À quoi ressemble vraiment la gouvernance de l'IA

La plupart des équipes entendent « gouvernance de l'IA » et imaginent un comité, une politique de 40 pages et une approbation trimestrielle. C'est précisément cette image qui fait échouer les programmes. Le rapport IBM Cost of a Data Breach 2025 révèle que 63 % des organisations ayant subi une violation n'ont aucune politique de gouvernance de l'IA ou sont encore à la rédiger — et parmi les entreprises ayant déclaré une violation d'un modèle ou d'une application d'IA, 97 % ne disposaient pas des contrôles d'accès de base.

Gartner prévoit que plus de 40 % des projets d'IA agentique seront abandonnés d'ici fin 2027, invoquant des coûts croissants, une valeur floue et des contrôles de risque insuffisants. Bien menée, la gouvernance n'est pas une bureaucratie ajoutée après coup — c'est ce qui empêche un projet de faire partie de ces 40 %. Reformulez-la ainsi : quels systèmes d'IA exploitons-nous, qu'est-ce que chacun pourrait briser, et quel contrôle l'empêche. Les cadres ci-dessous ne sont que trois angles sur cette même question.

Ce ne sont pas des solutions de rechange. Ils s'empilent.

ISO/IEC 42001 est une norme de système de gestion — la première pour l'IA, publiée en décembre 2023. Si vous avez vécu ISO 27001, vous en connaissez déjà la forme : portée documentée, rôles, processus de risque, contrôles, audit interne, revue de direction, amélioration continue. C'est la seule des trois pour laquelle on peut être certifié, d'où sa reconnaissance par les équipes d'approvisionnement et les régulateurs. Voyez-la comme le classeur qui prouve que le programme existe et fonctionne.

Le cadre NIST AI Risk Management Framework est le manuel du travail contenu dans ce classeur. Volontaire, appuyé par le gouvernement américain, il s'articule autour de quatre fonctions — Govern, Map, Measure, Manage. Son profil pour l'IA générative (NIST AI 600-1) va plus loin et nomme 12 catégories de risques, dont la « confabulation » (hallucination). NIST dit comment repérer et traiter un risque ; ISO 42001 dit comment faire fonctionner le système qui le fait de façon répétée.

La Loi sur l'IA de l'UE n'est ni un système de gestion ni un manuel — c'est une loi, avec des dents. Elle classe les systèmes d'IA par niveau de risque (interdit, élevé, limité, minimal) et rattache des obligations à chacun. Les amendes atteignent 35 M€ ou 7 % du chiffre d'affaires annuel mondial pour les pratiques interdites, et 15 M€ ou 3 % pour la non-conformité à haut risque. L'interdiction des usages prohibés s'applique depuis février 2025 ; les obligations à haut risque arrivent en août 2026. Si vous opérez dans l'UE ou y vendez, c'est l'échéance qui transforme la gouvernance d'une « bonne hygiène » en exposition financière au niveau du conseil.

Retirez les noms de cadres et un programme fonctionnel se résume à cinq artefacts concrets :

1. Un inventaire des systèmes d'IA. Une liste vivante de chaque modèle, point de terminaison LLM, outil fournisseur et agent en usage — y compris ceux de l'ombre. On ne gouverne pas ce qu'on ne voit pas, et l'IA fantôme n'est pas gratuite : IBM estime qu'elle ajoute environ 670 K$ US à la violation moyenne, les violations impliquant une IA non autorisée coûtant environ 16 % de plus que la moyenne mondiale de 4,44 M$ US.

2. Un niveau de risque par système. Empruntez les classes de la Loi sur l'IA de l'UE même hors UE — c'est une façon nette de trier. Un modèle qui recommande des produits n'est pas celui qui décide d'un crédit. Le classement indique où concentrer l'effort de contrôle.

3. Des contrôles sur les systèmes qui comptent. Gestion des accès (le contrôle absent chez 97 % des entreprises violées), journalisation et surveillance, supervision humaine sur les décisions importantes, et évaluation avant déploiement. L'injection de requête occupe le 1er rang du palmarès OWASP Top 10 pour les applications LLM pour la deuxième édition consécutive et représente 17 % des attaques propres à l'IA — les garde-fous entrée/sortie sur tout LLM doté d'accès à des outils ou d'entrées non fiables sont donc incontournables.

