Javascript is required
logo-dastralogo-dastra

Premiers pas vers une gouvernance efficace de l’IA

Premiers pas vers une gouvernance efficace de l’IA
Leïla Sayssa
Leïla Sayssa
10 juillet 2025·12 minutes de lecture

À mesure que les systèmes d’IA s’intègrent dans l’ensemble des activités des entreprises, la question n’est plus de savoir s’ils nécessitent une gouvernance, mais comment la mettre en place efficacement. Cela est d’autant plus crucial que nous savons désormais qu’aucun report ne sera prévu dans l’application du règlement européen sur l’IA (AI Act).

En attendant, vous devriez déjà déployer un véritable cadre de gouvernance de l’IA. Beaucoup d’organisations s’appuient sur les bases solides de conformité offertes par le RGPD. Mais l’IA introduit de nouvelles couches de complexité et de risques qui exigent une gouvernance adaptée, une responsabilité renforcée et une supervision plus rigoureuse. Il n’existe pas de modèle universel.

Vous pouvez structurer votre gouvernance en suivant le calendrier de l’AI Act, ou considérer l’AI Act comme le texte de référence le plus exigeant, à l’image du RGPD au niveau international. Mais le véritable défi est d’aller au-delà des principes généraux pour concevoir des cadres opérationnels de gouvernance, non pas uniquement parce que « l’AI Act l’impose », mais parce que c’est essentiel pour un usage durable et de confiance de l’IA.

Une gouvernance efficace permet d’identifier et de gérer les risques liés à l’utilisation et au développement de systèmes d’IA. C’est aussi un avantage réputationnel et concurrentiel d’être transparent et responsable dans l’usage de l’IA, tout en réduisant les coûts de conformité.

Nous avons récemment organisé un atelier sur la gouvernance de l’IA lors de la conférence CPDP.ai à Bruxelles avec environ 30 participants, avec une trentaine de participants, principalement des DPO, responsables privacy et compliance officers. Les résultats sont présentés dans cet article.

Où en sont les entreprises ?Nous avons commencé par demander aux participants d’évaluer la maturité de leur organisation en matière de conformité IA. Le constat ? La majorité se situe encore aux premières étapes de préparation à l’AI Act. Beaucoup cherchent encore à combler l’écart entre obligations générales et mise en œuvre opérationnelle.

Adaptez la gouvernance à votre organisation

La gouvernance de l’IA ne consiste pas à appliquer un standard figé. L’enjeu est de mettre en place une gouvernance proportionnée, pratique et alignée sur le fonctionnement réel de votre entreprise :

  • Créez des modèles internes d’analyses et revues spécifiques à l'IA qui s'alignent sur vos processus d'évaluation des fournisseurs existants.

  • Définissez comment appliquer opérationnellement les principes éthiques de l’IA, à l’image du « privacy by design » sous le RGPD : intégrez équité, explicabilité et robustesse directement dans le cycle de développement de l'IA.

  • Cartographiez vos systèmes d’IA, internes ou externalisés, en répliquant la logique du ROPA (registre RGPD).

  • Évaluez les risques selon vos procédures établies, mais avec une grille spécifique à l’IA.

  • Clarifiez les responsabilités comme vous l’avez fait pour vos parties prenantes.

Intégrer, ne pas isoler

La gouvernance de l’IA ne doit pas évoluer en silo. Elle doit refléter la taille, le secteur, l’appétence au risque et le mode opératoire de votre organisation.

  • Dans les grandes structures, l’IA peut être supervisée par des comités risques ou éthiques, voire par des comités IA dédiés, en lien avec les équipes privacy, audit et sécurité.

  • Dans les PME, il n’est pas nécessaire de créer une fonction IA dédiée. L’essentiel est de répartir les responsabilités et d’assurer une coordination transversale.

Un outil comme une matrice RACI peut aider à clarifier qui est responsable de quoi.

Au cours de nos échanges, nous avons constaté la grande diversité des approches possibles. Dans certaines entreprises, la gouvernance de l’IA a émergé des équipes informatiques ou data. Dans d’autres, elle a été initiée par les équipes privacy, qui disposaient d’une visibilité précoce sur les risques réglementaires.

Les points de décision, tels que la fixation des seuils de tolérance aux biais ou la validation des modèles à haut risque, sont encore en cours de définition. Beaucoup d’organisations manquent encore de processus clairs permettant d’impliquer de manière cohérente l’ensemble des équipes concernées.

