Skip to main content
Tous les articles
Par Bill Sourour

Votre politique d'IA devrait être du code

gouvernance-iaia-entrepriseia-production
Votre politique d'IA devrait être du code

Un auditeur s'assoit avec un modèle qui évalue des demandes de prêt depuis huit mois. La question est simple : montrez-moi la dernière fois qu'il a été évalué, qui a approuvé la version en production aujourd'hui, et ce qui se passe quand ses résultats dérivent. L'entreprise a une politique de gouvernance de l'IA. Elle fait quarante pages, le conseil l'a approuvée au printemps dernier, et elle dit les bonnes choses sur l'équité, la responsabilité et la supervision humaine. Elle ne répond pas à la question. La réponse se trouve dans un journal d'évaluation, un responsable désigné et une barrière de déploiement qui empêche une mauvaise version d'atteindre la production, et l'entreprise n'a construit aucun de ces éléments.

L'enquête 2026 sur l'impact de l'IA de Grant Thornton a chiffré la fréquence de cette scène. Parmi 950 dirigeants interrogés au début de 2026, 78 % ont dit manquer de confiance quant à leur capacité à réussir un audit indépendant de gouvernance de l'IA dans un délai de 90 jours. La firme l'a nommé « l'écart de preuve » : des organisations qui déploient à grande échelle une IA qu'elles ne peuvent ni expliquer, ni mesurer, ni défendre. Près de la moitié, 46 %, ont désigné les défaillances de gouvernance et de conformité comme une cause majeure de la sous-performance de leur IA.

Le problème n'est pas la politique. Le problème, c'est que la politique est la seule chose que la plupart des entreprises ont construite.

Le document a été écrit pour le mauvais lecteur

La plupart de la gouvernance de l'IA est rédigée pour un régulateur, un conseil d'administration ou le questionnaire de sécurité d'un client. Elle décrit les intentions de l'entreprise : les principes qu'elle défend, le comité qui examine les usages à haut risque, les valeurs qui guident le déploiement. Comme déclaration d'intention, elle fait son travail.

Puis un modèle passe en production et l'intention cesse d'être ce qui décide quoi que ce soit. Ce qui décide, c'est de savoir si le pipeline de déploiement a bloqué la version qui a échoué à son évaluation. Si le journal a capturé quel modèle a pris la décision. Si un humain a réellement ouvert le dossier que le système a signalé pour révision, ou l'a ignoré d'un clic. Un document ne peut rien faire de tout cela. Il ne peut qu'affirmer que ces choses devraient se produire, à un lecteur qui ne sera jamais dans la pièce au moment où elles se produisent.

L'écart apparaît au sommet. Trois conseils d'administration sur quatre ont approuvé des investissements majeurs en IA. À peine la moitié ont fixé des attentes de gouvernance en même temps que le budget, et moins de la moitié ont fait du risque lié à l'IA un élément permanent de leur supervision, selon la même enquête. L'investissement est approuvé. Le mécanisme pour surveiller ce que l'investissement construit ne l'est pas.

Pourquoi le document l'emporte toujours

Le document l'emporte parce qu'il est peu coûteux et qu'il règle des tickets. Une politique peut être rédigée en quelques semaines par le service juridique et la conformité, elle satisfait le questionnaire de sécurité qui bloque une transaction, et elle permet au conseil de considérer le risque lié à l'IA comme réglé. Elle produit un artefact que tout le monde peut voir et transférer.

Le système d'exploitation ne produit rien qui tienne sur une diapositive. Ce sont des barrières de déploiement dans un pipeline, des règles de rétention sur un entrepôt de journaux, une file de dérogations que quelqu'un doit gérer à 8 h, un inventaire qui devient obsolète la semaine où personne ne le met à jour. Ce travail doit être cadré, pris en charge et financé par l'ingénierie, et il entre en concurrence avec la feuille de route produit à chaque sprint. La politique est écrite parce que l'écrire est le travail de quelqu'un. Le système n'est pas construit parce que le construire n'est le travail de personne.

