Gouvernance de l'IA : quand le DSI devient le dernier rempart avant la dépendance

# Gouvernance de l'IA : quand le DSI devient le dernier rempart avant la dépendance

*En 2026, la gouvernance de l'IA n'est plus un sujet réservé aux RSSI ou aux juristes en charge de la conformité AI Act. Elle est devenue une question de survie budgétaire et de cohérence stratégique pour les directions informatiques européennes. Nous avons échangé avec un DSI d'une ETI industrielle française de taille intermédiaire, dont le groupe emploie plusieurs milliers de personnes dans trois pays européens. Il intervient ici sous couvert d'anonymat.*

RiffLab Media : En 2026, la gouvernance de l'IA est sur toutes les lèvres. Mais dans votre quotidien de DSI, qu'est-ce que ça recouvre concrètement ?

C'est précisément le problème : le mot est partout, la réalité est floue. Pendant longtemps, on a délégué la question à la RSSI — conformité, gestion des risques, classification des données. C'est nécessaire, mais insuffisant. Ce que j'observe depuis dix-huit mois, c'est que les décisions d'adoption de l'IA ont des conséquences budgétaires massives et durables que personne ne maîtrise vraiment au moment où elles sont prises.

Concrètement, gouverner l'IA, pour moi, c'est répondre à trois questions que mon CODIR n'a pas encore apprises à poser : qui décide d'intégrer un modèle ou un service IA dans un processus métier ? Sur quels critères — et pas seulement le critère de performance du modèle ? Et à qui appartient la valeur produite par ces systèmes au bout de deux ans ?

Ces questions ne sont pas techniques. Elles sont politiques, au sens institutionnel du terme. Et si le DSI ne les porte pas, personne ne les pose.

Les directions métier ont pris l'habitude de souscrire directement à des services IA. Comment ça se traduit sur votre budget ?

On appelle ça le shadow AI, par analogie avec le shadow IT — mais c'est bien plus coûteux. Un outil SaaS non référencé, c'est un risque de conformité et un coût caché. Un service IA non référencé, c'est tout ça plus un transfert de données structuré, récurrent, vers des infrastructures dont on ne maîtrise ni la localisation ni les conditions d'évolution tarifaire.

La mécanique est rodée : un acteur américain entre par la porte d'un département, souvent avec une période d'essai gratuite ou quasi-gratuite. Les équipes s'habituent, les processus s'adaptent, les données s'accumulent. Et au bout d'un an, la dépendance est suffisante pour que la renégociation soit difficile. Les hausses de prix qui suivent ne sont pas une surprise : elles font partie du modèle.

Dans mon cas, j'ai découvert en auditant nos engagements que trois équipes métier différentes avaient souscrit à des services IA distincts, chez le même acteur américain dominant, sans coordination. Le budget agrégé était substantiel. Personne n'avait eu une vision consolidée. Et bien sûr, les données traitées se recoupaient.

Comment structurer une gouvernance qui ne soit pas uniquement défensive — c'est-à-dire qui ne se résume pas à interdire ?

C'est la vraie question, et je comprends pourquoi beaucoup de DSI restent dans une posture défensive : c'est plus simple à expliquer. Mais une gouvernance qui n'est que du contrôle finit par être contournée, ou pire, par ralentir des usages légitimes sans protéger l'essentiel.

Ce que j'ai mis en place, c'est un processus d'évaluation à trois niveaux avant toute adoption : la criticité de la donnée traitée, le niveau de réversibilité du service — c'est-à-dire est-ce qu'on peut en sortir sans tout reconstruire — et la localisation effective du traitement et du stockage.

Sur ce dernier point, le droit européen a évolué depuis l'AI Act, mais les pratiques contractuelles des grands acteurs américains n'ont pas fondamentalement changé. Les clauses de sous-traitance restent opaques. On me vend de la conformité RGPD en surface, mais quand je creuse les conditions générales, les transferts vers des entités hors UE restent possibles sous certaines conditions. C'est inacceptable pour des données de production industrielle sensibles.

