DataStratégie IA & ML

Gouvernance des modèles d'IA : ce que le CDO doit maîtriser avant que le régulateur ne s'en charge

Les organisations qui déploient des modèles d'IA sans cadre de gouvernance structuré s'exposent à des risques opérationnels et réglementaires croissants. Le CDO qui attend que la direction générale fixe le cap a déjà perdu l'initiative.

7 juillet 2026

Un directeur technique d'une grande banque européenne décrivait récemment sa situation ainsi : son équipe avait déployé dix-sept modèles d'apprentissage automatique en production au cours des dix-huit derniers mois. Personne dans l'organisation ne savait précisément quelles données alimentaient six d'entre eux. C'est ce vide, discret mais structurellement dangereux, qui définit le problème central de la gouvernance des modèles d'IA en 2026.

Ce n'est pas un problème d'ambition technologique. Les outils existent, les compétences se recrutent, les budgets ont été débloqués. Ce qui manque, dans la majorité des grandes organisations, c'est la capacité à répondre à trois questions simples pour chaque modèle en production : qui en est responsable, sur quelles données a-t-il été entraîné, et comment se comporte-t-il réellement dans le temps.

L'état des lieux en 2026 : entre prolifération et opacité

La prolifération des modèles d'IA en entreprise a suivi une courbe que peu d'organisations avaient anticipée. Selon une étude de McKinsey publiée en 2025, 72 % des grandes entreprises déclaraient utiliser l'IA dans au moins une fonction métier, contre 50 % deux ans plus tôt. Mais la même étude signalait que moins d'un tiers d'entre elles disposaient d'un registre centralisé de leurs modèles actifs.

Cette situation crée plusieurs types de risques concrets. Le risque réglementaire d'abord : l'AI Act européen, dont les obligations les plus contraignantes s'appliquent pleinement depuis début 2026, exige une documentation précise des systèmes d'IA à haut risque, notamment dans les secteurs financier, RH et santé. Les organisations qui ne peuvent pas produire cette documentation s'exposent à des amendes pouvant atteindre 3 % de leur chiffre d'affaires mondial. Le risque opérationnel ensuite : un modèle de scoring crédit entraîné sur des données de 2021 qui dérive silencieusement produit des décisions biaisées pendant des mois avant que quiconque ne s'en aperçoive. Ce phénomène de "model drift" n'est pas théorique. Des cas documentés existent dans les secteurs de l'assurance et du recrutement automatisé.

Il y a aussi la question, plus subtile, des dépendances en cascade. Les modèles ne fonctionnent pas de façon isolée. Un modèle de prévision de la demande alimente un outil de gestion des stocks qui conditionne les décisions d'achat. Si le premier dérive, les effets se propagent à l'ensemble de la chaîne avant d'être visibles.

Ce que cela implique pour le CDO

Le CDO se retrouve à l'intersection de toutes ces tensions. Il est à la fois l'architecte des données qui alimentent les modèles, le garant de leur qualité, et de plus en plus souvent le responsable désigné de la conformité IA devant le comité exécutif. Ce cumul de responsabilités est un levier, à condition de ne pas le subir passivement.

Construire un registre de modèles avant tout

La première priorité concrète est de rendre visible ce qui est déjà en production. Un registre de modèles d'IA doit recenser, pour chaque modèle actif : le cas d'usage, le propriétaire métier, les sources de données utilisées à l'entraînement, la date de mise en production, les métriques de performance suivies et la fréquence de revue. Ce n'est pas un projet de six mois. Une version exploitable peut être constituée en quatre à six semaines avec une équipe de trois ou quatre personnes, à condition que le mandat vienne clairement du CDO et soit co-signé par la DRH ou la direction juridique selon les secteurs concernés.

Des outils comme MLflow (open source) ou les fonctionnalités de model registry proposées par Databricks ou AWS SageMaker permettent d'automatiser une partie de ce travail. Databricks et AWS sont des éditeurs commerciaux dont les données sur l'adoption de leurs outils méritent d'être croisées avec des sources indépendantes, mais leur utilisation dans des déploiements à grande échelle est documentée par des analystes comme Gartner et IDC.

Définir des seuils de déclenchement, pas seulement des KPI

La plupart des organisations suivent des métriques de performance pour leurs modèles. Beaucoup moins définissent à l'avance les seuils à partir desquels une action est déclenchée automatiquement : retrait du modèle, alerte au comité de gouvernance, réentraînement obligatoire. Cette différence entre "surveiller" et "agir" est exactement là où les incidents se produisent.

Le CDO doit imposer, dans le cadre de gouvernance, que chaque modèle mis en production soit accompagné d'une fiche de déclenchement. Pas un document générique, mais des seuils chiffrés adaptés au contexte métier. Un modèle de détection de fraude et un modèle de recommandation de contenu n'ont pas les mêmes tolérances.

Cartographier les dépendances données-modèles

Le troisième chantier concerne la traçabilité des données. Savoir qu'un modèle a été entraîné sur "des données clients 2022-2023" ne suffit plus. Il faut pouvoir identifier précisément quels segments de données, avec quelles transformations, en conformité avec quelles politiques d'usage. Les outils de data lineage, qu'ils soient intégrés à une plateforme comme Collibra ou construits sur des solutions open source, deviennent des éléments d'infrastructure, pas des options.

Pour passer à l'action

  • Réaliser un audit rapide des modèles en production dans les trente jours, y compris ceux déployés par les équipes métier sans validation IT centrale. La shadow AI est souvent là où les risques sont les plus concentrés.
  • Positionner le registre de modèles comme un livrable du bureau du CDO, pas comme un projet data ou un projet IT. La différence de positionnement change qui le consulte et qui le maintient.
  • Construire des relations directes avec le DPO et le directeur juridique sur la question de l'AI Act. Le CDO qui arrive avec une cartographie des modèles à haut risque devance les demandes de conformité au lieu de les subir.
  • Ne pas attendre que la DSI ou la direction générale fixe le cadre méthodologique. Les organisations qui ont progressé sur ce sujet en 2025 avaient toutes un CDO qui avait pris l'initiative de proposer un premier cadre, même imparfait, plutôt que d'attendre un consensus.
  • Associer les propriétaires métier dès la phase de conception du registre. Un registre que les équipes data maintiennent seules devient rapidement un artefact administratif sans valeur opérationnelle.

La gouvernance des modèles d'IA n'est pas un sujet de conformité parmi d'autres. C'est le terrain sur lequel la crédibilité du CDO se construit ou se défait auprès

Vous avez lu cet article ?

Validez votre lecture pour gagner de l’XP et alimenter votre radar.