Javascript is required
logo-dastralogo-dastra

Comment commencer avec la gouvernance de l'IA

Comment commencer avec la gouvernance de l'IA
Leïla Sayssa
Leïla Sayssa
10 juillet 2025·14 minutes de lecture

Alors que les systèmes d'IA s'intègrent dans les opérations commerciales, la question n'est pas de savoir s'ils nécessitent une gouvernance, mais comment l'implémenter efficacement. Cela est d'autant plus crucial maintenant que nous savons qu'il n'y aura aucun délai dans l'application de la loi sur l'IA de l'UE.

Parallèlement, vous devriez déjà déployer un cadre de gouvernance de l'IA approprié. De nombreuses organisations s'appuient déjà sur de solides bases de conformité comme le RGPD. Cependant, l'IA introduit de nouvelles couches de complexité et de risque qui nécessitent une gouvernance sur mesure, une responsabilité plus aiguë et une supervision plus rigoureuse. Il n'existe tout simplement pas de modèle universel.

Vous pourriez structurer votre gouvernance de l'IA en suivant le calendrier de la loi sur l'IA de l'UE. Ou considérer la loi sur l'IA de l'UE comme le texte le plus strict, similaire à la norme internationale qui est devenue le RGPD. Cependant, le défi est de passer au-delà des principes généraux et de concevoir des cadres de gouvernance opérationnelle — non seulement parce que "la loi sur l'IA le dit," mais parce que c'est essentiel pour l'utilisation durable et fiable de l'IA.

Une bonne gouvernance vous permet d'identifier et de naviguer dans les risques découlant de l'utilisation et du développement de systèmes d'IA. C'est également un avantage réputationnel et concurrentiel d'être transparent et responsable lors de l'utilisation de l'IA. Cela peut également contribuer à réduire les coûts de conformité.

Nous avons récemment organisé un atelier de gouvernance de l'IA lors de l'événement CPDP.AI à Bruxelles avec environ 30 participants, principalement des DPO, des responsables de la protection de la vie privée et des professionnels de la conformité. Les résultats seront partagés tout au long de cet article.

Passons en revue les points les plus importants de la gouvernance de l'IA.

Nous avons commencé par leur demander d'évaluer la conformité de leur organisation en matière d'IA. Le résultat ? La plupart se voient au stade précoce de la préparation pour la loi sur l'IA de l'UE. Beaucoup commencent juste à combler le fossé entre des obligations de haut niveau et des opérations quotidiennes.

Adapter : Personnaliser la gouvernance à votre organisation

Une gouvernance efficace de l'IA ne consiste pas à reproduire une norme rigide. La clé est de garantir que votre gouvernance est proportionnée, pratique et fermement ancrée dans le fonctionnement réel de votre entreprise :

  • Envisagez de développer des modèles internes pour des revues spécifiques à l'IA qui s'alignent sur vos processus d'évaluation des fournisseurs existants.
  • Définissez comment votre organisation opérationnalisera les principes éthiques de l'IA tout comme vous l'avez fait sous le RGPD : adoptez le même état d'esprit que pour la protection de la vie privée ou la sécurité dès la conception, intégrez l'équité, l'explicabilité et la robustesse directement dans le cycle de développement de l'IA.
  • Cartographiez vos systèmes d'IA, qu'ils soient développés en interne ou sourcés à l'extérieur, en utilisant la même approche que celle que vous avez utilisée pour votre ROPA.
  • Évaluez les risques à travers vos étapes d'évaluation des risques établies, mais avec des lunettes d'IA.
  • Clarifiez la propriété comme vous l'avez déjà fait pour vos parties prenantes qui connaissent leurs rôles.

Intégrer, ne pas isoler

La gouvernance humaine de l'IA ne devrait pas vivre dans un silo.

Elle doit refléter la taille, l'industrie, l'appétit pour le risque et le mode de fonctionnement de votre organisation. Les petites entreprises pourraient ne pas avoir d'équipes d'IA dédiées, et c'est bien. Il n'y a aucune obligation de créer des fonctions dédiées.

De nombreuses organisations intègrent la surveillance de l'IA dans leurs comités de risque ou d'éthique, ou établissent des conseils d'IA dédiés qui collaborent étroitement avec les équipes de confidentialité, d'audit et de sécurité. Par exemple, vous pourriez avoir le CTO gérer le développement technique, le responsable de la protection de la vie privée se concentrer sur la conformité des données, et le directeur des risques superviser les risques spécifiques à l'IA.

Dans tous les cas, l'IA ne peut pas être gérée isolément. Elle nécessite un scrutin multidépartemental, un alignement avec les valeurs d'entreprise, permettant une coordination efficace entre les différents départements et garantissant que les différents risques sont correctement compris et gérés.

Élaborer un RACI peut être un moyen efficace de déterminer qui est responsable de quoi.

