Warum ein Selbstcheck sinnvoll ist — und was er nicht leisten kann
Ein Selbstcheck ist kein Zertifikat. Er kann Ihnen keine rechtliche Sicherheit geben und ersetzt keine professionelle Analyse. Was er leistet: Er zeigt Ihnen in wenigen Minuten, wo die größten blinden Flecken sind — und wo Sie gut aufgestellt sind.
Die fünf Fragen des Checks decken die Kernbereiche des EU AI Act für KMU ab. Sie basieren auf den tatsächlichen Anforderungen, nicht auf Vereinfachungen. Beantworten Sie so ehrlich wie möglich — „wir haben angefangen" ist keine Antwort.
Dlaczego samoocena ma sens — i czego nie może osiągnąć
Samoocena to nie certyfikat. Nie da wam prawnego bezpieczeństwa i nie zastąpi profesjonalnej analizy. Co osiąga: w kilku minutach pokazuje, gdzie są największe martwe punkty — i gdzie jesteście dobrze przygotowani. Odpowiadajcie tak szczerze jak to możliwe — „zaczęliśmy" to nie jest odpowiedź.
Why a Self-Check Is Useful — and What It Cannot Do
A self-check is not a certificate. It cannot give you legal certainty and does not replace professional analysis. What it does: in a few minutes it shows you where the biggest blind spots are — and where you are well prepared. Answer as honestly as possible — "we have started" is not an answer.
Pourquoi une auto-évaluation est utile — et ce qu’elle ne peut pas faire
Une auto-évaluation n’est pas un certificat. Elle ne peut vous offrir aucune sécurité juridique et ne remplace pas une analyse professionnelle. Ce qu’elle apporte : en quelques minutes, elle vous montre où se trouvent les principaux angles morts — et où vous êtes bien préparé. Répondez le plus honnêtement possible — « nous avons commencé » n’est pas une réponse.
Welche Bereiche der EU AI Act für KMU bewertet
Der EU AI Act definiert Pflichten entlang der gesamten KI-Wertschöpfungskette — von der Entwicklung bis zum Betrieb. Für KMU, die KI-Systeme nutzen (nicht selbst entwickeln), sind fünf Bereiche besonders relevant:
- KI-Inventur — eine vollständige Liste aller KI-Tools und -Systeme, die im Unternehmen genutzt werden, intern wie extern
- Risikoklassifizierung — Einordnung jedes Systems in die vier Risikoklassen des EU AI Act
- KI-Nutzungsrichtlinie — schriftliche Regeln, wie KI im Unternehmen eingesetzt werden darf und was verboten ist
- Mitarbeiterschulungen — strukturierte Wissensvermittlung zu KI-Risiken und verantwortungsvollem Einsatz (Artikel 4 EU AI Act)
- Menschliche Aufsichtsprozesse — definierte Prüfschritte für KI-gestützte Entscheidungen in sensiblen Bereichen
Der Selbstcheck unten fragt genau diese fünf Bereiche ab — direkt und ohne Fachsprache.
Gilt der EU AI Act für mein Unternehmen?
Kurze Antwort: Wenn Sie KI-Systeme einsetzen, die EU-Bürgerinnen und -Bürgern betreffen, ja. Das trifft auf fast jedes Unternehmen zu, das im EU-Wirtschaftsraum tätig ist und Tools wie ChatGPT, Microsoft Copilot, HR-Software mit KI-Funktionen oder KI-gestützte Analyse nutzt.
Die relevante Frage ist nicht „ob" der EU AI Act gilt — sondern welche Pflichten aus welchen Systemen entstehen. Das hängt davon ab, in welche Risikoklasse Ihre Systeme fallen. Hochrisikosysteme (z.B. KI in HR-Entscheidungen) haben deutlich strengere Anforderungen als Systeme mit minimalem Risiko.
Für die meisten KMU gilt: Die Systeme fallen in die Kategorien „begrenztes Risiko" oder „minimales Risiko". Trotzdem: Artikel 4 — die Schulungspflicht — gilt für alle Unternehmen, die KI-Systeme einsetzen, unabhängig von der Risikoklasse. Sie gilt seit Februar 2025.
