Que nous impose la loi,
exactement — et pourquoi ?
Chaque semaine, les signaux IA qui comptent vraiment pour les grandes organisations opérant en Europe et en Amérique du Nord qui veulent garder le contrôle de leur transformation IA — filtrés, analysés, traduits en décisions concrètes.
Cette semaine, je dînais avec des amis médecins. Ils débattaient depuis un moment d'un cas complexe en rhumatologie — protocoles, hypothèses, références croisées. Puis l'un d'eux a posé la question qui a tout simplifié : "Pourquoi est-ce qu'on fait ça ?"
Revenir à la source. Pas par manque de sophistication — par excès de bruit.
Il y a beaucoup de bruit en ce moment sur la gouvernance IA. Des consultants, des conférences, des alertes réglementaires. Avant de décider quoi faire, je propose la même question que mon ami médecin : que nous impose la loi, exactement — et pourquoi ? Les réponses sont moins dramatiques qu'on le dit. Et plus exigeantes sur l'essentiel.
L'EU AI Act ne vous demande pas d'être parfait. Il vous demande de savoir ce que vous avez — et qui en répond.
En revenant au texte lui-même — pas aux interprétations — trois obligations fondamentales se dégagent pour les systèmes à risque élevé : documenter, superviser, être en mesure d'expliquer. Pas éliminer le risque. Pas garantir l'infaillibilité. Être capable de dire ce que le système fait, sous quelle supervision, et vers qui on se tourne quand quelque chose déraille. La Loi 25 au Québec et la LIAD canadienne posent les mêmes exigences fondamentales — avec leurs propres calendriers d'application.
C'est moins spectaculaire que ce que les alertes réglementaires laissent entendre. Et c'est précisément pour ça que beaucoup d'organisations passent à côté : elles attendent une obligation complexe, elles ne voient pas que l'obligation simple — savoir ce qu'on a et en assumer la responsabilité — est celle qu'elles ne remplissent pas encore.
La question "pourquoi est-ce qu'on fait ça" de mon ami médecin s'applique exactement ici. Pourquoi la loi exige-t-elle la documentation et la traçabilité ? Pas pour créer de la bureaucratie. Pour que quelqu'un soit en mesure de répondre de ce que le système a fait — devant un client, un régulateur, un juge.
→ Le Dossier #01, disponible cette semaine, donne le cadre concret pour répondre à cette question — section par section.
Transparence, équité, responsabilité. Ces valeurs sont dans tous les textes sur l'IA. Elles ne valent rien sans les mécanismes pour les vérifier.
Les principes éthiques de l'IA — portés par l'OCDE, l'UNESCO, l'EU AI Act — convergent autour des mêmes termes depuis plusieurs années. Ce qui change en 2026, c'est l'exigence de preuve. Déclarer que votre IA est transparente ne suffit plus. Il faut être en mesure de montrer comment vous le vérifiez, à quelle fréquence, et avec quels outils.
La question n'est plus "adhérez-vous à ces valeurs ?" Elle est "comment savez-vous que votre système les respecte en ce moment ?" Pour beaucoup d'organisations, la réponse honnête est : on ne sait pas — parce qu'on n'a pas mis en place les mécanismes pour le vérifier.
C'est exactement le problème du médecin qui suit un protocole sans se demander pourquoi. Le protocole peut être juste. Mais si on ne comprend pas le "pourquoi", on ne sait pas quand s'en écarter — ni quand il ne s'applique plus.
Les organisations qui ont fait l'inventaire de leurs systèmes IA ont presque toutes découvert la même chose : plus de déploiements qu'elles ne pensaient, moins de responsables nommés qu'il n'en faudrait.
L'audit des actifs IA — ce que nous appelons l'AI-CMDB — révèle systématiquement un écart entre ce que la direction pense avoir déployé et ce qui tourne réellement. Les outils adoptés département par département, sans registre central, sans validation au niveau qui aurait dû valider. Ce n'est pas un problème de mauvaise volonté. C'est un problème de structure.
Revenir à la source, c'est aussi revenir à une question simple : de quoi sommes-nous réellement responsables aujourd'hui — et le savons-nous ?
Dans chaque organisation que j'ai accompagnée dans cet exercice, la carte des systèmes IA réels ressemblait à une ville vue d'avion la nuit. Des lumières partout — certaines groupées, d'autres isolées. Et personne qui avait la carte complète.
Les appels d'offres grands comptes intègrent maintenant des questions sur la gouvernance IA. Ce n'est plus un différenciateur. C'est un prérequis.
Ce qui était une question rare dans les appels d'offres il y a dix-huit mois — "comment gérez-vous les risques de vos systèmes IA ?" — est devenu systématique dans les secteurs financier, assurance, et administration publique. Les organisations qui ne peuvent pas répondre avec des faits précis perdent des marchés qu'elles n'auraient pas perdus autrement.
La gouvernance IA est en train de suivre exactement la trajectoire de la cybersécurité dans les années 2010 : d'abord perçue comme un coût, puis comme un différenciateur, puis comme un prérequis invisible — dont l'absence disqualifie.
Revenir à la source, c'est aussi comprendre pourquoi vos clients posent ces questions. Pas par excès de prudence. Parce qu'ils savent que si quelque chose déraille dans votre IA, c'est leur réputation qui est exposée en même temps que la vôtre.
La conformité construite progressivement coûte trois à cinq fois moins cher que la conformité construite dans l'urgence. Le moment idéal pour commencer était il y a six mois. Le deuxième moment idéal, c'est maintenant.
Les organisations qui attendent les premières sanctions ou les premières crises pour construire leur cadre de gouvernance vont payer cette attente à des taux qui font mal. Ce n'est pas une projection — c'est ce que les organisations qui ont vécu les deux séquences (progressif vs urgence) ont documenté sur la conformité RGPD entre 2016 et 2018.
L'IA suit la même trajectoire. Les délais sont connus. Les obligations d'août 2026 pour les systèmes à risque élevé sont dans le texte depuis 2024. Ce qui manque rarement, c'est l'information. C'est la décision de commencer.
Mon ami médecin a posé la bonne question au bon moment — avant que la situation ne devienne incontrôlable. C'est exactement ça, revenir à la source. Pas attendre que la question se pose d'elle-même.
→ Le Dossier #01 est disponible cette semaine. Il donne la roadmap pour commencer — maintenant, pas dans six mois.
Local → Efficiency → Agentique → Pivot. Quatre couches pour situer où en est votre organisation dans sa transformation IA. Chaque signal est étiqueté selon la couche qu'il concerne.
Décision · Risque · Impact valeur · Vulnérabilité · Engagement · Nécessité humaine. Six axes pour auditer la maîtrise réelle d'un déploiement IA.
Ce que j'ai retenu de mon dîner avec les médecins, c'est que la question "pourquoi est-ce qu'on fait ça ?" n'est pas une question de débutant. C'est une question d'expert. Les débutants suivent les protocoles. Les experts savent quand s'en écarter — parce qu'ils ont compris pourquoi ils existent.
En matière de gouvernance IA, cette question me semble rarement posée. On cherche quoi faire — une checklist, un outil, une certification. Rarement pourquoi : pour que quelqu'un soit en mesure de répondre de ce que le système décide. Pour que l'organisation reste maître de sa transformation, même quand elle accélère.
Dans votre organisation, est-ce que le "pourquoi gouverner l'IA" est une réponse partagée — ou est-ce encore une question que chacun interprète différemment selon son département ?
Répondez à cet email. Je lis chaque réponse.