Data / IA
Avec l’IA, la gouvernance des données n’est plus un sujet de support
Par Thierry Derouet, publié le 24 avril 2026
Dans le replay de cette matinale d’IT for Business, de Laurence Hadj, Group Data Protection Officer de Doctolib, à Thibaut Smouts, Partner Digital Risk chez EY, les intervenants convergent sur un même point : à mesure que l’IA quitte le POC pour entrer dans les processus, la gouvernance des données cesse d’être un chantier de spécialistes. Elle devient le point de passage obligé entre expérimentation utile, conformité tenable et industrialisation crédible.
Pendant des années, la gouvernance des données a souvent vécu dans une pièce à part. Nécessaire, certes. Structurante, parfois. Mais rarement centrale dans le récit des DSI. L’IA change la hiérarchie des urgences. Elle ne corrige pas un patrimoine de données bancal. Elle le met en pleine lumière, puis le pousse dans ses retranchements.
Jean-Paul Otte, EMEA Data Strategy Lead chez Precisely, a trouvé la formule la plus juste de la matinée : « l’IA mange de la data pour le petit-déjeuner, pour le déjeuner, pour le dîner ». Et si cette donnée est médiocre, le verdict tombe sans poésie : « on va partir dans des hallucinations, dans des biais ». La phrase vaut mieux qu’un long rapport. Elle dit ce que beaucoup d’entreprises découvrent à marche forcée : l’IA ne tient pas sur des fondations approximatives.
Avant l’IA, il faut savoir ce que l’on manipule
Chez Doctolib, Laurence Hadj, Group Data Protection Officer, rappelle utilement que la gouvernance ne commence pas avec un LLM ni avec un entrepôt de données. Elle commence avec une question plus austère, mais plus décisive : quel est le statut de la donnée ? « Avant des choix techniques, [il faut] une clarté juridique sur la donnée que nous avons dans nos bases pour pouvoir prendre des décisions », explique-t-elle.
Dans la santé, évidemment, cette clarté n’est pas un supplément de prudence. Elle conditionne tout : hébergement HDS, qualification des données, rôles de sous-traitant ou de responsable de traitement, conditions de réutilisation. Mais ce raisonnement déborde largement son secteur. Il rappelle qu’une gouvernance sérieuse commence toujours par un inventaire propre des droits, des responsabilités et des finalités.
Même tonalité chez Camille Maire, Head of Data Governance chez Etam. Le décor change, le fond non. « Snowflake ne fait pas tout. Derrière le projet emblématique, il reste des gens. Et surtout, il reste une organisation à mettre en place », dit-elle. Voilà sans doute l’un des grands malentendus de ces deux dernières années : croire que le socle technique suffira à produire, presque mécaniquement, une gouvernance exploitable. Il faut aussi des rôles, des arbitrages, des responsables, des relais dans les métiers.
Le vrai sujet, ce ne sont plus les données. Ce sont les responsabilités.
C’est sans doute l’un des points les plus importants de cette matinale. La gouvernance ne peut plus être laissée aux seuls spécialistes de la donnée, de la conformité ou de la sécurité. Les métiers doivent y entrer de plain-pied, non comme témoins, mais comme copropriétaires.
Jean-Paul Otte le dit clairement : pendant longtemps, la gouvernance a été traitée comme une réponse à la contrainte réglementaire. On a donc souvent construit des dispositifs défensifs, corrects sur le papier, mais peu transformants dans les faits. « On n’est pas rentré dans une vraie prise de conscience de l’importance de la donnée dans l’organisation », observe-t-il. L’IA force cette prise de conscience parce qu’elle ne compense rien. « L’IA ne va pas le faire », tranche-t-il encore.
Chez Etam, Camille Maire décrit très bien ce déplacement. La gouvernance n’est pas qu’un ensemble de règles ; c’est aussi un travail de recomposition interne, avec ses frottements, ses silos, ses désignations parfois sensibles. Elle parle même de « beaucoup de relationnel » et, par moments, de « politique ». Ce mot n’est pas de trop. Car quand il faut nommer des data owners, répartir les domaines, documenter les responsabilités et casser des habitudes, on est déjà bien au-delà de l’outillage.
Ce point rejoint d’ailleurs un autre fil déjà travaillé par IT for Business : l’IA n’est pas seulement un sujet de modèle, mais un sujet de système. Et dès que l’on parle système, on retrouve les mêmes vieux ingrédients, sous une lumière plus crue : architecture, gouvernance, arbitrage, dette, pilotage de la valeur.
