À retenir

L’essentiel en bref

Le vide de gouvernance

Les investissements dans l’intelligence artificielle (IA) augmentent plus rapidement que toute autre catégorie de technologies de l’information (TI). Selon Gartner, les dépenses liées à l’IA devraient représenter entre 20 et 25 % des budgets TI totaux en 2026, contre 5 à 8 % il y a deux ans. À l’échelle mondiale, les dépenses en TI devraient atteindre 6 150 milliards de dollars, soit une augmentation de 9,8 %. La part de l’IA générative (GenAI) devrait croître de 80,8 %.

Les investissements sont là. La gouvernance, non. Selon le rapport Logicalis CIO 2026, seulement 14 % des entreprises ont clairement défini au niveau de la direction qui est responsable de la gouvernance de l’IA. Cela signifie que dans 86 % des entreprises, ce sont les départements, les chefs de projet ou les individus qui décident des déploiements d’IA, sans qu’une structure supérieure ne supervise les risques, les résultats et les exigences de conformité.

78 % des employés utilisent déjà des outils d’IA sans l’approbation de l’IT. L’IA fantôme est le point aveugle que aucune structure de gouvernance ne couvre, surtout lorsqu’elle est mise en place après l’achat. La réalité dans la plupart des entreprises : les départements acquièrent eux-mêmes des outils d’IA, les testent dans des projets pilotes et les déploient à grande échelle avant même que l’IT en soit informée. Lorsque la question de la gouvernance est posée, les faits sont déjà établis.

Il ne s’agit pas d’un oubli de la part de quelques entreprises. C’est un problème systémique. L’IA a été introduite dans la plupart des organisations comme une question technologique et confiée au directeur des systèmes d’information (DSI) ou au directeur des données (CDO). Mais la gouvernance de l’IA n’est pas une question technologique. Elle est une question organisationnelle qui touche à la fois à la conformité, à l’éthique, à la responsabilité et à la stratégie d’entreprise. Aucun membre du comité de direction ne couvre toutes ces dimensions.

Le résultat : les projets démarrent sans responsabilité claire. Lorsqu’ils échouent, personne ne cherche la cause dans le modèle de gouvernance. Au lieu de cela, le modèle est changé, le projet est relancé, le budget est redistribué. 48 % des projets d’IA ne parviennent pas à atteindre leurs objectifs commerciaux. Non pas parce que la technologie échoue, mais parce que la structure décisionnelle fait défaut. Qui décide quelles données entraîneront le modèle ? Qui définit ce qui constitue un résultat « suffisamment bon » ? Qui tire le frein à main lorsque le système discrimine ? Ces questions ne trouvent pas de réponse lorsqu’il n’y a pas de bureau désigné pour les traiter.

Le rapport Logicalis le résume bien : les conseils d’administration attendent des DSI un « récit unifié » de gouvernance, d’économie et d’éthique. Mais seulement 12 % des entreprises décrivent leurs processus de gouvernance de l’IA comme étant matures. Le reste opère dans une zone grise entre l’espoir de conformité et l’improvisation organisationnelle.

Trois modèles, un problème

Les entreprises qui ont réellement mis en place une gouvernance de l’intelligence artificielle (IA) utilisent généralement l’un des trois modèles suivants. Chacun présente un compromis spécifique, rarement discuté ouvertement.

Modèle 1 : Centré sur le DSI. Le directeur des systèmes d’information (DSI) prend la responsabilité globale de l’IA, y compris la gouvernance. Cela fonctionne dans les entreprises où le DSI rend directement compte au directeur général (CEO) et dispose d’une autonomie budgétaire. En pratique, 42 % des DSI rendent compte au directeur financier (CFO). Cela fait de la gouvernance de l’IA une sous-catégorie du contrôle des coûts. L’innovation sous pression budgétaire est une contradiction qui se manifeste à chaque réunion budgétaire. En Allemagne, en Autriche et en Suisse (DACH), le DSI est souvent responsable de la stratégie technologique globale de l’entreprise.

