Audits fédéraux US sur l'IA : quand Washington surveille les modèles que vos équipes utilisent chaque jour

# Audits fédéraux US sur l'IA : quand Washington surveille les modèles que vos équipes utilisent chaque jour

*En 2026, les autorités fédérales américaines ont engagé des procédures d'audit sur les systèmes d'IA développés par les grands acteurs technologiques américains — dans le cadre d'une politique nationale de contrôle des infrastructures critiques. Pour les entreprises européennes qui ont intégré ces modèles dans leurs processus métier, la question n'est plus théorique : jusqu'où Washington peut-il regarder dans votre SI ? Nous avons interrogé un DSI d'une ETI industrielle française, en poste depuis douze ans, qui a entamé depuis dix-huit mois un chantier de désengagement progressif des offres IA américaines dominantes.*

RiffLab Media : Quand vous avez appris que des agences fédérales américaines pouvaient auditer les modèles IA de certains grands acteurs US, quelle a été votre première réaction — en tant que responsable d'un SI industriel ?

Ma première réaction, honnêtement, c'était : « On nous l'avait dit. » Pas avec plaisir, parce que ce n'est pas une bonne nouvelle pour personne. Mais ça confirmait quelque chose que j'avais du mal à faire entendre en interne depuis des années : quand vous déployez un modèle dont vous ne maîtrisez ni l'infrastructure, ni les mises à jour, ni les conditions d'accès aux données d'entraînement, vous n'avez pas juste un fournisseur — vous avez une dépendance. Et une dépendance qui relève d'une juridiction étrangère, c'est une surface de risque que votre comité de direction ne mesure pas encore à sa juste valeur.

Ce qui me préoccupe concrètement, ce n'est pas l'audit en lui-même — c'est l'opacité de ce qu'il implique pour nous, utilisateurs européens. Est-ce que les données que nos équipes injectent dans ces interfaces, même de manière anodine, entrent dans un périmètre observable par une administration américaine ? On ne le sait pas. Et cette incertitude, pour un DSI, c'est ingérable.

Ces audits fédéraux ciblent d'abord les acteurs américains eux-mêmes. Pourquoi un DSI européen devrait-il s'en sentir concerné directement ?

Parce que nous sommes en bout de chaîne d'une infrastructure que nous ne contrôlons pas. Lorsqu'une autorité fédérale impose à un acteur américain dominant de documenter ses modèles, ses flux de données, ses partenariats tiers, elle crée mécaniquement une visibilité sur l'ensemble de l'écosystème client — y compris les entreprises européennes. Le Cloud Act existe depuis 2018 et on fait encore semblant de ne pas y croire.

Je pense qu'il faut arrêter de raisonner en termes de « est-ce que ça nous arrivera vraiment ? » et commencer à raisonner en termes de « est-ce que nous avons les moyens de répondre si ça arrive ? ». La réponse, pour la majorité des ETI européennes qui ont déployé des outils IA américains sans cartographie précise, c'est non. Et ça, c'est un problème de gouvernance, pas juste un problème technique.

Vous avez engagé un chantier de désengagement progressif il y a dix-huit mois. Qu'est-ce que ça a révélé sur l'état réel de vos équipes et de votre organisation ?

Ça a été brutal, dans le bon sens du terme. On a réalisé à quel point nos équipes avaient externalisé leur jugement. Pas leur travail — leur jugement. Des collaborateurs parfaitement compétents qui, au fil des mois, avaient pris l'habitude de valider des outputs sans vraiment les questionner. C'est insidieux. Le modèle suggère, l'humain avalise. Et quand vous retirez le modèle, ou quand vous changez d'outil, vous découvrez que la compétence d'évaluation critique a été mise en veille.

On a donc dû faire un travail que je n'avais pas anticipé : reconstruire des réflexes professionnels. Pas former des gens à un nouveau logiciel — reformer des gens à penser sans filet. C'est un investissement RH significatif, et il n'est pas dans les budgets quand vous signez un abonnement à une plateforme IA.

Quelles compétences avez-vous identifiées comme prioritaires à internaliser pour ne plus dépendre d'un prestataire américain sur vos usages IA ?

Je vais vous répondre en évitant la liste de courses, parce que le sujet mérite mieux que ça.

La compétence la plus critique, c'est ce que j'appelle la « compétence de contractualisation intelligente ». Savoir lire un contrat d'API, comprendre ce que signifie une clause de rétention de données, identifier ce qui se passe quand le modèle est mis à jour sans préavis — et en tirer des conséquences opérationnelles. Aujourd'hui, cette compétence n'existe quasiment nulle part en dehors des grandes DSI. Dans une ETI, c'est le DSI seul qui tient ce rôle, et encore, pas toujours.

Derrière ça, j'ai investi sur des profils capables de travailler avec des modèles déployés localement — pas des data scientists au sens académique, mais des ingénieurs qui comprennent le cycle de vie d'un modèle, qui savent l'évaluer, le contraindre, le monitorer. Ce ne sont pas des profils rares, mais il faut aller les chercher et leur donner un cadre de travail cohérent. Ce cadre, c'est votre politique IA interne. Sans elle, vous ne retenez personne.

La gouvernance, justement. Comment avez-vous fait évoluer vos instances de décision autour de l'IA depuis que ce contexte réglementaire américain s'est durci ?

J'ai créé ce que j'appelle un « comité de veille souveraineté ». Le nom fait sourire, mais la réalité est très concrète : c'est une réunion mensuelle qui réunit le DSI, le RSSI, le DPO et un représentant de la direction juridique. On y examine les évolutions réglementaires — côté américain, côté européen avec l'AI Act — et on en tire des décisions opérationnelles.

Ce qui a changé en profondeur, c'est que l'IA n'est plus traitée comme un outil de productivité parmi d'autres. Elle est traitée comme un actif stratégique avec une dimension géopolitique. Ça peut sembler excessif pour une ETI industrielle. Je pense que c'est simplement lucide. Quand vos processus de devis, de maintenance prédictive ou de gestion fournisseurs passent par un modèle américain, vous avez mis votre cœur de compétitivité dans une infrastructure que vous ne gouvernez pas.

Un mot sur l'offre européenne. Est-elle à la hauteur pour remplacer ce dont vous vous désengagez, sans que ce soit un recul opérationnel ?

Je vais être direct : il y a dix-huit mois, c'était une question légitime. Aujourd'hui, je pense que le cadre a changé. Il existe des modèles européens matures, déployables sur infrastructure maîtrisée, avec des équipes accessibles et des conditions contractuelles lisibles. Ce n'est pas un marché de substitution au rabais — c'est un marché différent, avec une logique de partenariat plutôt que de dépendance.

Mais — et c'est le point sur lequel je veux insister — choisir une alternative européenne ne suffit pas si vous ne faites pas le travail organisationnel derrière. Le vrai risque, c'est de recréer les mêmes réflexes de dépendance avec un acteur différent. La souveraineté numérique, ce n'est pas un fournisseur. C'est une posture. Et cette posture se construit dans les équipes, dans les processus, dans les instances de décision — pas dans un bon de commande.

*Cette interview a été réalisée avec un DSI d'une ETI industrielle française. Son identité est préservée à sa demande.*