L’Observatoire de la Maturité Data et IA des Entreprises (OMDIE) propose un outil d’auto-diagnostic gratuit permettant aux TPE, PME et ETI d’évaluer leur niveau de maturité en matière de gestion des données et d’intelligence artificielle. En 15 minutes, l’outil fournit un score sur une échelle de 1 à 5 et des recommandations personnalisées. Pour le DPO, ce type de démarche est aussi l’occasion de vérifier que la stratégie data de l’organisme intègre bien les exigences du RGPD et de l’AI Act.
Un outil simple pour une question complexe
L’IA a besoin de données pour fonctionner. Pas de n’importe quelles données : des données de qualité, pertinentes, bien structurées. Or la plupart des TPE et PME françaises n’ont pas encore formalisé leur approche en matière de gestion de données, et encore moins leur stratégie d’intégration de l’intelligence artificielle.
L’Observatoire de la Maturité Data et IA des Entreprises, créé en 2020 par l’entreprise Datasulting et porté aujourd’hui par un collectif de plus de 15 entreprises expertes réparties sur tout le territoire, met à disposition un questionnaire en ligne, gratuit et sans engagement, qui permet d’évaluer en environ 15 minutes le niveau de maturité d’un organisme sur deux axes : la gestion des données et l’utilisation de l’IA.
Un agent intelligent analyse ensuite les réponses et produit un score de maturité (de 1 à 5), accompagné de recommandations concrètes et priorisées. Le test est accessible à toute entreprise, qu’elle soit au début de sa réflexion ou déjà engagée dans des projets data.
Ce que le diagnostic couvre
Le questionnaire s’articule autour de deux volets distincts. Le premier porte sur la gestion des données : l’entreprise collecte-t-elle ses données de manière structurée ? Dispose-t-elle d’outils de stockage, de traçabilité, d’exploitation ? A-t-elle défini des règles de qualité des données ?
Le second volet concerne l’intelligence artificielle : l’organisme utilise-t-il déjà des outils d’IA ? A-t-il identifié des cas d’usage pertinents ? A-t-il formé ses équipes ? Les réponses permettent de situer l’entreprise sur un spectre allant de la simple prise de conscience à l’intégration avancée.
À l’issue du test, l’entreprise obtient un rapport avec des recommandations adaptées à son niveau de maturité, sans concepts trop théoriques ni outils complexes. Un collectif d’experts se tient également à disposition pour accompagner la mise en œuvre.
L’angle RGPD : pourquoi le DPO doit s’intéresser à la maturité data de son organisme
La maturité data d’une entreprise n’est pas seulement un enjeu de performance. C’est aussi un enjeu de conformité. Le RGPD impose des obligations précises dès lors qu’un organisme collecte, stocke ou exploite des données personnelles, ce qui est le cas de la quasi-totalité des entreprises.
L’article 5 du RGPD exige que les données soient traitées de manière licite, loyale et transparente, collectées pour des finalités déterminées, adéquates et limitées à ce qui est nécessaire (minimisation), exactes, conservées sous une forme identifiable pendant une durée limitée, et protégées par des mesures de sécurité appropriées. Une entreprise qui structure sa démarche data sans intégrer ces principes dès le départ prend un risque réglementaire significatif.
L’article 25 du RGPD impose la protection des données dès la conception (privacy by design) et par défaut (privacy by default). Cela signifie que toute stratégie data, tout projet d’exploitation ou de valorisation des données, doit intégrer la protection des données personnelles comme paramètre de conception, et non comme correctif postérieur.
L’AI Act ajoute une couche supplémentaire d’exigences
Depuis son entrée en vigueur progressive, l’AI Act (Règlement européen sur l’intelligence artificielle) impose des obligations spécifiques selon le niveau de risque du système d’IA utilisé. Pour les systèmes à haut risque, les exigences portent notamment sur la qualité des données d’entraînement, la transparence des algorithmes, la traçabilité des décisions et la supervision humaine.
Une entreprise qui souhaite intégrer l’IA dans ses processus doit donc vérifier, en amont, que les données utilisées pour alimenter le système sont conformes au RGPD (base légale, information des personnes, durées de conservation) et que le système lui-même respecte les exigences de l’AI Act applicables à sa catégorie de risque.
Le diagnostic proposé par l’OMDIE ne couvre pas directement ces aspects réglementaires. Mais le score de maturité qu’il produit donne une indication précieuse : une entreprise qui se situe à un niveau 1 ou 2 en maturité data a probablement des lacunes de conformité RGPD à combler avant même d’envisager un déploiement d’IA.
Recommandations pour les DPO et responsables de traitement
Faire passer ce test à votre organisme est un bon point de départ pour ouvrir le dialogue entre la direction, la DSI et le DPO sur la stratégie data. Voici quelques actions complémentaires à envisager :
Vérifier que le registre des traitements (article 30 du RGPD) est à jour et couvre les traitements liés à l’IA, y compris les outils d’IA générative utilisés par les collaborateurs. S’assurer qu’une analyse d’impact (AIPD, article 35 du RGPD) a été réalisée pour les traitements fondés sur l’IA qui présentent un risque élevé. Formaliser une politique interne d’utilisation de l’IA, incluant les règles de confidentialité applicables aux données saisies dans les outils d’IA. Former les équipes aux risques liés à la saisie de données personnelles ou confidentielles dans des outils d’IA externes.
Le test de l’OMDIE est accessible gratuitement sur le site de France Num.
Source : France Num / Observatoire de la Maturité Data et IA des Entreprises (OMDIE)
