Gouverner, ce n'est pas freiner

Le mot « gouvernance » évoque des comités, des procédures, de la lenteur. En PME, c'est l'inverse qui doit être vrai : la gouvernance est ce qui permet d'aller vite sans se mettre en danger. Elle répond à quatre questions concrètes :

  • Quels outils d'IA a-t-on le droit d'utiliser, et avec quelles données ?
  • Qui décide qu'un nouvel usage est autorisé, encadré ou interdit ?
  • Que fait-on quand quelque chose tourne mal ?
  • Comment ces règles évoluent-elles à mesure que les usages mûrissent ?

Sans réponse à ces questions, chaque collaborateur tranche seul, dans son coin — c'est la définition même du Shadow AI.

Les quatre briques du cadre minimal

1. Le registre des usages

Un tableau vivant, pas un document Word oublié : chaque usage d'IA identifié dans l'entreprise y figure avec sa description, les données concernées, l'outil employé et son statutproposé, autorisé, encadré ou interdit. Les transitions de statut sont datées et motivées : on sait toujours qui a décidé quoi, et pourquoi.

2. La charte d'usage

Quelques pages, écrites pour être lues : outils validés, catégories de données interdites (clients, RH, stratégiques), obligation de relecture humaine avant toute diffusion d'un contenu généré, conduite à tenir en cas de doute, nom du référent. La charte est versionnée — elle évolue avec les usages, et chacun sait quelle version fait foi.

3. Le suivi des incidents

Donnée confidentielle collée dans un outil grand public, réponse d'IA erronée envoyée à un client, chiffrage faux passé sans relecture : ces événements arrivent. Les tracer — sans chasse aux sorcières — transforme chaque incident en règle affinée. C'est le mécanisme d'apprentissage du cadre.

4. La revue régulière

Une fois par mois ou par trimestre selon le rythme de l'entreprise : quels nouveaux usages sont apparus ? Quels statuts faut-il faire évoluer ? Quels incidents ont eu lieu, et que changent-ils ? Trente minutes suffisent quand les trois premières briques existent. C'est cette boucle qui fait de la gouvernance une pratique vivante plutôt qu'un classeur.

Gouverner avant de généraliser : c'est le principe qui sépare les entreprises qui capitalisent sur l'IA de celles qui accumulent les risques en silence.

La question de la souveraineté : où vont vos données ?

Toutes les données ne se valent pas, et tous les outils non plus. La méthode ORBIT distingue trois niveaux de souveraineté, à choisir usage par usage :

  • Services grand public — acceptables pour des contenus sans aucune donnée sensible ;
  • Services professionnels européens ou à garanties contractuelles — pour les usages métier courants ;
  • Solutions maîtrisées ou hébergées en interne — pour les données les plus critiques.

Ce choix est une décision de gouvernance, pas une décision technique : il découle du registre (quelles données ?) et se formalise dans la charte (quels outils ?).

Par où commencer, concrètement ?

Ne commencez pas par rédiger la charte : vous écririez des règles théoriques. Commencez par recenser les usages réels — c'est l'objet du volet Shadow AI du diagnostic. Le registre se remplit avec ce recensement, la charte se déduit du registre, et la première revue s'organise dans la foulée. En quelques semaines, le cadre existe et fonctionne.

Votre cadre IA existe-t-il ? Le diagnostic ORBIT évalue votre gouvernance actuelle et intègre registre, charte et incidents dans votre plan d'action.

Faire mon diagnostic

Questions fréquentes

Une PME a-t-elle vraiment besoin d'une gouvernance IA ?

Oui, dès le premier usage : c'est la gouvernance qui détermine quelles données peuvent être confiées à quels outils, et qui protège l'entreprise vis-à-vis de ses clients et du RGPD. Mais une gouvernance de PME tient en trois outils simples — registre, charte, suivi des incidents — pas en un comité mensuel de douze personnes.

Que doit contenir une charte d'usage de l'IA ?

Quelques pages : les outils validés, les catégories de données interdites (clients, RH, stratégiques), les règles de relecture avant diffusion d'un contenu généré, la conduite à tenir en cas de doute ou d'incident, et le nom du référent. Elle se met à jour à mesure que les usages évoluent.

Qu'est-ce qu'un incident IA ?

Tout événement où un usage d'IA a créé un risque ou un dommage : donnée confidentielle transmise à un outil non validé, contenu erroné envoyé à un client, décision prise sur une réponse d'IA fausse. Les tracer sans sanctionner permet d'ajuster les règles sur des faits réels.

À lire ensuite