Donc oui, la gouvernance doit être un outil d'arbitrage, pas seulement d'interdiction. Mais l'arbitrage doit être informé. Et pour ça, il faut que le DSI soit dans la boucle avant la signature, pas après.

Sur le plan budgétaire, quel est le vrai risque à horizon deux ou trois ans pour une ETI qui n'a pas structuré cette gouvernance ?

Le risque principal, c'est ce que j'appelle la rente de dépendance. Vous avez intégré un service IA dans un processus critique — validation de commandes, analyse de documents contractuels, aide à la décision RH. Le service fonctionne bien. Les équipes sont satisfaites. Et puis l'acteur américain revoit ses conditions : hausse tarifaire, changement de modèle de licences, modification des API qui oblige à refaire de l'intégration. Vous n'avez plus le choix. Vous payez ou vous cassez quelque chose.

C'est un risque de concentration budgétaire que les directions financières ne savent pas encore modéliser correctement, parce qu'il ne ressemble pas aux risques fournisseurs classiques. Le contrat est souvent annuel, donc il semble réversible. Mais la réversibilité réelle — celle qui inclut la migration des données, la reformation des équipes, la reconstruction des intégrations — a un coût qui peut être plusieurs fois supérieur à la valeur du contrat lui-même.

Les ETI européennes qui ne cartographient pas aujourd'hui leur niveau de dépendance par acteur et par processus métier vont se retrouver avec des structures de coût rigides qu'elles n'auront pas vues venir.

Des alternatives européennes crédibles existent-elles pour éviter ce scénario ?

Oui, et elles progressent — à condition de ne pas les comparer à l'acteur américain dominant sur ses propres critères, c'est-à-dire la profondeur de l'écosystème et la fluidité de l'expérience utilisateur. Sur ces deux axes, le différentiel existe encore. Mais ce ne sont pas les bons critères pour une ETI qui raisonne à cinq ans.

Les bons critères sont : la localisation des données, la prévisibilité tarifaire, la réversibilité contractuelle, et la capacité à faire évoluer le service sans transfert de données vers des tiers non contrôlés.

Je travaille actuellement avec un éditeur allemand spécialisé dans l'automatisation documentaire pour notre département juridique. Le choix n'a pas été fait parce que c'est européen — ça n'aurait pas suffi à convaincre mon CODIR. Il a été fait parce que le modèle de déploiement est hybride, avec une option on-premise, les SLA sont contractuellement garantis avec des pénalités réelles, et l'API est documentée de manière à permettre une migration sans dépendre de l'éditeur. Ce sont des critères de maturité industrielle, pas des critères idéologiques.

La souveraineté, dans mon vocabulaire de DSI, c'est ça : la capacité à changer de fournisseur sans que ça coûte plus cher que de rester. Quand cette condition est remplie, vous n'êtes plus captif.

Dernier mot : quel conseil donneriez-vous à un DSI qui commence à structurer sa gouvernance IA en 2026 ?

Ne commencez pas par la politique. Commencez par la cartographie. Listez tous les services IA utilisés dans votre organisation — y compris ceux que vous ne connaissez pas encore, ce qui implique d'aller parler aux directions métier sans les menacer. Évaluez pour chacun le niveau de criticité des données traitées et le niveau de réversibilité réelle. C'est un travail de trois mois, pas de trois ans.

Ensuite seulement, posez des règles. Des règles simples, comprises par les métiers, qui ne bloquent pas l'innovation mais qui définissent clairement ce qui n'est pas négociable : souveraineté des données de production, réversibilité contractuelle minimum, localisation européenne des traitements sensibles.

Et faites-en un sujet de gouvernance d'entreprise, pas un sujet IT. Si la décision de dépendre d'un acteur américain pour un processus critique se prend sans que le CODIR en soit conscient, alors le problème n'est pas technique. Il est politique. Et c'est au DSI de le rendre visible.

*Entretien réalisé par la rédaction de RiffLab Media.*