L’IA en entreprise : « Une chaîne de responsabilités juridiquement floue »

L’intelligence artificielle s’invite partout dans l’entreprise. Derrière les gains de productivité promis, elle impose déjà son lot de contraintes, de la mise en conformité réglementaire à la clarification des responsabilités juridiques. Entre gouvernance, choix technologiques et coordination des équipes, le chantier est vaste.

Pour apporter un éclairage sur ces nouveaux enjeux, Frédéric Brajon, cofondateur et directeur général de Saegus, a répondu aux questions de BDM. Son cabinet de conseil indépendant accompagne aujourd’hui de grands groupes français dans leur transformation numérique et leur préparation à l’IA.

Frédéric Brajon, cofondateur et directeur général

Frédéric Brajon est l’un des trois cofondateurs de Saegus, un cabinet de conseil qui accompagne ses clients (grands groupes du CAC40/SBF120) dans leur transition vers l’entreprise intelligente et responsable de demain, en intégrant les technologies émergentes comme l’intelligence artificielle.

En ce moment, vous devez avoir énormément de sollicitations. Est-ce que l’IA occupe une grande partie de votre temps ?

Oui, il y a beaucoup de demandes, de différentes natures. Beaucoup d’entreprises sont convaincues qu’il faut avancer et cherchent des leviers d’accélération avec ces technologies. Mais beaucoup ne sont pas encore matures et préfèrent commencer par des tests, des POC (preuve de concept, ndlr), pour s’acculturer et comprendre ce qu’elles peuvent en faire.

Elles s’orientent d’abord vers des wide use cases, comme l’aide à la rédaction, le résumé de réunions ou l’organisation des emails : des usages généraux, donc peu sensibles. Les entreprises plus avancées développent déjà des agents métiers plus complexes, et les plus matures commencent à réfléchir à une organisation à l’échelle, intégrant responsabilité et réglementation.

On constate aussi que cette technologie est souvent adoptée par le bas, via les salariés. Est-ce que ça change la donne ?

Oui, c’est un changement fondamental. On peut comparer cela à ce qu’on a vécu pendant le Covid, quand toutes les entreprises ont dû équiper leurs collaborateurs d’outils de visioconférence, alors qu’ils en utilisaient déjà dans leur vie privée. L’IA suit la même logique : elle touche 100 % des salariés, et non une seule fonction comme la BI ou l’ERP.

Cela implique d’acculturer l’ensemble de l’entreprise, de mettre en place une charte de bon usage, des politiques de sécurité et de vérifier la robustesse des informations utilisées. Car si les données internes ne sont pas bien gouvernées, l’IA peut produire des réponses erronées. La gouvernance de l’information devient donc un chantier urgent, souvent négligé, mais désormais incontournable pour les CIO.

Les entreprises commencent à s’intéresser au sujet de la conformité. Quels sont les sujets en lien avec l’IA Act ?

Depuis février 2025, certains usages sont interdits. Les usages généraux sont encadrés depuis août 2025, et les IA à haut risque, celles qui concernent le plus les entreprises, le seront à partir d’août 2026. Les organisations commencent donc à se demander : « Que devons-nous mettre en place d’ici là pour être conformes, et quels impacts cela aura-t-il sur nos activités ? »

Certains grands groupes français, dans l’industrie, le retail ou le luxe, accélèrent déjà sur le sujet. Mais pour beaucoup, nous n’en sommes qu’aux prémices : comprendre ce que signifie concrètement se mettre en conformité avec l’IA Act, identifier les cas d’usage éligibles, définir une gouvernance et surtout apprendre à passer à l’échelle. Car il ne s’agit pas seulement d’un projet ponctuel : il faut mettre en place un organe de supervision pérenne, capable de contrôler la conformité de tous les nouveaux cas d’usage qui émergeront. C’est un véritable enjeu de scalabilité.

On imagine que pour les DSI, c’est un énorme chantier. Par quel bout le prendre ?

Les DSI doivent aujourd’hui définir leur stratégie d’outillage de l’IA, au bénéfice des différents services qui veulent l’utiliser. Cela suppose de répondre à plusieurs questions : faut-il choisir un cloud provider ? Certaines données sensibles doivent-elles rester on-premise, sur des serveurs maîtrisés en interne ? On assiste d’ailleurs à un retour de l’on-premise après des années de cloud à marche forcée.

