✦ Un Cran d'Avance
Dossier Mensuel
Dossier N°4
Avril 2026
Dossier mensuel · Abonnés Premium · Avril 2026 · Couche P — LEAP™

Gouvernance IA :
Ce qui se passe
quand ça déraille.

Les organisations qui ont déployé l'IA sans gouvernance paient maintenant — en réputation, en contentieux, en perte de contrôle. Ce dossier donne le cadre pour ne pas être la prochaine.

Dossier N°4
Grandes organisations
Couche P — LEAP™
① 45s · ② 3 min · ③ 12 min · ④ Sources
Un mot avant de commencer

J'ai choisi la gouvernance IA comme premier dossier pour une raison simple : c'est le sujet que tout le monde reporte et que personne ne peut se permettre de reporter. En vingt ans de transformation technologique dans les grandes organisations, j'ai vu des projets réussir et d'autres déraper. La différence n'était presque jamais dans la technologie choisie. Elle était dans la structure mise en place autour d'elle — ou dans son absence. Ce dossier n'est pas un manuel théorique. C'est la trace de ce que j'ai observé, et un cadre concret pour agir dans les 90 prochains jours.

Aziz El Kihel · Fondateur, Un Cran d'Avance
① Le verdict — 45 secondes
« La gouvernance IA n'est pas ce qui ralentit votre transformation. C'est ce qui la rend durable. »
La gouvernance IA n'est pas un projet IT. C'est une décision de direction qui engage la réputation, la responsabilité juridique, et la confiance des clients — et qui ne peut pas être déléguée.
On trouve toujours le temps de refaire ce qu'on n'a pas pris le temps de bien faire. Cela ne signifie pas qu'il faut tout planifier avant d'expérimenter. Cela signifie que l'expérimentation sans cadre coûte toujours plus cher que l'expérimentation structurée.
Un cadre de gouvernance bien construit accélère l'innovation. Les organisations structurées lancent leurs projets IA plus vite, avec moins de retravail, et avec des équipes qui font confiance au processus.
Si vous ne retenez qu'une chose de ce dossier, c'est le deuxième point. Le reste est la démonstration.
② Le brief Pourquoi maintenant · Ce que ce dossier dit · Ce que vous allez décider ⏱ 3 minutes
01
Pourquoi maintenant
L'EU AI Act entre en application. Les premières crises de réputation IA sont documentées. Les grandes organisations opérant en Europe et en Amérique du Nord n'ont plus le luxe de l'improvisation.
02
Ce que ce dossier dit
La plupart des guides parlent de conformité. Celui-ci parle de ce qui se passe sur le terrain quand on brûle les étapes — et d'un cadre concret que vous pouvez mettre en place dans les 90 prochains jours.
03
Ce que vous allez décider
Si votre organisation a besoin d'un Chief AI Officer. Quels déploiements vous exposent en ce moment. Comment structurer un cadre sans bloquer l'expérimentation. Ce que l'EU AI Act vous oblige vraiment à faire.
③ L'analyse complète 6 sections · AI-CMDB · Système Andon · Roadmap 90 jours · 5 décisions lundi matin Pour ceux qui veulent comprendre avant de décider. ⏱ ~12 minutes
01

Ce qui se passe quand ça déraille

Les crises de réputation IA ont un point commun : personne ne les voit venir parce que personne n'avait la responsabilité de les anticiper.

Ce n'est pas un problème de technologie. Les modèles qui dérivent, les biais qui s'accumulent, les décisions automatisées que personne ne peut expliquer — ce sont des problèmes de gouvernance. La technologie a fonctionné exactement comme prévu. C'est le cadre autour d'elle qui manquait.

En vingt ans de transformation technologique dans les grandes organisations, j'ai vu des projets réussir et d'autres déraper. La différence n'était presque jamais dans la technologie choisie. Elle était dans la structure mise en place autour d'elle — ou dans son absence. Les équipes qui réussissaient avaient une chose en commun : quelqu'un avait la responsabilité explicite d'anticiper ce qui pouvait mal tourner, avant que ça tourne mal.