Modèle 2 : Décentralisé dans les unités commerciales. Chaque unité commerciale gère sa propre gouvernance de l’IA. Cela génère de la rapidité, car les décisions sont prises près du terrain. Cela crée également un foisonnement. Si trois unités commerciales utilisent trois plateformes d’IA différentes avec trois approches de conformité différentes, l’entreprise n’a pas de stratégie IA. Elle en a trois. Et l’assurance cyber évalue cela en conséquence.

Modèle 3 : Chief AI Officer (CAIO). Un rôle dédié qui centralise la stratégie et la gouvernance de l’IA. Sur le papier, c’est le modèle le plus propre. En pratique, il échoue souvent en raison de chevauchements de compétences avec le DSI, le directeur des données (CDO) et les unités commerciales. Un CAIO sans autorité budgétaire est un conseiller avec un titre. Un CAIO avec autorité budgétaire crée des conflits avec le DSI.

Aucun de ces modèles n’est intrinsèquement bon ou mauvais. Mais le choix dépend de variables qui ne sont pas transparentes dans la plupart des entreprises : les lignes de reporting, l’autorité budgétaire et la question de savoir si l’IA est considérée comme une infrastructure ou comme une transformation des affaires. En DACH, les entreprises doivent également se conformer au règlement général sur la protection des données (RGPD), qui impose des exigences strictes en matière de gouvernance des données.

Ce qui se passe en pratique : les entreprises choisissent le modèle qui rencontre le moins de résistance, et non celui qui convient le mieux. Le DSI obtient la gouvernance parce qu’il est déjà responsable de l’informatique. Les unités commerciales conservent leur autonomie parce que le CEO ne veut pas de conflits de compétences. Le CAIO est embauché parce que le conseiller du conseil d’administration l’a recommandé. Chacune de ces décisions a une conséquence organisationnelle qui ne devient visible que lorsque le premier grand projet d’IA échoue ou que le premier audit de conformité arrive.

La recommandation que peu de consultants aiment faire : le modèle de gouvernance doit correspondre à la structure de pouvoir de l’entreprise, et non à l’organigramme. Celui qui prend les décisions budgétaires doit également porter la responsabilité de la gouvernance. Sinon, cela crée un écart entre la décision et la responsabilité.

Selon le rapport Logicalis CIO 2026, 86 % des entreprises interrogées n’ont pas défini de structure de responsabilité claire pour les décisions relatives à l’IA au niveau du conseil d’administration.
– Rédaction Digital Chiefs

La pression réglementaire aggrave le problème

Jusqu’à présent, la gouvernance de l’intelligence artificielle (IA) était une décision stratégique. À partir d’août 2026, elle deviendra une obligation réglementaire. La différence n’est pas seulement sémantique, mais elle a des implications en matière de responsabilité.

Le Règlement européen sur l’IA (EU AI Act) rendra la gouvernance de l’IA obligatoire à partir d’août 2026 pour les systèmes à haut risque. Les entreprises utilisant l’IA pour les décisions en matière de ressources humaines, l’octroi de crédits ou les infrastructures critiques devront disposer d’un système de gestion des risques documenté, d’une documentation technique et d’une supervision humaine. Les sanctions en cas de non-conformité peuvent aller jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires annuel.

Cela change fondamentalement la donne. Jusqu’à présent, la gouvernance de l’IA était une question de bonnes pratiques. À partir d’août, elle deviendra une question de responsabilité. Les membres du conseil d’administration qui ne peuvent pas prouver l’existence d’une structure de gouvernance s’exposent à des risques personnels. C’est à ce moment-là que le chiffre de 14 % cesse d’être une simple statistique pour devenir un risque de conformité.

Pour les prestataires de services financiers, il y a en plus le Digital Operational Resilience Act (DORA). Pour le secteur de la santé, les exigences de la ePA (carte de santé électronique) et du EHDS (Espace européen des données de santé). Chaque secteur aura sa propre couche de réglementation de l’IA. Chaque couche nécessitera quelqu’un pour superviser l’ensemble. La question de savoir qui sera responsable sera posée au plus tard lors du prochain audit.

Les décisions que les conseils d’administration doivent prendre maintenant

Trois décisions cruciales doivent être prises et ne peuvent être déléguées.

