Gouvernance IA 2026 : du système plutôt que de la conformité Excel

27.04.2026

8 min. de lecture

La conformité manuelle en IA fonctionne pour un pilote, peut-être pour deux, mais avec trois cas d’usage productifs, elle s’effondre. Les conseils d’administration qui géreront une douzaine d’applications d’IA en 2026 ont besoin d’une gouvernance au niveau système : une surveillance continue et basée sur plateforme avec des lignes de responsabilité claires entre l’IT et le Business. Celui qui continuera à gérer la conformité avec des feuilles Excel au fil des trimestres perdra le contrôle bien avant le premier audit.

Les points clés en bref

La surveillance manuelle ne se met pas à l’échelle : Trois systèmes d’IA productifs suffisent pour que les révisions trimestrielles de conformité perdent le rythme.
La gouvernance au niveau système est la tendance 2026 : Les plateformes de confiance en IA avec un monitoring continu remplacent les tableaux Excel, CIO.com analyse les attentes des conseils d’administration.
La ligne de responsabilité est obligatoire : Chaque cas d’usage a besoin d’un propriétaire métier et d’un propriétaire des risques, sinon la responsabilité reste suspendue au conseil d’administration.
Loi sur l’IA de l’UE à partir du 2 août 2026 : La date limite principale exige des structures de gouvernance documentées, les conseils sont personnellement responsables.
Quatre étapes de maturité : L’inventaire, le classement par niveau de risque, la couche de monitoring et le reporting au conseil s’empilent les uns sur les autres, aucune étape ne peut être sautée.

Qu’est-ce que la gouvernance au niveau système ?

Qu’est-ce que la gouvernance au niveau système ? La gouvernance au niveau système désigne une surveillance basée sur plateforme de tous les systèmes d’IA d’une organisation, où les contrôles, journaux et rapports sont automatiquement collectés sur l’ensemble du cycle de vie du modèle. Contrairement à l’observation manuelle de la conformité liée aux cas d’usage, souvent menée sous forme de liste Excel avec des révisions semestrielles, la gouvernance au niveau système s’intègre directement dans les outils d’IA et fournit au conseil d’administration et au conseil de surveillance une vue continue des risques.

Dans sa mise en pratique concrète, cela signifie : un inventaire central de toutes les applications d’IA productives, une journalisation automatique des flux de données de prompt, de sortie et d’entraînement, une classification claire par niveau de risque par système (selon la logique de la loi sur l’IA de l’UE) et une couche de tableau de bord qui signale les violations de conformité en 24 heures, et non dans le prochain rapport trimestriel.

Pourquoi la conformité Excel 2026 perdra le rythme

La pratique dans de nombreux conseils d’administration DACH en 2026 est la suivante : un cas d’usage IA est approuvé, une évaluation des risques PDF est déposée dans la salle de données, une révision trimestrielle est convoquée. Pour trois ou quatre applications, cela fonctionne. Pour douze systèmes d’IA productifs à travers le recrutement, les ventes, les opérations de service et l’ingénierie, le modèle s’effondre car la demi-vie de l’évaluation devient plus courte que le rythme des révisions. Un modèle classé en niveau de risque 2 en janvier peut effectivement glisser au niveau 3 en mars après une mise à jour, sans que personne ne s’en rende compte jusqu’à la révision semestrielle.

Ce n’est pas un problème théorique. L’évaluation Deloitte State of AI 2026 montre que pour les conglomérats DACH, 47 % des conseils d’administration n’ont pas une vue complète des systèmes d’IA productifs en interne. Ce n’est pas une question de taille, mais de logique de supervision. Celui qui applique une conformité manuelle ne voit que les systèmes qui lui sont signalés, pas l’IA fantôme dans les départements spécialisés.

Écart du conseil d’administration 2026

47 %

des conseils d’administration DACH n’ont pas une vue complète des systèmes d’IA productifs en interne.

Source : Deloitte State of AI 2026, évaluation DACH

Les quatre niveaux de maturité de la gouvernance de l’IA

La gouvernance au niveau système ne se construit pas en un trimestre. Qui passe de la feuille Excel à une plateforme traverse quatre niveaux de maturité, qui s’imbriquent les uns dans les autres. Chaque niveau peut être sauté, mais au prix d’une base de données insuffisante pour le suivant. En pratique, il faut moins de temps pour avancer de manière séquentielle.