Ce qu'un système d'exploitation fait réellement

Un système d'exploitation planifie le travail, applique les permissions, enregistre ce qui s'est passé et arrête un processus qui se comporte mal. La gouvernance intégrée au cycle de développement logiciel accomplit les mêmes quatre tâches pour l'IA. Chacune est un mécanisme, et chacune remplace une phrase du PDF que personne ne peut prouver aujourd'hui.

Une barrière de déploiement. L'évaluation s'exécute avant qu'un modèle ne soit livré, et une version qui échoue à son évaluation n'atteint pas la production. C'est l'idée la plus ancienne de la modélisation réglementée : SR 11-7, la directive de la Réserve fédérale et de l'OCC sur la gestion du risque lié aux modèles, exige une validation indépendante avant qu'un modèle n'influence une décision, et ce depuis 2011. Une barrière transforme « nous validons nos modèles » d'une affirmation en une étape que le pipeline applique, que quelqu'un s'en souvienne ou non.

Un journal qui survit à la décision. Chaque inférence enregistre quelle version du modèle s'est exécutée, ce qu'elle a vu, ce qu'elle a renvoyé et qui en était responsable. L'article 12 de la Loi européenne sur l'IA en fait une exigence légale pour les systèmes à haut risque : une journalisation automatique des événements tout au long de la vie du système, afin qu'une décision puisse être retracée quand un régulateur ou un client le demande. Les équipes qui journalisent pour le débogage capturent les mauvaises choses et les purgent au bout d'une fenêtre de rétention de 30 jours. Une piste d'audit, c'est de la journalisation conçue pour un lecteur qui se présente un an plus tard.

Une supervision humaine capable de changer le résultat. L'article 14 de la Loi européenne sur l'IA exige que les systèmes à haut risque soient conçus pour qu'une personne puisse les surveiller, les interpréter et les neutraliser pendant qu'ils fonctionnent. La plupart du « humain dans la boucle » se résume à une personne qui reçoit une notification sans aucun moyen concret d'arrêter le système avant qu'il n'agisse. Un humain qui ne peut pas arrêter la décision n'est pas de la supervision. C'est un témoin.

Un responsable qui existe encore dans six mois. Chaque modèle en production a un nom qui lui est rattaché et une entrée dans un inventaire, attribués avant que le modèle ne touche quoi que ce soit de réel. Quand le modèle dérive, quelqu'un est responsable de le remarquer. « Le modèle a décidé » n'est pas une phrase qui survit à un audit, et ce n'est pas une phrase qu'un système doté d'un responsable désigné a jamais à dire.

Un moniteur qui fonctionne en continu. La recommandation même de l'enquête est de faire passer la gouvernance « d'une politique statique à une supervision continue : surveiller le comportement des agents, détecter les écarts et ajuster les contrôles à mesure que les systèmes évoluent ». Les dérogations, la latence et les taux d'erreur sont suivis en temps réel, et non reconstitués à la prochaine revue trimestrielle. Un modèle antifraude qui commence à rejeter des clients légitimes se manifeste par un pic de dérogations dès le jour où cela commence, visible pour quiconque surveille le tableau de bord. La même dérive parvient à un comité de revue trimestriel sous forme de plainte, trois mois et plusieurs milliers de clients rejetés plus tard. Si vous apprenez qu'un modèle a dérivé par une diapositive dans une présentation, le modèle est erroné depuis un trimestre.

Les banques font déjà cela

Rien de tout cela n'est nouveau. C'est nouveau pour l'IA.

SR 11-7 exige depuis bien plus d'une décennie une responsabilité désignée, une validation indépendante, une surveillance continue et un inventaire documenté des modèles. C'est un système d'exploitation pour la gouvernance des modèles, construit et éprouvé bien avant que quiconque ne déploie un modèle de langage en production. Une banque qui exploite un modèle de crédit sait déjà répondre à la question de l'auditeur, parce que la réponse est un ensemble de contrôles en fonctionnement qu'elle était tenue de construire, et non un document qu'elle était tenue de rédiger.

