L’intelligence artificielle pénètre dans les entreprises à grands pas : relations avec les clients, décisions d’embauche, analyse financière, développement de projets, optimisation de la chaîne d’approvisionnement : tous les départements ont des raisons de s’y mettre. Pourtant, il n’est pas facile d’orchestrer tout cela de façon cohérente, en gardant le contrôle. Un fossé se creuse entre l’adoption massive des solutions IA et la capacité des organisations à en maîtriser les contours. Le risque n’est pas tant l’IA elle-même que l’absence de garde-fous.
La plupart des entreprises font face à un paradoxe : freiner la pénétration ‘sauvage’ de l’IA au risque de porter atteinte à l'innovation, ou laisser libre cours aux usages au risque de compromettre la sécurité des données et la conformité réglementaire (cf. le règlement européen « AI Act »).
Mieux vaut prévenir des incidents sérieux - fuites ou compromissions de données – en mettant en place des règles du jeu. On peut encadrer les utilisations de l’IA sans les stopper, sans brimer les utilisateurs « défricheurs », créatifs et inventifs.
Les organisations adoptent l'IA plus vite qu'elles ne peuvent en contrôler l'utilisation, puis s'efforcent de mettre en place des contrôles a posteriori après un incident.
Un manque d’orientations concrètes
Une étude de Advisory X (janvier 2026, auprès de 2 496 directeurs des systèmes d'information (DSI) dans 22 pays, dont l’Allemagne, la France, l’Espagne et l’Italie) révèle que 94% des entreprises connaissent des défis importants pour déployer l'IA à grande échelle. Dans 77% des réponses, la direction déclare l’IA parmi les priorités, mais 65% disent manquer d’orientations concrètes et d’arguments sur la rentabilité. Les freins concernent également l'alignement et la cohésion des départements, et l’insuffisance en ressources humaines et techniques. Un dirigeant sur deux s’attend à des modèles hybrides : l'autonomie de l’IA ne sera que partielle, les humains approuvant les décisions clés. Seulement 15 % s'attendent à ce que l'IA soit entièrement autonome à court terme.
Beaucoup de dirigeants choisissent de reprendre la main en transformant l'interdiction, souvent inefficace, en un encadrement formel et attractif. Le cabinet de conseil Deloitte rejoint les recommandations du club de dirigeants Cigref : la gouvernance de l’IA doit débuter par un recensement cartographié précisant les risques associés à chaque cas d'usage.
Outre une charte éthique (respect du copyright, etc.), des règles d'utilisation doivent être élaborées, suffisamment bien rodées. On tiendra à jour une liste restreinte des solutions ou plateformes approuvées. Si certaines plateformes sont considérées comme insuffisamment sûres, on trouvera des alternatives afin que les données ne sortent pas : des solutions internes ou mutualisées permettent d’entraîner des modèles de langage (LLM) avec des données internes ou dûment validées.
Instituer un comité de pilotage transversal
Idéalement, cette gouvernance de l'IA doit être ouverte aux différents départements de l’entreprise. On crée une structure hybride, une sorte de « bureau de l'IA », ou « comité d'éthique transverse » réunissant des responsables métiers, des délégués de la DSI, des RH, du service juridique etc. Cette structure transversale évalue les biais dus aux algorithmes de l’IA – des biais qu’IBM définit comme « des erreurs systématiques » dans les algorithmes d’apprentissage machine qui peuvent délivrer des résultats inexacts, voire discriminatoires ; ils peuvent véhiculer des préjugés ethniques, racistes ou sexistes par exemple, dans la sélection de candidats à un poste, etc.
La surveillance de telles dérives peut être confiée au délégué à la protection des données (DPO), dès le démarrage de chaque nouveau projet. Cette mise en conformité préalable ne doit pas être perçue comme un frein, mais comme une condition de réussite et de dynamique interne.
Privilégier la responsabilisation
Assurer le contrôle de ses solutions IA nécessite donc de privilégier la dimension humaine. Se tourner vers des plateformes IA sur le web, gratuites ou peu coûteuses, sans l’aval de sa DSI ou de son département, relève de cette dérive dite « shadow IT » (pratiques de l’ombre). Les dirigeants - chefs de département, compris – doivent sensibiliser les utilisateurs sur les risques encourus. Personne n’est à l’abri de fuites de secrets industriels ou de données confidentielles.
Cette responsabilisation inclut donc de former les personnels, afin que chacun nourrisse une pensée critique et une certaine distance face aux sources consultées et aux résultats obtenus. Il faut être capable de repérer un biais ou une « hallucination » du système. Cette démarche de sensibilisation et de formation aura l’avantage d’alléger un contrôle centralisé et de susciter en interne une culture de l'expérimentation et de l’innovation responsable, et partagée.