Premièrement: Définir le modèle de gouvernance. Non pas comme un exercice théorique, mais comme une réalité organisationnelle avec des lignes de reporting, des attributions budgétaires et des voies d’escalade. Le modèle doit correspondre à la structure de l’entreprise. Un fabricant de taille moyenne avec un directeur des systèmes d’information (DSI) n’a pas besoin d’un directeur adjoint des systèmes d’information (DAI). Un conglomérat diversifié avec cinq unités commerciales a probablement besoin d’un DAI. Cette décision doit être prise lors d’une réunion du conseil d’administration, et non lors d’un atelier de stratégie informatique. La gouvernance de l’intelligence artificielle (IA) est une décision organisationnelle, pas une décision technologique.

Deuxièmement: Créer un inventaire des systèmes d’IA. Quels systèmes d’IA sont en cours d’utilisation ? Lesquels d’entre eux sont classés comme à haut risque ? Dans de nombreuses entreprises, cette vue d’ensemble fait complètement défaut. Les 78 % d’utilisation de l’IA fantôme montrent que l’inventaire informatique officiel ne représente qu’une fraction de la véritable paysage de l’IA. L’inventaire doit aller au-delà de l’informatique : le marketing utilise des outils d’IA, les ressources humaines utilisent des outils d’IA, les ventes utilisent des outils d’IA. Il faut interroger chaque département individuellement. La discussion sur le budget informatique 2027 ne peut être menée correctement sans cette base. Aucun modèle de gouvernance ne fonctionne sans inventaire.

Troisièmement: Personnaliser la responsabilité. Une personne nommée au niveau C, qui est responsable de la gouvernance de l’IA. Pas un comité, pas un groupe de travail, pas « l’informatique ». Une personne avec l’autorité budgétaire et le droit d’escalade. Que ce soit le DSI, le directeur des données (CDO), un DAI ou le directeur général (DG) lui-même, cela dépend de l’organisation. Le fait qu’il doit y avoir quelqu’un ne fait aucun doute. L’alternative est la diffusion collective de la responsabilité. Cela se termine toujours de la même manière : personne ne se sent responsable jusqu’à ce que l’auditeur pose la question.

La solution pragmatique pour la plupart des entreprises : le DSI assume la responsabilité de la gouvernance, mais avec un mandat explicite du conseil d’administration et un budget de gouvernance séparé. Cela évite l’erreur la plus fréquente : la gouvernance est traitée comme une tâche supplémentaire plutôt qu’une fonction autonome. Si le DSI doit financer la gouvernance à partir du budget informatique existant, elle perdra toujours face aux projets d’infrastructure. La gouvernance a besoin de sa propre ligne budgétaire. Pas grande, mais visible. Un poste séparé dans le rapport du conseil d’administration signale que la gouvernance de l’IA n’est pas une question secondaire, mais un investissement conscient dans la sécurité réglementaire, le contrôle stratégique et la résilience opérationnelle de l’ensemble de l’entreprise.

Les 87 % qui investissent davantage se transforment en 48 % qui ne parviennent pas à atteindre leurs objectifs si la question de la gouvernance reste sans réponse. Ce n’est pas une prévision. Ce sont les données actuelles.

L’échéancier est clair : août 2026 pour le règlement sur l’IA, en cours pour DORA, en continu pour les projets internes d’IA qui sont déjà en production. Ceux qui attendent jusqu’à l’été constateront que la mise en place de la gouvernance a posteriori est plus coûteuse et plus lente que de la structurer correctement dès le départ. La différence entre les 14 % et le reste n’est pas le budget ou la connaissance. C’est la volonté de poser la question de la responsabilité avant que le régulateur ne la pose.

Un dernier point de mise en contexte : la gouvernance de l’IA n’est pas un projet avec un début et une fin. C’est une fonction organisationnelle permanente. Les systèmes d’IA évoluent, la réglementation se développe, les cas d’utilisation croissent. La structure de gouvernance doit évoluer avec eux. Ceux qui la traitent comme un projet de conformité unique se retrouveront dans deux ans devant le même vide. Les 14 % qui ont aujourd’hui une gouvernance mature seront les seuls à pouvoir évoluer en 2028 sans recommencer à chaque nouvelle réglementation.

Foire aux questions

Source de l’image de couverture : Pexels / Vlada Karpovich (px:7433820)