Pourquoi l’adoption de l’IA va-t-elle plus vite que la gouvernance ?

Les modèles de gouvernance traditionnels ne sont pas adaptés à l’adoption rapide et décentralisée de l’IA.

L’IA n’attend pas les formulaires d’approbation ou les réunions de comité. Elle est déjà utilisée dans la plupart des organisations, par le biais d’outils SaaS, de copilotes intégrés et de systèmes tiers. Le problème est que les structures de gouvernance d’entreprise sont encore conçues pour un monde où les décisions sont prises lentement et en ligne droite. Cela ne correspond pas aux flux de travail actuels pilotés par l’IA.

Ericka Watson, PDG de Data Strategy Advisors et ancienne responsable de la protection de la vie privée chez Regeneron Pharmaceuticals, explique clairement le défi : « Les entreprises conçoivent encore la gouvernance comme si les décisions évoluaient lentement et de manière centralisée. » En pratique, les employés prennent des décisions quotidiennes, souvent par le biais de systèmes de fournisseurs et de fonctions d’IA, sans se rendre compte qu’ils ont contourné les contrôles établis. Lorsque cela se produit, la confidentialité et la propriété des données deviennent floues. Des informations sensibles peuvent quitter des environnements sécurisés sans surveillance, et lorsque la direction réagit, il est souvent trop tard pour inverser l’exposition.

Pour les dirigeants, cela signifie que la gouvernance ne peut plus être réactive. Elle doit s’inscrire dans les flux de travail, là où les gens travaillent réellement. Cela signifie qu’il faut disposer de systèmes capables de mettre en pause ou d’enregistrer les interactions clés de l’IA, de signaler l’utilisation de données restreintes et de surveiller l’évolution des résultats. La gouvernance ne doit pas être un classeur de politiques dans un tiroir ; elle doit être un système actif qui fonctionne en temps réel.

Les dirigeants devraient considérer la gouvernance moderne non pas comme un frein au progrès, mais comme une refonte structurelle qui permet à l’innovation de s’étendre en toute sécurité. Le défi ne réside pas dans la technologie, mais dans le choix du moment et de l’emplacement. Intégrer la gouvernance directement dans les opérations permet aux dirigeants d’avoir une visibilité continue tout en maintenant des cycles de décision rapides et conformes.

Les cadres de gouvernance des données existants sont structurellement inadaptés à la nature dynamique de l’IA générative.

L’IA générative ne fonctionne pas dans les limites de la gouvernance traditionnelle. Elle n’est pas statique. Elle ne suit pas un pipeline de données unique et ne produit pas de résultats prévisibles. Elle apprend, crée et évolue de manière dynamique. Cela rompt avec les hypothèses sur lesquelles la gouvernance classique a été construite.

Fawad Butt, PDG de Penguin Ai et ancien responsable des données chez UnitedHealth Group et Kaiser Permanente, souligne que l’ancienne façon de gérer les données, par le biais d’audits fixes et de systèmes d’enregistrement connus, ne s’applique plus. « Il n’est pas nécessaire qu’il y ait une violation pour qu’un dommage se produise », déclare-t-il. « Les systèmes sécurisés peuvent encore halluciner, faire preuve de discrimination ou dériver. Le point faible n’est pas nécessairement le résultat, mais les entrées. Les messages-guides, les sources de contexte et les bases de données de recherche représentent tous de nouveaux domaines d’exposition que les audits traditionnels négligent souvent.

Les dirigeants doivent concentrer leurs efforts de gouvernance sur ces nouvelles surfaces de risque. Avant de rédiger de longues politiques, ils doivent établir des garde-fous clairs : définir les cas d’utilisation interdits, restreindre l’accès aux sources d’entrée à haut risque et gérer rigoureusement les outils avec lesquels les modèles d’IA peuvent interagir. Une fois ces bases testées et validées, la politique peut suivre le comportement réel du système plutôt que des hypothèses dépassées.

L’IA générative n’échoue pas à cause d’une intention insuffisante ; elle échoue parce que la gouvernance suppose un environnement stable qui n’existe plus. Ce qu’il faut, c’est une gouvernance adaptative, un cadre vivant qui s’ajuste au fur et à mesure que les modèles et les données évoluent. Les chefs d’entreprise qui comprennent que les intrants définissent désormais le risque construiront des systèmes qui préviendront les problèmes avant qu’ils ne prennent de l’ampleur. Il ne s’agit pas seulement de conformité, mais d’intelligence opérationnelle.

