Gouvernance de l'IA : ce que les professionnels doivent vraiment mettre en place
Déployer un LLM sans cadre de gouvernance, c'est exposer son organisation à des risques juridiques, réputationnels et opérationnels qui se matérialisent souvent bien après le lancement. Voici comment construire une gouvernance concrète, sans jargon ni fausse promesse.
En mars 2023, Samsung a découvert qu'un groupe d'ingénieurs avait collé du code source propriétaire dans ChatGPT pour accélérer des revues de code. Les données avaient quitté l'entreprise et atterri dans les serveurs d'OpenAI. L'incident a conduit Samsung à interdire temporairement l'usage des outils d'IA générative sur ses réseaux internes. Ce n'est pas un cas isolé : c'est l'illustration la plus connue d'un problème structurel. Les organisations adoptent des LLMs à la vitesse de l'adoption individuelle, sans que les politiques internes ne suivent.
En 2026, la majorité des grandes organisations disposent d'au moins une politique d'usage de l'IA. Mais disposer d'un document PDF intitulé "Charte IA" et avoir une gouvernance effective sont deux choses différentes.
Ce qui se passe sur le terrain
L'Union européenne a publié son AI Act, dont les premières obligations pour les systèmes à risque élevé sont entrées en application. Les entreprises qui utilisent des LLMs dans des contextes RH, crcrThe percentage of visitors or prospects who complete a desired action (purchase, sign-up, contact form), calculated as conversions divided by total opportunities.Voir la définition complète →édit, ou recrutement sont désormais soumises à des obligations de transparence et d'audit. Mais au-delà de la conformité réglementaire, le vrai défi est organisationnel.
On observe plusieurs tensions récurrentes dans les déploiements d'IA en entreprise.
La première est latension entre vitesse et contrôle. Les équipes métier veulent déployer vite. Les équipes juridiques et sécurité freinent. Sans arbitrage clair, les déploiements se font quand même, mais de façon non documentée.
La deuxième tension concerne la propriété des données de sortie. Quand un commercial utilise Claude ou Gemini pour rédiger une offre commerciale, qui est responsable si le document contient une information fausse ou un engagement contractuel non voulu ? Dans la plupart des organisations, la réponse est floue.
La troisième est moins visible mais tout aussi coûteuse : la qualité des outputs varie selon les utilisateurs. Deux analystes utilisant le même outil avec des prompts différents peuvent produire des résultats très inégaux, ce qui rend difficile tout contrôle qualité au niveau organisationnel.
Enfin, les fournisseurs d'IA eux-mêmes publient des rapports sur la sécurité et la conformité de leurs systèmes. Ces documents sont utiles, mais ils reflètent les intérêts commerciaux de leurs auteurs. Quand OpenAI, Anthropic ou Google affirment que leurs modèles respectent tel ou tel standard, ces affirmations méritent d'être croisées avec des audits indépendants et avec les retours d'organisations qui ont effectivement déployé ces outils à grande échelle.
Ce que cela implique pour l'utilisateur d'IA
La gouvernance de l'IA n'est pas l'affaire exclusive des équipes IT ou des délégués à la protection des données. Elle concerne directement les professionnels qui utilisent ces outils chaque semaine.
Le premier point pratique : comprendre ce qui sort de l'organisation. Chaque fois qu'un prompt est envoyé à un modèle externe (ChatGPT, Claude, Copilot dans sa version grand public), les données contenues dans ce prompt peuvent être utilisées pour entraîner des modèles futurs, sauf configuration contraire explicite. Microsoft 365 Copilot dans sa version enterprise est configuré différemment des versions gratuites, mais la distinction n'est pas toujours claire pour les utilisateurs finaux. C'est une distinction que chaque équipe doit connaître, pas seulement la DSI.
Le deuxième point concerne la traçabilité. Une décision prise avec l'aide d'un LLMLLMA Large Language Model is an AI system trained on vast text data to predict and generate language, enabling tasks like writing, summarizing, and answering questions.Voir la définition complète → doit pouvoir être reconstituée. Cela ne signifie pas conserver chaque échange, mais documenter les cas d'usage sensibles : analyse financière, rédaction de contrats, production de contenus externes. Un simple log des outils utilisés et du contexte suffit à créererThe ratio of interactions (likes, comments, shares) to reach for a given piece of content, used to gauge how well audiences respond relative to how many people saw it.Voir la définition complète → une base de responsabilité.
Troisièmement, la cohérence des usages au niveau de l'équipe. Si chaque collaborateur a développé ses propres méthodes de prompt, les outputs sont hétérogènes et ingérables à l'échelle. Les équipes qui obtiennent les meilleurs résultats en 2026 sont celles qui ont standardisé un petit nombre de cas d'usage avec des templates de prompts validés, plutôt que d'encourager une créativité individuelle non encadrée.
Un point souvent négligé : la gestion des erreurs de l'IA. Les LLMs produisent des hallucinations. Dans un contexte bas-risque, une erreur factuelle est embarrassante. Dans un contexte réglementé ou client-facing, elle peut avoir des conséquences sérieuses. Définir en amont quels cas d'usage admettent un taux d'erreur raisonnable, et lesquels nécessitent une vérification systématique, est une décision de gouvernance que chaque responsable doit prendre explicitement.
Mettre en place une gouvernance qui fonctionne vraiment
- Cartographier les usages réels avant de rédiger des politiques. La majorité des chartes IA sont écrites avant que les équipes adoptent les outils, ce qui les rend immédiatement obsolètes. Commencer par un audit informel des usages existants.
- Distinguer les niveaux de risque par cas d'usage, pas par outil. Ce n'est pas ChatGPT ou Copilot qui est à risque élevé ou faible, c'est l'usage qu'on en fait. Reformater un email interne : faible risque. Générer une analyse de crédit pour un client : risque élevé, vérification obligatoire.
- Choisir des fournisseurs en fonction des données de conformité vérifiables, pas des déclarations marketing. Pour les déploiements sensibles, exiger des certifications ISO 27001, SOC 2 Type II, et des clauses contractuelles précises sur la confidentialité des données. Ces clauses existent et les équipes achats doivent savoir les demander.
- Former les utilisateurs sur un périmètre limité mais réel. Une formation de deux heures sur "l'IA en général" n'a aucun impact durable. Une formation d'une heure sur les trois cas d'usage spécifiques de l'équipe, avec des exemples de bons et mauvais prompts, change les comportements.
- Créer un point de remontée simple pour les incidents. Quand un outil produit quelque chose d'inattendu ou problématique, les collaborateurs doivent savoir à qui le signaler. Sans ce mécanisme, les incidents restent invisibles jusqu'à ce qu'ils deviennent des crises.
La gouvernance de l'IA n'est pas un projet à part entière avec un budget dédié et une équipe séparée. C'est un ensemble de décisions claires sur qui fait quoi, avec quels outils, dans quels contextes, et avec quelles vérifications. Les organisations qui l'ont compris traitent ces questions comme elles traitent la sécurité financière : des contraintes non négociables intégrées dans les processus courants, pas des audits annuels.
Vous avez lu cet article ?
Validez votre lecture pour gagner de l’XP et alimenter votre radar.