Le déficit de gouvernance : pourquoi la loi européenne sur l’IA marque le moment où les conseils d’administration ne peuvent plus considérer la conformité comme le problème d’autrui

Le déficit de gouvernance : pourquoi la loi européenne sur l’IA marque le moment où les conseils d’administration ne peuvent plus considérer la conformité comme le problème d’autrui.

By Rébecca Harper • 4 juin 2026 • 7 min de lecture

La réglementation européenne sur l'IA est déjà en vigueur, les sanctions sont appliquées et la plupart des entreprises ne peuvent pas classer leurs propres systèmes d'IA. Le déficit de gouvernance n'est plus théorique ; il constitue un passif inscrit au bilan.

Depuis trois ans, les conseils d'administration déploient avec enthousiasme l'IA dans le recrutement, l'octroi de crédit, le service client, les opérations et la stratégie. La plupart l'ont fait sans mettre en place l'architecture de gouvernance nécessaire. Désormais, le cadre réglementaire est en place et il est contraignant.

Certaines dispositions de la loi européenne sur l'IA sont déjà en vigueur. L'interdiction des pratiques inacceptables en matière d'IA est entrée en vigueur en février 2025. Les sanctions applicables aux fournisseurs de modèles d'IA à usage général ont été activées en août 2025. L'application intégrale de la réglementation relative aux systèmes d'IA à haut risque se fera progressivement entre août et décembre 2027. D'ici là, il ne s'agit pas d'un simple répit, mais de toute la marge de manœuvre.

Pourtant, le déficit de préparation est frappant. Une étude d'appliedAI portant sur 106 systèmes d'IA d'entreprise a révélé que 40 % d'entre eux étaient incapables d'identifier clairement leur propre classification de risque au regard de la loi. L'étape la plus élémentaire du processus de conformité reste inachevée pour une grande partie des déploiements en entreprise. La majorité des dirigeants considèrent désormais la non-conformité réglementaire comme leur principale préoccupation en matière d'IA. Le facteur limitant réside dans la réponse opérationnelle.

C’est là le nœud du problème. L’investissement dans l’IA est bien réel. La pression concurrentielle pour son déploiement est bien réelle. L’obligation réglementaire est désormais bien réelle. Ce qui n’a pas suivi le même rythme, c’est la gouvernance.

Le fossé dont personne ne parle

La plupart des discussions sur l'IA en entreprise restent centrées sur les capacités et les investissements. Le débat sur la gouvernance a pris du retard, et les conséquences se font déjà sentir.

Selon le rapport IO State of Information Security, 79 % des organisations ont adopté l'IA ou l'apprentissage automatique au cours des 12 derniers mois, et 19 % supplémentaires prévoient de le faire. Le déploiement de l'IA est donc quasi universel. Or, le manque de gouvernance qui en découle est d'autant plus criant que 37 % des organisations signalent que leurs employés utilisent l'IA générative sans autorisation.

Des recherches complémentaires menées par IBM indiquent que les incidents liés à l'IA parallèle ont représenté 20 % des violations de données au cours de l'année écoulée, et que 11 % des organisations victimes d'une violation ignoraient avoir subi un incident de ce type. La conséquence pour la conformité à la loi sur l'IA est directe : lorsqu'un employé déploie l'IA à l'insu de l'organisation, celle-ci peut exploiter des systèmes d'IA à haut risque qu'elle ne peut ni classifier, ni surveiller, ni contrôler. En vertu de la loi, la responsabilité incombe alors au déployeur.

On ne peut gouverner ce qu'on ne voit pas. Et la plupart des organisations ne peuvent pas encore visualiser l'intégralité de leur IA.

Ce problème ne se limite pas à un seul secteur de l'entreprise. La loi européenne sur l'IA impose des obligations simultanées en matière de sécurité de l'information, de protection des données et de gouvernance de l'IA. Tout système d'IA traitant des données personnelles est soumis à la fois à cette loi et au RGPD. Tout système intégré au recrutement, à l'octroi de crédit ou à la prise de décision client engendre des obligations pour son déploiement, qu'il ait été développé en interne ou acquis auprès d'un fournisseur. Les contrats avec les fournisseurs doivent désormais définir les responsabilités en matière de conformité à la réglementation sur l'IA. La gouvernance de l'IA relève de la responsabilité de l'organisation.

La plupart des organisations répartissent ces fonctions dans des pièces séparées, ce qui donne lieu à des discussions distinctes. Cette fragmentation constitue précisément la vulnérabilité structurelle que la loi mettra en lumière.

La réglementation va plus loin que ce que la plupart des conseils d'administration comprennent actuellement.

Le barème des sanctions est conséquent : des amendes pouvant atteindre 35 millions d’euros ou 7 % du chiffre d’affaires annuel mondial pour les violations les plus graves, un plafond qui dépasse même celui du RGPD.

La responsabilité personnelle des dirigeants est prévue par la loi. Son champ d'application est extraterritorial. Toute organisation dont les systèmes d'IA affectent les utilisateurs ou les marchés de l'UE est concernée, quel que soit son siège social. Londres, New York, Singapour : si votre IA est en contact avec l'UE, vous êtes soumis à cette obligation. Les entreprises britanniques qui pensent bénéficier d'une quelconque protection grâce à la distance réglementaire post-Brexit se trompent.

L'obligation découle du système, et non du drapeau.