Les défis en matière de gouvernance s’étendent profondément aux solutions d’IA fournies par les fournisseurs

Les entreprises apprennent que les risques liés à l’IA restent rarement internes. De nombreux outils dont dépendent les employés, des tableaux de bord analytiques aux systèmes de gestion de la relation client, comprennent désormais des composants d’IA développés par des fournisseurs externes. Ces fonctions intégrées fonctionnent souvent en arrière-plan, ce qui signifie que les entreprises peuvent utiliser des systèmes d’IA puissants qu’elles ne contrôlent pas directement ou qu’elles ne comprennent même pas entièrement.

Richa Kaul, PDG de Complyance, décrit cette situation comme « l’utilisation avant la gouvernance ». Les entreprises examinent généralement les fournisseurs par l’intermédiaire de comités manuels composés de nombreuses parties prenantes, chacune ayant ses propres critères. En l’absence d’une base de référence commune, ces évaluations deviennent incohérentes et passent souvent à côté de questions plus profondes : Les données des clients sont-elles réutilisées pour former les modèles ? Les modèles sont-ils partagés entre les clients ? Les connexions passent-elles par des interfaces d’entreprise sécurisées ou touchent-elles des points d’extrémité d’IA publics ?

Pour les dirigeants, le message est clair : l’IA des fournisseurs n’est plus une préoccupation secondaire. Elle doit faire l’objet d’un examen aussi minutieux que les systèmes internes. L’examen des sous-traitants tiers devrait devenir un point de contrôle de routine en matière de gouvernance. Ces sous-processeurs, souvent cachés derrière les fournisseurs principaux, gèrent les transferts de données et interagissent parfois directement avec les grands modèles de langage (LLM). C’est à ce niveau secondaire que la gouvernance s’effondre souvent parce que la responsabilité n’est pas claire.

Les décideurs doivent considérer la gouvernance des fournisseurs comme la première ligne de la gestion des risques liés à l’IA. Les intégrations de tiers doivent être cartographiées et contrôlées avec la même rigueur que les systèmes internes. L’établissement d’un cadre universel pour l’évaluation des fournisseurs, axé sur le traitement des données, le contrôle d’accès et la transparence de la formation des modèles, permettra de combler la plus grande lacune externe à laquelle la plupart des organisations sont encore confrontées.

Les facteurs comportementaux sont à l’origine d’une mauvaise utilisation prévisible de l’IA et d’incidents répétés

La technologie ne peut pas corriger un comportement qui n’est pas aligné sur une utilisation responsable. Dans tous les secteurs, les employés continuent d’utiliser les outils d’IA générative d’une manière qui enfreint la politique, non pas par malveillance, mais sous la pression d’obtenir des résultats rapidement. Les politiques restrictives ou les interdictions totales ne font souvent qu’aggraver la situation, en poussant l’utilisation de l’IA dans la clandestinité et en la soustrayant aux systèmes de gouvernance.

Asha Palmer, vice-présidente principale des solutions de conformité chez Skillsoft et ancienne procureure fédérale américaine, a constaté cette dynamique à maintes reprises. Elle fait remarquer que « si vous supprimez l’utilisation responsable, les gens l’utiliseront de manière irresponsable ». Le problème n’est pas la sensibilisation : la plupart des employés connaissent les risques liés à l’IA. Le problème est que la formation s’arrête généralement à la prise de conscience au lieu d’aider les gens à développer des habitudes pratiques. Mme Palmer invite les organisations à se concentrer sur le développement de ce qu’elle appelle la « mémoire musculaire morale », une forme structurée de formation comportementale dans le cadre de laquelle les employés s’exercent à porter des jugements judicieux dans des conditions de travail réalistes.

Les régulateurs et les auditeurs accordent une plus grande attention à cette couche comportementale. Ils attendent de plus en plus de preuves que les programmes de formation s’alignent sur les profils de risque réels dans tous les rôles, et pas seulement sur une « connaissance de l’IA » générale. Cette évolution signifie que les cadres de conformité devront documenter la préparation comportementale dans le cadre des preuves de gouvernance, et non comme une fonction RH distincte.

Pour les dirigeants, cela souligne un point stratégique : une gouvernance responsable de l’IA ne peut réussir si les personnes sont exclues du processus. La préparation comportementale, testée, renforcée et mesurable, doit devenir une norme au même titre que la sécurité technique ou la conformité réglementaire. Investir dans cette infrastructure humaine réduira les abus, accélérera l’adoption et renforcera la crédibilité de l’organisation auprès des régulateurs et des clients.

