Vanta, Drata, Kertos : pourquoi les PME francaises paient 25 a 250x trop cher pour la conformite EU AI Act

Le 13 mai 2026 marque une nouvelle session de trilogue sur le Digital Omnibus. Mais comme l'a confirme le 28 avril, les negociateurs europeens ont maintenu la deadline EU AI Act du 2 aout 2026 pour les systemes a haut risque. Les PME francaises disposent de 87 jours pour se mettre en conformite — et beaucoup commettent encore l'erreur de regarder du cote des solutions americaines ou entreprise pour le faire.

Ce guide compare les principaux outils de conformite IA disponibles en 2026 : leurs prix reels, leurs couts caches, et pourquoi la plupart des PME francaises n'ont pas besoin de payer 25 a 250 fois plus cher que necessaire.

Ce que Vanta, Drata et Kertos vous coutent vraiment

Le marche de la conformite automatisee est domine par trois acteurs anglosaxons. Leurs tarifs ne sont pas toujours affiches clairement — et c'est precis pour une raison.

Vanta : 10 000 a 80 000 USD par an, hors renouvellement

Vanta est la solution la plus connue du marche. Elle a ete concue pour la conformite SOC 2 americaine et a ajoute l'EU AI Act comme module supplementaire en 2025. Son positionnement est clairement enterprise : le contrat median est d'environ 20 000 USD par an, les plans Core demarrent a 10 000 USD, et les plans Scale et Enterprise atteignent 30 000 a 80 000 USD par an.

Le Trust Center — outil de partage des preuves de conformite avec vos clients et partenaires — est un module additionnel facture environ 6 000 USD supplementaires par an.

Mais le vrai probleme n'est pas le prix initial. C'est le renewal shock : selon les avis collectes sur G2 et Capterra, les renouvellements Vanta augmentent de 40 a 100% apres la premiere annee, une fois les remises de demarrage expirees. Des entreprises ayant negocie un contrat a 10 000 USD se retrouvent avec une facture de 15 000 a 20 000 USD l'annee suivante — sans changement de perimetre.

Drata : 7 500 USD pour demarrer, 20 000 USD apres le premier renouvellement

Drata positionne ses plans a partir de 7 500 USD par an pour les startups, ce qui le rend superficiellement plus accessible que Vanta. Mais les utilisateurs rapportent des augmentations similaires : passer de deux frameworks de conformite a trois suffit parfois a doubler la facture. Des exemples documentes montrent des devis passant de 7 500 a 20 000 USD simplement en ajoutant ISO 27001 au SOC 2.

Drata a introduit le support DORA, NIS2 et ISO 42001 (gestion du risque IA) en 2025. Son module EU AI Act est recent et moins mature que son offre SOC 2 historique. Pour une PME francaise qui n'a pas besoin de SOC 2 americain, elle paie donc pour un produit calibre pour des exigences qui ne sont pas les siennes.

Kertos : pricing enterprise, opaque par design

Kertos a leve 14 millions d'euros en Serie A et se positionne sur le marche entreprise avec son agent IA "KAIA". Leur pricing n'est pas public — c'est un signal clair de leur segment cible : grands comptes avec cycles de vente longs et budgets compliance de plusieurs dizaines de milliers d'euros par an. Les PME ne sont pas leur cible, meme si elles peuvent theoriquement souscrire.

heyData : 49 euros par mois, mais calibre RGPD, pas EU AI Act

heyData est l'acteur europeen le plus accessible du lot avec des plans a partir de 49 euros par mois. Leur force est la conformite RGPD avec plus de 2 000 clients et une note G2 de 4,4/5. Mais leur offre EU AI Act est secondaire : c'est un module greffe sur un produit RGPD, pas une plateforme congue nativement pour l'inventaire des systemes IA, la classification Annexe III et la generation documentaire AI Act.

Tableau comparatif prix et couverture EU AI Act 2026

Solution	Prix indicatif annuel	Hebergement	EU AI Act natif	Sectoriel
Vanta	10 000 a 80 000 USD/an	USA	Module add-on	Non
Drata	7 500 a 20 000 USD/an	USA	ISO 42001 partiel	Non
Kertos	N.C. (enterprise)	DE	Oui (agent KAIA)	Non
heyData	588 a 1 188 euros/an	DE	Partiel (RGPD-first)	Non
ConformScan	1 788 euros/an	EU	Partiel	Non
MaConformite	0 a 468 euros/an	FR (Vercel EU)	Oui — natif	Oui (6 secteurs)

Les trois couts caches que personne ne mentionne

1. La conversion USD en euros, plus les frais bancaires

Vanta et Drata facturent en USD. Pour une PME francaise, cela signifie une exposition au taux de change, des frais de conversion bancaire de 1 a 3%, et une comptabilite en devise etrangere pour des obligations 100% europeennes. Un contrat Vanta a 10 000 USD representait 9 200 euros en janvier 2026, mais pourrait valoir 8 500 ou 10 500 euros au renouvellement selon l'evolution de l'EUR/USD — sans que le perimetre de conformite ait change d'un iota.