Parcours de maturité de la gouvernance de l’IA 2026

Niveau 1 : Inventaire

Inventaire complet de tous les systèmes d’IA en production, y compris les outils SaaS dotés de fonctionnalités GenAI, avec leur propriétaire et leur origine des données.

Niveau 2 : Échelonnement des risques

Classification de chaque système selon la logique du règlement UE sur l’IA (interdit, haut risque, risque limité, risque minimal), avec justification documentée.

Niveau 3 : Couche de surveillance

Capture automatisée des prompts, des sorties, des indicateurs de dérive, des taux d’hallucinations et des signaux de biais pour chaque système.

Niveau 4 : Reporting au conseil d’administration

Tableau de bord avec heatmap des risques, logique d’escalade en cas de changement de niveau, et briefing trimestriel pour le conseil d’administration comme format standard.

La plupart des grands groupes DACH se situent mi-2026 entre le niveau 1 et 2. Celui qui a établi proprement son inventaire gagne des semaines, car l’échelonnement des risques en découle mécaniquement. Sans inventaire, l’échelonnement des risques devient de la stochastique. Qui dispose déjà d’un échelonnement robuste atteint la couche de surveillance en deux mois, car les points de mesure proviennent directement de la définition des niveaux.

Un exemple concret issu d’un grand groupe d’assurance allemand illustre la différence. En 2025, l’équipe conformité tenait sept cas d’usage de l’IA sur une feuille Excel, et le conseil d’administration recevait des mises à jour semestrielles. Un audit interne début 2026 a révélé douze autres fonctions d’IA actives dans des outils SaaS standards, de l’intégration Microsoft Copilot au scoring de leads Salesforce. La liste était presque deux fois plus longue qu’anticipé. Ce n’est que grâce à l’inventaire basé sur plateforme, via le module OneTrust existant, que cette lacune a été mise au jour. Trois des douze systèmes cachés ont basculé dans la catégorie « haut risque », sans que les revues trimestrielles les aient détectés.

Qui se trouve au niveau 2 ne doit pas reporter le passage au niveau 3. L’erreur la plus fréquente consiste à disposer d’une table d’échelonnement des risques aboutie, sans capture automatisée des sorties des modèles. Un système de niveau 2 peut, par dérive de prompt ou l’arrivée d’un nouveau modèle fondamental en arrière-plan, basculer en niveau 3 sans que personne ne s’en rende compte. La couche de surveillance n’est pas optionnelle : c’est la seule à détecter en temps réel les changements de niveau. Qui opère le niveau 3 sans niveau 4 possède les données, mais pas de logique d’escalade vers le conseil d’administration. Cette séquence est un chemin architectural obligatoire.

Dans les secteurs réglementés comme la banque, l’assurance et le pharmaceutique, le niveau 3 ne suffit pas, car les autorités de contrôle attendent déjà en 2026 une documentation détaillée du conseil d’administration. Les consultations de la BaFin au T1 2026 laissent entendre que les registres de contrôle ne se contentent pas des logs des modèles, mais exigent aussi des décisions explicites du conseil concernant les changements de niveau. Qui, au T3, travaille encore sans reporting de niveau 4, documente lui-même son manque de supervision.

Quels outils portent, quels outils brisent

Sur le marché, en 2026, on distingue trois catégories d’outils : les plateformes de confiance en IA (Credo AI, Holistic AI, IBM watsonx.governance), les outils de gestion des risques liés aux modèles (Robust Intelligence, Arthur AI) ainsi que les suites GRC dotées d’un module IA (ServiceNow, OneTrust, Drata). Le choix de la catégorie adaptée ne dépend pas tant de l’étendue fonctionnelle que de l’écosystème d’outils déjà en place. Si une entreprise dispose déjà d’une implémentation ServiceNow, elle devrait examiner attentivement les modules IA disponibles avant d’acquérir une plateforme de confiance distincte.

