L’intelligence artificielle est entrée dans une nouvelle phase.
Elle n’est plus un sujet d’exploration, mais un sujet de décisions stratégiques, souvent prises sous tension, entre l’injonction d’aller vite, la nécessité d’identifier les bons cas d’usage et un cadre réglementaire en évolution rapide. Le règlement européen sur l’IA s’applique de manière progressive depuis le 1er août 2024, et la prochaine échéance structurante demeure, à ce stade, le 2 août 2026, date à laquelle la majorité des règles entreront en application, y compris les obligations de transparence prévues par l’article 50.
Pour les CDO, cela change profondément la nature du sujet. La gouvernance de l’IA ne peut plus être abordée comme un simple chantier de conformité, ni comme un sujet purement technique. Elle devient une capacité de pilotage à part entière : une manière d’arbitrer un portefeuille de cas d’usage, d’aligner la donnée, les métiers, l’IT et le risque, et de faire passer l’IA à l’échelle sans perdre la maîtrise.
Trois réalités qui imposent aux organisations d’agir dès maintenant
1. L’IA s’impose désormais dans les arbitrages de transformation de l’entreprise
Les organisations ne se demandent plus seulement s’il faut expérimenter, mais où investir, sur quels usages se positionner, comment industrialiser et sous quelles conditions de maîtrise. Cette accélération place les entreprises sous tension : il faut avancer vite pour capter la valeur, tout en évitant de déployer des systèmes mal compris, mal encadrés ou insuffisamment sécurisés.
L’enjeu n’est donc plus uniquement technologique. Il est désormais stratégique, car les décisions liées à l’IA touchent directement les modèles opérationnels, les processus critiques, les interactions avec les clients, la dépendance aux fournisseurs et la capacité de l’organisation à démontrer qu’elle garde le contrôle.
2. La préparation à l’AI Act doit commencer dès maintenant
Même si des discussions sont en cours dans le cadre du Digital Omnibus, la Commission européenne continue d’indiquer que le 2 août 2026 reste une échéance centrale pour l’entrée en application de la majorité des dispositions, tandis que les travaux d’accompagnement réglementaire et de standardisation se poursuivent.
Un point est d’ores et déjà clair : à cette échéance, les obligations de transparence de l’article 50 viseront notamment les IA génératives, les systèmes interactifs et les deepfakes. La Commission indique que ces obligations couvrent notamment l’information des personnes lorsqu’elles interagissent avec un système d’IA, le marquage des contenus générés ou manipulés dans un format lisible par machine, ainsi que l’information du public lorsque des contenus artificiels ou manipulés sont diffusés. Elle précise également que les solutions mises en œuvre doivent être, dans la mesure du possible techniquement, fiables, efficaces, interopérables et robustes.
Pour un CDO, cela signifie que la réglementation ne doit pas être traitée en aval, une fois les usages déjà lancés. Elle doit être intégrée dès la phase de cadrage, au même titre que la donnée, l’architecture cible, les dépendances fournisseurs, la supervision humaine et les exigences de traçabilité. Les organisations qui attendent le dernier moment prendront le risque de subir la réglementation au lieu de la piloter.
3. L’exposition aux risques s’élargit et impose une gouvernance continue
À mesure que les usages se diffusent, l’exposition de l’entreprise s’élargit elle aussi. Les risques ne sont pas uniquement réglementaires. Ils sont également cyber, opérationnels, réputationnels et parfois directement business, lorsque l’IA influence des processus sensibles, des prises de décision ou des interactions visibles de l’extérieur. Le risque est aussi de voir se constituer, au fil des projets, un portefeuille IA difficile à lire, difficile à comparer, difficile à prioriser et donc difficile à industrialiser durablement.
Dans ce contexte, la gouvernance de l’IA ne peut plus être traitée comme un sujet ponctuel, ni comme une simple documentation de l’existant. Elle doit devenir un pilotage continu, structuré et proportionné, capable d’accompagner l’évolution des usages, des obligations, des fournisseurs et des risques réels dans le temps.
Les 3 fondamentaux de la gouvernance IA
Dans ce contexte, trois fondamentaux s’imposent :
1. Cartographier les systèmes d’IA et les cas d’usage réellement déployés
Le premier fondamental consiste à savoir précisément quelles IA sont utilisées dans l’organisation. Cela inclut les systèmes développés en interne, les composants intégrés dans des outils métiers, les assistants, les solutions de fournisseurs et les services externes reposant sur des modèles d’IA.
Sans inventaire fiable, il devient impossible de déterminer quels systèmes sont réellement en jeu, quelles fonctions ils remplissent, quels flux ils mobilisent, à quels fournisseurs ils exposent l’organisation et quelles obligations peuvent s’appliquer. La gouvernance de l’IA commence donc par la visibilité.
Cette cartographie n’est pas un inventaire administratif : c’est la condition de base d’un pilotage crédible. Sans vision consolidée, il devient impossible d’arbitrer les priorités, de comparer les usages, d’anticiper les obligations applicables ou de comprendre où se situent réellement les points de dépendance et de fragilité.
2. Qualifier les risques réels associés à chaque système
Le deuxième fondamental consiste à qualifier les risques réels, et pas uniquement à appliquer une lecture théorique des textes. Il s’agit d’évaluer, pour chaque système, les risques réglementaires, mais aussi les risques technologiques, cyber, contractuels, métiers et réputationnels.
Une gouvernance utile n’est pas abstraite. Elle doit permettre de distinguer les systèmes les plus sensibles, de hiérarchiser les priorités, d’identifier les points de vigilance concrets et d’orienter les efforts là où l’exposition est réelle. C’est cette capacité de qualification qui permet de passer d’une logique de recensement à une logique de pilotage.
3. Piloter dans le temps les actions nécessaires
Le troisième fondamental consiste à organiser le suivi dans la durée des actions nécessaires. Les réponses à apporter ne sont pas seulement juridiques. Elles peuvent être contractuelles, technologiques, organisationnelles ou liées à la cybersécurité.
Cela suppose de suivre, dans le temps, les exigences applicables, les mesures à mettre en œuvre, les dépendances fournisseurs, la documentation à produire, les plans de remédiation, les contrôles internes et les arbitrages de coûts. L’objectif n’est pas de multiplier les couches de gouvernance, mais de disposer d’un dispositif lisible, soutenable et réellement opérationnel.
Une gouvernance outillée pour garder la maîtrise
C’est précisément pour répondre à ces enjeux que nous avons développé Naaia, une solution de gouvernance centralisée de l’IA.
Elle permet de constituer un repository unique des systèmes d’IA, de qualifier automatiquement les niveaux de risque, d’identifier les obligations applicables et de générer les plans d’action associés, y compris vis-à-vis des fournisseurs. Les évolutions réglementaires y sont intégrées en continu, afin de sécuriser le pilotage et de libérer les équipes des charges de veille et de coordination.
Pour un CDO, l’enjeu est clair : disposer d’une vision consolidée pour arbitrer plus vite, industrialiser plus sereinement et garder la maîtrise sur les systèmes réellement déployés dans l’entreprise.
Conclusion
En matière d’IA, la difficulté n’est plus seulement d’innover. Elle est de choisir les bons usages, de les faire passer à l’échelle et de décider vite sans perdre la maîtrise.
Et cette maîtrise ne repose ni sur une approche purement documentaire, ni sur une lecture isolée du risque réglementaire. Elle repose sur une gouvernance capable de relier cas d’usage, données, risques, obligations, fournisseurs et plans d’action dans un cadre lisible, outillé et soutenable dans le temps.