Ils doivent aussi arbitrer entre différentes options technologiques : quelle est la bonne plateforme pour donner accès à l’IA générative ? Comment développer des agents de productivité simples, mais aussi des agents métiers plus complexes, capables d’embarquer plusieurs types d’IA (générative, machine learning, deep learning, computer vision, systèmes embarqués…) ? Cela pose aussi la question du make or buy : utiliser des services existants ou créer ses propres solutions. Le coût est un critère, mais la réglementation en devient un autre, ce qui nécessite de travailler main dans la main avec les services juridiques pour assurer la conformité.

Les DSI se retrouvent donc à gérer de nombreux chantiers, sous la pression de leur direction générale qui leur demande d’aller vite, d’être conformes, de limiter les coûts et de garantir la souveraineté des solutions.

Et il ne faut pas oublier que les DSI ne sont pas seuls concernés. D’autres parties prenantes entrent en jeu : le RSSI, le DPO, qui pourrait sembler le référent naturel sur l’IA Act mais ne l’est pas toujours, ou encore des départements éthiques et juridiques. Autant d’acteurs qui dépassent le cœur de la DSI et complexifient encore le sujet.

À quel point est-ce compliqué d’articuler le travail de nombreuses équipes  ? Comment faire pour que ce soit cohérent et conforme ?

C’est effectivement une difficulté majeure. Les éditeurs vendent des outils agiles, simples, qui donnent l’impression qu’on peut les utiliser immédiatement. Mais la réalité est différente : pour respecter la réglementation, il faut coordonner toutes les parties prenantes. Le DPO doit vérifier qu’aucune donnée sensible n’est exploitée, les équipes éthiques doivent s’assurer que les usages respectent les règles de l’entreprise, la gestion de l’information doit garantir la fiabilité des données, et il faut ensuite déployer et former.

Mettre tout le monde autour de la table pour valider la conception et la mise en production prend du temps, ce qui est en contradiction avec la promesse d’agilité. Il y a donc un fossé entre l’attente des salariés, qui utilisent déjà ces technologies à titre personnel et veulent les retrouver en entreprise, et l’exigence de conformité.

Dès lors, il faut mettre en place un vrai processus de gouvernance. Cela commence par classifier les cas d’usage : usage général, critique ou à risque. Selon la catégorie, on définit les étapes et les validations nécessaires. Pour les usages simples, par exemple un Copilot ou Gemini dans une suite bureautique, les risques restent limités et le déploiement est rapide. Mais pour des cas plus complexes, il n’y a pas d’autre choix que de suivre un processus strict de gouvernance de l’IA. C’est un chantier nouveau pour les entreprises, qui peinent déjà à mettre en place une gouvernance de la donnée. Il faut désormais ajouter une couche supplémentaire, documenter les projets, assumer la responsabilité juridique et se prémunir contre les dérives.

À quel point les entreprises sont-elles conscientes des risques et responsabilités liés à l’IA ?

La prise de conscience progresse, portée par une forte médiatisation des enjeux éthiques et juridiques. Les entreprises commencent à mettre en place des processus de gouvernance, même si elles savent qu’il sera difficile d’éviter totalement des usages non maîtrisés, notamment le shadow AI. Mais si elles prouvent leur bonne foi et le respect de procédures de contrôle, elles seront moins exposées qu’une organisation qui n’a rien prévu.

Il reste cependant de grandes zones de flou juridique. Les responsabilités en cas d’accident ou de dérive ne sont pas encore clairement définies. On l’a vu avec les véhicules autonomes : qui est responsable, l’éditeur, l’utilisateur, le superviseur ? Même chose pour les droits d’auteur et l’IA, déjà au cœur de nombreux procès aux États-Unis.

En entreprise, si une IA prend une mauvaise décision, par exemple dans une supply chain, qui porte la responsabilité ? Est-ce l’éditeur de la technologie, le fournisseur de données, l’utilisateur direct, le superviseur qui a validé la mise en production, ou encore l’entreprise elle-même ? Pour l’instant, la réponse n’est pas tranchée.