Le nouveau paradigme

Dans l'industrie du logiciel et la production industrielle, quand quelque chose ne fonctionne pas, ça se voit. Le serveur tombe. La chaîne s'arrête. L'alerte se déclenche. L'IA rompt ce postulat fondamental. Un système IA peut afficher un uptime de 99,9 % et simultanément discriminer une catégorie de clients, dériver de ses critères de décision, ou amplifier un biais jusqu'à ce qu'il devienne irréversible. Aucune alerte ne se déclenche. Le tableau de bord est au vert. Un système qui fonctionne peut être en train de dysfonctionner.

Vos équipes IT font des exercices de continuité d'activité. Elles simulent les pannes, les cyberattaques, les ruptures critiques — pour s'assurer que l'organisation peut fonctionner en mode dégradé. Vos CEO connaissent ce rituel.

Posez-vous maintenant une question simple : avez-vous fait le même exercice pour votre IA ? Si un de vos systèmes IA prend une mauvaise décision demain matin — une décision qui affecte un client, un collaborateur — qui l'identifie ? En combien de temps ? Qui a l'autorité pour arrêter le système ? Quel est votre mode dégradé le temps de l'investigation ?

Ce ne sont pas des questions théoriques. Ce sont exactement les questions que vos équipes posent pour vos systèmes critiques depuis des années. L'IA n'est pas différente — sauf que la plupart des organisations n'ont pas encore fait cet exercice pour elle.

Données
16
points d'écart entre ceux qui testent et ceux qui déploient vraiment — McKinsey 2025

McKinsey Global AI Survey 2025 : 39 % des organisations testent des agents IA. 23 % seulement les ont déployés à l'échelle. L'écart s'explique principalement par l'absence de cadre de gouvernance, pas par des problèmes techniques. Deloitte Tech Trends 2026 documente des dérives de coûts de 2 à 4× dans les six premiers mois pour les organisations qui déploient sans cadre de gouvernance.

Cadre LEAP™ — Lire la grille de lecture
P
Couche 4 · Pivot
Ce dossier — Redéfinition du modèle autour de l'IA
Les risques de réputation IA augmentent significativement au passage E→A — c'est le moment où les systèmes commencent à prendre des décisions sans validation humaine systématique. Si vous faites des exercices de continuité d'activité pour vos systèmes critiques, vous savez déjà comment penser ce problème. Il reste à l'appliquer à l'IA.
Section 02
02

L'EU AI Act : ce qu'il vous oblige vraiment à faire

L'EU AI Act est entré en vigueur en août 2024. Les premières obligations s'appliquent depuis février 2025. La plupart des grandes organisations opérant en Europe et en Amérique du Nord sont quelque part entre "on surveille" et "on a demandé à notre service juridique d'y jeter un œil". Ce n'est pas suffisant — mais avant de parler de ce qu'il faut faire, clarifions ce que la loi dit vraiment.

À qui ça s'applique — et le débat qui s'ouvre

L'EU AI Act s'applique à toute organisation qui déploie ou utilise des systèmes IA sur le territoire européen — indépendamment de l'endroit où elle est domiciliée. Une entreprise canadienne qui utilise un outil de recrutement IA pour ses opérations en France est concernée.

Mais il faut ouvrir le débat plus largement. L'EU AI Act n'est pas seul. Le Canada travaille sur sa propre loi sur l'IA (LIAD — Loi sur l'intelligence artificielle et les données). Le Québec a sa Loi 25, déjà en vigueur, qui impose une évaluation des facteurs relatifs à la vie privée pour tout système IA traitant des données personnelles. Le Royaume-Uni a publié son cadre pro-innovation. Plusieurs États américains et le NIST américain avec son AI RMF avancent en parallèle. Ce qui se dessine n'est pas une réglementation unique mondiale — c'est une mosaïque de cadres nationaux qui vont coexister, parfois se contredire, et toujours évoluer. La réglementation s'applique là où vous opérez, pas là où vous êtes enregistré.

