5 signes que votre organisation a besoin d'une politique IA

Les outils d’IA se sont installés discrètement dans le travail quotidien de presque toutes les organisations. Souvent sans que la direction en ait une vue claire, sans politique formelle, et sans règles vraiment explicites. Ce n’est pas un reproche. C’est simplement le rythme habituel de la technologie : elle évolue plus vite que les cadres internes.

Mais l’EU AI Act est là. Et pas « bientôt ». L’obligation de former les collaborateurs à la littératie en IA, prévue par l’article 4, s’applique déjà depuis le 2 février 2025. Beaucoup d’organisations pensent encore qu’elles ont le temps jusqu’en août 2026, mais cette date concerne les exigences renforcées pour certains systèmes d’IA à haut risque. L’obligation de base, elle, est déjà en vigueur.

La vraie question est donc simple : votre organisation a-t-elle réellement mis de l’ordre dans son usage de l’IA ? Voici cinq signes qui montrent que la réponse est probablement non.

1. Vous ne savez pas quels outils d’IA vos collaborateurs utilisent

C’est de loin le problème le plus fréquent. Demandez à dix collaborateurs s’ils utilisent l’IA au travail, et une bonne partie répondra spontanément non. Demandez ensuite s’ils ont déjà utilisé ChatGPT pour rédiger un e-mail, demandé à Copilot de les aider dans un document, ou utilisé un outil de résumé IA pour des notes de réunion. L’image change immédiatement.

L’usage de l’IA reste souvent invisible parce qu’il est intégré dans des outils existants. Le correcteur qui reformule automatiquement des phrases ? IA. La fonction de recherche de votre CRM qui propose des suggestions « intelligentes » ? IA. L’outil de recrutement qui classe les CV ? IA.

Si votre organisation ne sait pas quels outils sont réellement utilisés, elle ne peut ni évaluer les risques, ni encadrer cet usage de manière responsable, ni démontrer sa conformité à l’AI Act.

2. Personne ne sait clairement ce qui est autorisé et ce qui ne l’est pas

Dans beaucoup d’organisations sans politique IA, une règle implicite s’installe : si l’outil fonctionne, on l’utilise. Or, l’EU AI Act distingue clairement ce qui est permis de ce qui ne l’est pas.

La reconnaissance des émotions sur le lieu de travail ? Interdite. Le social scoring appliqué aux collaborateurs ? Interdit. L’usage de l’IA dans le recrutement sans supervision humaine ? Usage à haut risque avec exigences strictes. Un chatbot sur votre site sans indiquer qu’il s’agit d’une IA ? Cela pose un problème de transparence.

Sans politique claire, personne ne connaît la limite. Et lorsqu’une limite n’est pas connue, elle finit presque toujours par être dépassée.

3. Des informations sensibles sont partagées avec des outils d’IA publics

C’est souvent le risque qui peut s’aggraver le plus vite. Un collaborateur colle des données clients dans ChatGPT pour formuler une réponse. Un responsable RH introduit des données de candidature dans un outil d’IA pour générer un e-mail d’évaluation. Un administrateur IT partage du code avec un assistant IA public.

À ce moment-là, ces données quittent votre organisation. Elles sont traitées sur des serveurs hors de votre contrôle, potentiellement en dehors de l’Union européenne, et peuvent, selon l’outil ou la version utilisée, être exploitées dans des processus d’amélioration de modèles. Ce n’est pas seulement une question liée à l’AI Act. C’est aussi un enjeu GDPR.

Une bonne politique IA commence souvent par une règle très simple : quelles données peuvent être introduites, dans quels outils, et dans quelles conditions ? Il ne faut pas forcément un document de trente pages. Deux pages claires, concrètes et connues de tous font déjà une différence considérable.

4. Personne n’est réellement responsable de l’IA dans votre organisation

Dans beaucoup de PME et d’administrations locales, il n’existe pas de responsable IA clairement désigné. L’IT gère les systèmes, mais ne se sent pas toujours responsable de la manière dont les collaborateurs utilisent les outils d’IA. Les RH considèrent souvent qu’il s’agit d’un sujet technique. La direction n’a pas encore structuré le sujet.

Résultat : personne n’a une vue d’ensemble, personne ne signale les risques à temps, et personne ne prend réellement la main lorsqu’un problème survient.

L’EU AI Act attend pourtant des organisations qui utilisent l’IA — y compris en tant que déployeur — qu’elles mettent en place une forme de gouvernance. Il ne faut pas nécessairement créer un service entier. Une seule personne peut suffire, à condition qu’elle ait le mandat nécessaire pour inventorier les usages, proposer une politique, coordonner les actions et servir de point de contact.

5. Vous ne pouvez pas démontrer, en cas d’audit, ce que vous avez réellement mis en place

Imaginons qu’un incident survienne. Un candidat se plaint d’une discrimination liée à un outil de sélection assisté par IA. Un citoyen estime qu’un système a influencé de manière injuste une décision concernant son dossier. Un régulateur pose des questions sur l’usage de l’IA dans votre organisation.

La première question sera presque toujours la même : qu’avez-vous fait pour prévenir cela ?

Avez-vous formé vos collaborateurs ? Avez-vous une politique ? Avez-vous évalué les risques ?

Si la réponse est : « nous n’y avions pas encore vraiment réfléchi », vous avez un problème. Pas seulement sur le plan juridique, mais aussi en matière de réputation et de crédibilité. En Belgique, la Gegevensbeschermingsautoriteit / Autorité de protection des données (GBA/APD) joue un rôle de plus en plus visible, en particulier lorsque des fuites de données ou des usages imprudents d’outils publics apparaissent. Et l’analyse ne s’arrête pas au seul GDPR : elle s’inscrit de plus en plus dans le contexte plus large de la gouvernance de l’IA.

Un certificat par collaborateur, une politique documentée, un inventaire des systèmes d’IA : voilà ce qui permet de démontrer que votre organisation agit sérieusement. Tout ne doit pas être parfait. Mais tout doit être démontrable.

Que faire maintenant ?

Si vous vous reconnaissez dans un ou plusieurs de ces signes, ce n’est pas une raison de paniquer. C’est une raison de commencer. La majorité des organisations en sont encore là.

Commencez par inventorier vos usages de l’IA. Désignez un responsable. Faites suivre à vos collaborateurs une formation de base adaptée à leur rôle. Et documentez ce que vous faites.

L’EU AI Act n’est pas une destination finale. C’est un point de départ vers un usage plus responsable de l’IA. Et les organisations qui commencent tôt n’ont pas seulement une meilleure conformité : elles ont aussi des collaborateurs qui utilisent l’IA de manière plus sûre, plus pertinente et plus efficace.

Une politique ne devient réellement prête pour un audit que si vos collaborateurs ont été formés de manière démontrable, avec un certificat couvrant les acquis pertinents de l’EU AI Act. C’est toute la différence entre une intention et une preuve.