Une gouvernance efficace de l’IA doit se traduire par des décisions commerciales observables et vérifiables plutôt que par une simple documentation.

De nombreuses organisations confondent la possession d’un ensemble de politiques avec une véritable gouvernance. En réalité, la gouvernance n’a de sens que lorsqu’elle modifie la manière dont les décisions sont prises et enregistrées. Si la supervision n’influence pas les lancements de produits, les approbations des fournisseurs ou les sorties de fonctionnalités, elle ne fonctionne pas dans la pratique.

Danny Manimbo, responsable de la pratique ISO et IA chez Schellman, le décrit clairement : « Les principes de l’IA responsable n’ont pas d’importance s’ils n’influencent pas les décisions réelles. » Selon lui, les auditeurs recherchent souvent la preuve que la gouvernance a laissé des traces visibles dans les résultats, tels que des déploiements retardés, des fournisseurs rejetés ou des fonctionnalités limitées. Lorsque la documentation existe sans aucune trace d’impact, elle signale l’immaturité aux régulateurs et aux comités de risque internes.

Pour les cadres, l’objectif devrait être une intégration continue entre la gestion des risques, le contrôle des changements et les processus d’audit. Des normes telles que l’ISO/IEC 42001 fournissent un cadre à cet effet. Elles aident les équipes à passer d’exercices de conformité à des systèmes vivants, c’est-à-dire capables de détecter les risques à un stade précoce, de déclencher des mises à jour de procédures et de démontrer la responsabilité en temps réel.

Les décideurs doivent veiller à ce que la gouvernance laisse des traces mesurables. Si toutes les décisions sont prises sans ajustement, le système manque probablement de profondeur opérationnelle. Traiter la gouvernance de l’IA comme un cycle de gestion continu, et non comme une documentation statique, renforce à la fois la résilience et la crédibilité. Cette approche prépare également les organisations à l’examen réglementaire futur sans ajouter de bureaucratie inutile.

Le principal défi de la gouvernance responsable de l’IA est un défaut de synchronisation, les contrôles sont en retard par rapport au rôle opérationnel omniprésent de l’IA.

Dans tous les secteurs, l’IA façonne désormais le travail quotidien plus rapidement que les systèmes de surveillance ne peuvent s’adapter. Ce décalage entre la vitesse de déploiement et l’état de préparation de la gouvernance est devenu le principal défi à relever pour une adoption responsable de l’IA. Les organisations conçoivent encore des contrôles pour les systèmes d’hier alors que les outils d’IA d’aujourd’hui prennent déjà des décisions dans le monde réel qui affectent l’embauche, les finances et l’interaction avec les clients.

Ericka Watson, de Data Strategy Advisors, note que de nombreuses entreprises manquent encore de visibilité sur l’utilisation de l’IA et prévient : « Vous ne pouvez pas gouverner ce que vous ne pouvez pas voir. » Sans carte de l’empreinte opérationnelle de l’IA, les risques restent cachés dans des processus qui semblent conformes. Fawad Butt, PDG de Penguin Ai, développe ce point en expliquant que les inventaires devraient identifier les « systèmes dans leur contexte » – le même modèle d’IA intégré dans différents départements peut comporter différents niveaux de risque. Richa Kaul, PDG de Complyance, ajoute que le même principe s’applique à l’extérieur, où le traçage des sous-processeurs des fournisseurs révèle souvent des expositions de données invisibles.

Pour les dirigeants, cela signifie que le calendrier et la visibilité doivent devenir les fondements de la gouvernance. L’IA responsable ne peut pas être reportée jusqu’à ce que les cadres soient « prêts ». Chaque retard augmente le risque de déployer des systèmes dont dépendent les décisions, mais que personne ne peut expliquer ou contrôler complètement. La gouvernance doit avancer dans le calendrier de développement et rester active tout au long de la vie opérationnelle de l’IA.

Les dirigeants doivent reconnaître que le choix du moment de la gouvernance est une capacité stratégique. Plus les contrôles sont intégrés rapidement dans les flux de travail relatifs aux produits, aux achats et aux données, plus le coût de la remédiation à long terme est faible. Les organisations qui parviennent à intégrer rapidement la gouvernance gagnent en rapidité, en confiance et en fiabilité réglementaire, tandis que celles qui tardent risquent de perdre à la fois le contrôle et la crédibilité.

