Gouvernance IA en entreprise : ce que les comités de direction ne se disent pas encore

74 % des dirigeants affirment piloter leur intelligence artificielle de façon responsable, selon le baromètre IBM Institute for Business Value 2023. Moins d’un tiers disposent d’un cadre de gouvernance formalisé. L’écart entre ces deux chiffres n’est pas un problème de communication interne : il signale une hypothèse implicite que peu de comités de direction osent formuler à voix haute. Celle que la gouvernance IA serait, en dernier ressort, une question technique, et donc déléguable à la DSI. Cette hypothèse coûte cher. Pas seulement en matière de conformité réglementaire, mais en termes de confiance des équipes, de cohérence des décisions et, à terme, de capacité à faire croître ce qui compte vraiment.

La délégation silencieuse : quand le ComEx signe sans cadrer

Dans la majorité des grandes organisations françaises, le déploiement de l’IA suit un chemin balisé : la DSI ou une équipe data identifie un cas d’usage, un budget est arbitré en COPIL, un pilote est lancé. Le ComEx valide. Ce schéma fonctionne pour les projets IT classiques. Il ne suffit plus dès que l’IA commence à structurer des décisions qui touchent aux personnes, recrutement, évaluation de la performance, allocation de ressources, détection de risques clients.

Myriam, directrice des ressources humaines dans un groupe industriel de 8 000 salariés, a vécu cette limite frontalement. Son équipe avait déployé un outil de scoring des candidatures en 2022, validé par la DSI sur des critères de performance technique. Dix-huit mois plus tard, un audit interne révèle que l’outil sur-sélectionne les profils issus de trois grandes écoles d’ingénieurs. Personne n’avait posé la question de la définition de la performance au moment du cadrage. Ce n’était pas dans le périmètre DSI. Et le ComEx n’avait pas de cadre pour la poser.

Ce que Myriam nomme rétrospectivement une erreur de gouvernance, la chercheuse Timnit Gebru, cofondatrice du Distributed AI Research Institute, l’identifie comme un biais systémique de conception : les systèmes d’IA reproduisent et amplifient les critères que leurs commanditaires n’ont pas explicitement remis en question. La délégation silencieuse du ComEx est précisément ce qui permet à ces critères non examinés de traverser toute la chaîne de déploiement sans jamais être nommés.

Le règlement IA européen : une contrainte ou un outil de cadrage stratégique ?

L’AI Act européen, dont les premières obligations sur les systèmes à haut risque s’appliquent à partir d’août 2026, est généralement présenté aux comités de direction comme un sujet de conformité juridique. Cette lecture est exacte mais incomplète. Le règlement impose une cartographie des usages par niveau de risque, une documentation des données d’entraînement, des mécanismes de supervision humaine et des procédures d’audit. Autant d’éléments qui, si l’on décide de les construire sérieusement, constituent le squelette d’une gouvernance IA opérationnelle.

L’OCDE, dans ses travaux sur les principes d’IA publiés et actualisés depuis 2019, distingue deux postures face à la réglementation : la conformité défensive, qui vise à cocher les cases au moindre coût, et la conformité stratégique, qui utilise les exigences réglementaires pour structurer des décisions que l’organisation aurait dû prendre de toute façon. La différence entre ces deux postures ne tient pas à un écart de ressources. Elle tient à la question que le DG pose, ou ne pose pas, en CODIR avant de mandater l’équipe juridique.

Karim, Chief Digital Officer d’un groupe de services financiers basé à Lyon, a choisi la deuxième posture. Quand son entreprise a engagé le chantier de conformité AI Act en janvier 2024, il a imposé que chaque cas d’usage cartographié soit accompagné d’une fiche de valeur : à qui bénéficie cet usage, qui en supporte les risques, quel humain est responsable de la décision finale ? Ce travail de cartographie a pris quatre mois. Il a aussi produit quelque chose que Karim n’avait pas anticipé : trois projets IA en cours ont été arrêtés, non pas parce qu’ils violaient le règlement, mais parce que la fiche de valeur rendait visible que personne dans l’organisation n’était en mesure d’assumer la supervision humaine requise.

La gouvernance par les données : l’illusion du tableau de bord unique

Une réponse fréquente des organisations qui prennent la gouvernance IA au sérieux consiste à construire un tableau de bord centralisé : indicateurs de performance des modèles, alertes sur les dérives, taux d’erreur par segment. L’intention est louable. L’hypothèse sous-jacente mérite d’être interrogée : celle qu’un tableau de bord unique peut rendre compte de la qualité d’une décision algorithmique.

