L’entrée en application de l’IA Act européen marque un tournant pour les entreprises : ce qui relevait jusqu’ici de l’expérimentation ou de l’innovation devient un sujet de conformité, de souveraineté et de gouvernance. Et pourtant, dans de nombreuses organisations, l’intelligence artificielle générative se déploie en silence, en dehors de tout cadre formel. Outils grand public, prompts échangés entre collègues, contenus générés sans supervision : ces usages spontanés échappent souvent à tout pilotage.
Une contribution écrite par Eliott Mourier, Partner Data & AI – Compliance & Privacy chez Micropole
Dans ce contexte, le risque n’est plus théorique. Il est déjà là, au cœur des pratiques. Et face à lui, deux urgences s’imposent : reprendre la main sur ce qui échappe à la gouvernance, et construire une stratégie de maîtrise conforme au cadre européen. L’IA Act n’est pas une simple contrainte réglementaire : c’est une opportunité de remettre de la rigueur, de la lisibilité et de la responsabilité dans les usages de l’IA.
Shadow IA et réglementation : une double menace à contenir
L’une des failles majeures aujourd’hui tient à ce qu’on ne voit pas. Car si certains projets d’IA sont cadrés, validés et encadrés par la DSI ou des équipes innovation, l’écrasante majorité des usages échappe à toute gouvernance. C’est la logique du “Shadow IT”, déclinée à l’intelligence artificielle : chaque collaborateur peut aujourd’hui mobiliser des outils génératifs pour rédiger, traduire, résumer ou illustrer, sans aucune validation ni garantie. Résultat : les risques se multiplient. Fuites de données sensibles, reproduction de contenus protégés, erreurs non détectées, absence de traçabilité : tout est réuni pour compromettre la sécurité et la conformité de l’organisation.
Or l’IA Act rend ces zones grises inacceptables. Les entreprises devront démontrer leur capacité à encadrer leurs systèmes d’intelligence artificielle, y compris ceux utilisés en interne. Traçabilité des données, documentation des modèles, transparence des usages, évaluation du niveau de risque : les exigences sont claires. À cela s’ajoute une contrainte stratégique majeure : garantir la souveraineté sur les données mobilisées. Car au-delà des amendes pouvant atteindre 7 % du chiffre d’affaires mondial, c’est l’intégrité du capital informationnel de l’entreprise qui est en jeu. Laisser prospérer des usages incontrôlés, c’est risquer de perdre le contrôle sur ce que l’on produit, publie, ou décide à partir de l’IA.
Former et gouverner : deux leviers pour reprendre le contrôle
Face à cette situation, deux chantiers s’imposent de toute urgence.
Le premier est celui de l’acculturation. Le règlement européen prévoit d’ailleurs une obligation explicite de formation à l’IA pour tous les collaborateurs (article 4). Il ne s’agit plus de sensibiliser ponctuellement quelques équipes, mais de structurer un effort massif de formation sur les fondamentaux de l’IA et notamment de l’IA générative. Chaque collaborateur doit comprendre les limites des modèles, leurs zones de risque, leurs biais, mais aussi les conditions de leur utilisation responsable. C’est ce que l’on appelle l’AI Literacy : la capacité, pour chaque acteur de l’entreprise, à comprendre les principes, les usages et les limites de l’intelligence artificielle. Elle englobe à la fois la compréhension des algorithmes, la conscience des enjeux éthiques et la connaissance du cadre légal. Sans ce socle partagé, les cas d’usage prolifèrent dans l’angle mort du management, avec des conséquences souvent irréversibles.
Le deuxième levier est celui de la gouvernance. L’IA n’est plus un simple outil d’optimisation : elle devient un système à piloter, à évaluer, à documenter. L’IA Act impose notamment une classification des cas d’usage en fonction de leur niveau de risque, une documentation technique complète, une évaluation de conformité, et un suivi après déploiement. Cette exigence ne peut être portée uniquement par les équipes data ou IT. Elle suppose un pilotage transversal impliquant la direction juridique, les métiers, la conformité et la DSI. C’est à cette condition qu’une entreprise pourra justifier ses choix en cas d’audit, prévenir les dérives et maintenir un niveau de confiance suffisant dans ses outils.
Une responsabilité partagée, un équilibre à trouver
La généralisation de l’IA dans les entreprises appelle une nouvelle forme de responsabilité collective. L’enjeu n’est pas d’opposer innovation et contrôle, mais de les articuler avec lucidité. Les usages individuels et les expérimentations doivent pouvoir coexister avec un cadre de conformité clair, garant de la sécurité, de la traçabilité et de la souveraineté des données.
Cette responsabilité ne repose pas sur un acteur unique. Elle engage à la fois les CDO, les DSI, les directions métiers et juridiques, dans un travail commun de gouvernance. Ce n’est qu’à cette condition que l’IA pourra devenir un levier durable de transformation.
À lire également : Au-delà de la souveraineté : bâtir une liberté numérique européenne
Vous avez aimé cet article ? Likez Forbes sur Facebook
Abonnez-vous au magazine papier
et découvrez chaque trimestre :
- Des dossiers et analyses exclusifs sur des stratégies d'entreprises
- Des témoignages et interviews de stars de l'entrepreneuriat
- Nos classements de femmes et hommes d'affaires
- Notre sélection lifestyle
- Et de nombreux autres contenus inédits