Pour combler le fossé de l’IA responsable, il faut intégrer des pratiques de gouvernance contextuelles, fondées sur l’utilisation et informées par le comportement.

Le chemin vers une IA responsable ne passe pas par la création de politiques parfaites, mais par la mise en place de systèmes qui guident les décisions au fur et à mesure qu’elles sont prises. L’IA évolue trop rapidement et fonctionne sur trop de points de contact pour que la supervision traditionnelle puisse suivre. Pour combler le fossé de la gouvernance, il faut intégrer des contrôles dans les processus quotidiens tout en les gardant suffisamment flexibles pour répondre au changement.

Cela nécessite un changement d’état d’esprit au sein des équipes dirigeantes. La gouvernance doit s’exercer là où le travail a lieu, à l’intérieur des logiciels, des flux de travail d’approvisionnement et du développement de produits, et non plus comme une étape de révision après que les décisions ont été prises. Ce changement nécessite également de se concentrer sur les schémas d’utilisation et le comportement humain, et pas seulement sur les performances des modèles. Le suivi de la manière dont les employés interagissent avec l’IA, du type de données traitées et de la manière dont les résultats sont appliqués offre la visibilité nécessaire pour gérer les risques en temps réel.

Asha Palmer, vice-présidente principale des solutions de conformité chez Skillsoft, souligne que la technologie ne peut à elle seule combler ce fossé et que les organisations doivent former leurs employés aux pressions qui conduisent à de mauvaises décisions. Danny Manimbo, de Schellman, insiste sur la nécessité d’une responsabilité qui laisse des preuves visibles, tandis qu’Ericka Watson, de Data Strategy Advisors, Fawad Butt, de Penguin Ai, et Richa Kaul, de Complyance, soulignent collectivement que la visibilité, le contrôle des intrants et la surveillance des fournisseurs sont les piliers d’une gouvernance pratique. Ensemble, leurs points de vue mettent en évidence une vérité : la surveillance de l’IA ne fonctionne que lorsqu’elle est contextuelle, continue et alignée à la fois sur les processus et les comportements.

Pour les cadres, cela signifie qu’il faut remplacer les règles statiques par des structures adaptatives. Établissez très tôt des cas d’utilisation interdits, contrôlez la manière dont les entrées et les sorties se déplacent dans les systèmes et mettez en place une formation comportementale qui reflète la pression décisionnelle du monde réel. Traitez les fournisseurs d’IA tiers comme faisant partie de l’écosystème de risque interne, et non comme des exceptions externes. Ces actions renforcent la transparence et l’agilité nécessaires pour soutenir une croissance responsable de l’adoption de l’IA.

Les dirigeants devraient considérer la gouvernance intégrée comme un avantage opérationnel à long terme, et non comme une simple exigence de conformité. Lorsque la gouvernance est intégrée aux opérations, elle réduit les risques inconnus, accélère les délais d’approbation et accroît la confiance de l’organisation dans les décisions basées sur l’IA. Les entreprises qui agissent maintenant se positionnent pour innover plus rapidement sous contrôle, tandis que d’autres auront du mal à rectifier le tir une fois que les systèmes et les comportements sont déjà verrouillés.

Dernières réflexions

L’IA n’est plus une initiative future qui se trouve sur un plateau stratégique. Elle façonne déjà la manière dont les décisions sont prises, dont les données circulent et dont les clients font l’expérience des produits. Le véritable risque ne réside pas dans l’adoption, mais dans le retard. Une gouvernance en retard sur l’utilisation transforme une innovation confiante en un contrôle réactif.

Pour les chefs d’entreprise, le message est simple : faire passer la gouvernance de la politique à la pratique. Installez le contrôle là où le travail se fait. Auditez les intrants, et pas seulement les extrants. Traitez les systèmes des fournisseurs comme les vôtres. Formez vos collaborateurs à agir de manière responsable sous la pression. La gouvernance doit passer d’une surveillance statique à un système vivant qui observe, ajuste et enregistre les décisions au fur et à mesure qu’elles se produisent.

Les organisations qui agissent maintenant agiront plus rapidement et de manière plus sûre. Elles comprendront comment l’IA touche chaque partie de leurs opérations, et elles seront en mesure de prouver leur contrôle lorsque les régulateurs ou les clients le demanderont. Celles qui attendent se retrouveront à gérer les séquelles au lieu des résultats.

Une gouvernance efficace de l’IA n’est pas un obstacle à l’innovation. C’est l’infrastructure qui permet à l’innovation d’évoluer en toute confiance.