La gouvernance IA désigne l'ensemble des règles qu'une organisation (entreprise, association, collectivité, État) fixe pour encadrer l'utilisation des outils d'intelligence artificielle. Elle prend généralement la forme d'une charte qui liste les outils autorisés, les données interdites à saisir et les responsabilités de chacun.
Selon une étude de grande envergure (2024), 50 % des salariés utilisent des outils d'IA non approuvés par leur employeur, et 93 % d’entre eux introduisent des données d'entreprise dans ces outils IA non autorisés. Ce phénomène porte un nom : le Shadow IA.
En mars 2023, Samsung Semiconductor a autorisé ses ingénieurs à utiliser ChatGPT pour corriger le code informatique qu’ils peuvent produire au quotidien. En 20 jours, trois incidents de fuite se sont produits :
- Un ingénieur a collé du code source confidentiel pour demander une correction de bug ;
- Un autre a soumis des modèles de test conçus pour détecter les puces défectueuses ;
- Un troisième a envoyé le compte-rendu d'une réunion interne pour en obtenir une synthèse
Ces données font désormais partie de la base d'entraînement d'OpenAI. Samsung a d'abord limité les prompts à 1 024 caractères, avant d’acter l’interdiction formelle d’utiliser l’outil en interne en mai 2023. Le géant sud-coréen a ensuite réautorisé l’utilisation de ChatGPT en mai 2025 après avoir mis en place des mesures de sécurité drastiques.
💡 L’incident d’indexation des conversations ChatGPT sur Google (été 2025)
En juillet-août 2025, environ 100 000 conversations ChatGPT se sont retrouvées dans les résultats de recherche de Google, accessibles au grand public sur simple saisie d’un mot-clé figurant dans la discussion. C’est ainsi que des milliers de CV avec noms et coordonnées, de stratégies d'entreprise et de données médicales se sont retrouvés dans la nature. OpenAI a rectifié le tir quelques jours plus tard, notamment en travaillant avec Google pour désindexer ces pages, mais une bonne partie reste encore accessible via les outils d’archivage (comme archive.org).
Que contient une charte IA, concrètement ?
La charte IA commence généralement par lister les outils IA autorisés dans l’entreprise : par exemple ChatGPT uniquement via le compte entreprise, Copilot intégré à Microsoft 365 ou encore un assistant interne hébergé en France. Elle liste aussi les outils interdits : versions gratuites des chatbots publics, applications chinoises comme DeepSeek, etc.
La charte IA précise ensuite les données qu'il est interdit de saisir dans les outils IA gratuits ou sans garantie contractuelle de confidentialité. Par exemple :
- Les données clients (noms, contacts, historique d'achat) ;
- Le code source ou la documentation technique ;
- Les comptes-rendus de réunion internes ;
- Les données RH (salaires, évaluations, arrêts maladie) ;
- Les contrats, devis et conditions commerciales (B2B notamment).
Les versions entreprise (ChatGPT Enterprise, Gemini for Workspace, Claude for Work) garantissent contractuellement que les données ne servent pas à l'entraînement du chatbot IA. Avec ces outils, la charte peut autoriser la saisie de données internes, à condition de le formaliser explicitement.
💡 L'AI Act impose une obligation de formation depuis février 2025
L'article 4 du règlement européen sur l'IA (AI Act) est entré en vigueur le 2 février 2025. Il impose aux organisations qui utilisent des systèmes d'IA de garantir un niveau suffisant de connaissances à leur personnel. Le texte ne fixe ni format ni durée, mais la Commission européenne recommande de tenir un registre des actions de sensibilisation entreprises. Les autorités nationales commenceront à contrôler la conformité à partir d'août 2026.
Ce que l'entreprise risque sans gouvernance IA
Si l’entreprise n’a pas formalisé une charte IA, chaque salarié choisit ses propres outils, y saisit les données qu'il veut et peut engager la responsabilité de l’entreprise en laissant passer les hallucinations de l’IA dans des documents. La gouvernance IA vient justement encadrer l’usage de l’IA pour éviter 4 problèmes majeurs :
La fuite des données : l'incident de juillet 2025 (détaillé plus haut) a montré qu'un bug peut rendre publiques des conversations confidentielles. Les salariés qui avaient saisi des informations internes dans ChatGPT les ont vues apparaître dans les résultats de recherche Google. Ce scénario peut parfaitement se reproduire ;
Les hallucinations : l'IA génère parfois des informations fausses avec aplomb. Si un salarié utilise ChatGPT pour rédiger un contrat, un devis ou des CGV, il peut envoyer à un client un document qui contient une clause défavorable à l'entreprise, des conditions de paiement inventées ou des garanties que personne n'a validées. Si le client accepte, l'entreprise est engagée.
L'incohérence : quand 10 salariés utilisent des outils IA différents avec des prompts hétérogènes, les documents produits peuvent sortir de la ligne éditoriale de l’entreprise, des conditions générales de vente, de la documentation interne, etc.
Le flou sur la responsabilité. Si un document généré par l'IA cause un préjudice (prix erroné dans un devis, information fausse transmise à un client, engagement contractuel non souhaité), qui en porte la responsabilité ? Le salarié qui a utilisé l'outil ? L'entreprise qui ne l'a pas interdit ? La charte IA délimite cette responsabilité en amont.
