AI Act : pourquoi le DPO est désormais votre première ligne de défense souveraine
Date Published

# AI Act : pourquoi le DPO est désormais votre première ligne de défense souveraine
Il y a encore dix-huit mois, beaucoup de DSI regardaient l'AI Act comme un texte de juristes, un chantier pour les équipes compliance, un sujet à gérer « plus tard ». Nous y sommes. Et je veux dire quelque chose de net : les organisations qui n'ont pas encore repositionné leur DPO au cœur de leur gouvernance IA ne sont pas seulement en retard sur un texte réglementaire. Elles sont en train de perdre le contrôle de leur propre infrastructure de décision — au profit d'acteurs qui, eux, savent exactement ce qu'ils font.
Je pense que c'est l'un des angles morts les plus dangereux du moment.
Le DPO n'est plus un poste de conformité. C'est un poste stratégique.
Depuis l'entrée en vigueur complète de l'AI Act, les entreprises qui déploient des systèmes d'IA à risque élevé — et la liste est longue : recrutement automatisé, scoring client, outils d'aide à la décision RH, systèmes de surveillance — doivent documenter, auditer, contrôler. Qui, concrètement, est en mesure de porter cette responsabilité dans votre organisation ? Qui comprend à la fois la logique des données personnelles héritée du RGPD, les nouvelles obligations de transparence algorithmique de l'AI Act, et les enjeux de localisation des traitements ?
La réponse logique, c'est le DPO. Mais pas le DPO qu'on a trop souvent cantonné à la gestion des violations de données et à la mise à jour des registres de traitement. Je parle d'un DPO renforcé, élargi, repositionné — qui devient le vrai référent de souveraineté numérique de votre entreprise.
Ce glissement n'est pas qu'une question de titre ou d'organigramme. C'est une question de compétences internes que vous choisissez — ou non — de construire.
Ce que l'on délègue à l'extérieur, on ne le contrôle plus
Voilà ce que j'observe sur le terrain depuis l'entrée en application du texte : beaucoup d'entreprises ont répondu à l'AI Act en faisant appel à des cabinets de conseil ou en s'appuyant sur les outils de conformité packagés proposés par leurs fournisseurs cloud actuels. Des fournisseurs qui, dans l'écrasante majorité des cas, sont américains.
C'est un problème structurel. Pas un problème de bonne volonté.
Quand vous confiez votre cartographie des risques IA à un outil fourni par l'acteur américain dominant qui héberge déjà vos données, vous créez une dépendance circulaire. L'acteur qui traite vos données produit également le référentiel par lequel vous évaluez le risque de ce traitement. Ce n'est pas de la paranoïa. C'est une logique d'intérêts objectivement divergents.
L'AI Act donne aux entreprises européennes une occasion rare : celle de construire une gouvernance IA qui ne dépend pas de la bonne volonté d'acteurs soumis à des législations extraterritoriales étrangères. Mais cette occasion se ferme si vous externalisez la compétence qui permet de la saisir.
Trois compétences à construire en interne, maintenant
Soyons concrets. Repositionner le DPO comme garant de la souveraineté IA de votre organisation, ça se traduit par des décisions RH et organisationnelles précises. Je retiens trois axes.
Premièrement, la maîtrise de la cartographie des systèmes IA. L'AI Act impose d'identifier, de classifier et de documenter tous les systèmes IA déployés selon leur niveau de risque. Cette cartographie ne peut pas vivre dans une feuille Excel produite par un prestataire externe une fois par an. Elle doit être vivante, maintenue en interne, et connectée à vos processus d'achat et de déploiement. Le DPO doit piloter ce registre — ce qui suppose qu'il soit formé à lire et comprendre les fiches techniques des modèles, pas seulement les contrats.
Deuxièmement, la capacité d'audit algorithmique de premier niveau. Je ne parle pas de former votre DPO à reécrire des modèles de machine learning. Je parle de lui donner les moyens de poser les bonnes questions à vos équipes techniques et à vos fournisseurs : sur quelles données ce modèle a-t-il été entraîné ? Où se trouvent les logs de décision ? Quelle est la procédure de contestation humaine ? Ces questions, votre DPO doit être capable de les poser seul, sans dépendre d'un consultant externe pour les formuler. Cela s'apprend. Cela se finance. C'est un choix.
Troisièmement, la gouvernance des fournisseurs IA. Chaque nouveau système IA que vous intégrez — qu'il vienne d'un éditeur européen comme Alien Technology, d'une startup locale, ou d'un acteur américain — doit passer par une grille d'évaluation qui ne soit pas celle du fournisseur lui-même. Le DPO doit être impliqué dans les processus d'achat en amont, pas appelé en pompier après le déploiement. C'est un changement de processus. C'est aussi un changement culturel.
Le vrai risque n'est pas l'amende. C'est la perte de contrôle.
On parle beaucoup des sanctions prévues par l'AI Act. C'est légitime. Mais je veux insister sur un risque que les chiffres ne capturent pas : le risque de ne plus comprendre comment votre propre organisation prend ses décisions.
Si vos systèmes de scoring, de recrutement, d'allocation de ressources ou de relation client sont pilotés par des boîtes noires hébergées hors d'Europe, auditées par des outils conçus par les mêmes acteurs, et maintenus par des prestataires dont vous n'avez pas internalisé la compétence — vous avez un problème de souveraineté opérationnelle, pas seulement réglementaire.
L'AI Act, paradoxalement, est une chance. Il vous donne un cadre légal pour justifier en interne des investissements en compétences que vous n'arriviez peut-être pas à faire passer avant. Un DPO renforcé, un pôle gouvernance IA doté de vrais moyens, une politique de fournisseurs exigeante sur la traçabilité et la localisation des données : tout cela a désormais un nom dans un texte de loi européen. Utilisez-le.
Ce que je recommande aux DSI et CTO qui lisent ces lignes
Faites un bilan honnête. Pas un audit de conformité formaté pour rassurer votre direction. Un bilan honnête : combien de vos systèmes IA actifs avez-vous réellement documentés ? Votre DPO a-t-il été associé au dernier déploiement d'un outil IA dans votre organisation ? Sauriez-vous, en cas de contrôle, expliquer sur quelles données tourne le modèle qui filtre vos candidatures ou score vos clients ?
Si la réponse à l'une de ces questions est « non » ou « je ne sais pas », vous n'avez pas un problème de conformité. Vous avez un problème de gouvernance. Et personne ne le résoudra à votre place — certainement pas les acteurs américains qui ont tout intérêt à ce que cette question reste floue.
La souveraineté numérique ne se décrète pas depuis Bruxelles. Elle se construit, équipe par équipe, compétence par compétence, dans les organisations qui décident de la prendre au sérieux.
Cet article vous a été utile ?
Recevez chaque vendredi nos analyses sur les alternatives souveraines SaaS. Pas de spam.
Pas de spam. Désinscription en un clic. Données hébergées en Europe.