Gouvernance IA : faut-il fixer des règles à cette “nouvelle collègue invisible” ?

Je vous partage mon modèle de Charte IA

Bonjour à toutes et à tous !

Un immense merci à vous, mes 3 357 abonnés !

C’est un plaisir de vous retrouver pour cette nouvelle édition de Daria décrypte l’IA.

Si ce n’est pas déjà fait, vous pouvez aussi :

• Rejoindre ma communauté Premium en passant à l’abonnement payant.

• Découvrir mes formation sur l’IA.

• Me suivre sur Linkedin et Instagram.

Aujourd’hui on va parler d’une collègue qui ne prend jamais de pause café… mais qui peut faire des vagues si on ne lui fixe pas de limites.

Oui, je parle bien de l’IA et surtout de sa version cachée, la Shadow AI.

J’aime beaucoup ce sujet, j’ai d’ailleurs écrit un article dédié à la Shadow AI sur le site du Village de la Justice : Shadow AI en entreprise : risques, conséquences et stratégies de maîtrise.

Et si j’en reparle aujourd’hui, c’est parce que le sujet revient sans arrêt.

Ces dernières semaines plusieurs d’entre vous m’ont posé des questions sur la gouvernance de l’IA en entreprise et m’ont demandé de partager mon modèle de Charte IA.

Alors comme on construit cette newsletter ensemble, ce sera le thème de la semaine !

Shadow AI

68 % des salariés français qui utilisent une IA générative en entreprise le font sans en informer leur supérieur.

Autrement dit, votre voisin de bureau a peut-être ChatGPT comme assistant sans que la direction ne le sache. Cette collègue un peu spéciale est déjà parmi nous, invisible mais bien présente dans nos tâches quotidiennes.

Et ses talents sont tentants : reformuler des textes, résumer des documents, générer des idées... Pourquoi s’en priver ?

Pourtant cette utilisation clandestine soulève des risques bien réels.

Illustration : en 2023, des ingénieurs de Samsung ont involontairement divulgué du code source confidentiel via ChatGPT en l’utilisant pour corriger des erreurs. Résultat, l’entreprise a paniqué et bloqué en urgence l’accès au chatbot pour éviter de nouvelles fuites.

Ce genre d’incident rappelle qu’une IA mal encadrée peut devenir une collègue incontrôlable.

La productivité, oui, mais pas au détriment de la sécurité.

Alors comment encadrer ces usages pour qu’ils soient utiles, sûrs et assumés ?

US : étude Infosys 2025

Pour y voir plus clair, l’étude Infosys 2025 offre une photographie très parlante de la situation dans les grandes entreprises aux États-Unis.

300 administrateurs interrogés dans des entreprises nord-américaines avec > 1 milliard $ de chiffre d’affaires.

Le constat : l’IA est désormais un sujet de gouvernance stratégique, mais pas encore bien encadré.

• 72 % des conseils d’administration reçoivent désormais des infos régulières sur l’IA et 14 % en parlent à chaque réunion. L’IA est donc devenue un sujet récurrent, au même titre que la finance ou la cybersécurité.

• Les dirigeants se sentent mieux informés sur l’IA que sur des thèmes pourtant classiques comme la géopolitique ou la réglementation.

• Mais la vigilance reste faible : seuls 14 % des boards se disent vraiment inquiets des risques d’image liés à l’IA (erreurs, biais, décisions injustes…).

• Côté stratégie, 29 % des entreprises ont un plan IA global, mais la majorité (55 %) fonctionne encore en silos avec des initiatives dispersées selon les services.

En résumé : les entreprises ont compris l’importance de l’IA, mais la gouvernance n’a pas encore suivi.

Et en France ?

La dernière édition du baromètre MetraData 2025 (ESSEC, Devoteam, Thales, Covéa, Nicomatic, Décathlon) montre que les entreprises françaises ont aussi compris l’enjeu de gouverner leurs données et leur IA, mais peinent encore à le faire concrètement.