Które obszary AI Act są istotne dla MŚP
AI Act definiuje obowiązki w pięciu kluczowych obszarach dla MŚP korzystających z systemów AI: inwentaryzacja AI (pełna lista wszystkich narzędzi), klasyfikacja ryzyka (przyporządkowanie do czterech klas), polityka użytkowania AI (pisemne zasady dla pracowników), szkolenia (art. 4 — obowiązują od lutego 2025) oraz procesy nadzoru ludzkiego (szczególnie w HR i finansach). Samoocena poniżej sprawdza wszystkie pięć obszarów.
Czy AI Act dotyczy mojej firmy?
Krótka odpowiedź: jeśli korzystacie z systemów AI wpływających na obywateli UE — tak. Dotyczy to praktycznie każdej firmy działającej w UE, która używa narzędzi takich jak ChatGPT, Microsoft Copilot czy oprogramowanie HR z funkcjami AI. Kluczowe pytanie brzmi nie „czy" AI Act obowiązuje, ale jakie konkretne obowiązki wynikają z waszych systemów. Artykuł 4 — obowiązek szkoleń — dotyczy wszystkich firm korzystających z systemów AI, niezależnie od klasy ryzyka, i obowiązuje od lutego 2025.
Which Areas the EU AI Act Covers for SMEs
The EU AI Act covers five key areas relevant to SMEs using AI systems: AI inventory (complete list of all tools), risk classification (assigning each system to one of four risk classes), AI usage policy (written rules for employees), staff training (Article 4 — mandatory since February 2025), and human oversight processes (especially in HR and finance). The self-check below assesses all five areas directly.
Does the EU AI Act Apply to My Business?
Short answer: if you use AI systems affecting EU citizens, yes. This applies to virtually every business operating in the EU that uses tools like ChatGPT, Microsoft Copilot, or HR software with AI features. The relevant question is not "whether" the EU AI Act applies but which obligations arise from your specific systems. Article 4 — the training obligation — applies to all businesses using AI systems, regardless of risk class, and has been in force since February 2025.
Quels domaines le Règlement européen sur l’IA couvre pour les PME
Le Règlement européen sur l’IA définit des obligations dans cinq domaines clés pour les PME utilisant des systèmes d’IA : inventaire IA (liste complète de tous les outils), classification des risques (attribution de chaque système à l’une des quatre classes de risque), politique d’utilisation de l’IA (règles écrites pour les collaborateurs), formations (article 4 — obligatoires depuis février 2025) et processus de supervision humaine (en particulier pour les RH et la finance). Le test ci-dessous évalue directement ces cinq domaines.
Le Règlement européen sur l’IA s’applique-t-il à mon entreprise ?
Réponse courte : si vous utilisez des systèmes d’IA qui concernent des citoyens de l’UE, oui. Cela s’applique à pratiquement toute entreprise opérant dans l’UE qui utilise des outils comme ChatGPT, Microsoft Copilot ou des logiciels RH dotés de fonctions IA. La question pertinente n’est pas « si » le Règlement s’applique, mais quelles obligations découlent de vos systèmes spécifiques. L’article 4 — l’obligation de formation — s’applique à toutes les entreprises utilisant des systèmes d’IA, quelle que soit la classe de risque, et est en vigueur depuis février 2025.
EU AI Act Selbstcheck — 5 Fragen
Wählen Sie die Antwort, die Ihren aktuellen Stand am besten beschreibt.
1 Haben Sie eine vollständige Liste aller KI-Tools und -Systeme, die in Ihrem Unternehmen genutzt werden?
2 Haben Sie Ihre KI-Systeme nach EU AI Act Risikoklassen klassifiziert?
3 Gibt es eine schriftliche KI-Nutzungsrichtlinie, die Mitarbeitende kennen?
4 Haben Mitarbeitende eine Schulung zu KI-Risiken und verantwortungsvollem KI-Einsatz erhalten? (EU AI Act Artikel 4)
5 Gibt es für KI-gestützte Entscheidungen (z.B. in HR, Finanzen) einen definierten menschlichen Prüfschritt?
Gut aufgestellt — mit konkreten nächsten Schritten
Sie haben eine solide Grundlage. Die wesentlichen Bereiche sind abgedeckt. Jetzt geht es darum, die Dokumentation zu vertiefen und für eventuelle Hochrisiko-Bereiche die vollständigen Anforderungen umzusetzen.