Sans fondations, le passage à l’échelle n’est qu’un décor
La matinale posait une vraie question de DSI : comment construire une gouvernance qui alimente réellement les projets IA ? La réponse, chez plusieurs intervenants, tient en un mot que le marché aime moins que “copilote” ou “agent” : fondations.
Sammy Popotte, Head of Sales Data 360 chez Salesforce France, note que beaucoup d’entreprises vivent encore avec des « îlots gouvernés mais segmentés ». Chaque grande brique applicative dispose de sa logique, de ses règles, de son vocabulaire, de son catalogue. Mais l’ensemble reste morcelé. Pour l’IA, cela ne suffit plus. Il faut « une vision holistique », autrement dit une capacité à relier, qualifier, tracer et exposer les données dans un cadre cohérent.
Chez Etam, Camille Maire revient au concret : si les données ne sont pas « de bonne qualité, structurées, documentées », l’industrialisation se dérobe. Même la donnée non structurée, longtemps traitée comme un stock flou plus que comme un actif, revient au centre du jeu. Et avec elle, toute une série de questions très peu glamour mais très décisives : qui classe ? qui documente ? qui ouvre l’accès ? qui garantit la fraîcheur et la cohérence ?
Olivier Serfaty, directeur Data, IA et Innovation chez Inetum, formule le coût réel de cette réalité : « le travail de nettoyage de la data va représenter jusqu’à 70 % du temps de projet ». Le chiffre a le mérite de refroidir les discours trop euphoriques. Il rappelle que la vraie difficulté, dans l’IA d’entreprise, n’est pas tant de faire fonctionner une démo que de rendre la donnée fiable, exploitable et traçable à grande échelle. C’est précisément la logique de la data factory, qu’il présente comme « le bras armé de la gouvernance ».
La matinale prolonge presque mot pour mot ce que l’un de nos articles affirmait : le passage à l’échelle n’est pas un problème de “magie IA”, mais un problème de socle data, d’architecture et de gouvernance.
Le Shadow AI n’est pas un accident. C’est un signal.
L’autre mérite de cette matinale est de ne pas avoir traité le Shadow AI comme une simple faute de collaborateurs impatients. Les intervenants l’ont plutôt regardé comme le symptôme d’un écart entre l’appétit d’usage et la vitesse de cadrage des entreprises.
Chez Renault, Alexis Rouet, Chief Data Officer RH, explique que le groupe a choisi de fournir des environnements gouvernés plutôt que de faire semblant de ne pas voir les usages. Chez GRDF, Jonathan Eyma, responsable innovation IA et responsable de pôle à la DSI, va dans le même sens : « On préfère mettre en place des solutions IA avec une formation des personnes plutôt que de se voiler la face ».
La phrase mérite d’être retenue. Parce qu’elle dit quelque chose d’assez simple : on ne refermera pas la parenthèse IA à coups de circulaires internes. Si l’entreprise n’offre pas de cadre utile, les métiers iront chercher des outils ailleurs. Et ils le feront d’autant plus vite que les promesses d’automatisation sont immédiates, visibles et souvent efficaces.
Camille Maire résume bien l’équilibre à trouver : ne pas devenir « la police », mais « donner un cadre au bac à sable ». C’est probablement la bonne formule de gouvernance pour 2026. Non pas nier l’expérimentation, mais la récupérer avant qu’elle ne se transforme en dette, en risque ou en usage impossible à industrialiser.
Du côté cybersécurité, Adrien Merveille, SE Manager France chez Check Point, rappelle une règle de base : « on ne peut pas sécuriser ce qu’on ne voit pas ». Sans visibilité sur les outils utilisés, les agents déployés, les connexions ouvertes et les données exposées, il n’y a pas de sécurité sérieuse possible.
L’IA peut aussi remettre de l’ordre
La bonne surprise de cette matinale, c’est qu’elle n’oppose pas frontalement IA et gouvernance. Elle montre aussi comment la première peut aider la seconde.
Chez Pernod Ricard, Romain Nio, Data Portfolio Director, a présenté un cas d’usage très parlant : l’emploi de GenAI pour mieux classifier des milliers de dashboards dans le portail data du groupe. « Avant, on le faisait manuellement. Maintenant, il y a un pré-machage, une pré-qualification de l’IA, une validation de l’humain », explique-t-il.
