Gouvernance de l’IA : le Cigref complète sa boîte à outils sur l’AI Act

Avec l’AI Act, les règles du jeu changent : une gouvernance claire, outillée et collective devient la clé pour transformer la contrainte réglementaire en avantage stratégique. Le Cigref, en association avec Numeum, publie la suite de son guide de mise en œuvre de l’AI Act, une suite dédiée à la gouvernance des projets IA.

Adopté le 1ᵉʳ août 2024, le règlement européen sur l’intelligence artificielle, le fameux « AI Act » pose le premier cadre juridique complet dédié à l’IA. Construit sur une logique de classification des risques (inacceptable, élevé, limité, minimal), il impose aux fournisseurs et aux utilisateurs des exigences différenciées en matière de qualité des données, de transparence, de gestion de la qualité, de cybersécurité et de supervision humaine. Pour les DSI et les « product owners » de service IA, ce texte est structurant : il redéfinit la conformité numérique, conditionne l’accès au marché européen et s’impose déjà en référentiel de facto pour la gouvernance des systèmes d’IA dans le monde.

En janvier 2025, IT for Business relayait l’initiative conjointe du Cigref et de Numeum qui publiait un « Guide de mise en œuvre de l’AI Act » pensé pour aider les organisations à intégrer les exigences du règlement « by design ».
Le premier livret (« Points clés – Introduction ») revenait sur le champ d’application, le calendrier et le régime des sanctions.
Le second (« Partie 1 : Cartographie des obligations ») détaillait, rôle par rôle, les obligations qui pèsent sur les fournisseurs, développeurs, importateurs ou distributeurs, selon le niveau de risque de leurs systèmes.
Notre article soulignait déjà qu’anticiper ces règles permet de réduire le coût global de la conformité et de crédibiliser la stratégie numérique de l’entreprise.

Cette semaine, le Cigref publie la troisième étape de ce parcours : « Partie 2 – Gouvernance ». Ce nouveau livret répond à une question centrale : comment doter l’organisation d’un dispositif de gouvernance capable de piloter la conformité à l’AI Act sans freiner l’innovation ?

Tout pour une gouvernance utile des projets IA

Le document rappelle d’abord que la gouvernance n’est pas un modèle unique mais « un outil de conformité » qui doit s’intégrer dans les instances existantes ; elle doit donc être perçue comme « une opportunité à adopter sur le long terme ». Concrètement, elle vise à identifier les acteurs clés, définir un circuit décisionnel clair, préciser les tâches à chaque étape du cycle de vie de l’IA et tracer les responsabilités.

Cette gouvernance s’appuie sur une évaluation globale des risques : risque réglementaire (sanctions AI Act), responsabilités contractuelle ou délictuelle, cybersécurité, confidentialité, biais et discrimination, propriété intellectuelle, mais aussi impact environnemental des modèles. La démarche est systémique : chaque cas d’usage est analysé en tenant compte de sa finalité métier, pas seulement de la technologie employée.

Cinq prérequis sont ainsi mis en avant par ce nouveau guide : un engagement explicite de la direction, une stratégie IA formalisée, une gouvernance de la donnée solide, une cartographie exhaustive des systèmes et modèles utilisés, et enfin la création – ou l’extension – d’un comité IA transverse réunissant juridique, IT, data, conformité et cybersécurité. Viennent ensuite les règles internes (politiques, lignes directrices, procédures) et la consultation des instances représentatives du personnel lorsque nécessaire.

Pour industrialiser la démarche, le guide propose un jeu d’outils : une matrice RACI pour répartir les rôles, un rétroplanning calé sur l’échéancier réglementaire, des questionnaires de recensement des systèmes, des référentiels de documentation technique, des matrices de risques, des modèles de clauses contractuelles et des supports de formation. Ces instruments permettent d’automatiser la collecte d’informations, de mesurer la maturité des fournisseurs et de faciliter les audits.

Un volet juridique rappelle également les exigences spécifiques qui s’ajoutent pour les systèmes d’IA à risque élevé et pour les modèles d’IA d’usage général présentant un risque systémique : système de gestion de la qualité, documentation technique, vérification des données d’entraînement, surveillance post‑déploiement, notification des incidents et, pour les « déployeurs », contrôle humain permanent et tenue de registres. Les fournisseurs de systèmes à risque limité sont, eux, incités à adopter des codes de conduite couvrant éthique, environnement ou inclusion.

Une gouvernance institutionnelle encore en chantier

Le guide éclaire aussi l’architecture institutionnelle qui se met en place. Au niveau européen, l’AI Office et le Comité européen de l’IA coordonneront l’application du règlement, appuyés par un réseau de centres de compétences. En France, un schéma à plusieurs têtes se dessine : DGCCRF pour la coordination opérationnelle, DGE pour la représentation auprès de Bruxelles, CNIL sur la biométrie et les contrôles frontières, Arcom sur les deepfakes, tandis que le rôle de l’ANSSI reste débattu. Aucun budget additionnel n’est prévu avant 2026, ce qui appelle une forte mutualisation des moyens.

En reliant ainsi exigences réglementaires, gestion des risques et pilotage opérationnel, cette « Partie 2 » fournit aux DSI et responsables IA une méthodologie prête à l’emploi. Mettre en place, dès à présent, une gouvernance embarquant stratégie, cartographie, comité transverse et outillage dédié constitue le meilleur moyen de sécuriser les projets IA, de prouver la diligence raisonnable attendue par les régulateurs et, in fine, de transformer la conformité en avantage concurrentiel durable.

Il reste encore au Cigref associé à Numeum à publier un dernier livret « Partie 3 : Contrats et responsabilités » qui devrait arriver dans quelques semaines. Nous ne manquerons pas de vous en tenir informer. En attendant vous pouvez déjà télécharger les livrets déjà parus :
1/ Introduction – Les points clés de l’AI Act
2/ Partie 1 – Obligations : Cartographie des obligations et Principaux enjeux juridiques
3/ Partie 2 – Gouvernance

Bonne lecture…

À LIRE AUSSI :

Data / IA

Un guide pour se conformer « by design » à l’AI Act

La rédaction

20 Jan

À LIRE AUSSI :

Data / IA

L’AI Act étape par étape

François Jeanne

19 Fév

À LIRE AUSSI :

Data / IA

AI Act, une première… à double titre

François Jeanne

17 Juil

Abonnez-vous à la newsletter hebdo d'IT for Business !

Rejoignez notre liste de diffusion pour recevoir toutes les semaines une sélection d'articles et quelques autres surprises préparées spécialement pour vous par notre rédaction.

ABONNEZ-VOUS !

Nous vous envoyons un e-mail de validation !