Empfehlung: Lassen Sie Ihre Maßnahmen durch einen externen Quick Scan validieren — vor allem, wenn Sie HR- oder Finanz-KI einsetzen.
Check wiederholenHandlungsbedarf in einigen Bereichen
Sie haben begonnen, aber es gibt Lücken. Die häufigsten Schwachstellen: fehlende Dokumentation und keine strukturierten Schulungen. Beides ist schnell zu beheben — wenn Sie wissen, wo Sie ansetzen müssen.
Empfehlung: Starten Sie mit einer vollständigen KI-Inventur und einer schriftlichen Nutzungsrichtlinie. Beides zusammen dauert in einem KMU typischerweise 4–8 Stunden. Anleitung zur KI-Inventur →
Check wiederholenDringender Handlungsbedarf
Es fehlt die Grundlage. Das ist kein Vorwurf — viele KMU sind hier. Aber: Die Pflichten aus Artikel 4 (Schulungen) gelten bereits seit Februar 2025. Wer jetzt startet, kann in 4–6 Wochen eine belastbare Grundstruktur aufbauen.
Empfehlung: Sprechen Sie mit uns. Ein Quick Scan liefert in 7–14 Tagen einen vollständigen Überblick und einen priorisierten Fahrplan — ohne Enterprise-Overhead.
Check wiederholenWas nach dem Selbstcheck kommt
Der Selbstcheck zeigt Ihnen die Richtung. Was er nicht zeigt: die konkreten Lücken in Ihrer spezifischen Situation. Zwei Unternehmen mit gleichen Antworten können völlig unterschiedliche Prioritäten haben — je nachdem, welche KI-Systeme sie nutzen und in welchen Bereichen.
Der nächste logische Schritt ist ein strukturierter Quick Scan, der Ihre konkrete Situation analysiert. In 7–14 Tagen erhalten Sie:
- Eine vollständige Liste Ihrer KI-Systeme mit Risikoklassifizierung
- Bewertung Ihrer bestehenden Maßnahmen
- Einen priorisierten 60-90-Tage-Fahrplan
- Konkrete Vorlagen (Nutzungsrichtlinie, Schulungsplan, Protokollierung)
Co po samoocenie
Samoocena pokazuje kierunek. Czego nie pokazuje: konkretnych luk w waszej specyficznej sytuacji. Następny logiczny krok to ustrukturyzowany Quick Scan, który analizuje waszą konkretną sytuację. W 7–14 dni otrzymacie pełną listę waszych systemów AI z klasyfikacją ryzyka, ocenę istniejących środków i priorytetowy plan działania na 60–90 dni.
What Comes After the Self-Check
The self-check shows you the direction. What it does not show: the concrete gaps in your specific situation. The next logical step is a structured Quick Scan that analyses your concrete situation. In 7–14 days you receive a complete list of your AI systems with risk classification, evaluation of existing measures, and a prioritised 60–90 day roadmap.
Ce qui vient après l’auto-évaluation
L’auto-évaluation vous indique la direction. Ce qu’elle ne montre pas : les lacunes concrètes dans votre situation spécifique. L’étape logique suivante est un Quick Scan structuré qui analyse votre situation concrète. En 7 à 14 jours, vous recevez :
- Une liste complète de vos systèmes d’IA avec classification des risques
- Une évaluation de vos mesures existantes
- Une feuille de route priorisée sur 60 à 90 jours
- Des modèles concrets (politique d’utilisation, plan de formation, documentation)
Die fünf Bereiche im Detail — was dahinter steckt
1. KI-Inventur: Was Sie wissen müssen, bevor Sie handeln können
Eine KI-Inventur ist keine technische Übung — sie ist eine Managementaufgabe. Sie erfasst, welche KI-Systeme im Unternehmen genutzt werden, von wem, zu welchem Zweck und mit welchen Daten. Ohne diese Grundlage ist jede Folgeentscheidung blind. Die häufigste Entdeckung bei KI-Inventuren in KMU: deutlich mehr KI-Tools sind im Einsatz als der IT bewusst ist — weil Fachbereiche eigenständig abonniert haben.
