Gouvernance de l’IA : le contrôle reste à la traîne

Alors que l’intelligence artificielle (IA) s’intègre rapidement aux activités des grandes entreprises, les mécanismes pour l’encadrer peinent à suivre le rythme, selon une étude d’Optro.

« La gouvernance ne doit pas être considérée comme un obstacle à l’innovation, mais comme un élément fondamental pour permettre aux entreprises de déployer une IA à haute intégrité », souligne Guru Sethupathy, directeur général de la gouvernance de l’IA chez Optro.

Les agents d’IA exécutant des tâches de plus en plus complexes, la supervision de ces agents devient un travail de fond pour les entreprises, ajoute le dirigeant.

Selon l’étude, menée auprès de 822 décideurs en audit, conformité et technologies, dans des organisations d’au moins 250 employés aux États-Unis, au Canada, en Allemagne et au Royaume-Uni, 85 % des organisations interrogées ont intégré l’IA à leurs opérations courantes ou à leur stratégie à long terme, mais seulement 25 % savent précisément comment leurs employés utilisent ces outils au quotidien. Le fossé entre l’adoption et le contrôle est devenu l’un des principaux défis de gestion des risques dans les entreprises, selon les auteurs du rapport.

Une partie du problème vient de l’intérieur même des organisations. Le phénomène de l’IA fantôme (l’utilisation d’outils d’IA non autorisés) y est répandu :

• 35 % des entreprises le décrivent comme omniprésent ou très fréquent,
• et 45 % comme modéré,
• tandis que 20 % estiment qu’il est rare ou inexistant.

Les effets du manque d’encadrement se font sentir. Au cours des 12 derniers mois, les entreprises sondées ont rapporté des résultats inexacts générés par l’IA, des violations de politiques internes, des plaintes de clients, des fuites de données et des poursuites judiciaires. Par ailleurs, 82 % ont constaté une augmentation des cyberattaques menées à l’aide de l’IA, notamment des tentatives d’hameçonnage et d’ingénierie sociale, qui sont devenues les principales menaces en 2026 devant les rançongiciels.

L’un des problèmes relevés dans le rapport est l’absence de responsabilité claire. Aucune fonction ne détient plus de 25 % de la responsabilité en matière de gouvernance de l’IA. En cas d’incident, il n’y a pas de décideur unique ni de mécanisme d’arrêt précis pour désactiver un système d’IA. L’imputabilité se répartit entre les équipes TI, de gestion des risques, de conformité, de direction et de sécurité.

La majorité des répondants estiment que leurs mécanismes de contrôle suivent le rythme de l’adoption de l’IA. Mais seulement une minorité déclare disposer de mesures d’atténuation couvrant la majorité des risques et être en mesure de détecter les risques en temps réel. La gouvernance n’existe souvent que sur papier et n’est pas intégrée aux processus quotidiens où les décisions sont réellement prises, signale le rapport.

Environ la moitié des organisations possèdent des politiques d’utilisation de l’IA et offrent de la formation à leurs employés. La plupart prévoient investir dans des solutions de gouvernance de l’IA, des outils de conformité réglementaire et la mise à niveau des plateformes existantes.