Log in
Sign up
ai governance illustrated as a ship's helm in sumi-e lineart

Sections

Gouvernance de l’IA : le système d’exploitation d’une IA conforme et responsable

gouvernance de l'IA illustrée par une barre de navire en encre sumi-e

L’essentiel

  • La gouvernance de l’IA désigne le système de politiques, de rôles, de processus et de contrôles qui décide comment une organisation conçoit, déploie, supervise et retire ses systèmes d’IA tout au long de leur cycle de vie.
  • Elle ne se confond ni avec la gestion des risques, qui n’en est qu’un processus interne, ni avec la conformité, qui est l’obligation externe que la gouvernance vise à satisfaire.
  • Trois cadres de référence se complètent : le règlement européen sur l’IA fixe les obligations légales, la norme ISO/IEC 42001 fait tourner le système de management, et le NIST AI RMF structure le travail sur les risques.
  • Une gouvernance mature fonctionne comme un système d’exploitation : chaque principe se résout en un responsable nommé, un contrôle concret et une preuve qu’un auditeur peut inspecter.
  • Les enjeux sont désormais opérationnels. Au titre du règlement européen, les sanctions les plus lourdes atteignent 35 000 000 EUR ou 7 % du chiffre d’affaires annuel mondial.

Qu’est-ce que la gouvernance de l’IA ?

La gouvernance de l’IA rassemble les droits de décision, les politiques, les processus et les contrôles par lesquels une organisation dirige la conception, le déploiement, la supervision et le retrait de ses systèmes d’intelligence artificielle. Elle répond à trois questions simples : qui a le droit de décider de ce que fait un système, comment ces décisions sont consignées, et comment l’organisation prouve, après coup, que les règles ont bien été suivies.

Cette dernière exigence est décisive. Pendant une décennie, la gouvernance de l’IA s’est résumée à une déclaration de valeurs (équité, transparence, responsabilité) couchée dans une politique puis rangée. La discipline est passée de l’éthique volontaire à une infrastructure opérationnelle obligatoire, parce que régulateurs et conseils d’administration attendent désormais des preuves plutôt que des intentions. Un dispositif incapable de produire des traces est, en pratique, un dispositif sans gouvernance.

Il faut distinguer trois notions souvent confondues. La gouvernance est la couche de décision et de responsabilité. La gestion des risques de l’IA est un processus qui vit à l’intérieur de la gouvernance : repérer, évaluer et traiter les risques d’un système donné. La conformité est l’exigence externe, fixée par une loi ou une norme, que la gouvernance cherche à satisfaire. Seule la gouvernance relie l’obligation, la décision et la preuve. Pour les organisations qui se demandent par où commencer, notre présentation de la plateforme AI Sigil situe la gouvernance comme la couche qui relie ces éléments.

Une définition opérationnelle s’impose donc : la gouvernance de l’IA est le modèle qui transforme des principes abstraits en pratiques répétables et auditables. La suite de ce guide explique comment ce modèle se construit.

Pourquoi la gouvernance de l’IA compte aujourd’hui

L’argument relevait hier de la réputation. Il est aujourd’hui juridique et financier. Le règlement européen sur l’IA a instauré des sanctions graduées qui inscrivent la non-conformité au bilan : jusqu’à 35 000 000 EUR ou 7 % du chiffre d’affaires mondial pour une pratique interdite, avec des paliers inférieurs mais bien réels pour les autres manquements (Commission européenne, règlement sur l’IA). Quand le risque se chiffre en pourcentage du revenu mondial, la gouvernance cesse d’être un groupe de travail pour devenir une responsabilité du conseil.

La surface de risque s’est aussi élargie. Un système d’IA moderne est rarement un seul modèle. C’est une chaîne de données d’entraînement, de modèles de fondation tiers, d’ajustements, d’invites, de sources de récupération et d’actions en aval, dont chaque maillon peut introduire un biais, divulguer des données, dériver ou se comporter de manière imprévisible. Les modèles à usage général et les modèles de pointe ajoutent une couche, car l’organisation qui les déploie ne les a souvent pas construits. La gouvernance maintient cette chaîne responsable quand aucune équipe ne la maîtrise entièrement.