2. Risikoklassifizierung: Welche Systeme welche Pflichten auslösen
Das Risikoklassifizierungsmodell des EU AI Act unterscheidet vier Klassen. Für KMU relevant: „hochriskante" Systeme (z.B. KI-gestützte Beurteilungen von Mitarbeitenden oder Kreditentscheidungen) lösen strenge Dokumentations- und Transparenzpflichten aus. „Begrenzt riskante" Systeme (z.B. Chatbots) erfordern Transparenz gegenüber Nutzern. „Minimal riskante" Systeme haben keine spezifischen Pflichten. Die Klassifizierung muss bei neuen Systemen wiederholt werden.
3. KI-Nutzungsrichtlinie: Mehr als eine Formalie
Eine wirksame KI-Nutzungsrichtlinie beantwortet drei Fragen: Was darf KI im Unternehmen tun? Was darf KI ausdrücklich nicht tun? Wer ist verantwortlich, wenn etwas schiefläuft? Unternehmen, die diese Richtlinie nur als Formalie behandeln und nicht aktiv kommunizieren, haben de facto keine Richtlinie. Mitarbeitende handeln dann nach persönlichem Ermessen — was zu unkontrollierbaren Outputs, DSGVO-Risiken und Haftungsfragen führt.
4. Schulungen nach Artikel 4: Konkret und dokumentiert
Artikel 4 des EU AI Act verpflichtet Unternehmen, sicherzustellen, dass Mitarbeitende „ausreichende KI-Kompetenz" haben. Praxis-Empfehlung: Einmalige Schulungen reichen nicht. Dokumentation ist entscheidend — wer wann was gelernt hat. Und die Inhalte müssen auf die tatsächlich genutzten KI-Systeme zugeschnitten sein, nicht auf KI im Allgemeinen.
5. Menschliche Aufsicht: Der unterschätzte Bereich
Menschliche Aufsichtsprozesse sind der am häufigsten vernachlässigte Bereich in KMU. Das liegt nicht an Nachlässigkeit, sondern an fehlender Klarheit: Wann greift ein Mensch ein? Wer genau? Und wie wird das dokumentiert? Besonders bei KI-gestützten Entscheidungen in HR oder Finanzen müssen klare Prüfschritte definiert sein.
Was die meisten KMU falsch einschätzen
„Wir sind klein, also betrifft uns das weniger." Größe schützt nicht vor Pflichten. Der EU AI Act differenziert nach Systemtyp und Einsatzbereich — nicht nach Unternehmensgröße. Ein KMU, das KI in HR-Entscheidungen einsetzt, hat dieselben Hochrisiko-Pflichten wie ein Konzern.
„Wir nutzen nur externe Tools, keine eigene KI." Das ist der häufigste Irrtum. Als KI-Nutzer haben Sie Betreiberpflichten. Die Nutzung von ChatGPT, Copilot oder KI-gestützten SaaS-Tools macht Sie zum „Deployer" im Sinne des EU AI Act.
„Wir warten noch, bis das konkreter wird." Artikel 4 ist seit Februar 2025 in Kraft. Der vollständige EU AI Act gilt ab August 2026. Wer jetzt beginnt, hat Zeit für strukturiertes Vorgehen — wer wartet, steht unter Zeitdruck.
Häufige Fragen zum EU AI Act für KMU
Muss ich den EU AI Act einhalten, wenn ich nur ChatGPT nutze?
Als Unternehmen, das ein KI-System einsetzt, gelten Sie als „Deployer" im Sinne des EU AI Act. Für Standard-ChatGPT ohne Hochrisiko-Einsatzbereich fallen Sie unter „begrenztes Risiko" — Transparenzpflichten, aber keine umfassenden Dokumentationspflichten. Entscheidend ist, wofür Sie ChatGPT einsetzen: für HR oder rechtliche Analysen gelten strengere Regeln.
Was passiert, wenn ich den EU AI Act nicht einhalte?
Der EU AI Act sieht Bußgelder von bis zu 3 % des weltweiten Jahresumsatzes vor (bei Verstößen gegen allgemeine Pflichten) und bis zu 6 % bei verbotenen Praktiken. Für KMU gelten verhältnismäßige Sanktionen — aber „verhältnismäßig" bedeutet nicht „klein". Ab 2026 werden nationale Marktüberwachungsbehörden aktiv prüfen.
Wie lange dauert eine KI-Inventur in einem KMU?
