Vous avez un projet, ou êtes en réflexion, sur un enjeu métier ou IT ?
Si l’intelligence artificielle promet de révolutionner la productivité et la façon de penser les workflows métiers, son déploiement massif soulève des défis majeurs en matière de sécurité, de conformité et de souveraineté. Avec la mise en œuvre de l’AI Act européen, les entreprises se retrouvent à la croisée des chemins : comment innover sans compromettre les données qu’elles jugent stratégiques ? La question de la “souveraineté IA” n’a donc jamais été aussi pressante, d’autant que les usages se démocratisent à une vitesse fulgurante auprès de l’ensemble des collaborateurs.
Youssef ZEBOUDJI, ambassadeur IA du plan Osez l’IA et Lead Usages & Acculturation IA chez Inside, décrypte pour nous ces enjeux complexes, et nous explique comment différencier conformité et indépendance, et surtout, comment ne pas perdre le contrôle face aux nouveaux comportements liés à l’IA.
Le mot souveraineté est sur toutes les lèvres. Qu’est-ce qu’il signifie réellement pour une entreprise dans un contexte IA ?
Avant de parler de localisation de serveurs ou de nationalité d’un outil, il est important de revenir à l’essence même du concept. La souveraineté, c’est avant tout la question de la liberté et du contrôle. Pour une entreprise, cela signifie ne pas être dépendante de la bienveillance d’un tiers pour protéger ses secrets industriels ou ses données sensibles.
Cependant, la quête de souveraineté IA doit s’inscrire dans une démarche pragmatique. Il s’agit d’abord de cartographier son patrimoine informationnel. Pour des données publiques ou non confidentielles, l’utilisation d’outils ouverts ne pose aucun problème. En revanche, dès lors qu’il s’agit de la propriété intellectuelle ou de données stratégiques, le recours à des solutions maîtrisées, idéalement locales ou européennes, devient un impératif pour garantir que l’information ne sortira pas de l’écosystème de l’entreprise.
Faire confiance à un éditeur ne suffit pas toujours : lorsqu’il est situé hors de l’Union européenne, il faut aussi être conscient du cadre juridique auquel il est soumis, car celui-ci peut influencer la maîtrise réelle de ses données.
Youssef ZEBOUDJI, ambassadeur IA du plan Osez l’IA et Lead Usages & Acculturation IA chez Inside
En quoi l’AI Act se distingue-t-il des enjeux de souveraineté IA ?
L’AI Act a été pensé pour poser un cadre destiné à favoriser une IA “digne de confiance” , afin de protéger les consommateurs et réguler le marché européen face aux dérives potentielles de cette technologie. S’il peut parfois être perçu comme un frein à l’innovation par certaines entreprises, il agit en réalité pour une innovation plus saine et responsable.
Néanmoins, il est indispensable de faire la distinction : être conforme à l’AI Act ne signifie pas être souverain. L’AI Act s’applique largement aux systèmes d’IA mis sur le marché ou utilisés dans l’espace européen, y compris lorsqu’ils sont proposés par des acteurs extra-européens. Un outil américain peut donc respecter les exigences de l’AI Act tout en restant soumis, par ailleurs, au cadre juridique de son pays d’origine. C’est précisément cette superposition de cadres juridiques qui rappelle que la souveraineté IA va au-delà de la simple conformité réglementaire.
La souveraineté relève d’une gouvernance propre à l’entreprise concernant le niveau de protection et d’indépendance qu’elle exige pour ses données.
Youssef ZEBOUDJI, ambassadeur IA du plan Osez l’IA et Lead Usages & Acculturation IA chez Inside
L’AI Act ne réglemente pas la technologie en elle-même, mais classe les usages de l’IA en 4 niveaux de risque :
- Risque inacceptable (Interdit) : Les systèmes de notation sociale (comme le « crédit social » chinois), la manipulation comportementale nuisible, ou la reconnaissance faciale de masse en temps réel dans l’espace public.
- Haut risque (Très encadré) : Les IA utilisées dans des secteurs critiques comme l’évaluation des crédits bancaires ou la justice. Elles doivent être transparentes, sécurisées et obligatoirement supervisées par un humain.
- Risque limité (Obligation de transparence) : Les IA génératives ou les outils de deepfakes. L’utilisateur doit simplement être clairement informé qu’il fait face à une IA.