De la façon dont vous le dites, on a l’impression que les éditeurs ne sont pas les premiers concernés en cas de problème…

Cela dépendra des jurisprudences, mais comme pour tout produit, l’éditeur est par défaut mis en cause et doit prouver que l’erreur ne vient pas de son logiciel. C’est ce qu’on a vu lors des accidents impliquant Tesla ou Uber. Mais avec l’IA générative, c’est beaucoup plus complexe : c’est une boîte noire, difficile à tracer et à expliquer. Si la causalité n’est pas prouvée, l’éditeur pourra se défendre en disant : « Vous ne pouvez pas démontrer que c’est de ma faute. » Et la responsabilité se reporte alors sur l’utilisation qui en a été faite.

L’analogie est simple : si vous frappez quelqu’un avec un marteau, ce n’est pas la faute du fabricant, c’est la vôtre. Avec l’IA, c’est pareil : si elle est utilisée à mauvais escient, la responsabilité peut incomber à l’utilisateur, à l’entreprise, au superviseur qui a validé la mise en production, au process informatique qui n’a pas testé correctement, ou encore au fournisseur de données. Il existe donc toute une chaîne de responsabilités, qui reste aujourd’hui juridiquement floue.

Comment anticiper le fait que les modèles évoluent et peuvent changer de comportement sans modification explicite ?

Le comportement des IA peut effectivement changer d’une génération à l’autre. Certaines, comme Grok, sont paramétrées pour être ironiques ou sarcastiques, d’autres plus neutres. Mais les éditeurs communiquent rarement sur ce type d’évolution : ils annoncent simplement un modèle « plus performant ». La seule solution reste donc de tester systématiquement les résultats avant de les déployer.

En entreprise, nous conseillons aussi de mettre en place des guardrails, des règles de contrôle qui encadrent les sorties de l’IA. Par exemple, si on lui demande de reclasser des produits dans un référentiel technique, on définit à l’avance la liste des réponses possibles, et toute sortie en dehors de ce cadre est bloquée. Cela permet de limiter les « hallucinations » et de garantir la conformité des résultats.

Et comment anticiper les évolutions de la réglementation européenne ?

L’IA Act repose sur des principes de bon sens, qui rappellent en réalité les fondamentaux de tout projet informatique : savoir sur quelles données s’exécute le système, tester les sorties avant la mise en production, valider les étapes de supervision et de gouvernance. Si on applique ces bonnes pratiques, on est déjà conforme à 80 % des exigences.

En revanche, certains sujets juridiques restent flous, notamment le droit d’auteur. Et il faut rester attentif aux interdits, qui peuvent évoluer. Par exemple, en France, l’intelligence émotionnelle appliquée aux salariés est interdite, alors que des startups américaines la commercialisent. C’est donc aux services juridiques, aux départements éthiques ou au DPO, demain au DPO AI, d’assurer cette veille et de diffuser les règles au sein de l’entreprise.

Pour conclure, est-il possible de déployer vite et bien l’IA en entreprise ? Quels conseils donneriez-vous aux directions ?

Oui, c’est possible, mais à condition de bien préparer le terrain. Il faut d’abord se doter d’un framework clair. La première étape consiste à classifier les usages : général, sensible ou critique. Les usages généraux peuvent être déployés rapidement, à condition de vérifier la bonne gestion des droits d’accès aux données.

Pour les cas plus sensibles, il faut passer par un vrai processus de gouvernance. L’IA n’est pas un projet informatique comme un autre : il faut des chefs de projet formés à ses spécificités. Concrètement, les entreprises doivent savoir classifier les finalités, sécuriser les accès à l’information, former des équipes dédiées et encadrer les usages une fois en production.

Avec ces bases, on peut aller vite : 80 % des cas d’usage simples se mettent en place en quelques jours. Le plus long n’est pas de configurer la technologie, mais de sécuriser son déploiement. Les cas plus complexes, eux, nécessitent des développements spécifiques et peuvent prendre plusieurs mois.

Il ne faut pas avoir peur d’y aller. L’IA est une transition technologique incontournable, qui apportera des gains de productivité et permettra de recentrer les collaborateurs sur des tâches à plus forte valeur ajoutée. Mais ce n’est pas une technologie neutre : il faut la déployer de manière responsable, en tenant compte de la réglementation, des enjeux de responsabilité, et en formant l’ensemble des salariés.