Ce qui brise

Outil autonome sans intégration à une suite GRC existante
Plateforme sans API ouverte pour les points de terminaison de journalisation des modèles
Outil qui respecte uniquement le règlement EU-AI Act mais non la norme ISO 42001
Verrouillage du fournisseur sur le cloud américain pour les charges de travail allemandes soumises au RGPD
Implémentation sans responsable des risques issu du business

Ce qui porte

Intégration dans l’écosystème ServiceNow ou OneTrust existant
Architecture API-first avec hooks OpenTelemetry
Double conformité : EU-AI Act et ISO 42001 dans un même modèle
Option de déploiement dans le cloud européen ou en local
Champs obligatoires pour le responsable du business et le responsable des risques par système

En 2026, la décision de sélection relève moins d’une question de fournisseur que d’une question d’architecture. Les dirigeants qui mènent la discussion sur la CAIO ont souvent déjà plusieurs solutions ponctuelles issues de différents départements, qui ne communiquent pas entre elles. Une consolidation sur une plateforme de confiance intégrée à la couche GRC surpassera toute solution autonome sur la durée de vie de ces systèmes.

Redessiner les lignes de responsabilité

Le second levier, outre l’outil lui-même, est la structure de responsabilité. Dans les salles de conseil en 2026, on retrouve toujours la même lacune : il existe un responsable IT chargé de la plateforme, souvent aussi un responsable de la protection des données, mais aucun responsable clair des risques par cas d’utilisation. Lorsqu’un système d’intelligence artificielle de recrutement prend une décision biaisée, la responsabilité reste floue entre les départements RH, IT et conformité. Cette ambiguïté ne disparaît pas lors des audits.

La solution idéale repose sur deux rôles clairement définis : un responsable du business issu du département concerné, qui assume la responsabilité du résultat commercial. À ses côtés, un responsable des risques issu de la direction de la gestion des risques, chargé de l’évaluation des niveaux, du suivi et de l’escalade des problèmes. L’IT reste le fournisseur de la plateforme, mais n’est pas responsable du cas d’utilisation spécifique. Cette répartition ne peut pas être instaurée en atelier ; elle nécessite une décision du conseil d’administration inscrite dans les statuts de conformité.

La gouvernance de l’IA échoue rarement à cause de l’outil et presque toujours à cause d’une confusion quant aux responsabilités entre le département métier, l’IT et les risques. Qui ne sépare pas ces trois entités se retrouve finalement avec une responsabilité tripartite dont personne ne veut assumer la charge.

Ce que les conseils doivent décider d’ici le 3e trimestre 2026

La date limite principale de l’EU-AI-Act, fixée au 2 août 2026, oblige les conseils à mettre en place une structure de gouvernance documentée. Ceux qui, dans la deuxième moitié de l’année 2026, opèrent encore sans une couche de niveau système devront documenter des fictions de conformité. Trois décisions devraient être prises lors de chaque réunion du conseil : la catégorie des outils (plateforme de confiance, suite GRC, ou les deux), le modèle d’ownership (répartition des risques métier) ainsi que la cadence de reporting (au moins mensuelle, idéalement hebdomadaire pour les systèmes Tier-3).

La discussion sur la « Sovereign AI » après la Hannover Messe a déjà ancré le concept d’architecture souveraine au sein des équipes dirigeantes. Le volet gouvernance arrive en dernier, bien qu’il soit évalué en premier lors des audits. Celui qui conduit une architecture souveraine sans structure de gouvernance se retrouve avec un stack souverain comportant des lacunes de conformité non souveraines, ce qui se traduit mal dans les rapports financiers, même si le cas inverse est tout aussi préoccupant.

Dans les douze mois à venir, les attentes en matière d’audit vont également évoluer. Les auditeurs qui, en 2025, acceptaient encore une liste d’inventaire Excel devront désormais s’en tenir aux logs automatisés en 2026. Les premières recommandations de l’IDW, datées du printemps 2026, indiquent une obligation de vérification plus étendue pour les cas d’utilisation de l’IA, qui entrera en vigueur lors des comptes annuels de 2026. Ceux qui ne parviennent pas à fournir des traces auditables lisibles par machine risquent de se voir attribuer des remarques d’audit qui finiront dans les rapports annuels.