Lors de nos discussions, nous avons vu à quel point ces approches peuvent être diverses. Dans certaines entreprises, la gouvernance de l'IA a émergé des équipes informatiques ou de données. Dans d'autres, elle a commencé sous les équipes de confidentialité qui avaient une visibilité précoce sur le risque réglementaire. Les points de décision, tels que qui fixe les seuils de tolérance au biais ou qui donne le feu vert aux modèles à haut risque, sont encore en évolution. Beaucoup manquent encore de processus clairs pour impliquer de manière cohérente toutes les équipes pertinentes.

Quoi qu'il en soit, il n'existe pas de solution universelle. L'élément essentiel est l'engagement transversal, et il existe différents modèles opérationnels selon la taille et le secteur.

Nous sommes convaincus que le Délégué à la Protection des Données (DPO) devrait être en charge de la conformité de l'IA. Dans la grande majorité des cas, l'intelligence artificielle implique le traitement de données personnelles. Il est donc logique que les nouvelles questions liées aux données soient pleinement intégrées dans le champ d'application plus large des responsabilités du DPO.

Développer une stratégie d'IA qui va au-delà de la simple conformité

Une gouvernance efficace est définie par la manière dont les décisions sont prises, appliquées et soutenues à travers l'entreprise. Demandez-vous :

  • La gouvernance de l'IA est-elle considérée dans votre entreprise comme une simple tâche de conformité, ou comme une capacité critique ?

  • Lorsque les pressions éthiques et commerciales entrent en collision, laquelle a la priorité ?

La gouvernance de l'IA doit être plus que des politiques statiques. C'est un cadre vivant, façonné quotidiennement par des choix qui reflètent les valeurs de votre entreprise, que ce soit un PDG finançant une formation malgré des préoccupations budgétaires, un conseiller juridique remettant en question un cas d'utilisation risqué mais rentable, ou des ingénieurs retardant un lancement pour traiter le biais.

Établir une stratégie d'IA au niveau managérial : une stratégie claire sur l'IA est fondamentale pour une bonne gouvernance. Elle signale que l'IA n'est pas considérée comme une expérience technique isolée ou un ensemble de projets éparpillés, mais comme une capacité stratégique gérée avec un but et une supervision.

Au niveau de la direction et afin d'éviter des initiatives d'IA fragmentées et inconsistantes à travers l'entreprise, une stratégie d'IA devrait définir :

  • Les objectifs globaux de l'utilisation de l'IA,

  • Les règles et paramètres de déploiement, clarifiant où l'IA devrait ou ne devrait pas être appliquée,

  • Et les ressources financières et humaines allouées pour faire fonctionner tout cela.

Guider les décisions opérationnelles de haut en bas : une fois établie au niveau managérial, cette structure stratégique devient la référence pour toutes les décisions tactiques et opérationnelles — des évaluations de projets aux évaluations des risques, du suivi post-déploiement à l'attribution des responsabilités. Elle garantit que les data scientists, les équipes produit, les responsables de conformité et les partenaires s'alignent sur les valeurs, les obligations juridiques et l'appétit pour le risque de l'organisation.

Intégrer la gouvernance directement dans la planification stratégique : La gouvernance ne doit pas être une réflexion après coup. Elle doit être intégrée à la manière dont les projets d'IA sont budgétisés, priorisés et mesurés, en s'alignant avec des objectifs plus larges de gestion des risques et de qualité.

Réduire l'exposition aux risques par la gouvernance

En fonction de l'étape du cycle de vie de l'IA et du rôle de chaque partie prenante, différents risques peuvent surgir. La gouvernance joue un rôle crucial dans l'identification, l'évaluation et la mise en œuvre de mesures pour traiter ces risques. Ces risques peuvent concerner des questions telles que :

  • Réglementaires (sanctions), réputationnelles (perte de clients) ;
  • Cyberattaques, biais ou hallucinations, discrimination ;
  • Perte ou fuite de données confidentielles, propriété intellectuelle ;

Il est important de ne pas examiner chaque risque isolément mais de les considérer collectivement, en gardant toujours à l'esprit l'objectif de l'utilisation du cas d'IA.

  • Par exemple, un système d'IA utilisé par les RH pour évaluer les candidats pose des risques très différents d'un outil d'IA qui surveille simplement les nouvelles publiques quotidiennes.

Une fois les risques identifiés, des mesures d'atténuation appropriées devraient être mises en place — comme l'anonymisation des données personnelles, le renforcement des clauses contractuelles avec les fournisseurs et les utilisateurs, ou la programmation d'audits réguliers.

Si ces mesures s'avèrent insuffisantes pour réduire adéquatement les risques, ou si elles échouent à protéger les droits et libertés des individus, il peut être nécessaire d’adopter **des protections encore plus strictes. Dans certains cas, cela pourrait finalement signifier décider de ne pas poursuivre un cas d'utilisation particulier de l'IA.

Cartographier et connecter à la gouvernance des données

Assurez-vous que les systèmes d'IA sont gouvernés avec une visibilité totale sur leurs bases de données. Liez vos pratiques de qualité et de responsabilité en gestion des données à la supervision de l'IA.

Connaître l’origine et la méthode de collecte des données est essentiel, non seulement pour la conformité légale, mais aussi pour renforcer la confiance et rendre les systèmes d'IA plus responsables. Le maintien de données inutiles augmente le risque de violations ou d'abus dans les systèmes d'IA.

