AI ACT n'est pas gouvernance IA
POLE CONFORMTIÉ
Cyril ROGER
7/7/20264 min read


L'AI Act ou RIA n'est pas la gouvernance de l'IA
Conformité Règlementations .
cabinet d’Expertise conformité réglementaire |healthcare | QPPV | Management de transition IA Santé
3 juillet 2026
Depuis plusieurs mois, une idée revient régulièrement dans les discussions : l'AI Act est le support de gouvernance de l'intelligence artificielle. Cette affirmation traduit pourtant une confusion qui risque d'orienter les organisations vers une approche essentiellement réglementaire, alors que le véritable enjeu est avant tout organisationnel.
Une affirmation qui vient possiblement de cet engouement vécu, entendu dans les médias (mais surtout lu sur LinkedIn) où l'IA Act devenait la réponse souveraine Européenne à l'intégration de l'IA pour garantir les droits des citoyens....Deux ans après on voit un Omnibus passer (légèrement différent de l'Omnibus ESG), et quelques retards au passage à l'acte.
Une confusion entre conformité et gouvernance
L'AI Act ne définit pas la gouvernance de l'intelligence artificielle. Il établit un cadre réglementaire applicable à la mise sur le marché, à la mise en service et à l'utilisation de certains systèmes d'IA selon leur niveau de risque. Son objectif est de fixer des exigences permettant de démontrer la conformité de ces systèmes, pour l'instant des GPAI , en 2027 des GPAISR.
La gouvernance de l'IA relève d'une logique beaucoup plus large. Elle consiste à organiser la manière dont une entreprise décide, pilote, maîtrise et améliore durablement l'utilisation de l'intelligence artificielle au sein de ses activités. La conformité réglementaire en fait partie, mais elle n'en constitue qu'une composante.
Les enseignements de l'enquête de la CNIL
Cette confusion est d'ailleurs visible sur le terrain. La CNIL souligne, dans son enquête menée auprès des délégués à la protection des données, que le règlement sur l'IA demeure encore peu maîtrisé. Seuls 27 % des DPO déclarent disposer d'un bon niveau de connaissance de l'AI Act et 85 % n'ont pas encore suivi de formation spécifique sur l'intelligence artificielle.
Ces résultats ne traduisent pas un manque de compétence des DPO. Ils montrent surtout que l'AI Act dépasse largement le champ historique de la protection des données. L'intelligence artificielle mobilise simultanément la qualité, la gestion des risques, la cybersécurité, la conformité réglementaire, les achats, les ressources humaines, les métiers, le contrôle interne et la direction générale. Vouloir en confier la gouvernance à une seule fonction reviendrait à réduire un enjeu transversal à une problématique réglementaire.
L'ISO/IEC 42001 : un système de management, pas un règlement
La publication de l'ISO/IEC 42001 illustre parfaitement cette distinction. Alors que l'AI Act définit des obligations juridiques, l'ISO/IEC 42001 propose un véritable système de management de l'intelligence artificielle. Elle apporte un cadre de gouvernance structuré fondé sur l'engagement de la direction, l'attribution des responsabilités, la maîtrise des risques, la gouvernance des données, la compétence des équipes, l'audit et l'amélioration continue.
Son ambition n'est pas de démontrer la conformité à un règlement, mais de permettre aux organisations de piloter durablement leurs usages de l'intelligence artificielle.
L'AI Act devient ainsi une exigence à intégrer dans un dispositif de management plus global. Cette logique est d'ailleurs bien connue dans d'autres domaines. Le RGPD ne constitue pas la gouvernance des données, pas plus que l'ISO 9001 ne représente à elle seule la gouvernance d'une entreprise. Ces référentiels apportent des exigences et des méthodes, mais la gouvernance résulte de leur intégration dans une organisation cohérente.
Une gouvernance nécessairement transversale
L'intelligence artificielle ne peut être gérée comme un sujet isolé. Elle interagit en permanence avec les systèmes qualité, la cybersécurité, la protection des données, les exigences sectorielles, les politiques d'achats, les fournisseurs, les ressources humaines, les dispositifs de contrôle interne et les engagements ESG.
C'est cette articulation qui détermine la robustesse d'une organisation, bien davantage que la seule conformité à un texte réglementaire.
Cette approche explique également pourquoi la gouvernance de l'IA ne peut être portée par une fonction unique. Elle doit être pensée comme une gouvernance d'entreprise, impliquant la direction générale et l'ensemble des fonctions concernées.
Le véritable enjeu
Le véritable risque n'est pas de ne pas satisfaire l'ensemble des exigences de l'AI Act. Il est de construire une organisation pensée uniquement pour répondre à un règlement alors que les technologies, les normes harmonisées, les lignes directrices et les usages évolueront continuellement.
L'AI Act apporte le cadre réglementaire. L'ISO/IEC 42001 fournit un système de management. La gouvernance, quant à elle, relève d'une vision stratégique portée par la direction et déployée de manière transversale dans l'ensemble des fonctions de l'entreprise.
L'AI Act évoluera. Les référentiels techniques évolueront. Les modèles d'intelligence artificielle évolueront encore plus rapidement, mais la gouvernance ou systeme de gouvernance elle demeurera
Dans ce contexte, la maturité d'une organisation ne se mesurera pas uniquement à sa capacité à démontrer sa conformité réglementaire, mais à sa capacité à intégrer les multiples évolutions réglementaires actuelles et à venir dans un système de gouvernance pérenne. Une gouvernance globale de le conformité sur l'ensemble des référentiels législatifs et normatifs.
AKA le Pôle Conformité
Conformité et Règlementations
Conseils en conformité pour les entreprises modernes.
Tel : +33 6 82 08 25 91
© 2024. All rights reserved.