Cadre analytique · DRIVEN™ 6 axes · Réservé Premium

Le cadre DRIVEN™ audite votre organisation sur 6 dimensions. L'analyse complète est dans la suite du dossier.

D Décision — Où est le pouvoir décisionnel ?
R Risque — Qui porte le risque réel ?
I Impact valeur — Qui capture la valeur créée ?
V Vulnérabilité — Où est la dépendance structurelle ?
E Engagement — Qui est responsable quand ça échoue ?
N Nécessité humaine — Les finances et les équipes suivent-elles ?

↓ L'application à votre situation est dans la suite du dossier

Le cadre d'analyse complet, les données terrain, les priorités 90 jours et la roadmap applicable vous attendent dans la suite de ce dossier…

Réservé aux membres Premium

Il reste 60% de ce dossier.

  • § 03 — Les 6 leviers : construire le cadre qui fonctionne vraiment
  • § 04 — Le cadre DRIVEN™ appliqué à la gouvernance IA
  • § 05 — Conformité multi-juridictions (Québec, France, Belgique, Afrique)
  • § 06 — La roadmap : 90 jours pour un cadre opérationnel
  • § 07 — Ce que vous faites lundi matin
Rejoindre Premium → En savoir plus sur l'offre →
Accès immédiat aux 4 dossiers · 199€/an · Offre fondateurs jusqu'au 31 mai
Le Cadre LEAP™ en 30 secondes
Ce dossier se situe en couche P — la gouvernance définit le modèle économique autour de l'IA.
L Local — Usage individuel.
E Efficiency — Automatisation.
A Agentique — Délégation d'objectifs.
P Pivot — Modèle économique. ← Ce dossier
Faire le diagnostic DRIVEN™ →
Grille LEAP™
L
Local
Usage individuel
E
Efficiency
Automatisation
A
Agentique
Agents autonomes
P
Pivot ◀
Ce dossier

Cliquez les encadrés ⬡ Cadre LEAP™ dans le texte pour activer la grille.

Chiffres du dossier
70%
des projets IA sans responsable désigné en cas d'incident
Gartner, 2025
2026
EU AI Act — premières obligations applicables
Journal officiel UE
plus de crises de réputation IA en 2025 vs 2023
MIT Sloan, 2025
Outil associé
Diagnostic DRIVEN™
7 axes · 7 minutes · Identifiez votre point de blocage sur la gouvernance IA.
Faire le diagnostic →
Ce dossier est écrit par
Aziz El Kihel
Fondateur · Un Cran d'Avance
Cadres LEAP™ et DRIVEN™

Pour une grande organisation qui opère au Québec, en France, en Belgique, et en Afrique francophone simultanément, la question n'est plus "est-on conforme à l'EU AI Act" — c'est "comment on construit un cadre de gouvernance robuste quelle que soit la réglementation qui s'applique demain."

Les valeurs éthiques — et le vrai défi

Toutes les réglementations IA émergentes convergent autour des mêmes valeurs : transparence, équité, responsabilité, robustesse, respect de la vie privée. Ces valeurs semblent évidentes. Elles sont en réalité très difficiles à garantir.

Comment une organisation peut-elle affirmer que son IA est transparente et équitable si elle ne maîtrise pas précisément ce que son IA fait, avec quelles données, et selon quels critères ?

La transparence signifie pouvoir expliquer à un client pourquoi le système a pris telle décision. L'équité signifie avoir vérifié que le modèle ne discrimine pas selon des critères protégés — et pouvoir le prouver. La responsabilité signifie qu'il y a une personne nommée, pas un comité, qui répond de ce que le système fait. Déclarer des valeurs éthiques sans en avoir les mécanismes de vérification, c'est une posture. Pas une gouvernance.