Enfin, les attentes sur la responsabilité se sont durcies. Affirmer qu’un système est gouverné ne suffit plus ; auditeurs et superviseurs cherchent des responsables nommés pour la classification du risque, les données d’entrée, la surveillance et la réponse aux incidents. En France, les recommandations de la CNIL sur le développement de systèmes d’IA vont dans le même sens. Une responsabilité diffuse se lit comme une absence de responsabilité. Notre bibliothèque d’analyses sectorielles suit cette évolution dans les secteurs régulés.

Les trois cadres de référence et leur articulation

La confusion vient souvent de l’idée qu’il faudrait choisir entre le règlement européen, l’ISO/IEC 42001 et le NIST AI RMF. C’est un malentendu. Ils agissent à des niveaux différents, et un programme sérieux les emploie tous les trois. Notre bibliothèque d’analyses montre comment ils s’emboîtent.

Le règlement européen : la couche des obligations

Le règlement sur l’IA est une loi, structurée par le risque. Il répartit les systèmes en quatre classes : risque inacceptable (interdit), risque élevé (fortement encadré), risque limité (obligations de transparence) et risque minimal (quasi libre). Les systèmes à haut risque portent l’essentiel des obligations : système de gestion des risques, gouvernance des données, documentation technique, journalisation, supervision humaine, exactitude et cybersécurité, surveillance après commercialisation, le tout validé par une évaluation de la conformité (Commission européenne, règlement sur l’IA). Le règlement définit ce que vous devez accomplir.

ISO/IEC 42001 : la couche du système de management

L’ISO/IEC 42001:2023 est la première norme internationale pour un système de management de l’IA (AIMS). Elle précise comment une organisation établit, met en œuvre, maintient et améliore en continu sa façon de gouverner l’IA : inventaire, appréciation des risques, mise en place des contrôles, objectifs et évaluation des performances (ISO). Là où la loi énonce les obligations, l’ISO/IEC 42001 fournit la mécanique de gestion répétable qui vous y maintient mois après mois.

Le NIST AI RMF : la couche d’exploitation du risque

Le cadre de gestion des risques du NIST est volontaire et indépendant de toute méthode. Il structure le travail réel sur le risque autour de quatre fonctions : Gouverner, Cartographier, Mesurer, Gérer (NIST). Gouverner installe la culture et la responsabilité ; Cartographier replace chaque système dans son contexte ; Mesurer évalue son comportement ; Gérer agit sur les constats. Le NIST est la boucle que vous faites tourner à l’intérieur du système de management.

Lus ensemble : le règlement dit ce que vous devez, l’ISO/IEC 42001 fait tourner le système qui vous y tient, et le NIST organise l’analyse de risque en dessous. L’Europe prépare par ailleurs des normes harmonisées (les projets CEN-CENELEC connus sous les références prEN 18228, prEN 18282 et prEN 18229) destinées à traduire le règlement en spécifications techniques vérifiables, encore à l’état de projet.

La gouvernance comme système d’exploitation : de l’inventaire à la preuve

Si tant de programmes s’enlisent, c’est qu’ils s’arrêtent aux principes. Un modèle opérationnel va plus loin. Il fait tourner une chaîne qui transforme chaque obligation en élément inspectable, et cette chaîne compte quatre maillons.

Inventorier chaque système et ses composants

On ne gouverne pas ce qu’on n’a pas recensé. Le premier maillon est un inventaire vivant de chaque système d’IA et de ses sous-composants : le ou les modèles, les données, le cas d’usage, l’interface par laquelle on l’atteint, et les actions qu’il peut entreprendre. L’IA fantôme, adoptée par une équipe sans validation centrale, est l’angle mort le plus courant et le lieu où se cache le risque non maîtrisé.

Classer le risque de chaque système

Il faut ensuite classer chaque système recensé selon les classes de risque du règlement et selon votre propre appétence au risque. Le classement rend la gouvernance proportionnée : un outil interne à risque minimal ne saurait porter la même charge de contrôle qu’un système à haut risque touchant à la santé, à l’emploi ou au crédit. Le niveau fixe l’ampleur de la documentation et de la supervision.

Relier les obligations aux contrôles

Chaque obligation applicable à un système devient un ou plusieurs contrôles. Certains sont fondamentaux et valent pour toute l’organisation, comme tenir une politique IA ou une procédure de réponse aux incidents. D’autres sont propres au système, comme tester le biais d’un modèle ou journaliser ses décisions. Cette mise en correspondance est le cœur de la gouvernance : elle convertit une exigence légale ou éthique en un acte concret dont une personne répond.