Gary Marcus, chercheur en sciences cognitives et critique régulier des limites de l’IA profonde, note dans ses travaux que les métriques de performance des modèles mesurent ce que les modèles optimisent, pas nécessairement ce que l’organisation veut obtenir. Un modèle de scoring crédit peut afficher un taux de précision de 94 % sur son jeu de test tout en produisant des refus systématiquement biaisés sur un sous-groupe démographique sous-représenté dans les données d’entraînement. Le tableau de bord ne le voit pas, parce que personne n’a demandé qu’il regarde là.

La gouvernance par les données exige donc deux niveaux distincts de vigilance. Le premier, technique, relève des équipes data : surveillance des métriques, détection de dérive, versioning des modèles. Le second, stratégique, relève du management : définir quelles questions poser aux données, identifier les angles morts des métriques choisies, et décider quand un résultat statistiquement valide est néanmoins inacceptable pour l’organisation. Ce second niveau ne se délègue pas à la DSI. Il appartient au ComEx, avec l’appui d’une fonction éthique ou d’un comité de parties prenantes capable de nommer ce que les chiffres ne voient pas.

La DRH au centre de la gouvernance IA : un rôle que peu d’organisations ont encore formalisé

Le rapport AI Index 2024 de Stanford HAI documente une tendance qui devrait alerter les directions générales : dans 68 % des entreprises qui ont déployé des systèmes IA touchant aux ressources humaines, la DRH n’a pas été impliquée dans la phase de cadrage du projet. Elle intervient en aval, pour gérer les conséquences, réorganisations, résistances internes, questions syndicales, d’un outil dont elle n’a pas défini les critères.

Asma Mhalla, chercheuse spécialisée dans les rapports entre technologie et pouvoir, formule cette dynamique avec précision : les organisations reproduisent dans leurs projets IA les hiérarchies décisionnelles existantes. Si la DRH n’est pas au centre des arbitrages stratégiques en temps normal, elle ne le sera pas davantage quand le sujet est un algorithme de gestion des talents. La gouvernance IA ne crée pas de nouveaux équilibres de pouvoir ; elle révèle ceux qui existent.

Formaliser le rôle de la DRH dans la gouvernance IA implique au minimum trois choses. Premièrement, que la DRH soit présente dans les instances de validation des cas d’usage dès la phase d’idéation, non au moment du déploiement. Deuxièmement, qu’elle dispose d’une capacité d’analyse des données RH produite par les systèmes IA, ce qui suppose un accès aux modèles, pas seulement aux exports. Troisièmement, qu’elle soit explicitement mandatée pour exercer un droit de blocage sur tout usage IA touchant aux décisions individuelles sans supervision humaine identifiée. Ces trois conditions ne relèvent pas de la technique. Elles relèvent d’une décision de gouvernance que seul le DG peut prendre.

« La gouvernance de l’IA ne commence pas quand un modèle part en production. Elle commence quand une organisation décide de nommer ce qu’elle ne veut pas optimiser. » La rédaction Afervescence

Vers une gouvernance IA qui se construit avant les crises

Les organisations les plus avancées sur ce sujet partagent une caractéristique : elles ont formalisé leur gouvernance IA avant d’en avoir besoin, pas en réponse à un incident. Ce n’est pas de la prudence abstraite. C’est une décision de calendrier qui change profondément la nature des arbitrages possibles. Quand la gouvernance se construit en réaction, après un article de presse, après une question en CHSCT, après un audit réglementaire, le ComEx négocie sous contrainte. Les compromis qu’il accepte alors ne correspondent pas nécessairement à ce qu’il aurait choisi dans un contexte délibératif.

Construire la gouvernance en amont suppose d’accepter une temporalité différente de celle des projets technologiques. Un projet IA se mesure en sprints et en mises en production. Une gouvernance se mesure en capacité à prendre de bonnes décisions dans la durée, y compris la décision de ne pas déployer. Ce décalage de temporalité est l’une des raisons pour lesquelles la gouvernance reste le parent pauvre des feuilles de route IA : elle ne produit pas de livrable visible au trimestre.

Les fondations et les boards qui supervisent des organisations à mission sociale font face à une version encore plus exigeante de ce défi. Pour eux, la question n’est pas seulement de savoir si l’IA performe, mais si elle fait croître ce qui compte vraiment pour les bénéficiaires, une mesure que les métriques standard de machine learning ne capturent pas. Cela suppose que le board se dote d’une compétence minimale de lecture des systèmes IA, non pour en superviser le code, mais pour en questionner les critères d’optimisation lors des revues stratégiques.

La gouvernance IA n’est pas une infrastructure à installer. C’est une pratique délibérative à construire, qui exige que les bonnes personnes posent les bonnes questions au bon moment, avant que les modèles aient appris à décider à leur place.

Et si la prochaine réunion de votre ComEx commençait par la question que personne ne pose encore : qu’avons-nous décidé de ne jamais optimiser ?