Il existe différents modèles opérationnels selon la taille et le secteur. Quoi qu'il en soit, il n'existe pas de solution universelle. L'élément essentiel est l'engagement transversal.


Nous sommes convaincus que le DPO doit être le pilote de la conformité IA. Dans la majorité des cas, l’IA implique du traitement de données personnelles : il est donc logique que les nouveaux enjeux liés aux données soient intégrés dans le champ de responsabilité du DPO.

Développer une stratégie d'IA qui va au-delà de la simple conformité

Une gouvernance efficace se définit par la manière dont les décisions sont prises, appliquées et suivies dans l’entreprise. Posez-vous les bonnes questions :

  • La gouvernance de l’IA est-elle perçue comme une simple tâche de conformité ou comme une capacité stratégique ?

  • Quand éthique et pressions commerciales s’affrontent, quelle priorité prévaut ?

Au niveau de la direction et afin d'éviter des initiatives d'IA fragmentées et inconsistantes à travers l'entreprise, une stratégie d'IA devrait définir :

  • Les objectifs globaux de l'utilisation de l'IA,

  • Les règles et paramètres de déploiement, clarifiant où l'IA devrait ou ne devrait pas être appliquée,

  • Et les ressources financières et humaines allouées pour faire fonctionner tout cela.

La gouvernance de l'IA doit être plus que des politiques statiques. C'est un cadre vivant, façonné quotidiennement par des choix qui reflètent les valeurs de votre entreprise, que ce soit un PDG finançant une formation malgré des préoccupations budgétaires, un conseiller juridique remettant en question un cas d'utilisation risqué mais rentable, ou des ingénieurs retardant un lancement pour traiter le biais.

La gouvernance ne doit pas être un ajout tardif, mais intégrée à la planification stratégique, alignée sur la gestion globale des risques et de la qualité.

Une fois fixée, cette stratégie devient la référence pour les décisions opérationnelles : évaluations de projets, analyses de risques, suivi post-déploiement, attribution des responsabilités. Elle garantit que les data scientists, les équipes produit, les responsables de conformité et les partenaires s'alignent sur les valeurs, les obligations juridiques et l'appétit pour le risque de l'organisation.

Réduire l'exposition aux risques par la gouvernance

En fonction de l'étape du cycle de vie de l'IA et du rôle de chaque partie prenante, différents risques peuvent surgir. La gouvernance joue un rôle crucial dans l'identification, l'évaluation et la mise en œuvre de mesures pour traiter les risques souvent sous la forme :

  • Réglementaires (sanctions), réputationnelles (perte de clients) ;
  • Cyberattaques, biais ou hallucinations, discrimination ;
  • Perte ou fuite de données confidentielles, propriété intellectuelle ;

Ces risques doivent être évalués collectivement, à la lumière de la finalité du cas d’usage.
Exemple : un outil RH de présélection de candidats n’expose pas aux mêmes risques qu’un outil surveillant des actualités publiques.

Une fois les risques identifiés, des mesures d'atténuation devraient être mises en place telle que l'anonymisation des données personnelles, le renforcement des clauses contractuelles avec les fournisseurs et les utilisateurs, ou la programmation d'audits réguliers.

Quand les mesures de réduction des risques s’avèrent insuffisantes, il peut être nécessaire de renforcer les garde-fous, voire d’abandonner certains cas d’usage.

Gouvernance des données : un pilier essentiel

La gouvernance de l’IA doit s’appuyer sur une pleine visibilité des données utilisées. Il est essentiel de connaître l’origine et la méthode de collecte des données, non seulement pour la conformité, mais aussi pour instaurer la confiance. Le maintien de données inutiles augmente le risque de violations ou d'abus dans les systèmes d'IA.

Cela suppose :

  • de solides flux de travail et contrôles sur la qualité des données (par exemple, créer un questionnaire pour identifier et évaluer les outils d'IA à la lumière de l'AI Act);

  • la création d’un registre des systèmes IA (surveys internes, intégration dans le ROPA, audits réguliers, etc.), étape essentielle ici et vous donnera la visibilité nécessaire.

  • des mises à jour fréquentes pour garder la cartographie pertinente.