Le point intéressant n’est pas seulement la productivité gagnée. C’est la philosophie de l’ensemble. L’IA ne décide pas seule. Elle accélère une tâche de gouvernance, dans un cadre sécurisé, avec validation humaine. « Tous les LLM qui tournent pour cet usage sont des LLM qui tournent dans notre plateforme », précise-t-il. Voilà une IA qui ne contourne pas la gouvernance, mais qui l’outille.
Cette idée n’est pas isolée. Damien Raynal, AI Security Specialist chez Palo Alto Networks, insiste lui aussi sur la nécessité d’une gouvernance dynamique, nourrie par de la visibilité, du contexte, de l’évaluation continue. Même chose chez Salesforce avec la classification automatisée, le lineage ou l’observabilité. La gouvernance cesse d’être seulement un corpus de règles ; elle devient aussi une capacité d’observation et d’ajustement.
La conformité n’est plus un dossier, c’est une pratique
Sur l’IA Act, le RGPD et la traçabilité, les échanges ont eu le mérite de sortir du commentaire abstrait. La question n’est plus seulement : “sommes-nous conformes ?” Elle devient : “comment le rester dans un environnement qui bouge sans cesse ?”
Anis Zouaoui, CEO et fondateur d’Adservio Groupe, le formule très bien : « Le risque majeur au niveau de la conformité, c’est l’absence de diagnostic ». Avant même de traiter un risque, encore faut-il le voir, le qualifier, l’inscrire dans un inventaire, le mesurer dans le temps. Pour lui, la conformité doit être pensée comme une ingénierie, avec ses responsables, ses mécanismes d’observabilité, ses outils et sa logique continue.
Chez Renault, Alexis Rouet admet que les cadres européens sont chronophages, mais il y voit aussi un bénéfice : ils obligent à clarifier plus tôt les usages et à expliciter les besoins réels. Chez Doctolib, Laurence Hadj souligne de son côté combien les clarifications de la CNIL sont structurantes dans un secteur aussi sensible.
La gouvernance doit maintenant englober les systèmes d’IA eux-mêmes
Enfin, la matinale a bien montré que gouverner la donnée ne suffira pas. Il faut aussi gouverner les systèmes d’IA : leurs cas d’usage, leur cycle de vie, leurs responsabilités, leur documentation, leurs métriques, leurs dérives.
Thibaut Smouts, Partner Digital Risk chez EY, met d’ailleurs en garde contre une vision purement réglementaire de l’exercice. « Il y a pas mal d’entreprises qui abordent la gouvernance de l’IA d’un point de vue risque, d’un point de vue uniquement conformité », observe-t-il. Le problème, dans ce cas, c’est que la gouvernance devient un poids mort. Elle devrait au contraire permettre une maîtrise opérationnelle réelle.
Son triptyque est utile : un cadre, des processus, de l’outillage. Le cadre fixe les rôles, les principes, la charte. Les processus couvrent le cycle de vie, de l’idée initiale au monitoring. Et l’outillage devient indispensable dès que les cas d’usage se multiplient. Car l’autre réalité de 2026, c’est l’hétérogénéité : fonctions IA embarquées dans les logiciels, solutions achetées, développements internes, agents bricolés localement. La gouvernance n’a plus seulement à contrôler un projet ; elle doit réconcilier un paysage entier.
La gouvernance quitte enfin le sous-sol
Au fond, ce que dit cette matinale est assez simple. La gouvernance de la donnée et de l’IA n’est plus ce poste discret que l’on traite après le reste. Elle remonte au niveau des choix structurants. Elle arbitre le rythme, les usages, les droits, les responsabilités, la capacité même à passer à l’échelle.
Et c’est peut-être là que cette matinée est la plus utile pour des DSI. Elle ne présente pas la gouvernance comme une muraille administrative. Elle la montre comme ce qui permet enfin de tester sans exposer, d’industrialiser sans perdre la main, et d’accélérer sans s’aveugler.
La formule finale, encore une fois, était sans doute dans la bouche de Jean-Paul Otte. Si l’IA consomme la donnée à tous les repas, elle oblige surtout l’entreprise à regarder son patrimoine informationnel sans maquillage. Là où l’humain compensait encore, le modèle révèle tout. « L’IA ne va pas le faire ». Voilà pourquoi la gouvernance sort du back-office : parce qu’elle est en train de devenir le dernier endroit où l’IA d’entreprise peut encore gagner en crédibilité.
À LIRE AUSSI :
