Encadrer l’IA en entreprise consiste à définir quels outils sont autorisés, quelles données peuvent être utilisées, quels usages sont interdits, comment les demandes métiers sont structurées et comment les risques sont suivis.
L’enjeu n’est pas de bloquer les équipes. L’enjeu est d’éviter que les usages IA se développent sans cadre.
IA publique, IA entreprise, IA métier
| Type d’IA | Définition | Point d’attention |
|---|---|---|
| IA publique | Outil accessible librement ou individuellement. | Risque de saisie de données sensibles. |
| IA entreprise | Outil validé par l’organisation. | Nécessite règles, accompagnement et gouvernance. |
| IA métier | IA intégrée à un processus ou outil métier. | Nécessite contrôle, responsabilités et mesure. |
Les données à cadrer
Les équipes doivent savoir ce qu’elles peuvent ou ne peuvent pas saisir dans un outil IA.
Exemples de données sensibles :
- données clients ;
- données RH ;
- données financières ;
- données contractuelles ;
- secrets commerciaux ;
- documents stratégiques ;
- données personnelles ;
- informations de sécurité ;
- informations non publiques.
Le rôle de la DSI
La DSI ne doit pas seulement autoriser ou bloquer.
Elle doit aider à :
- sélectionner les outils ;
- clarifier les règles ;
- structurer les demandes métiers ;
- définir les données autorisées ;
- cadrer les risques ;
- accompagner les usages ;
- rendre les demandes IA pilotables.
Encadrer sans bloquer
Une gouvernance IA trop rigide peut bloquer les usages utiles.
Une absence de gouvernance peut créer du shadow AI, des risques data et des pratiques incontrôlées.
L’équilibre consiste à définir un cadre clair, compréhensible et utilisable.
Bonnes pratiques
| Bonne pratique | Objectif |
|---|---|
| Définir les outils autorisés | Réduire les usages non cadrés. |
| Clarifier les données interdites | Protéger l’entreprise. |
| Créer un cadre de demande IA | Structurer les besoins métiers. |
| Former aux risques | Éviter les erreurs d’usage. |
| Mettre en place un suivi | Observer les usages réels. |
| Prévoir une validation humaine | Limiter les décisions non contrôlées. |
Exemple de règle simple
Une règle interne peut distinguer trois niveaux :
| Niveau | Exemple |
|---|---|
| Autorisé | Reformuler un texte non confidentiel. |
| Sous condition | Résumer un document interne anonymisé. |
| Interdit | Saisir des données clients, RH ou stratégiques dans un outil non validé. |
FAQ
Faut-il interdire les IA publiques ?
Pas nécessairement. Mais il faut définir clairement ce qui peut y être saisi et ce qui doit rester dans des outils validés.
La DSI doit-elle piloter seule l’adoption IA ?
Non. La DSI cadre les outils, les données et les risques. L’adoption implique aussi les métiers, les managers, la RH et la direction.
Comment éviter le shadow AI ?
En donnant un cadre clair, des outils validés et des règles simples à appliquer.