2. Les frais de mise en place et d'accompagnement

Les solutions enterprise incluent rarement la mise en place dans leur tarif de base. Des frais d'onboarding de 2 000 a 5 000 euros s'ajoutent frequemment au premier contrat. Pour Vanta, les integrateurs certifies facturent en plus leurs honoraires — comptez 150 a 300 euros de l'heure pour un consultant specialise.

Pour l'EU AI Act specifiquement, la mise en place d'un inventaire complet, la classification des systemes, la redaction des notices transparence et la preparation de l'Annexe IV peuvent representer 15 a 30 jours de travail consultant. A 200 euros de l'heure, le cout d'implementation depasse souvent le cout de la licence la premiere annee.

3. La souverainete des donnees : une ironie reglementaire

C'est le paradoxe que peu de prestataires mentionnent : utiliser Vanta ou Drata pour prouver votre conformite EU AI Act signifie stocker vos donnees de conformite — inventaires de systemes IA, evaluations des risques, documentation technique — sur des serveurs americains soumis au Cloud Act.

Le Cloud Act americain permet aux autorites americaines de contraindre les fournisseurs de services cloud americains a divulguer des donnees, meme si ces donnees sont physiquement stockees en Europe. Pour une PME dont les donnees de conformite incluent des informations strategiques sur ses systemes IA, ses processus internes et sa documentation technique, c'est un risque reglementaire et concurrentiel non negligeable.

Confiez vos preuves de conformite RGPD a un acteur soumis au Cloud Act, et vous cumulez deux problemes reglementaires au lieu d'en resoudre un.

Pourquoi les PME francaises n'ont pas besoin d'une solution enterprise

Vanta et Drata ont ete construits pour les startups tech americaines qui ont besoin de SOC 2 pour vendre a des clients enterprise americains. Leur produit EU AI Act est une extension de cette logique : ils ont ajoute un framework europeen a une architecture americaine.

La realite des PME francaises est differente. Vous n'avez pas besoin de SOC 2. Vous n'avez pas de CISO a plein temps. Vous n'avez pas de budget compliance de 20 000 euros par an. Vous avez besoin de :

• Savoir quels systemes IA vous utilisez et leur niveau de risque EU AI Act
• Generer la documentation technique requise par le reglement (Annexe IV, notices transparence)
• Evaluer les droits fondamentaux pour les systemes haut risque (AIPD/FRIA)
• Suivre votre conformite dans le temps et prouver votre diligence aux autorites

Aucune de ces fonctions ne necessite une infrastructure enterprise a six chiffres.

L'approche sectorielle : ce qui manque a toutes les solutions du marche

Un point rarement aborde dans les comparaisons concurrentielles : les obligations EU AI Act varient considerablement selon le secteur d'activite. Un systeme de scoring de candidatures en RH (Annexe III point 4) n'a pas les memes obligations documentaires qu'un outil d'aide a la decision medicale (Annexe III point 5) ou qu'un logiciel de notation de credit (Annexe III point 5).

Les solutions comme Vanta ou Drata appliquent un template generique a tous les secteurs. MaConformite a structure ses Poles sectoriels — Sante, RH, Finance, Industrie, Education, Transport — avec des checklists, des modeles documentaires et des evaluations des risques adaptes a chaque contexte reglementaire specifique.

Pour un directeur de clinique ou un DRH de PME industrielle, la difference entre un questionnaire generique et un parcours guide par secteur represente plusieurs jours de travail economises — et une documentation beaucoup plus solide face a un controle de la CNIL.

Ce que coutent vraiment 87 jours de non-conformite

La question n'est pas seulement le cout de la conformite, mais le cout de l'absence de conformite. L'EU AI Act prevoit des amendes jusqu'a 15 millions d'euros ou 3% du CA mondial pour le non-respect des obligations sur les systemes haut risque. Pour une PME de 50 salaries avec 5 millions d'euros de CA, cela represente jusqu'a 150 000 euros d'amende.

