Données responsables : consentement et minimisation comme avantage concurrentiel

Soixante-dix-sept pour cent des projets IA en entreprise échouent à passer en production, selon l’AI Index publié par Stanford HAI en 2023. Parmi les causes identifiées, la qualité des données arrive en tête, devant les problèmes d’architecture ou de talent. Cette statistique devrait modifier en profondeur la façon dont les directions générales et les équipes techniques pensent leurs actifs de données, mais elle est rarement lue pour ce qu’elle dit : les organisations qui accumulent des données sans gouvernance précise construisent sur du sable. À l’inverse, celles qui appliquent rigoureusement le consentement éclairé et la minimisation comme principes d’ingénierie disposent d’un corpus plus dense, plus fiable, et plus défendable face aux régulateurs. La qualité et l’éthique de la donnée ne s’opposent pas à la performance des systèmes IA : elles en sont la condition.

Le consentement éclairé : un signal de qualité que les architectures IA sous-exploitent

Lorsqu’une donnée est collectée avec un consentement précis, documenté et révocable, elle porte avec elle une métadonnée de confiance que les données aspirées en masse n’ont pas. Thomas, directeur data d’un groupe d’assurance de taille intermédiaire, l’a mesuré concrètement : après avoir refondu son processus de collecte pour exiger un consentement granulaire par usage, le volume brut de données disponibles a diminué de 30 %, mais le taux de cohérence des jeux d’entraînement a progressé de 18 points. « Nous avons arrêté de nourrir nos modèles avec des données dont on ne savait pas pourquoi elles existaient dans notre système », explique-t-il. Le modèle de scoring qu’il pilotait a vu ses performances de prédiction augmenter sans aucun changement architectural.

Cette logique rejoint ce que défend Laurence Devillers, chercheuse en IA émotionnelle et professeure à Sorbonne Université, dans ses travaux sur la confiance homme-machine : la qualité d’un système IA est indissociable de la qualité de la relation de collecte qui l’a précédé. Un modèle entraîné sur des données obtenues sans consentement explicite transporte dans ses poids une incertitude sur la représentativité réelle des comportements capturés. Cette incertitude est rarement quantifiée, rarement auditée, et presque jamais portée à la connaissance du ComEx qui valide le déploiement.

La CNIL, dans ses recommandations sur les systèmes d’IA publiées en 2023, insiste précisément sur ce point : le consentement n’est pas une formalité juridique à cocher en amont d’un projet, c’est une exigence qui conditionne la licéité de l’entraînement et, par extension, la durabilité du système en production. Les organisations qui intègrent cette exigence dans leurs pipelines de données dès la phase de conception réduisent leur exposition au risque de retrait de données en cours de déploiement, un scénario coûteux que peu d’équipes techniques anticipent.

La minimisation des données : une contrainte d’ingénierie qui améliore les modèles

Le principe de minimisation posé par le RGPD oblige à ne collecter que les données strictement nécessaires à la finalité déclarée. Dans les équipes data, ce principe est souvent vécu comme une limite imposée de l’extérieur, rarement comme un levier de performance. Pourtant, les travaux du NIST sur l’évaluation des systèmes d’IA soulignent que la prolifération de variables non pertinentes dans les jeux d’entraînement est l’une des sources les plus fréquentes de biais non détectés : un modèle entraîné sur trop de variables corrélées apprend des raccourcis statistiques qui ne reflètent pas la causalité sous-jacente.

Céline, data scientist dans une organisation du secteur de la santé au travail, a conduit une expérience révélatrice. Son équipe travaillait sur un modèle de prédiction d’absentéisme. Le premier corpus comportait 140 variables RH et comportementales collectées sur cinq ans. Après application stricte du principe de minimisation, 40 variables ont été retirées, soit parce que leur finalité de collecte ne correspondait pas à l’usage du modèle, soit parce qu’elles introduisaient une corrélation avec des proxies sensibles (zone géographique, ancienneté dans un périmètre qui recoupait l’origine). Le modèle final, entraîné sur 100 variables, affichait une AUC supérieure de 0,04 point et un taux de faux positifs significativement réduit. « On a amélioré le modèle en retirant des données, pas en en ajoutant », résume-t-elle. Ce résultat contre-intuitif est documenté dans plusieurs publications récentes, notamment celles de Timnit Gebru et de ses co-autrices sur les biais systémiques dans les grands corpus, qui montrent que la densité ne compense pas l’imprécision des finalités de collecte.

Gouvernance de la donnée : l’écart entre la politique affichée et l’architecture réelle

La plupart des organisations de taille significative disposent aujourd’hui d’une politique de gouvernance des données. Ce document existe dans les serveurs, souvent rédigé à l’occasion d’un audit RGPD ou d’une certification. Il décrit les principes de consentement, les durées de conservation, les responsables de traitement. Mais entre ce document et les pipelines de données qui alimentent les modèles IA, l’écart est fréquemment abyssal.