Les principes se transfèrent directement à l'IA. C'est l'outillage qui accuse un retard. Un générateur de résumés et un modèle d'évaluation de crédit se situent sur le même continuum : tous deux transforment des entrées en résultats qui façonnent une décision que quelqu'un peut être appelé à défendre. La discipline qui gouverne l'un est celle qui manque à l'autre, et les entreprises qui vivent déjà sous cette discipline ont une longueur d'avance qu'elles reconnaissent rarement comme telle.

Le système est aussi l'avantage

La gouvernance conçue de cette façon ressemble à un pur coût jusqu'à ce qu'on regarde qui en tire de la valeur. Dans la même enquête, les organisations dotées d'une IA pleinement intégrée étaient près de quatre fois plus susceptibles de déclarer une croissance des revenus tirée par l'IA que celles encore en phase pilote, 58 % contre 15 %. La confiance dans la réussite de cet audit de 90 jours suivait la même ligne : 7 % parmi les entreprises encore en phase pilote, 74 % parmi celles pleinement intégrées, un écart décuplé qui se tient juste à côté de celui des revenus.

Ce ne sont pas deux constats distincts. Les entreprises qui ont construit les contrôles en fonctionnement sont les mêmes qui faisaient assez confiance à leur propre IA pour la déployer partout. La barrière, le journal et le responsable sont ce qui leur a permis de passer à l'échelle sans broncher chaque fois qu'un modèle touchait quelque chose d'important. La gouvernance a cessé d'être ce qui les ralentissait pour devenir la raison pour laquelle elles pouvaient avancer.

La fenêtre se referme pour le papier

Près de trois organisations sur quatre donnent à l'IA agentique accès à leurs données et à leurs processus. Une sur cinq dispose d'un plan éprouvé pour ce qui se passe quand un agent échoue. À mesure que les agents passent de la suggestion à l'action, la distance entre une politique et un contrôle en fonctionnement devient la distance entre un incident que vous pouvez expliquer et un autre que vous ne pouvez pas. Un article précédent de cette série traitait de la moitié « identité » de ce problème : des agents qui s'authentifient avec des identifiants que personne ne possède. La moitié « gouvernance » a la même forme. Les contrôles existent sur papier et nulle part ailleurs.

Le travail consiste à convertir chaque ligne de la politique en un mécanisme qui fonctionne. Le principe « nous gardons un humain dans la boucle » devient une étape de révision que le flux de travail ne peut pas sauter. « Nous surveillons la dérive » devient une alerte reliée à une métrique assortie d'un seuil. « Nous maintenons la responsabilité » devient un nom rattaché à une entrée d'inventaire, vérifié avant le déploiement. Une politique que vous pouvez lire vaut moins qu'une barrière qui arrête un mauvais déploiement à 2 h du matin sans demander l'avis de personne. Les entreprises qui comblent l'écart de preuve ne rédigent pas de meilleurs documents. Elles construisent le système que le document décrit.


Une politique dit à un régulateur ce que vous aviez l'intention de faire. Un système d'exploitation lui montre ce qui s'est réellement passé. Quand l'auditeur s'assoit, un seul des deux parle encore.


Bill Sourour est le fondateur d'Arcnovus, une firme de conseil technologique qui aide les responsables de l'ingénierie dans les secteurs réglementés à transformer la gouvernance de l'IA d'un document en un système qui fonctionne. Si votre politique devient muette dès qu'un auditeur lui pose une question, parlons-en.

Bill Sourour

Bill Sourour

Fondateur, Arcnovus

25 ans en technologie d'entreprise. Écrit sur la stratégie IA pour les DPI.

Cité dansFortuneWIREDCBC
En savoir plus
S'abonner à Bill on AIS'abonner