Meme en dessous du seuil d'amende formelle, les risques sont concrets : suspension des systemes haut risque ordonnee par les autorites, interdiction de mise sur le marche, obligation de rappel produit pour les fournisseurs de logiciels. Pour une PME qui integre de l'IA dans ses processus RH ou financiers, l'interruption forcee est potentiellement plus couteuse que l'amende elle-meme.

L'article 99 protege certes les PME en plafonnant les amendes au montant le plus bas entre le pourcentage du CA et le montant fixe — mais seulement si l'infraction est prouvee et formellement constatee. La protection PME ne s'applique pas a la suspension d'activite ordonnee a titre conservatoire.

En pratique : ce que vous obtenez pour 39 euros par mois

MaConformite a ete concu specifiquement pour les PME et ETI francaises qui doivent prouver leur conformite EU AI Act avant le 2 aout 2026, sans mobiliser un budget compliance equivalent a un poste temps plein.

Le plan Pro a 39 euros par mois — soit 468 euros par an, sans surprise de renouvellement, sans frais caches, sans conversion USD — inclut :

• L'inventaire complet de vos systemes IA avec classification automatique selon les Annexes I a III de l'EU AI Act
• La generation de votre documentation technique obligatoire (Annexe IV) adaptee a votre secteur
• L'evaluation de l'impact sur les droits fondamentaux (FRIA/AIPD), requise pour les systemes haut risque
• Les checklists de conformite par article du reglement, avec statut de validation et audit trail
• L'export PDF professionnel de toute votre documentation, consultable par vos equipes et vos auditeurs
• Les alertes deadline (J-87, J-30, J-7) pour ne manquer aucune echeance

Pour une PME qui comparait avec un contrat Vanta Core a 10 000 USD, l'economie annuelle est de l'ordre de 8 700 euros — soit 19 annees de MaConformite Pro financees par la difference de la premiere annee Vanta.

Questions frequentes

Vanta couvre-t-il vraiment l'EU AI Act ou juste le SOC 2 ?

Vanta a ajoute un module EU AI Act en 2025, mais c'est une extension d'un produit historiquement concu pour SOC 2, ISO 27001 et HIPAA americains. La couverture EU AI Act de Vanta manque la granularite sectorielle et la profondeur documentaire requise par les articles 11 (documentation technique), 13 (transparence) et 9 (gestion des risques) de l'EU AI Act. Pour une conformite europeenne profonde, une solution nativement congue pour l'EU AI Act est preferable.

Drata est-il disponible en francais ?

Drata est disponible en anglais uniquement. Pour des PME dont les equipes ne sont pas anglophones, cela ajoute une difficulte operationnelle reelle : les checklists, les questionnaires et les rapports generes sont en anglais, ce qui complique la diffusion interne et la communication avec les autorites francaises.

Puis-je utiliser MaConformite si j'ai deja commence avec Vanta ?

Oui. MaConformite peut etre utilise en parallele ou en remplacement de tout autre outil. La plateforme permet d'importer votre inventaire existant et de completer la documentation manquante pour les obligations specifiques de l'EU AI Act que Vanta ne couvre pas nativement. Le diagnostic gratuit identifie en 3 minutes les gaps de conformite restants.

Le prix de MaConformite va-t-il augmenter apres la deadline du 2 aout 2026 ?

Non. La tarification MaConformite — 0 euro (diagnostic), 39 euros (Pro), 97 euros (Business), 197 euros (Enterprise) — est ferme et transparente. Aucun supplement post-deadline, aucun renewal shock, aucun add-on cache. L'objectif est d'accompagner les PME dans la duree, pas seulement jusqu'au 2 aout.

Quelle est la difference entre EU AI Act et ISO 42001 ?

ISO 42001 est un standard international de gestion du risque IA, volontaire et certifiable. L'EU AI Act est un reglement europeen obligatoire avec sanctions. Les deux peuvent se completer — une certification ISO 42001 peut faciliter la demonstration de conformite EU AI Act — mais ils n'ont pas la meme portee juridique. Ni Vanta ni Drata ne couvrent completement les obligations legales specifiques de l'EU AI Act, notamment l'Annexe IV et les FRIA.

A 87 jours de la deadline, la question n'est plus de choisir le meilleur outil du marche en general. C'est de savoir si votre documentation sera prete le 2 aout 2026. Le diagnostic MaConformite vous donne une cartographie complete de votre situation actuelle, votre niveau de risque par systeme, et le plan d'action pour les 87 prochains jours — gratuitement, en 3 minutes.