Certaines organisations n'ont qu'une liste des outils utilisés. D'autres réalisent des enquêtes internes ou des tickets de gestion du changement pour repérer de nouveaux usages de l'IA. Quelques-unes intègrent ces mises à jour dans leur registre de traitement et effectuent des revues annuelles ou à la demande. D'autres ont externalisé la tâche à des consultants qui ont réalisé une liste des outils auprès de chaque équipe.

Quelle que soit votre méthode, vous devez commencer à cartographier vos systèmes d'IA quelque part, d'une manière ou d'une autre.

Cependant, le succès dépend de flux de travail tels que la standardisation des informations collectées, l'automatisation partielle du processus de collecte lorsque cela est possible, et la mise à jour régulière des informations pour garder la cartographie de l'IA pertinente.

Nous l'avons simplifié pour vous ici.

De la promesse floue à la politique concrète

Établir des politiques est essentiel pour définir la position de votre organisation sur l'IA. Cela aide à contrôler l'utilisation, à modérer et à réduire les risques d'incidents.

  • Mettez en place des règles internes claires pour le développement, l'acquisition, les tests, le déploiement et la surveillance de l'IA.
  • Définissez comment les principes éthiques (comme l'équité, la responsabilité, la transparence) sont mis en pratique.
  • Enregistrez la documentation technique des systèmes d'IA et les documents de transparence fournis par les fournisseurs.
  • Evaluez la maturité de l'IA des prestataires de services ou celle des appels d'offres.
  • Il est également essentiel de revoir la politique de confidentialité, les T&C et la documentation de conformité, autant que possible compte tenu de la difficulté d'accès ou de la négociation, pour prendre en compte des aspects tels que la propriété intellectuelle et la cybersécurité.
  • Mise en place de clauses contractuelles pour traiter les risques liés à l'IA.

Évitez les promesses vagues (« nous éviterons les biais ») et privilégiez des engagements précis (« tests sous X jours, publication sous une semaine »).

Comme un logiciel, les politiques doivent être mises à jour régulièrement.

Au-delà de l'obligation d'alphabétisation et de la maîtrise de l'IA

Bien que l’AI Act (article 4) mentionne l’exigence de d'alphabétisation et de maîtrise en matière d’IA, aucune sanction directe n’y est attachée. Toutefois, les régulateurs pourraient considérer un manque d'action en ce sens comme un facteur aggravant lors de l’évaluation des violation.

Une logique comparable à celle appliquée au manque de diligence raisonnable dans la gestion des biais, par exemple.

Cela suppose de bâtir une organisation qui comprend réellement pourquoi elle recourt à l’IA et comment en maîtriser les risques et les avantages. Former régulièrement les équipes et s’assurer qu’elles utilisent les outils d’IA de manière responsable est crucial, et ne peut se limiter à une action ponctuelle.

Pourquoi est-ce si important ? Prenons l’exemple du Shadow AI : il constitue un signal précoce révélant l’écart entre la vitesse de l’innovation en IA et la gouvernance interne. Dans la pratique, cela peut se traduire par un incident de sécurité, comme celui survenu chez Samsung, lorsque des ingénieurs ont divulgué du code propriétaire en le partageant via ChatGPT.

\

**Notre atelier a clairement montré : la formation en IA spécifique aux rôles devrait être une priorité absolue parmi les initiatives d'alphabétisation, allant des simulations de violations de données, à la création de permissions par niveaux et plus encore. Des stagiaires aux dirigeants, l'alphabétisation en matière d'IA doit devenir une partie intégrante de la culture.

Le référentiel vivant publié par le bureau de l'IA fournit des exemples pour accompagner la mise en œuvre de cette littératie, sans toutefois offrir de présomption automatique de conformité.

Conclusion : de l’observation prudente à l’action

Le temps de l’observation est révolu. Il est désormais temps d’intégrer la gouvernance de l’IA dans l’ADN de votre organisation, comme cela a été fait avec le RGPD.

Vous souhaitez passer des obligations abstraites aux processus concrets ? Discutons-en ici.

Avec Dastra, la gouvernance de l’IA devient réalité.

Et si vous souhaitez en lire davantage, consultez l'article suivant de cette "Série IA" : Cartographie des systèmes d’IA : une étape clé

Série IA : Partie 3
A propos de l'auteur
Dastronaut
Leïla Sayssa
Inscrivez-vous à notre newsletter

Nous vous enverrons quelques emails pour vous tenir informé de notre actualité et des nouveautés de notre solution

* Vous pourrez toujours vous désinscrire sur chaque newsletter.