In einem KMU mit 50–250 Mitarbeitenden dauert eine erste vollständige KI-Inventur typischerweise 4–8 Stunden — verteilt auf Interviews mit Fachbereichen, IT-Analyse und Dokumentation. Ein strukturierter Quick Scan liefert in 7–14 Tagen das vollständige Bild inklusive Risikoklassifizierung und priorisiertem Fahrplan.
Pięć obszarów szczegółowo — co za nimi stoi
Inwentaryzacja AI ujawnia zazwyczaj więcej narzędzi niż IT jest świadome — bo działy korzystają z subskrypcji samodzielnie. Klasyfikacja ryzyka decyduje, które obowiązki mają zastosowanie: systemy wysokiego ryzyka (AI w HR, finansach) wymagają rygorystycznej dokumentacji. Polityka użytkowania AI to nie formalność — musi jasno określać, co wolno, czego nie i kto odpowiada. Szkolenia z Artykułu 4 obowiązują od lutego 2025 i muszą być udokumentowane. Nadzór ludzki jest najczęściej zaniedbywany: kto, kiedy i jak sprawdza decyzje AI?
Trzy częste błędne przekonania MŚP
Po pierwsze: „Jesteśmy mali, więc mniej nas to dotyczy" — rozmiar nie chroni przed obowiązkami, liczy się typ systemu. Po drugie: „Używamy tylko zewnętrznych narzędzi" — jako operator (deployer) macie obowiązki nawet przy zewnętrznych systemach AI. Po trzecie: „Poczekamy, aż przepisy się skonkretyzują" — Artykuł 4 obowiązuje od lutego 2025, pełny AI Act od sierpnia 2026. Kto zaczyna teraz, ma czas na strukturowane działanie.
Najczęstsze pytania o AI Act dla MŚP
Czy muszę przestrzegać AI Act, jeśli używam tylko ChatGPT?
Jako firma korzystająca z systemu AI jesteście „operatorem" (deployer) w rozumieniu AI Act. Dla standardowego ChatGPT bez obszarów wysokiego ryzyka: ograniczone ryzyko, obowiązki przejrzystości. Kluczowe jest, do czego używacie ChatGPT — komunikacja z klientami, HR lub analizy prawne podlegają surowszym zasadom.
Ile czasu zajmuje inwentaryzacja AI w MŚP?
W MŚP z 50–250 pracownikami pierwsza pełna inwentaryzacja AI zajmuje zazwyczaj 4–8 godzin. Ustrukturyzowany Quick Scan dostarcza pełny obraz w 7–14 dni, wraz z klasyfikacją ryzyka i priorytetowym planem działania.
The Five Areas in Detail — What They Mean in Practice
AI inventory typically reveals more tools than IT knows about — because departments subscribe independently. Risk classification determines which obligations apply: high-risk systems (AI in HR, finance) require strict documentation. An AI usage policy is not a formality — it must clearly state what is permitted, what is not, and who is accountable. Article 4 training has been mandatory since February 2025 and must be documented. Human oversight is the most overlooked area: who, when, and how are AI decisions reviewed?
Three Common Misconceptions Among SMEs
First: "We're small, so this affects us less" — size does not protect against obligations; what matters is system type and use case. Second: "We only use external tools" — as a deployer, you have obligations even with third-party AI systems. Third: "We'll wait until the rules are clearer" — Article 4 has been in force since February 2025, the full EU AI Act applies from August 2026. Starting now means structured preparation; waiting means time pressure.
Frequently Asked Questions About the EU AI Act for SMEs
Do I need to comply with the EU AI Act if I only use ChatGPT?
As a business using an AI system, you are a "deployer" under the EU AI Act. For standard ChatGPT without high-risk use cases: limited risk class, transparency obligations apply. What matters is how you use it — HR or legal analysis use cases face stricter requirements.
How long does an AI inventory take in an SME?
In an SME with 50–250 employees, a first complete AI inventory typically takes 4–8 hours. A structured Quick Scan delivers the full picture in 7–14 days, including risk classification and a prioritised roadmap.
Les cinq domaines en détail — ce qu’ils impliquent concrètement
1. Inventaire IA : ce que vous devez savoir avant de pouvoir agir
Un inventaire IA n’est pas un exercice technique — c’est une tâche de management. Il recense quels systèmes d’IA sont utilisés dans l’entreprise, par qui, dans quel but et avec quelles données. Sans cette base, toute décision ultérieure est aveugle. La découverte la plus fréquente lors des inventaires IA dans les PME : bien plus d’outils IA sont en service que le service informatique ne le sait — parce que les départements métiers ont souscrit leurs propres abonnements.
