Gouvernance de l'IA en entreprise : pourquoi la conformité RGPD et IA Act ne peut plus être un sujet réservé au DPOConformité, RGPD, IA Act : dans beaucoup d'entreprises, ces mots renvoient directement à un service : le juridique, le DPO, parfois la DSI. Un sujet que l'on délègue, que l'on coche, et dont on espère ne plus avoir à s'occuper. C'est justement l'angle mort que j'ai voulu creuser dans ce nouvel épisode de Digital Feeling, avec Leïla Chaudhry, consultante et experte en éthique et IA responsable. Nous avions déjà co-animé un webinaire ensemble sur ces questions, et la demande de clarification était trop forte pour s'arrêter là. Dans ce 164 ème épisode, Leïla revient sur ce qui distingue une simple mise en conformité d'une véritable gouvernance de l'IA, sur le risque très concret du Shadow IA, et sur les premières jurisprudences qui commencent à dessiner les contours de la responsabilité des entreprises. Gouvernance de l'IA : une définitionLa gouvernance de l'IA en entreprise désigne l'ensemble des règles, rôles et responsabilités permettant de savoir qui fait quoi avec l'intelligence artificielle, dans quel cadre de sécurité, avec quelles limites, et avec quelle auditabilité. Contrairement à une approche de conformité classique, elle repose sur un pilotage collectif et non sur un seul département. Comme le rappelle Leïla Chaudhry, la gouvernance ne se décrète pas depuis un seul bureau : elle se construit dès qu'une entreprise commence à intégrer des outils liés à l'intelligence artificielle, et elle engage plusieurs fonctions à la fois. Pourquoi la conformité IA ne peut pas reposer sur un seul serviceC'est la première idée forte de cet échange : dès qu'on parle d'IA, les responsabilités s'entremêlent. Il ne s'agit pas d'opposer le juridique, la DSI ou le métier, mais de les faire travailler ensemble au sein d'un même comité de pilotage. Leïla détaille les rôles qui doivent, selon elle, être représentés autour de la table : - Le métier / business owner, qui prend la décision et engage l'entreprise vis-à-vis de ses clients- L'IT, qui évalue l'architecture et la performance de la solution- La sécurité, qui contrôle les risques cyber sur la durée de vie du système- Le juridique et la conformité, qui posent le cadre, définissent les usages autorisés et veillent au respect des obligations- Le DPO, sur les questions de données personnelles et d'anonymisationL'objectif : construire une gouvernance suffisamment robuste pour que les responsabilités soient claires et partagées, plutôt que diluées. L'erreur la plus fréquente : se renvoyer la balleSur le terrain, l'erreur qu'elle observe le plus souvent chez ses clients n'est pas un manque de bonne volonté, mais un jeu de ping-pong organisationnel : l'IT qui dit que ce n'est pas son ressort, le métier qui renvoie vers la sécurité ou le juridique, et personne qui n'avance vraiment. Résultat : l'innovation attend, les projets prennent du retard, et l'absence de cadre clair finit par exposer l'entreprise à un non-respect des réglementations. Cette gouvernance n'a d'ailleurs pas besoin d'être lourde ou ultra-formalisée pour être efficace. Ce que décrit Leïla ressemble davantage à un espace de dialogue régulier entre profils non techniques et techniques, chacun apportant sa brique : le juridique pose le cadre, le métier exprime le besoin, l'IT évalue la faisabilité, le DPO signale les points d'anonymisation nécessaires. Le Shadow IA : le risque que la RGPD n'avait pas anticipéDeuxième sujet central de l'épisode, et sans doute le plus concret pour beaucoup d'entreprises : le Shadow IA. On connaît le Shadow IT depuis longtemps ; le Shadow IA en est le prolongement direct, à une différence près : la vitesse à laquelle il se répand. Le Shadow IA désigne l'usage, par des collaborateurs, d'outils d'intelligence artificielle non validés par l'entreprise (souvent des LLM grand public gratuits) pour traiter des données professionnelles, parfois personnelles, confidentielles ou stratégiques. Un chiffre partagé par Leïla lors de notre précédent webinaire donne la mesure du problème : près de 70 % des entreprises auraient déjà été concernées par du Shadow IA, sans même en avoir conscience. Le mécanisme est souvent le même : une entreprise peut interdire l'accès à certains outils sur les postes de travail professionnels, mais rien n'empêche un collaborateur d'utiliser son smartphone personnel pour poser une question, rédiger un email, ou transmettre des informations client : noms, données personnelles, parfois des éléments confidentiels comme un brevet ou un futur modèle de véhicule pas encore annoncé. Pourquoi les dirigeants sous-estiment ce risqueLeïla identifie plusieurs biais récurrents chez les dirigeants : - Le biais de la fausse sécurité : penser que les données de l'entreprise sont bien protégées, alors qu'elles transitent par des outils grand public sans consentement ni cadre.