Il s'agit d'un calendrier, et non d'une date future unique. Les interdictions sont déjà en vigueur. Les sanctions relatives à l'IA à usage général sont déjà appliquées. Décembre 2027 n'est pas une échéance lointaine. Mettre en place une infrastructure de gouvernance intégrée pour des fonctions qui opèrent actuellement de manière indépendante, selon des cycles différents et avec des outils différents, prend plus de temps que la plupart des organisations qui appliquent des programmes de conformité réactifs n'en ont.

Pourquoi le modèle de la case à cocher ne fonctionne pas

La réponse traditionnelle en matière de conformité – élaboration d'un document d'évaluation des risques, désignation d'un responsable et planification d'un examen annuel – est inefficace. Les exigences de la loi sont à la fois techniques et opérationnelles. Les systèmes d'IA doivent faire l'objet d'une surveillance continue, d'un enregistrement des données et d'une évaluation de leurs performances actuelles. Les modèles dérivent. Les données d'entraînement deviennent obsolètes. Les contextes de déploiement évoluent. Un modèle de gouvernance axé sur des examens périodiques ne peut suivre le rythme.

Les données d'IO mettent en évidence l'ampleur du phénomène. 54 % des répondants admettent avoir adopté l'IA trop rapidement et rencontrent désormais des difficultés à en limiter l'utilisation ou à la mettre en œuvre de manière plus responsable. Seuls 21 % citent l'établissement de politiques d'utilisation responsable de l'IA comme une priorité pour l'année à venir. Le contraste est frappant : déploiement quasi universel, priorité minimale accordée à la gouvernance.

Plus fondamentalement, aucune fonction ne maîtrise à elle seule l'ensemble des aspects de conformité examinés par la loi. Une équipe juridique qui ne traite que des menaces pesant sur la vie privée laisse des risques liés à la sécurité et à l'IA non couverts. Un RSSI qui ne se concentre que sur la sécurité néglige la classification et la gouvernance des données. Une équipe produit qui ne traite que des risques liés à l'IA n'a aucune visibilité sur le niveau de confidentialité et de sécurité des systèmes dont elle a la charge. Des réponses cloisonnées aux réglementations transversales ne permettent pas une conformité partielle. Elles créent une illusion de conformité, et c'est précisément cette illusion que les autorités de réglementation cherchent à tester.

La boucle de résilience

Ce qui distingue les organisations qui développent une véritable résilience de celles qui gèrent des obligations isolées, c'est que la gouvernance de l'IA ne peut être traitée indépendamment de la sécurité de l'information et de la confidentialité des données, car en pratique, ces risques sont indissociables.

La boucle de résilience, c'est-à-dire la gestion continue et unifiée de la sécurité de l'information, de la confidentialité des données et de la gouvernance de l'IA au sein d'un système intégré unique, constitue la réponse architecturale à cette réalité. Elle permet d'obtenir une vue d'ensemble claire des risques et des mesures d'atténuation, s'adapte aux nouvelles exigences réglementaires et offre le type de résilience démontrable et auditable que les organismes de réglementation, les investisseurs et les entreprises clientes exigent de plus en plus.

Les trois domaines que la loi européenne sur l'IA active simultanément sont précisément les trois domaines que la boucle de résilience unifie. Une organisation fonctionnant déjà de cette manière n'a pas besoin d'adapter a posteriori la conformité à la loi sur l'IA à ses programmes existants. L'infrastructure est déjà en place et couvre l'ensemble des aspects transversaux examinés par la réglementation.

Les organisations qui n'ont pas encore opéré cette transition ne sont pas confrontées à un manque de documentation, mais à un problème d'architecture.

L'analyse concurrentielle

Les secteurs réglementés, tels que les services financiers, la santé et les infrastructures critiques, accélèrent le renforcement des exigences en matière de gouvernance de l'IA pour les fournisseurs et les partenaires. Les processus d'achat des entreprises intègrent de plus en plus d'évaluations de la gouvernance de l'IA. Les investisseurs institutionnels commencent à considérer la maturité du contrôle de l'IA dans leur évaluation des risques.

Les données d'IO confirment une tendance déjà bien établie. Les répondants indiquent que les gains les plus importants en matière de retour sur investissement de la conformité proviennent d'une meilleure prise de décision, de la fidélisation de la clientèle et de nouvelles opportunités commerciales, et ces gains se sont considérablement renforcés d'année en année. La tendance est constante : les organisations qui adoptent rapidement une gouvernance intégrée prennent l'avantage sur celles qui gèrent encore la conformité de manière réactive, non pas parce que la gouvernance en elle-même constitue un avantage concurrentiel, mais parce que l'infrastructure qu'elle met en place permet un déploiement plus rapide et plus sûr des capacités qui le sont.

La loi sur l'IA ne constitue pas un plafond en matière de gouvernance, mais un plancher.

La fenêtre d'opportunité est plus courte que ce que la plupart des conseils d'administration comprennent actuellement.

Décembre 2027 est la date butoir pour les systèmes d'IA à haut risque. La mise en place de l'infrastructure de gouvernance intégrée nécessaire pour respecter cette échéance n'est pas un projet qui débutera au troisième trimestre 2026. Elle commence dès maintenant.

Les organisations qui agiront durant cette période seront en position de force pour se préparer à l'application de la loi. Celles qui attendront devront se conformer à la réglementation sous la pression, face à une échéance déjà visible à l'horizon pour tous les organismes de réglementation.

La question que chaque conseil d'administration devrait se poser n'est pas de savoir s'il faut agir, mais s'il est encore temps. Et pour l'instant, la réponse est oui.