Les quatre niveaux de risque

NiveauExemplesObligation
Inacceptable — interditNotation sociale, manipulation psychologiqueInterdit
Élevé — obligations strictesRecrutement, crédit, assurance, RHDocumentation, audit, supervision humaine
Limité — transparenceChatbots, génération de contenuInformer l'utilisateur
Minimal — libertéFiltres anti-spam, recommandationsDroit commun
Obligation EU AI ActDate
Interdictions risque inacceptableFévrier 2025 ✅
Obligations modèles IA générativeAoût 2025 ✅
Obligations systèmes risque élevéAoût 2026 ⏳
Sanctions maximales35M€ ou 7% CA mondial
Point souvent manqué

L'EU AI Act s'applique aux fournisseurs ET aux déployeurs de systèmes IA à risque élevé. Si vous utilisez un outil tiers dans le recrutement ou l'évaluation, vous avez des obligations même si vous n'avez pas développé le système. "C'est la responsabilité de notre fournisseur" n'est pas une défense juridique suffisante. Vérifiez vos contrats. Votre DPO (Délégué à la Protection des Données — le responsable déjà nommé dans votre organisation pour la conformité RGPD) est votre premier interlocuteur pour cette démarche.

Cadre LEAP™ — Couche P · Pivot
P
Couche 4 · Pivot
Réglementation comme accélérateur stratégique
Un cadre de gouvernance solide est naturellement aligné avec la majorité des réglementations émergentes — parce qu'elles reposent toutes sur les mêmes valeurs fondamentales. Les organisations qui investissent maintenant n'auront pas de "projet de conformité EU AI Act" à lancer en 2026. Elles seront déjà en grande partie conformes.
Section 03
03

Les 6 leviers : construire le cadre qui fonctionne vraiment

La gouvernance IA n'est pas un projet. C'est un système. Et comme tout système, il ne tient que si chaque composante est en place — pas seulement les plus visibles. Ce que j'observe dans les organisations qui gouvernent bien leur IA : elles n'ont pas nécessairement les outils les plus sophistiqués. Elles ont six choses simples, bien faites, maintenues dans le temps.

Concept — IA-CMDB

On a appris à gouverner les actifs IT avec des CMDB. L'IA appelle désormais le même niveau de discipline : un registre central permettant de savoir quels systèmes IA existent, ce qu'ils font, qui en répond, et ce qu'il se passe s'ils dérivent. Un tableur de 7 colonnes suffit pour commencer. Le fait que le registre existe — même incomplet — change la dynamique organisationnelle.

Levier 1 — L'AI-CMDB : votre registre des actifs IA

Dans les années 2000, les organisations ont appris à leurs dépens ce que coûtait l'absence de CMDB — Configuration Management Database, le registre centralisé de tous les actifs IT. Celles qui n'en avaient pas découvraient leurs angles morts lors des crises, pas avant. L'IA reproduit exactement ce schéma — avec dix ans d'avance sur la prise de conscience.

DimensionCe qu'on documente
IdentitéNom du système, fournisseur, version, date de déploiement
UsageDépartement, processus concerné, volume de décisions/jour
RisqueNiveau EU AI Act, données utilisées, populations affectées
PropriétairePersonne nommée responsable — pas une équipe, une personne
ContinuitéMode dégradé, plan de crise, procédure de mise hors ligne

Ce registre n'est pas un document statique. Comme une CMDB, il est vivant : mis à jour à chaque nouveau déploiement, audité trimestriellement, accessible à la direction. Et comme une CMDB, sa valeur principale n'est pas dans ce qu'il contient le jour où on le crée — c'est dans ce qu'il révèle qu'on ne savait pas.

Levier 2 — Le propriétaire nommé et le système Andon

Chaque système IA dans votre AI-CMDB doit avoir un propriétaire. Une personne. Pas un comité. Quand un système IA prend une mauvaise décision à 23h un vendredi soir, un comité ne répond pas au téléphone.

