Gouvernance IA : quand une ETI industrielle comprend qu'elle a délégué ses risques à des acteurs qu'elle ne contrôle pas

Gouvernance IA : quand une ETI industrielle comprend qu'elle a délégué ses risques à des acteurs qu'elle ne contrôle pas

Il a fallu un audit. Pas une cyberattaque, pas une fuite de données, pas une injonction réglementaire. Juste un audit interne, conduit par une équipe IT d'une ETI industrielle de 800 salariés implantée en Allemagne et en France, qui a voulu cartographier sérieusement ses usages IA en production.

Le résultat a été inconfortable. Pas catastrophique — pas encore — mais inconfortable. L'essentiel de la chaîne de gouvernance IA de cette entreprise reposait sur des outils fournis par deux acteurs américains dont les conditions d'utilisation avaient évolué plusieurs fois en dix-huit mois, sans notification formelle aux clients enterprise. Les logs de décision automatisée — ceux qui permettent d'expliquer pourquoi un algorithme a priorisé telle commande fournisseur ou signalé tel équipement en maintenance préventive — étaient stockés dans des environnements que l'entreprise ne maîtrisait pas directement. Et surtout : les outils de traçabilité et d'audit de ces décisions étaient eux-mêmes fournis par le même acteur que le modèle sous-jacent.

Autrement dit, le juge et le jury étaient la même entité. Américaine.

Ce que révèle cette situation au-delà du cas isolé

Ce n'est pas un cas exceptionnel. C'est même, à mesure que les déploiements IA mûrissent dans les ETI européennes, un schéma qui se répète : l'adoption rapide d'outils IA portée par la direction métier ou la DSI, suivie — avec retard — d'une prise de conscience que la gouvernance de ces outils n'a pas été pensée à la même vitesse que leur déploiement.

Le problème spécifique que soulève ce retour terrain n'est pas technique. Il est structurel et politique au sens business du terme : quand la couche de gouvernance IA — traçabilité des décisions, explicabilité, gestion des biais, audit de conformité — est elle-même fournie par l'acteur dominant américain qui vend aussi le modèle, l'entreprise européenne n'a aucune position de négociation et aucune indépendance de contrôle.

C'est précisément dans cette brèche que s'inscrit la levée de fonds de White Circle, startup européenne spécialisée dans la gouvernance IA, qui annonce en 2026 un tour de table de 11 millions de dollars. Le signal industriel n'est pas tant le montant — modeste à l'échelle des mégarounds américains — que ce qu'il révèle sur la demande émergente : des entreprises européennes cherchent activement à découpler la couche de gouvernance IA de la couche modèle. Elles veulent pouvoir auditer sans dépendre de l'audité.

Le retour terrain : ce que l'ETI a réellement fait

Face à ce constat, l'équipe IT de cette ETI industrielle a engagé une démarche en plusieurs temps, dont les enseignements sont transférables.

Premier mouvement : cartographier avant de remplacer.

Plutôt que de lancer immédiatement une migration, l'entreprise a d'abord produit un inventaire exhaustif de tous les points de décision automatisée ou semi-automatisée assistée par IA dans son SI. Supply chain, maintenance prédictive, scoring fournisseurs, assistance à la rédaction de cahiers des charges techniques. Le résultat : une vingtaine de cas d'usage actifs, dont moins de la moitié faisaient l'objet d'une documentation de gouvernance — même minimale.

Ce travail de cartographie a pris plusieurs semaines. Il n'a requis aucun outil supplémentaire dans un premier temps. Il a surtout requis des conversations entre la DSI, les équipes métier et le RSSI — conversations qui n'avaient pas eu lieu lors des déploiements initiaux.

Deuxième mouvement : identifier les cas à risque réglementaire.