Pour garder votre conformité à jour, de solides flux de travail et contrôles sur la qualité des données sont essentiels. Par exemple, créer un questionnaire pour identifier et évaluer les outils d'IA à la lumière de la loi sur l'IA.

Créer un registre des systèmes d'IA est une étape essentielle ici et vous donnera la visibilité nécessaire.

Certaines organisations n'ont qu'une liste lâche des outils. D'autres réalisent des enquêtes internes ou des tickets de gestion du changement pour repérer de nouveaux usages de l'IA. Quelques-unes intègrent ces mises à jour dans leur ROPA (registre du RGPD) et effectuent des revues annuelles ou à la demande. D'autres ont engagé quelqu'un pour analyser tous les cas d'utilisation en contactant tous les départements et en faisant une liste de ce qu'ils ont trouvé.

Quelle que soit votre méthode, vous devez commencer à cartographier vos systèmes d'IA quelque part, d'une manière ou d'une autre. Cependant, le succès dépend de flux de travail tels que la normalisation des informations collectées, l'automatisation partielle du processus de collecte lorsque cela est possible, et la mise à jour régulière des informations pour garder la cartographie de l'IA pertinente.

Nous l'avons simplifié pour vous ici.

Des promesses vagues à des politiques réelles

Établir des politiques est essentiel pour définir la position de votre organisation sur l'IA. Cela aide à contrôler l'utilisation, à modérer et à réduire les risques d'incidents.

  • Mettez en place des règles internes claires pour le développement, l'acquisition, les tests, le déploiement et la surveillance de l'IA.
  • Définissez comment les principes éthiques (comme l'équité, la responsabilité, la transparence) sont mis en pratique.
  • Outils pour enregistrer la documentation technique des systèmes d'IA et les documents de transparence fournis par les fournisseurs.
  • Outil pour évaluer la maturité de l'IA des prestataires de services ou pour évaluer les appels d'offres.
  • Il est également essentiel de revoir la politique de confidentialité, les T&C et la documentation de conformité, autant que possible compte tenu de l'accès ou de la négociation difficile, pour prendre en compte des aspects tels que la propriété intellectuelle et la cybersécurité.
  • Clauses contractuelles types pour traiter les risques liés à l'IA.

Évitez des promesses vagues dans vos politiques telles que 'nous éviterons les hallucinations ou les biais' et remplacez-les par des exigences concrètes telles que 'subir des tests d'un certain type, sous un certain nombre de jours, et déployer une semaine après confirmation'.

Pensez aux politiques comme à des logiciels, elles nécessitent des mises à jour régulières pour rester pertinentes.

Au-delà de l'obligation d'alphabétisation de la loi sur l'IA

Bien que la loi sur l'IA (article 4) fasse référence à l'alphabétisation en matière d'IA, il n'y a pas de sanctions directes qui y soient liées. Mais les régulateurs pourraient considérer qu'un manque d'alphabétisation est un facteur aggravant dans l'évaluation des violations de la loi lorsque celle-ci commencera à avoir un effet plus large dès ce mois d'août. Semblable au facteur de manque de diligence raisonnable dans la gestion du biais, par exemple.

Le dossier vivant du bureau de l'IA de l'UE donne des exemples pour soutenir la mise en œuvre de l'alphabétisation (mais ne confère pas automatiquement présomption de conformité).

L'alphabétisation en matière d'IA va bien au-delà de la simple vérification des cases. Il s'agit de bâtir une organisation qui comprend véritablement pourquoi elle utilise l'IA et comment gérer les risques et les bénéfices. Former régulièrement les équipes et s'assurer qu'elles utilisent les outils d'IA de manière responsable est essentiel et ne peut pas être un événement unique.

Pourquoi ? Prenons ShadowAI. C'est votre signal précoce d'un écart entre la vitesse de l'innovation en IA et la gouvernance organisationnelle. Des exemples concrets pourraient prendre la forme d'un incident de sécurité interne, similaire à celui auquel Samsung a été confronté lorsque des ingénieurs ont divulgué du code propriétaire en le partageant avec ChatGPT.

Notre atelier a clairement montré : la formation en IA spécifique aux rôles devrait être une priorité absolue parmi les initiatives d'alphabétisation, allant des simulations de violations de données, à la création de permissions par niveaux et plus encore. Des stagiaires aux dirigeants, l'alphabétisation en matière d'IA doit devenir une partie intégrante de la culture.

Le temps de l'observation prudente est terminé

Il est temps d'intégrer la gouvernance de l'IA dans votre ADN, tout comme nous avons appris à le faire avec le RGPD.

Vous voulez explorer comment passer d'obligations abstraites à des processus concrets ? Discutons-en ici.

En résumé : la gouvernance est vivante et bien portée. Du moins, c'est le cas avec l'aide de Dastra !

Inscrivez-vous à notre newsletter

Nous vous enverrons quelques emails pour vous tenir informé de notre actualité et des nouveautés de notre solution

* Vous pourrez toujours vous désinscrire sur chaque newsletter.