La gouvernance de l’IA à travers les compétences humaines
L’histoire de l’informatique d’entreprise est, en termes généraux, une histoire de tensions dialectiques entre le centre et la périphérie, en particulier entre centralisation et décentralisation. Cela concerne ceux qui contrôlent l’infrastructure et ceux qui doivent l’utiliser pour produire de la valeur. Au cours des dernières années, nous avons appris à vivre avec le Shadow IT, c’est-à-dire l’utilisation de logiciels et d’appareils mobiles en dehors du contrôle des gestionnaires de technologie. Aujourd’hui, nous sommes confrontés à une mutation plus insidieuse et complexe : le Shadow AI.
Nous faisons face à un phénomène où l’intelligence artificielle générative, accessible à quiconque avec un navigateur, est utilisée pour réaliser des tâches critiques sans la connaissance de l’organisation. La déduction logique est simple : si l’accès à la puissance de calcul est devenu sans friction, alors le contrôle centralisé traditionnel n’est plus un frein suffisant.
Risques associés au Shadow AI
Celles et ceux qui utilisent l’IA de cette manière ne le font pas avec une intention malveillante, mais plutôt selon un principe d’efficacité économique individuelle, cherchant à maximiser leur productivité en comblant l’écart entre la demande de rapidité imposée par le marché et la lente réponse des processus internes. Malheureusement, cela ignore les risques qu’entraînent leurs opérations.
Lorsque nous prenons ces outils dans l’ombre, c’est-à-dire en dehors du périmètre de la gouvernance d’entreprise, nous exposons l’organisation à trois risques existentiels.
Le premier est, bien sûr, la souveraineté des données. Mettre des données confidentielles dans un prompt de modèle public équivaut, dans de nombreux cas, à remettre ces données au fournisseur du modèle pour un entraînement futur. Il s’agit d’une perte silencieuse et continue de la propriété intellectuelle, mettant ainsi en péril le cœur d’activité de l’entreprise.
Le deuxième risque est l’oubli que la machine calcule et ne pense pas. Elle produit du contenu sans réaliser ce qu’elle fait. Dans l’ombre, des décisions stratégiques pourraient être prises sur la base d’inférences statistiques erronées, générées par une machine qui n’a pas une compréhension complète du contexte de ce qu’elle a produit. Si nous déléguons la réflexion à la machine sans supervision, nous abdiquons notre responsabilité humaine.
Le troisième risque est la dette technique et légale cachée. Un code généré par une IA sans licence claire, ou un texte qui viole le droit d’auteur, entre dans les systèmes d’entreprise sans traçabilité. Lorsque, inévitablement, le moment vient de rendre compte de ces actifs, l’entreprise se retrouvera à gérer des responsabilités qu’elle ne savait pas exister.
Vers une culture de l’IA
La prohibition et le blocage d’accès, comme l’histoire numérique nous l’enseigne, ne fonctionnent pas. La réponse n’a jamais été l’introduction de plus de technologie ; en fait, les meilleurs résultats sont obtenus grâce à des innovations organisationnelles et surtout culturelles.
Nous devons déplacer l’axe du contrôle a priori inutile vers la compétence. Le Shadow AI prospère là où une culture de l’IA n’est pas répandue. Si les employés utilisent des outils non approuvés, c’est souvent parce que l’entreprise n’a pas fourni d’alternatives viables et sûres.
Les entreprises devraient fournir des « sandboxes », des environnements protégés où les modèles sont instanciés de manière privée, où les données ne quittent pas le périmètre de l’entreprise et où les résultats sont soumis à vérification.
Il est également nécessaire de revenir aux fondamentaux de la pensée critique. L’adoption de l’IA nécessite plus d’humanisme, pas moins. Nous devons former les gens non seulement à l’utilisation de l’outil (l’interface étant désormais en langage naturel, accessible à tous), mais à l’évaluation des résultats. La compétence technique doit évoluer vers une compétence épistémologique : savoir distinguer une corrélation statistique d’un lien de causalité, savoir reconnaître un biais, savoir évaluer l’éthique d’un résultat.
Conclusion
Nous pouvons donc redéfinir le Shadow AI comme un signal du marché interne. Il nous montre que la faim d’automatisation cognitive est immense. Le véritable défi pour les dirigeants est de faire passer l’IA de l’ombre à la lumière, où elle peut être gouvernée, mesurée et, surtout, dirigée par l’intention humaine. Si nous revenons aux années 1970, où il n’y avait que des systèmes centralisés et seulement un terminal, pas d’ordinateur personnel dans nos mains, nous n’aurions certainement pas de risques de sécurité en périphérie, mais nous n’aurions pas non plus de créativité et de responsabilité, qui, contrairement à la computation, ne peuvent pas être déléguées. Et la responsabilité est la seule réalité objective qui nous distingue, et nous distinguera toujours, des machines.