Instrumenter la preuve

Le dernier maillon est la preuve. Chaque contrôle devrait produire un artefact : documentation technique, fiche de modèle, fiche de jeu de données, résultat de test, trace d’approbation, journal de surveillance après commercialisation. La preuve transforme une simple affirmation de conformité en fait démontrable, et c’est exactement ce qu’un organisme notifié, un régulateur ou un client demande à voir. Cette chaîne de l’inventaire à la preuve est l’ossature de la plateforme AI Sigil.

Le modèle opératoire : qui décide de quoi

Un système d’exploitation a besoin d’opérateurs. Le mode de défaillance structurel de la gouvernance est la responsabilité diffuse, où chacun est vaguement responsable et donc personne. Un modèle qui fonctionne corrige cela par trois mouvements.

D’abord, il installe une supervision : un comité de gouvernance de l’IA ou une instance au niveau du conseil qui fixe la politique, approuve les déploiements à haut risque et porte le programme. C’est là que repose la responsabilité ultime, et les superviseurs attendent de plus en plus qu’elle existe formellement.

Ensuite, il attribue des responsables nommés par système. La classification du risque, les données d’entrée, la surveillance et la réponse aux incidents appellent chacune une personne précise. Une matrice de responsabilités, qui indique pour chaque contrôle qui est responsable, garant, consulté et informé, lève l’ambiguïté que les audits sanctionnent.

Enfin, il respecte la distinction entre fournisseur et déployeur. Le règlement attribue des devoirs différents selon le rôle : l’organisation qui construit et met un système sur le marché (le fournisseur) ne porte pas les mêmes obligations que celle qui utilise un système conçu par un tiers (le déployeur), même pour un système identique (Commission européenne, règlement sur l’IA). Beaucoup d’organisations sont les deux à la fois, et leur gouvernance doit suivre la casquette portée pour chaque système.

Construire son cadre de gouvernance : une séquence pratique

Il n’existe pas de cadre unique, mais un ordre d’opérations sensé. Traitez ce qui suit comme une séquence plutôt qu’une liste, car chaque étape dépend de la précédente.

  1. Cadrer et inventorier. Recensez chaque système d’IA et ses composants, y compris ceux adoptés de façon informelle. L’inventaire est la fondation.
  2. Classer le risque. Hiérarchisez chaque système selon les classes du règlement et votre appétence, pour que l’effort aille où il compte.
  3. Choisir les cadres. Adoptez le règlement comme source d’obligations, l’ISO/IEC 42001 comme système de management et le NIST AI RMF comme boucle de risque. Ajoutez les règles sectorielles.
  4. Définir politiques et contrôles. Rédigez les politiques générales, puis dérivez les contrôles propres à chaque système.
  5. Attribuer les responsables. Associez à chaque contrôle un responsable nommé et une matrice de responsabilités. Un contrôle sans responsable se délite.
  6. Instrumenter la preuve. Décidez, par contrôle, quel artefact l’atteste et où il réside. Intégrez la collecte de preuves au flux de travail.
  7. Surveiller et revoir. Faites tourner les fonctions Mesurer et Gérer en continu : dérive, incidents, évolutions du système ou de la loi.
  8. Préparer l’audit. Maintenez une documentation prête pour la conformité, afin qu’une évaluation soit une simple récupération de pièces.

Les équipes qui veulent voir cette séquence outillée plutôt que tenue dans des tableurs peuvent observer sa mise en œuvre sur la plateforme AI Sigil, qui modélise l’inventaire, les niveaux de risque, les contrôles et les preuves comme un seul système relié.

Questions fréquentes

Quelle différence entre gouvernance de l’IA et gestion des risques de l’IA ? La gouvernance est le système large de droits de décision, de politiques, de rôles et de contrôles qui dirige l’usage de l’IA. La gestion des risques est un processus interne à la gouvernance : repérer, évaluer et traiter les risques d’un système donné. La gestion des risques dit ce qui peut mal tourner ; la gouvernance décide qui répond, quels contrôles s’appliquent et comment l’organisation le prouve. Elle n’a de valeur qu’au sein d’une structure de gouvernance qui attribue la responsabilité et capte la preuve.