Une dernière recommandation pour les conseils qui entament leur roadmap dès maintenant : intégrez le rapport trimestriel comme point fixe de l’ordre du jour du comité des risques, et non du comité IT. Les risques liés à l’IA ne sont plus une discipline technique ; ils constituent un risque global de l’entreprise et doivent être placés au sein du même comité qui gère également les risques opérationnels ou les questions de réputation. Cette mise en place organisationnelle est l’étape que la plupart des grands groupes sous-estiment en 2026, alors qu’elle est possible sans aucun investissement en outils et qu’elle produit immédiatement ses effets dans la chaîne de supervision.

Une autre petite modification structurelle peut avoir un effet comparativement puissant : chaque nouveau décret du conseil concernant un cas d’utilisation de l’IA recevra un point fixe de l’ordre du jour pour une réévaluation interannuelle, après six mois. Ainsi, une autorisation unique se transforme en un contact de surveillance récurrent, qui permet de valoriser directement la qualité de la plateforme de gouvernance tout en documentant le conseil en tant qu’instance de supervision active. Cette petite règle de cadence peut être mise en œuvre dans le contexte du groupe sans créer de nouveaux postes et réduit sensiblement l’écart en matière d’audit. Plusieurs assureurs d’Europe centrale ont déjà intégré ce format dans leur comité des risques et l’utilisent comme levier pour examiner de manière opérationnelle la définition des « tier » tous les six mois, plutôt que de laisser ces définitions s’accumuler dans des documents de conformité. Dans la pratique, une simple présentation de deux pages par cas d’utilisation suffit : le conseil d’administration la lit, le conseil d’administration la signe, et le responsable des risques y apporte son commentaire.

Conclusion

La gouvernance de niveau système n’est plus une option en 2026, mais constitue désormais une norme pour tout conseil ayant plus de trois systèmes d’IA productifs. La liste Excel a fait son temps ; la couche de la plateforme de confiance représente la prochaine logique de supervision. Plus important que le choix des outils, c’est la division de l’ownership : l’exploitant métier pour le résultat, le responsable des risques pour la supervision, et l’IT en tant que plateforme. Ceux qui séparent clairement ces trois rôles et les rassemblent dans un tableau de bord n’auront aucun problème d’audit en 2027. Ceux qui attendent que le premier changement de tier dans le système opérationnel se produise sans être remarqué apprendront la gouvernance de niveau système à leurs dépens.

Foire aux questions

À partir de combien de systèmes d’IA productifs la gouvernance au niveau du système devient-elle rentable ?

À partir de trois systèmes productifs ou plus, chacun influençant les résultats métier. Avec deux systèmes, un évaluation des risques documentée suffit ; à partir de trois, des lacunes de surveillance apparaissent lorsqu’on se limite à des revues trimestrielles.

Quelle norme la plateforme de gouvernance doit-elle refléter ?

Au minimum l’EU AI Act et l’ISO 42001 combinés. Pour les secteurs financier et assurantiel, il faut en outre respecter les exigences de l’EU DORA ; dans les PME, l’EU AI Act associé à une cartographie de la RGPD suffit souvent.

En quoi les plateformes de confiance en IA se distinguent-elles des suites GRC dotées d’un module IA ?

Les plateformes de confiance sont centrées sur le modèle, avec un accent sur la journalisation, la détection des dérives et la catégorisation des risques. Les suites GRC, quant à elles, sont axées sur les processus, l’IA n’étant qu’un module. Si vous disposez déjà d’une solution GRC, vérifiez d’abord ce module avant d’acquérir une deuxième plateforme.

Qui au sein du conseil d’administration devrait être responsable de ce sujet ?

Dans la plupart des grandes entreprises, cette responsabilité convient au CFO ou au Chief Risk Officer, car la gouvernance au niveau du système est une question de risque. Là où le CIO est déjà chargé de la stratégie IA, il peut conserver cette mission, mais il faut alors clairement séparer les fonctions de stratégie et de supervision.

Quel niveau de maturité est réaliste pour les entreprises du DACH en 2026 ?

Le niveau 2 (catégorisation des risques) devient obligatoire au plus tard le 2 août 2026. Le niveau 3 (surveillance) représente l’état de l’art, tandis que le niveau 4 (reporting au conseil) constitue l’objectif pour le quatrième trimestre 2026 dans les secteurs réglementés.