• 60 % des organisations identifient désormais l’alignement entre stratégie métier et usage de l’IA comme un enjeu critique.

• 38 % considèrent la donnée comme un levier business majeur, non plus un sujet purement technique.

• Plus de la moitié ont commencé à poser les bases d’une IA responsable, avec 36 % en train de définir des principes et 24 % déjà dotées de règles formalisées.

• Mais seules 9 % estiment avoir les compétences nécessaires pour exploiter l’IA à grande échelle.

Je confirme ce constat. Je pilote un projet IA en entreprise et j’échange régulièrement avec des collègues d’entreprises de tailles et de secteurs variés.

Tous observent la même tendance : oui, la prise de conscience est là, mais la maturité reste faible. Les projets avancent souvent en silo, portés par l’enthousiasme des équipes, mais sans cadre commun ni vision long terme.

Et c’est justement là que les difficultés commencent.

Gouverner l’IA, mais pas n’importe comment

Quand une entreprise décide d’encadrer l’IA, deux extrêmes se dessinent souvent.

1. Première situation : la gouvernance trop stricte.
   On crée des chartes, des règles, des règlements, parfois copiés-collés d’exemples trouvés ailleurs. L’intention est bonne, mais le résultat est souvent déconnecté des réalités.

   Les salariés ne s’y retrouvent pas, les cas d’usage concrets ne sont pas pris en compte. Et tout le monde finit par contourner les règles.
   Cette approche « IA = risque à maîtriser » peut vite devenir contre-productive.

2. Deuxième situation : le laisser-faire total.
   Aucune règle, chacun teste l’IA dans son coin. Les projets se multiplient, mais sans cohérence ni contrôle.

   Résultat : des erreurs, des doublons et parfois des usages risqués qui passent sous le radar.

Entre ces deux extrêmes, il existe une voie plus intelligente : celle d’une gouvernance progressive et adaptée.

Je ne prétends pas détenir “la bonne méthode”, mais voici la vision issue de mon expérience.

La première étape consiste à créer un comité de pilotage IA. Il réunit le juridique, la DSI, les RH, les métiers, la direction générale… bref, toutes les parties prenantes.

Son rôle : suivre les initiatives, éviter les doublons, prioriser les projets et donner une vision commune.

C’est, à mon sens, le socle d’une gouvernance équilibrée et efficace.

Le Guide du Cigref et Numeum illustre très bien cette approche à travers la “pyramide de la gouvernance de l’IA” : du pilotage stratégique au suivi opérationnel.

Ensuite on avance par étapes claires :

1. Former les équipes pour comprendre ce qu’est (et n’est pas) l’IA, partager les bonnes pratiques et sensibiliser aux risques.

2. Identifier les cas d’usage pertinents, alignés sur les besoins métiers et la culture de l’entreprise.

3. Cartographier les systèmes d’IA utilisés ou développés dans l’entreprise. L’approche par les risques prévue par l’AI Act impose d’ailleurs cette cartographie.

4. Construire ensuite une Charte IA sur mesure, ancrée dans la réalité et non dans la théorie.

Télécharger une charte toute faite ne suffit pas. Même un bon modèle doit être adapté à la taille, aux cas d’usage, à la culture et aux priorités de chaque organisation.

C’est dans cet esprit que j’ai regroupé plusieurs exemples de chartes IA issues d’entreprises de tailles et de secteurs variés et que j’ai également créé mon propre modèle de Charte IA.

Mon modèle de Charte IA

J’ai décidé d’offrir ce modèle comme cadeau de bienvenue à tous les abonnés payants, en complément de mon Guide sur les prompts efficaces.

Ce modèle est pensé pour être simple, adaptable et compréhensible par tous : métiers, directions et collaborateurs.

L’idée n’est pas d’imposer des règles, mais d’accompagner les usages pour que l’IA soit un levier de confiance, pas un frein.

Si vous êtes abonné payant, voici le lien vers la Charte.
(Et si vous ne l’êtes pas encore… vous savez ce qu’il vous reste à faire 😉)