Introduction
L’intelligence artificielle est entrée dans les processus métiers avant même que la plupart des organisations aient eu le temps d’en structurer les règles d’usage. Génération de contenus, analyse documentaire, automatisation de tâches, aide à la décision, scoring, traitement de données clients, assistants internes : l’IA n’est plus un sujet d’innovation isolé. Elle devient un objet de gouvernance.
Dans ce contexte, l’AI Act européen marque une rupture importante. Le règlement est entré en vigueur le 1er août 2024. Certaines obligations s’appliquent déjà, notamment les pratiques interdites et les obligations d’AI literacy depuis le 2 février 2025, ainsi que les règles de gouvernance et les obligations relatives aux modèles d’IA à usage général depuis le 2 août 2025. La pleine application du règlement est prévue selon un calendrier progressif, avec des délais spécifiques pour certains systèmes à haut risque.
Mais un nouveau signal réglementaire est apparu : les institutions européennes ont trouvé un accord provisoire visant à alléger et reporter certaines obligations liées aux systèmes d’IA à haut risque. Selon Reuters, cet accord doit encore être formellement approuvé, mais il prévoit notamment un report de certaines exigences jusqu’en décembre 2027 pour des systèmes comme ceux utilisés en biométrie ou dans l’application de la loi.
Ce report peut donner l’impression d’un répit. En réalité, il crée surtout une fenêtre stratégique : les entreprises disposent de temps pour passer d’un usage opportuniste de l’IA à une gouvernance documentée, mesurable et auditable.
Le risque principal : confondre report réglementaire et absence de risque
Le danger n’est pas seulement réglementaire. Il est opérationnel, juridique, cyber et réputationnel. Une organisation peut ne pas être immédiatement concernée par toutes les obligations de l’AI Act, tout en étant déjà exposée à des risques liés à l’IA : fuite de données, décisions non explicables, biais, dépendance à des outils tiers, absence de supervision humaine, erreurs générées par des modèles, ou encore utilisation non autorisée d’outils d’IA par les collaborateurs.
C’est précisément ce que l’on appelle le shadow AI : l’usage d’outils d’intelligence artificielle sans validation, sans supervision ou sans contrôle formel par l’organisation. La littérature académique commence à traiter ce phénomène comme un risque organisationnel à part entière. Une étude publiée dans Technology in Society analyse le shadow AI comme un usage paradoxal : il peut améliorer la productivité à court terme, mais il augmente aussi les risques de fuite de connaissance organisationnelle et peut nuire à la durabilité des modèles d’affaires lorsqu’il n’est pas encadré.
L’AI Act impose une logique de maîtrise continue des risques
L’AI Act repose sur une approche par les risques. Plus un système d’IA est susceptible d’avoir un impact significatif sur les droits fondamentaux, la sécurité ou la santé, plus les exigences sont importantes. Cette logique n’est pas uniquement juridique : elle rejoint les grands principes du risk management.
Dans un article publié dans le European Journal of Risk Regulation, Jonas Schuett analyse l’article 9 de l’AI Act comme une disposition centrale du règlement. L’objectif est d’imposer aux fournisseurs de systèmes d’IA à haut risque un système de management des risques capable d’identifier les risques résiduels et de prendre des mesures complémentaires pour les réduire à un niveau acceptable. Le NIST AI Risk Management Framework rappelle également que les systèmes d’IA peuvent produire des effets négatifs complexes, parfois difficiles à anticiper, et que la gestion des risques IA est une composante essentielle du développement et de l’usage responsable de ces systèmes. Le référentiel articule notamment quatre fonctions structurantes : Govern, Map, Measure, Manage.
Cette convergence entre réglementation, standards et recherche académique montre une chose : la conformité IA ne peut pas être réduite à un dossier administratif. Elle nécessite un système de pilotage.
ISO/IEC 42001 : le chaînon opérationnel entre conformité, gouvernance et auditabilité
C’est ici qu’ISO/IEC 42001 prend toute sa valeur. Cette norme internationale définit les exigences d’un système de management de l’intelligence artificielle. Elle s’adresse aux organisations qui développent, fournissent ou utilisent des systèmes d’IA, avec pour objectif de structurer une utilisation responsable, maîtrisée et améliorable de l’IA.