- Le biais de la taille : se dire que la CNIL cible surtout les grands groupes (Google, Amazon) et que les sanctions record ne concernent pas les PME.- Le calcul de risque à court terme : préférer encaisser une éventuelle amende plutôt que d'investir dans la formation ou l'accompagnement, sans intégrer le coût réel d'un contrôle.Or, comme le rappelle Leïla, la réglementation s'applique à toutes les entreprises, quelle que soit leur taille. Une sanction proportionnelle au chiffre d'affaires reste un choc financier, même pour une structure modeste. Comment limiter le Shadow IA sans bloquer l'innovationInterdire ne suffit pas : dans les faits, un employeur ne peut pas empêcher l'usage d'un LLM sur un terminal personnel. La réponse de Leïla repose sur trois leviers complémentaires : - Sensibiliser les équipes aux enjeux RGPD et IA Act, au-delà d'une simple charte d'usage signée une fois- Cartographier et classifier les données selon leur niveau de sensibilité (données publiques déjà disponibles en ligne vs données confidentielles ou stratégiques à chiffrer et dont le partage doit être strictement encadré)- Proposer une alternative interne : mettre à disposition des collaborateurs une IA d'entreprise ou des outils intégrés, pour qu'ils gagnent en productivité sans ouvrir de faille de sécuritéSur ce dernier point, elle évoque, sans entrer dans le détail technique, la possibilité de s'appuyer sur des modèles déjà entraînés (elle cite Mistral à titre d'exemple) et de les adapter avec les données propres de l'entreprise plutôt que de partir de zéro. Conformité et souscription : ce que change une licence entrepriseUn point que nous n'évoquons pas assez souvent : souscrire une licence entreprise à un outil d'IA générateur (Claude, ChatGPT en version professionnelle) plutôt que de laisser les équipes utiliser des comptes gratuits change la donne en matière de confidentialité et de chiffrement des échanges avec, pour Google, quelques conditions à vérifier de plus près. Ce n'est pas gratuit, mais c'est aussi ce qui permet de sécuriser réellement les usages plutôt que de les subir. Et cela pose une question de fond que Leïla formule très clairement : faire de l'IA pour faire de l'IA n'a pas de sens. Avant de déployer un outil auprès de tous les collaborateurs, la vraie question est de savoir qui en a réellement besoin, pour quel usage, et pour quel gain de productivité. RGPD, IA Act : une superposition de textes, pas une redondance Beaucoup d'entreprises se demandent si le RGPD, antérieur à la démocratisation de l'IA générative, est encore adapté. Pour Leïla, la réponse tient en un principe simple : il n'y a pas d'IA sans données, et il n'y a pas d'IA de qualité sans données de qualité donc pas d'IA sans RGPD. L'IA Act ne remplace pas le RGPD : il vient s'y superposer, avec ses propres exigences en matière de gestion des risques algorithmiques, notamment sur les sujets à fort enjeu humain. Les premières jurisprudences à connaîtreLeïla cite plusieurs précédents qui donnent une idée assez nette des priorités des autorités : Cas Sujet Enseignement CNIL vs Amazon Algorithmes de surveillance de la productivité (rythme de travail, pauses) Les outils de contrôle algorithmique du travail sont une cible prioritaire des sanctions Algorithmes de tri de CV (ATS) Biais introduits par les données d'entraînement, pas par l'algorithme lui-même Un système entraîné sur les profils "qui ont réussi" dans l'entreprise peut reproduire des discriminations existantes (âge, profil type) Air Canada Chatbot ayant transmis une information erronée à un client L'entreprise reste juridiquement responsable des décisions prises par ses outils d'IA, y compris un simple chatbot Employé licencié après usage d'une IA "gratuite" Faute liée à l'usage d'un outil non validé, avec impact client L'employeur ne peut pas se dédouaner en argumentant que c'est "la faute du salarié", l'entreprise reste responsable. Un principe commun ressort de ces exemples : on ne peut jamais reporter la responsabilité sur "la faute de la machine". L'IA reste un outil ; la responsabilité juridique reste entièrement du côté de l'entreprise qui le déploie. Sur le sujet spécifique des ATS et du recrutement, Leïla voit dans l'IA Act une opportunité positive : en imposant des degrés de protection pour les décisions à impact humain, le texte pourrait justement remettre un peu d'humain dans des processus de recrutement devenus, depuis des années déjà, largement automatisés et parfois déshumanisants. Privacy by Design : intégrer la conformité dès la première minuteDernier point structurant de l'échange : à quel moment intégrer la conformité dans un projet IA ? La réponse de Leïla est sans ambiguïté : dès la conception, en s'appuyant sur le principe de Privacy by Design.