· le vrai problème

Une charte n'est pas une gouvernance.

La majorité des organisations ont produit des documents sur leur usage de l'IA. Principes éthiques, chartes responsables, politiques d'utilisation. Ces documents sont nécessaires. Ils ne sont pas suffisants.

La gouvernance IA ne consiste pas à énoncer des principes. Elle consiste à répondre à des questions très concrètes : Qui décide quoi sur l'IA ? Qui supervise les systèmes déployés ? Qui répond en cas de défaillance ? Qui valide les nouveaux déploiements ? Ces questions n'ont pas de réponse dans la plupart des chartes existantes.

La gouvernance IA n'est pas un document. C'est une structure de responsabilités, de décisions et de supervision.
· ce que l'ia déplace réellement

L'IA ne transforme pas les processus. Elle déplace les centres de décision.

C'est la distinction que la plupart des Comex ne font pas encore clairement. Quand un système IA est intégré dans un processus RH, financier ou opérationnel, ce n'est pas seulement le processus qui change. C'est la structure de décision qui change.

Des décisions qui étaient prises par des personnes identifiables, responsables, auditables — sont maintenant influencées ou prises par des systèmes dont la logique n'est pas toujours transparente. La responsabilité ne disparaît pas. Elle se déplace et devient floue. Et c'est exactement ce que l'EU AI Act vient adresser.

· conséquence directe

Sans gouvernance explicite, un Comex ne peut pas répondre à la question : "Qui dans notre organisation est responsable de la décision que ce système IA a prise ?" Si la réponse est floue — et elle l'est presque toujours — c'est un problème de gouvernance, pas de technologie.

· les trois piliers

Une gouvernance IA Comex repose sur trois piliers.

01 · responsabilités
Qui décide quoi
Cartographie explicite des décisions IA et des personnes qui en répondent. Pas de gouvernance sans responsable identifié pour chaque système critique.
02 · supervision
Comment on contrôle
Mécanismes de supervision humaine des systèmes IA à haut risque. Pistes d'audit. Indicateurs de dérive. Processus d'escalade quand un système produit des résultats inattendus.
03 · dépendances
Ce qu'on externalise
Politique explicite sur ce que l'organisation accepte de déléguer à des systèmes IA externes. Ce qu'elle garde en contrôle interne. Et dans quelles conditions elle peut changer de fournisseur.
04 · conformité
EU AI Act by design
Les obligations EU AI Act ne s'ajoutent pas à la gouvernance existante — elles en sont une composante dès la conception. Classification des systèmes, documentation, évaluations de conformité.
· l'erreur la plus fréquente

Déléguer la gouvernance IA à la DSI est une erreur structurelle.

Dans la majorité des organisations, la gouvernance IA a été placée sous la responsabilité de la Direction des Systèmes d'Information ou d'une équipe data. C'est compréhensible — ce sont les équipes qui déploient les systèmes. Ce n'est pas suffisant.

La gouvernance IA touche à des questions qui dépassent le périmètre technique : quelles décisions opérationnelles sont déléguées à des systèmes automatisés ? Quelles données stratégiques transitent par des fournisseurs externes ? Quelle est l'exposition légale de l'organisation ? Ces questions ne peuvent être tranchées qu'au niveau exécutif.

La gouvernance IA est un sujet de direction générale, pas de direction technique.

Ce n'est pas dire que la DSI n'a pas de rôle — elle en a un central, sur l'implémentation et la supervision technique. Mais les arbitrages stratégiques, les choix de dépendances et les décisions d'exposition doivent être validés au niveau Comex, avec une visibilité complète sur les enjeux.

· ce que ça donne en pratique

Trois questions que tout Comex devrait pouvoir répondre.

· question 1

Quels sont nos systèmes IA à haut risque au sens de l'EU AI Act ? Si la réponse n'est pas immédiate et documentée, la gouvernance n'est pas en place. Août 2026 est dans cinq mois.

· question 2

Quelles décisions opérationnelles critiques reposent sur des systèmes IA que nous ne contrôlons pas entièrement ? Si personne dans la salle ne peut y répondre précisément, c'est un angle mort de gouvernance.

· question 3

En cas de défaillance d'un système IA critique, qui dans l'organisation en répond — et devant qui ? Si la chaîne de responsabilité n'est pas claire, elle n'existe pas encore.