la pratique rejoint la théorie. Au programme : analyses expertes, regards croisés sur les enjeux du secteur, et surtout une mise en perspective très claire du RIA et de son articulation avec le RGPD.
Les intervenants ont su rappeler combien le Règlement IA constitue un tournant majeur dans la régulation technologique européenne, en établissant un cadre contraignant pour tous les acteurs développant, intégrant ou exploitant des systèmes d'IA.
La présentation de la feuille de route officielle, réalisée par le Club DPO avec le concours de la CNIL, a offert un cadre opérationnel clair pour anticiper l’entrée en application progressive du RIA (2025 → 2026/2027).
L’événement a également été marqué par un moment fort : la mise en avant des projets innovants portés par de nombreux DPO, engagés dans un concours valorisant l’impact business et RSE des initiatives en matière de protection des données !
La feuille de route de conformité au RIA : les étapes clés
Le document partagé lors de l’événement détaille une méthodologie pragmatique et progressive pour structurer la conformité IA. Il s’articule autour de six grandes étapes, que nous résumons ci-dessous.
-> Télécharger la Feuille de route de conformité au Règlement IA.
1. Gouvernance et pilotage
La première étape du document consiste — et comme souvent, tout commence par un bon coup d’organisation — la première étape consiste à désigner un responsable du projet « conformité RIA » : DPO, RSSI, juriste spécialisé ou tout autre référent disposant d’un mandat clair.
Une équipe projet transverse doit ensuite être constituée : juridique, technique, innovation, métiers… Cette diversité garantit une compréhension globale des risques et enjeux liés aux systèmes d’IA.
"Gouverner l’IA, c’est maîtriser les risques tout en anticipant les opportunités."
Cette phase est essentielle pour assurer cohérence stratégique — même si, soyons honnêtes, réunir tout le monde autour de la table ressemble parfois à un sport d’endurance — alignement interne et appropriation des enjeux par toutes les parties prenantes.
2. Cartographie des systèmes d’IA
Le document présente — avec une précision qui ferait presque rougir un tableur bien rangé — une étape que nous connaissons bien chez Leto : la cartographie exhaustive. Elle vise à identifier tous les systèmes pouvant relever du RIA, que ces systèmes soient développés en interne, acquis ou intégrés via des solutions externes.
Cette cartographie doit permettre :
- un inventaire exhaustif des systèmes d’IA,
- une évaluation du niveau de risque, selon les catégories prévues par le règlement,
- une attribution claire des rôles et responsabilités.
"Connaître le périmètre à traiter, c’est la base de toute action efficace."
Cette étape fait le lien direct avec les pratiques habituelles du RGPD : classifier, analyser, documenter.
3. Qualification des rôles et responsabilités
Le RIA introduit quatre rôles principaux : fournisseur, déployeur, importateur, distributeur ou mandataire (dans sa partie consacrée aux rôles).
Chaque rôle correspond à des obligations spécifiques. Par exemple :
- le fournisseur porte l'obligation la plus lourde : conformité technique complète, documentation détaillée, évaluation avant mise sur le marché…
- le déployeur doit garantir l’usage conforme, exercer une surveillance humaine effective, conserver les journaux…
"Chacun son rôle, chacun ses responsabilités, chacun doit les connaître."
Qualifier correctement sa position dans la chaîne de valeur est déterminant pour anticiper les charges et responsabilités qui en découlent.
4. Élaboration du plan d’actions RIA/RGPD
Comme le rappelle le document — avec ce petit ton sérieux qui nous dit « attention, ici on entre dans le dur » —, cette phase constitue « le pivot stratégique » de la démarche. L’objectif est d’intégrer harmonieusement obligations RGPD et exigences RIA, afin d’éviter redondances et zones de flou.
Le plan doit notamment intégrer :
- un management qualité IA,
- des dispositifs d’alerte et de sécurité,
- une documentation structurée.
"La conformité RIA, c’est maintenant. Plus tard, ce sera plus cher et potentiellement trop tard."
Cette étape souligne l’importance de ne pas attendre les deadlines réglementaires : les exigences techniques et organisationnelles sont lourdes.
5. Gestion intégrée des risques
La gestion des risques constitue le cœur opérationnel de la conformité RIA. Ici encore, un parallèle clair est fait avec les AIPD du RGPD : analyse des risques, évaluation de l’impact, mesures de protection…
La feuille de route précise que cette démarche doit intégrer :
- l’IA haut risque,
- le privacy by design,
- l’anticipation de l'exercice des droits.
Le document insiste également sur l’importance de systématiser la consultation du DPO pour tous les projets IA traitant des données personnelles.
"Gérer ses risques RGPD/IA dès le départ, c’est s’assurer un avenir plus serein."
6. Accountability et preuves de conformité
L’étape finale engage les organisations à mettre en place une traçabilité robuste de toutes leurs démarches de conformité. Cela implique :
- une documentation vivante,
- des outillages adaptés,
- une cartographie RIA claire,
- la mise en œuvre effective du privacy by design,
- des suivis réguliers via revues et audits.
"La conformité est un actif stratégique qui distinguera les organisations de confiance."
Selon la conclusion du document , une organisation qui suit cette feuille de route disposera d’un écosystème de conformité mature et pérenne.
Ce que cela change pour les organisations
La feuille de route présentée lors du Golden Place for DPO offre un message clair : le RIA n’est pas seulement une mise en conformité supplémentaire. Il représente un terrain d’opportunités pour renforcer la gouvernance, augmenter la qualité des systèmes et développer une culture responsable de l’innovation.
Pour les DPO et responsables conformité, cette structuration arrive à point nommé. Elle permet :
- de clarifier les obligations,
- de réduire les risques d’exposition réglementaire,
- d’engager les équipes métiers dans un cadre durable et compréhensible.
Leto aux côtés des organisations
Chez Leto, nous nous engageons à accompagner les organisations dans cette transition majeure :
- cartographie de données et cartographie des systèmes d’IA,
- documentation RGPD et RIA,
- outils de pilotage,
- sensibilisation RGPD, cyber et IA.
Le Golden Place for DPO a confirmé une chose : l’écosystème est mobilisé, et la collaboration entre acteurs publics, experts et solutions comme Leto sera essentielle pour réussir cette transition.
En conclusion
L’événement a largement rempli ses promesses : riche, éclairant et structurant. La feuille de route du Club DPO constitue désormais une référence solide pour aborder la conformité IA avec méthode et confiance.
Et chez Leto, nous sommes plus motivés que jamais pour accompagner chaque organisation dans cette nouvelle étape de la régulation numérique.
.png)
.png)