L'IA Act européen, entré progressivement en application, impose des exigences de traçabilité et d'explicabilité sur les systèmes IA dits « à haut risque ». Pour cette ETI, plusieurs cas d'usage touchant à la gestion RH et à la sélection fournisseurs tombaient dans ce périmètre. Or, les outils en place ne produisaient pas les logs d'audit dans un format exportable et indépendant. La conformité n'était pas assurée — et l'entreprise ne le savait pas clairement avant l'audit.

Troisième mouvement : découpler la gouvernance du modèle.

C'est ici que le mouvement de marché incarné par des acteurs comme White Circle devient concret. L'ETI a cherché à identifier des solutions de gouvernance IA qui fonctionnent de manière agnostique — c'est-à-dire capables de s'interfacer avec les modèles en place (y compris les modèles américains déjà déployés) sans en dépendre pour la couche d'audit. L'objectif n'était pas de tout remplacer immédiatement — cela aurait été irréaliste — mais de reprendre la main sur la traçabilité, indépendamment du fournisseur de modèle.

Ce découplage est exactement ce que proposent les acteurs européens de gouvernance IA émergents : une couche d'observabilité et d'audit qui ne présuppose pas la fidélité à un écosystème propriétaire.

Ce que ce cas dit de la position européenne en 2026

L'Europe n'est pas en retard sur tous les fronts de l'IA. Elle est en retard sur la fondation des modèles de très grande taille — c'est documenté, assumé, et partiellement compensé par des efforts publics et privés. Mais elle dispose d'atouts réels sur la couche de gouvernance, de conformité et d'audit : une réglementation avancée qui crée une demande domestique, une tradition juridique de protection des données qui ancre une culture du contrôle, et des équipes techniques capables de construire des outils de traçabilité sophistiqués.

Le risque, pour les ETI européennes, n'est pas d'ignorer l'IA. Le risque est de déployer des modèles américains — parce qu'ils sont disponibles, performants, et que les équipes les connaissent — sans jamais construire une couche de gouvernance indépendante. Ce faisant, elles se rendent doublement dépendantes : dépendantes du modèle pour la performance, dépendantes du même acteur pour l'audit de ce modèle.

C'est une position de faiblesse négociatoire et de fragilité réglementaire simultanées.

La levée de White Circle, aussi modeste soit-elle en valeur absolue, signale que le marché européen commence à valoriser explicitement ce découplage. Des investisseurs — européens — considèrent qu'il existe une demande solvable pour des outils de gouvernance IA qui ne soient pas la propriété de l'acteur dont on surveille les modèles.

Les conclusions transférables

Pour une DSI ou un RSSI d'ETI européenne, ce retour terrain pointe vers trois questions pratiques à poser dès maintenant — sans attendre la prochaine mise à jour des CGU d'un acteur américain :

Qui audite vos systèmes IA, et cet auditeur dépend-il du même acteur que votre modèle ? Si la réponse est oui, la gouvernance est formelle mais pas substantielle.

Vos logs de décision sont-ils exportables dans un format indépendant ? La conformité à l'IA Act ne se négocie pas avec votre fournisseur de modèle. Elle se démontre à une autorité de contrôle. Si vous ne pouvez pas exporter vos traces d'audit hors de l'environnement propriétaire, vous n'êtes pas conformes — vous êtes en sursis.

Avez-vous cartographié vos cas d'usage IA à haut risque avant de les déployer, ou après ? La cartographie a posteriori, comme dans le cas de cette ETI, est toujours possible. Mais elle coûte plus cher en temps et en exposition réglementaire que la cartographie ex ante.

Le mouvement de marché autour de la gouvernance IA européenne ne remplacera pas les modèles américains dans les SI des ETI du continent — pas à court terme. Mais il peut, s'il se structure, offrir aux entreprises européennes ce qu'elles n'ont pas encore : la capacité de dire qu'elles contrôlent ce qu'elles ont déployé. C'est moins spectaculaire qu'un modèle génératif dernier cri. C'est peut-être plus stratégique.