4. Un responsable. Le State of AI de McKinsey révèle que près de 30 % des organisations affirment maintenant que leur PDG est directement responsable de la gouvernance de l'IA — le double de l'an dernier. La responsabilité a un nom et un calendrier, sinon elle n'existe pas.

5. Une boucle de surveillance. Les modèles dérivent. Une étude sur 32 jeux de données a révélé que 91 % des modèles d'apprentissage automatique se dégradent avec le temps. Un contrôle posé une fois et jamais vérifié est un contrôle qu'on n'a plus.

L'ordre importe plus que l'exhaustivité. Les équipes qui veulent tout faire d'un coup produisent le PDF de politique que personne ne lit. Procédez ainsi :

1. L'inventaire avant la politique. Consacrez les premières semaines à découvrir ce qui tourne réellement, plutôt qu'à rédiger des règles pour un cas hypothétique. La plupart des organisations sont surprises de ce qu'elles trouvent — puisque 78 % des organisations utilisent maintenant l'IA dans au moins une fonction, la réponse est rarement « rien ».

2. Classez l'inventaire. Répartissez les systèmes par classe de risque. C'est là qu'on découvre que 80 % de l'empreinte IA est à faible risque et qu'une poignée de systèmes porte presque toute l'exposition. Concentrez-vous là.

3. Contrôlez d'abord les systèmes à haut risque. Accès, journalisation, supervision humaine, évaluation — sur les rares systèmes qui peuvent réellement nuire. C'est la boucle NIST Map → Measure → Manage appliquée à une courte liste, pas un chantier sans fin.

4. Encadrez le tout dans un système de gestion, puis certifiez ou attestez. Une fois les contrôles en place, la structure d'ISO 42001 (rôles, audit, revue) rend le programme durable et fournit l'artefact que réclament l'approvisionnement et les régulateurs. La certification est la dernière étape, pas la première — elle certifie une chose qui fonctionne déjà.

Notez la dépendance : la gouvernance des données soutient tout le reste. Gartner prévoit que les organisations abandonneront 60 % des projets d'IA non soutenus par des données prêtes pour l'IA d'ici 2026, 63 % n'ayant pas les bonnes pratiques de gestion des données. Si votre couche de données est désordonnée, corrigez-la en parallèle — les contrôles de gouvernance reposent dessus.

Pour les banques, les assureurs et les organisations de santé, c'est désormais la conformité qui bloque, pas la technologie. Le State of Generative AI in the Enterprise de Deloitte montre que la préoccupation liée à la conformité réglementaire est passée de 28 % à 38 % pour devenir le premier frein à l'adoption de l'IA générative. Le réflexe est d'attendre une certitude parfaite. C'est une erreur — les incidents grimpent alors que les contrôles ne suivent pas. L'AI Index de Stanford a recensé 233 incidents liés à l'IA en 2024, un record et une hausse de 56,4 % sur 2023.

Deux modes d'échec reviennent. D'abord, traiter la gouvernance comme un projet ponctuel plutôt qu'une fonction continue — le programme est livré, le responsable passe à autre chose, et l'inventaire devient obsolète en un trimestre. Ensuite, acheter un outil au lieu de bâtir la boucle — un tableau de bord de gouvernance dont personne n'est responsable d'agir n'est que du théâtre. La solution : doter la fonction de personnel — un responsable clair, une cadence de revue récurrente, et des personnes chevronnées ayant réellement mis en place des contrôles en environnement réglementé.

C'est précisément le travail pour lequel la pratique Sécurité et gouvernance de l'IA de Maverin est conçue — aligner un programme sur ISO 42001, le NIST AI RMF et la Loi sur l'IA de l'UE, sans le diaporama de stratégie de six mois. Pour le traitement détaillé spécifique aux services financiers, notre bibliothèque d'analyses approfondit ce à quoi ressemble un programme d'IA gouverné au sein d'une banque.