Toyota a construit l'un des systèmes de production les plus fiables au monde sur un principe simple : chaque ouvrier sur la chaîne de montage a le pouvoir d'arrêter la production s'il détecte un défaut. C'est le système Andon. La logique est imparable — le coût d'arrêter la chaîne cinq minutes est infiniment moindre que le coût de livrer cinq cents voitures défectueuses.

Le même principe s'applique à l'IA. Le propriétaire doit avoir — par écrit, validé par la direction — l'autorité de mettre le système hors ligne sans obtenir six niveaux de validation. Vos organisations ont déjà intégré ce réflexe ailleurs : chaque collaborateur a aujourd'hui le pouvoir de signaler un email suspect comme phishing, sans demander la permission à son manager. C'est exactement le mécanisme à construire pour l'IA.

Levier 3 — La classification des risques

Tous vos systèmes IA ne méritent pas le même niveau de surveillance. La classification EU AI Act donne le cadre légal. Ajoutez-y deux dimensions propres à votre organisation :

L'impact réputationnel. Si ce système fait une erreur et qu'un journaliste en parle, quel est le niveau de dommage ? Faible, modéré, sévère, existentiel. Cette classification est souvent plus parlante pour un comité de direction que les catégories légales.

La dépendance opérationnelle. Si ce système tombe en panne, combien de temps votre organisation peut-elle fonctionner normalement ? Les systèmes à dépendance forte ont besoin d'un mode dégradé documenté — exactement comme vos systèmes IT critiques.

Levier 4 — L'exercice de crise IA

Quand avez-vous fait un exercice de continuité d'activité pour votre IA ? Un exercice de crise IA n'est pas un projet de six mois. C'est une demi-journée, une fois par an, avec les bonnes personnes dans la pièce.

Scénario de base : votre système de présélection RH vient de rejeter automatiquement 200 candidatures. Un candidat vous contacte avec des preuves que le rejet semble lié à son origine. Un journaliste a été contacté. Questions à tester : qui est prévenu en premier ? Qui a l'autorité pour suspendre le système ? Que dit-on au candidat dans les deux prochaines heures ? Comment on audite les 200 décisions en moins de 24 heures ?

Levier 5 — La formation des équipes métier

La gouvernance IA n'est pas l'affaire de la DSI. C'est l'affaire de chaque collaborateur qui utilise un système IA pour prendre des décisions. Trois questions que chaque collaborateur doit savoir répondre : Quand faire confiance au système ? Quand ne pas le faire ? Comment remonter une anomalie ?

Sur ce dernier point : pas un formulaire de 15 champs. Un canal simple — un email dédié, un canal Teams ou Slack, un formulaire simplifié dans votre intranet. L'outil importe peu — ce qui compte, c'est que chaque collaborateur sache où aller et que quelqu'un réponde.

Levier 6 — L'audit trimestriel

Une revue de direction, 90 minutes, quatre fois par an, sur quatre questions : L'AI-CMDB est-elle à jour ? Les systèmes à risque élevé performent-ils dans les limites attendues ? Les équipes sont-elles formées ? Le cadre est-il aligné avec les évolutions réglementaires ?

Cadre LEAP™ — Les 6 leviers en perspective
P
Couche 4 · Pivot
Transférer ce que vous savez déjà
Ces 6 leviers ne sont pas nouveaux. Vos organisations les appliquent déjà à d'autres domaines critiques — la sécurité informatique, la conformité RGPD, la continuité d'activité. Ce qui est nouveau, c'est de les appliquer à l'IA avec la même rigueur. La gouvernance IA n'est pas une discipline à inventer — c'est une discipline à transférer.
<
/div>
Mentions légales  ·  Confidentialité  ·  © 2026 Un Cran d'Avance
✦ Un Cran d'Avance
© 2026 · L'essentiel de l'IA pour décider mieux, chaque semaine.
Newsletter Premium À propos | Mentions légales Confidentialité