L’AI Now Institute, dans son rapport annuel 2023, documente ce phénomène sous le terme de « governance theater » : des processus de gouvernance formellement corrects qui ne modifient pas les pratiques opérationnelles. Les équipes de data engineering travaillent sous pression de délais, avec des outils qui ne rendent pas visible la provenance des données, et sans mécanisme systématique de vérification du consentement au moment de l’ingestion. Le résultat est un système IA dont personne ne peut affirmer avec certitude que les données d’entraînement respectent les conditions de collecte initiales.

Pour un DSI ou un CDO, ce risque a une traduction concrète : un modèle déployé sur des données dont le consentement est contestable peut être attaqué en production, entraîner un retrait contraint, et exposer l’organisation à des sanctions. La CNIL a prononcé en 2023 plusieurs mises en demeure liées précisément à des usages secondaires de données personnelles dans des contextes IA. L’OCDE, dans son cadre de gouvernance des données de 2022, recommande aux organisations d’instaurer une traçabilité end-to-end du consentement dans leurs architectures data, de la collecte au pipeline d’entraînement. Cette recommandation reste majoritairement ignorée dans les feuilles de route techniques que nos équipes observent.

Faire de la qualité éthique un critère d’évaluation des équipes techniques

La transformation la plus structurante n’est pas technique : elle est managériale. Tant que les équipes data engineering sont évaluées sur le volume de données ingérées, la vitesse de mise en production des pipelines et la performance brute des modèles, elles n’ont aucune incitation à traiter le consentement et la minimisation comme des priorités. Ces critères coûtent du temps à respecter. Ils ralentissent les premières phases d’un projet. Ils obligent à des conversations difficiles avec les métiers sur ce qu’il est licite de collecter.

Karim, directeur des systèmes d’information d’un groupe de distribution présent dans six pays européens, a reconfiguré les OKR de ses équipes data en 2022 pour intégrer un indicateur de « data debt éthique » : une mesure du pourcentage de données en production dont la finalité de collecte est documentée et conforme à l’usage actuel. En dix-huit mois, cet indicateur a fait remonter 23 % de données dont la finalité ne correspondait plus à aucun traitement actif. Son équipe les a supprimées. « On a réduit notre surface d’attaque réglementaire et nos coûts de stockage en même temps », dit-il. Ce type de résultat, invisible dans les tableaux de bord de performance IA traditionnels, constitue pourtant un avantage concurrentiel réel : une organisation dont les données sont propres, traçables et consenties déploie plus vite, audite plus facilement, et résiste mieux aux contrôles extérieurs.

Cette évolution managériale rejoint la thèse défendue par Gary Marcus, cogniticien et critique des grands modèles de langage, selon laquelle la robustesse des systèmes IA repose moins sur la puissance de calcul que sur la qualité du substrat de données et la rigueur des processus qui l’entourent. Un modèle bien gouverné ne surperforme pas nécessairement un modèle sur-paramétré en conditions de laboratoire. Il tient mieux dans la durée, en conditions réelles, face à des données de production qui dérivent.

« La donnée responsable n’est pas un idéal éthique séparé de la performance : c’est la condition opérationnelle d’une IA qui fait croître ce qui compte vraiment. », La rédaction Afervescence

Vers une ingénierie de la confiance comme standard de production

Les équipes qui redéfiniront leur rapport à la donnée au cours des prochaines années ne le feront pas uniquement sous la pression des régulateurs. Elles le feront parce que le marché des talents l’exige, parce que leurs clients leur posent des questions sur la provenance des données qui alimentent les décisions automatisées, et parce que leurs propres systèmes IA leur renvoyent des signaux de dégradation qui trouvent leur source dans des corpus mal gouvernés.

L’ingénierie de la confiance, telle que plusieurs équipes pionnières commencent à la formaliser, repose sur trois pratiques concrètes : une traçabilité du consentement intégrée dans les métadonnées dès la collecte, une revue de minimisation obligatoire avant toute ingestion dans un pipeline d’entraînement, et un audit de finalité avant chaque déploiement en production. Ces pratiques ne ralentissent pas les projets sur leur durée totale. Elles évitent les reprises coûteuses en fin de parcours, quand un modèle arrive en production avec des données contestées.

Les organisations qui construisent ces pratiques aujourd’hui bâtissent un actif de données qui prend de la valeur dans le temps, au lieu de se déprécier sous le poids de la dette technique et réglementaire. C’est cette logique d’actif durable, et non la conformité subie, qui transforme la qualité éthique de la donnée en avantage concurrentiel.

Pour aller plus loin, decouvrez notre accompagnement des organisations et notre approche.

Et si la donnée responsable était, dans les cinq prochaines années, le facteur de différenciation le plus durable entre les organisations dont les systèmes IA tiennent leurs promesses et celles qui recommencent perpétuellement leurs chantiers ?

Questions fréquentes sur les données responsables et la gouvernance IA