2. Classification des risques : quels systèmes déclenchent quelles obligations
Le modèle de classification du Règlement européen sur l’IA distingue quatre classes. Pour les PME : les systèmes « à haut risque » (par ex. évaluations de collaborateurs par IA ou décisions de crédit) entraînent des obligations strictes de documentation et de transparence. Les systèmes « à risque limité » (par ex. chatbots) exigent la transparence envers les utilisateurs. Les systèmes « à risque minimal » n’ont pas d’obligations spécifiques.
3. Politique d’utilisation de l’IA : bien plus qu’une formalité
Une politique d’utilisation de l’IA efficace répond à trois questions : que peut faire l’IA dans l’entreprise ? Qu’est-ce qui est expressément interdit ? Qui est responsable en cas de problème ? Les entreprises qui traitent cette politique comme une simple formalité et ne la communiquent pas activement n’ont, de fait, aucune politique. Les collaborateurs agissent alors à leur propre discrétion — ce qui conduit à des résultats incontrôlés, des risques RGPD et des questions de responsabilité.
4. Formations selon l’article 4 : concrètes et documentées
L’article 4 du Règlement européen sur l’IA oblige les entreprises à s’assurer que les collaborateurs disposent d’une « compétence IA suffisante ». Recommandation pratique : les formations ponctuelles ne suffisent pas. La documentation est déterminante — qui a appris quoi et quand. Et les contenus doivent être adaptés aux systèmes d’IA réellement utilisés, pas à l’IA en général.
5. Supervision humaine : le domaine sous-estimé
Les processus de supervision humaine sont le domaine le plus souvent négligé dans les PME. Cela ne tient pas à de la négligence, mais à un manque de clarté : quand un humain intervient-il ? Qui exactement ? Et comment cela est-il documenté ? Particulièrement pour les décisions assistées par IA dans les RH ou la finance, des étapes de vérification claires doivent être définies.
Ce que la plupart des PME évaluent mal
« Nous sommes petits, donc cela nous concerne moins. » La taille ne protège pas des obligations. Le Règlement européen sur l’IA différencie selon le type de système et le domaine d’utilisation — pas selon la taille de l’entreprise. Une PME qui utilise l’IA pour des décisions RH a les mêmes obligations « haut risque » qu’un grand groupe.
« Nous n’utilisons que des outils externes, pas d’IA propre. » C’est l’erreur la plus fréquente. En tant qu’utilisateur d’IA, vous avez des obligations d’opérateur. L’utilisation de ChatGPT, Copilot ou d’outils SaaS dotés d’IA fait de vous un « déployeur » au sens du Règlement.
« Nous attendons que cela se précise. » L’article 4 est en vigueur depuis février 2025. Le Règlement complet s’applique à partir d’août 2026. Celui qui commence maintenant dispose de temps pour une approche structurée — celui qui attend sera sous pression.
Questions fréquentes sur le Règlement européen sur l’IA pour les PME
Dois-je me conformer au Règlement si je n’utilise que ChatGPT ?
En tant qu’entreprise utilisant un système d’IA, vous êtes un « déployeur » au sens du Règlement. Pour un usage standard de ChatGPT sans cas d’utilisation à haut risque : classe de risque limité, les obligations de transparence s’appliquent. Ce qui compte, c’est l’usage que vous en faites — les cas RH ou d’analyse juridique sont soumis à des exigences plus strictes.
Que se passe-t-il si je ne respecte pas le Règlement ?
Le Règlement européen sur l’IA prévoit des amendes pouvant atteindre 3 % du chiffre d’affaires annuel mondial (pour les manquements aux obligations générales) et jusqu’à 6 % pour les pratiques interdites. Pour les PME, les sanctions sont proportionnées — mais « proportionné » ne signifie pas « léger ». À partir de 2026, les autorités nationales de surveillance procéderont à des contrôles actifs.
Combien de temps dure un inventaire IA dans une PME ?
Dans une PME de 50 à 250 collaborateurs, un premier inventaire IA complet prend généralement 4 à 8 heures. Un Quick Scan structuré fournit le tableau complet en 7 à 14 jours, incluant la classification des risques et une feuille de route priorisée.