La gouvernance de l’IA est-elle une obligation légale ? De plus en plus, oui. Le règlement européen impose des obligations contraignantes aux systèmes à haut risque et à usage général, avec des sanctions atteignant 35 000 000 EUR ou 7 % du chiffre d’affaires mondial pour les manquements les plus graves. D’autres juridictions suivent. Même sans loi directement applicable, clients, assureurs et conseils réclament désormais des preuves de gouvernance.

Quel cadre adopter : règlement européen, ISO 42001 ou NIST AI RMF ? Les trois, car ils agissent à des niveaux distincts. Le règlement est l’obligation légale si vous opérez dans l’Union ou y vendez. L’ISO/IEC 42001 offre un système de management certifiable pour gouverner en continu. Le NIST AI RMF structure le travail de risque sous-jacent et sert partout, y compris hors des États-Unis. Ils sont complémentaires, pas concurrents.

Qui devrait porter la gouvernance de l’IA dans l’organisation ? La supervision revient à un comité transverse de gouvernance de l’IA ou à une instance du conseil, car la responsabilité doit siéger là où est l’autorité. Au quotidien, chaque système a besoin de responsables nommés pour sa classification de risque, ses données, sa surveillance et ses incidents. C’est cette combinaison que recherchent les auditeurs.

Qu’est-ce que l’IA fantôme et pourquoi importe-t-elle ? L’IA fantôme est tout système ou outil d’IA utilisé dans l’organisation sans passer par une revue centrale, par exemple une équipe adoptant discrètement un agent conversationnel public pour des données clients. Elle importe parce que la gouvernance ne couvre que ce qu’elle connaît. Les systèmes non recensés portent un risque non maîtrisé et sont une source fréquente de fuite de données, d’où la primauté de l’inventaire.

Comment prouver que notre gouvernance fonctionne vraiment ? Par la preuve. Chaque contrôle du programme devrait générer un artefact : documentation technique, fiches de modèle, fiches de jeu de données, résultats de test, traces d’approbation et journaux de surveillance. Quand un régulateur, un organisme notifié ou un client interroge, vous récupérez les artefacts au lieu de décrire vos intentions. Une gouvernance incapable de produire des preuves équivaut, pour un auditeur, à une absence de gouvernance.

Conclusion

La bonne façon de penser la gouvernance de l’IA n’est pas un document que l’on classe, mais un système d’exploitation que l’on fait tourner. Sa fonction est de relier trois choses que les organisations tiennent d’ordinaire séparées : l’obligation qu’une loi ou une norme impose, le contrôle qui la satisfait, et la preuve qu’elle a été tenue. Le règlement européen fournit les obligations, l’ISO/IEC 42001 le système de management, et le NIST AI RMF la boucle de risque, mais la valeur tient à les câbler en une chaîne de l’inventaire à la preuve, avec un responsable nommé à chaque maillon. Pour voir le modèle à l’œuvre, explorez la plateforme AI Sigil.

Mathieu Lefebvre

MITRE ATLAS : des techniques d’attaque de l’IA aux contrôles de conformité

MITRE ATLAS recense 16 tactiques et 84 techniques d'attaque des systèmes d'IA. Transformez-les en contrôles et en preuves pour l'article 15 du règlement IA.

Gouvernance de l’IA : le système d’exploitation d’une IA conforme et responsable

La gouvernance de l'IA transforme les principes en contrôles auditables. Découvrez comment le règlement IA, ISO 42001 et le NIST AI RMF s'articulent.

Conformité de la gestion des risques : le guide 2026 pour les équipes GRC à l’ère de l’IA

Repenser la conformité de la gestion des risques à l'ère de l'IA : ISO 31000, ISO 42001, NIST AI RMF et article 9 du règlement IA en une seule pile.

Benchmarks LLM : guide conformité pour les équipes gouvernance IA

Un guide pensé pour les régulateurs : comment MMLU, HumanEval, HELM et AIR-Bench se rattachent aux obligations du règlement IA, du NIST AI RMF et de l'ISO 42001.

Le risque majeur des modèles d’IA générative, expliqué

L'hallucination est le risque le plus matériel des modèles d'IA générative. Cartographiez les 12 risques NIST aux articles du RIA et gouvernez-les avec des contrôles éprouvés.

Sociétés de certification ISO : le guide 2026 à l’ère de l’IA

Comparez les principales sociétés de certification ISO en 2026, lesquelles sont accréditées ISO/IEC 42001 IA, et comment choisir le bon auditeur.