- Risque minimal (Libre) : Les filtres anti-spam, la saisie prédictive et les correcteurs, les algorithmes des plateformes de streaming… L’immense majorité des IA actuelles entre dans cette catégorie et n’a pas de contrainte.
L’AI Act a été conçu pour être un scalpel, pas une massue. Il laisse le champ libre à plus de 90% d’IA pour ne se concentrer que sur les rares usages réellement sensibles pour la société.
Calendrier incertain, bénéfices immédiats… Comment gérer concrètement la balance bénéfice/risque face à l’AI Act ?
Le champ d’application de l’AI Act est extrêmement vaste : il concerne les acteurs qui développent, intègrent, distribuent ou utilisent des systèmes d’IA dans l’espace européen. Pourtant, sur le terrain, notamment dans les ETI et les PME, le sujet reste souvent abstrait. Son application étant progressive jusqu’en 2027, les entreprises traversent aujourd’hui une période de transition réglementaire, où les obligations se précisent peu à peu mais restent encore difficiles à appréhender concrètement.
Face à cette situation, les dirigeants opèrent un arbitrage pragmatique. Les gains de productivité et l’avantage concurrentiel offerts par l’IA générative sont jugés tellement massifs que beaucoup acceptent de prendre le risque dans l’immédiat. Le bénéfice l’emporte temporairement sur l’appréhension du cadre légal, reléguant parfois les réflexions de gouvernance et de souveraineté IA au second plan, jusqu’à ce que les premières jurisprudences viennent clarifier le paysage.
Le sujet de l’AI Act est géré comme n’importe quel projet d’entreprise : on pèse le ROI face au risque. Tant que les sanctions ne semblent pas immédiates, les efforts se concentrent davantage sur les usages que sur la mise en conformité.
Youssef ZEBOUDJI, ambassadeur IA du plan Osez l’IA et Lead Usages & Acculturation IA chez Inside
La technologie est souvent pointée du doigt, mais dans vos ateliers, le véritable danger identifié n’est-il pas le facteur humain ?
Si la cybersécurité et la protection des données constituaient déjà des enjeux vitaux, l’intelligence artificielle a accéléré le mouvement. En simplifiant la fuite non maîtrisée d’informations hors de l’organisation, elle change la donne. La surface d’exposition a explosé : l’IA est désormais omniprésente, directement intégrée dans nos smartphones, nos boîtes mail et nos navigateurs.
Le plus grand risque ne vient pas uniquement de la technologie elle-même, mais de l’humain cherchant à gagner du temps. Même si une entreprise déploie une IA interne ultra-sécurisée, il suffit qu’un collaborateur décide de photographier un document confidentiel pour le soumettre à une IA publique depuis son téléphone personnel pour ouvrir une brèche. C’est ce qu’on appelle le Shadow AI. Face à cela, la simple interdiction est rarement suffisante : l’acculturation et une sensibilisation approfondie sur le pourquoi de ces risques peuvent modifier durablement les comportements.
Un collaborateur en situation d’urgence qui veut aller vite peut utiliser un outil personnel non sécurisé. Le phénomène de Shadow AI est très difficile à contrôler.
Youssef ZEBOUDJI, ambassadeur IA du plan Osez l’IA et Lead Usages & Acculturation IA chez Inside
Vous voulez plus d’informations sur nos ateliers IA ou organiser une session ?
Organisez un atelier sur-mesure !
Comment ces enjeux se matérialisent concrètement dans l’accompagnement des projets par Inside ?
Chez Inside, l’approche est avant tout guidée par le besoin métier. Avant de parler de technologie ou de conformité, nous définissons le pourquoi du projet. Est-ce que l’IA est réellement la solution la plus appropriée ? Ensuite, nous nous positionnons comme des conseillers et des fournisseurs de compétences, opérant directement dans l’écosystème et sous la gouvernance de nos clients, ce qui contribue à clarifier les responsabilités face à l’AI Act.
Pour garantir des déploiements sécurisés, nous avons rendu nos chefs de projet « IA compatibles ». Dès la phase de cadrage, la dimension IA est systématiquement intégrée dans les matrices de gestion des risques. Nos collaborateurs sur le terrain peuvent s’appuyer à tout moment sur nos centres de compétences et l’expertise de notre IA XLAB. Ce dispositif permet de fournir toutes les clés de compréhension, de la faisabilité technique aux impacts réglementaires, pour prendre les bonnes décisions et renforcer la souveraineté IA.
Un projet d’IA ?
Discutons de sa mise en œuvre et de vos enjeux de conformité !