L’intérêt d’ISO/IEC 42001 est de transformer un sujet parfois abstrait — l’éthique de l’IA, la transparence, la supervision humaine, la robustesse, la responsabilité — en processus de management. L’organisation ne se contente plus de déclarer qu’elle utilise l’IA de façon responsable. Elle définit des rôles, documente des usages, évalue des risques, met en place des contrôles, suit des indicateurs, prépare des audits et améliore son système dans le temps.
Dans cette logique, la formation ISO/IEC 42001 Lead Implementer permet d’acquérir les compétences nécessaires pour planifier, mettre en œuvre et piloter un système de management de l’IA conforme à ISO/IEC 42001. DEVFORMA positionne cette formation comme un parcours de 4 jours pour maîtriser la mise en œuvre et le management d’un SMIA et préparer la certification PECB.
Pour les profils davantage orientés risk management, conformité ou contrôle, la formation Lead AI Risk Manager permet de structurer un programme de gestion des risques IA, de l’identification des risques : biais, sécurité, éthique, robustesse jusqu’au monitoring, au reporting et à l’amélioration continue.
Le report doit servir à construire les preuves
La vraie maturité IA ne se mesure pas uniquement à la capacité d’utiliser des outils performants. Elle se mesure à la capacité de démontrer que ces outils sont gouvernés. Les entreprises doivent donc utiliser cette période pour construire leur socle de preuves :
- une cartographie des usages IA existants
- une classification des systèmes selon leur criticité
- une politique interne d’usage de l’IA
- des règles d’utilisation des outils génératifs
- une analyse des risques IA par cas d’usage
- des processus de validation, supervision et escalade
- une documentation des données utilisées
- des contrôles de sécurité et de confidentialité
- des indicateurs de suivi
- des preuves de formation et de sensibilisation des équipes.
Cette logique rejoint les travaux récents sur la gouvernance de l’IA. Une étude publiée dans Security Journal souligne que les applications d’IA doivent être évaluées selon leur profil de risque et que les scénarios à haut risque exigent une supervision renforcée, des cadres éthiques adaptés et une conformité stricte. La gouvernance IA devient donc une fonction transversale : elle implique la direction générale, les métiers, les équipes juridiques, les DPO, les RSSI, les risk managers, les responsables qualité, les data teams et les ressources humaines.
Le lien avec la cybersécurité : l’IA élargit la surface de risque
La gouvernance IA ne peut pas être séparée de la cybersécurité. Les systèmes d’IA manipulent des données, s’intègrent dans des processus métier, produisent des résultats utilisés par des collaborateurs et peuvent influencer des décisions. Lorsqu’ils sont mal encadrés, ils deviennent une nouvelle surface d’exposition.
Un outil d’IA générative utilisé sans contrôle peut recevoir des données sensibles. Un assistant interne mal paramétré peut révéler des informations confidentielles. Un modèle intégré à un processus critique peut produire des résultats erronés sans mécanisme de validation. Un usage métier non documenté peut échapper aux contrôles de conformité.
DEVFORMA a déjà traité cette évolution dans son article IA et cybersécurité : la faille humaine devient systémique, qui montre que l’IA transforme la faille humaine en risque organisationnel, en combinant facteurs humains, processus, gouvernance et sécurité.
Cette approche rejoint également les enjeux abordés dans l’article DEVFORMA sur ISO 42001 et la fraude documentaire, où la norme est présentée comme un cadre permettant de renforcer la traçabilité, la documentation, la supervision et l’auditabilité des usages IA.
Gouverner l’IA, c’est aussi préparer les autres cadres réglementaires
L’AI Act ne se déploie pas dans un environnement isolé. Les entreprises doivent composer avec le RGPD, la directive NIS 2, DORA pour le secteur financier, les exigences contractuelles des grands donneurs d’ordres et les standards de sécurité comme ISO/IEC 27001.
Pour les organisations concernées par NIS 2, la logique est similaire : il ne s’agit plus seulement de mettre en place des mesures techniques, mais de démontrer une capacité de gouvernance, de gestion des risques, de contrôle et d’amélioration continue. L’article DEVFORMA sur le ReCyF de l’ANSSI et les 20 objectifs NIS 2 illustre bien cette évolution vers une conformité structurée, pilotée et fondée sur une approche par les risques.
L’enjeu est donc de construire une architecture cohérente : ISO/IEC 27001 pour la sécurité de l’information, ISO/IEC 42001 pour le management de l’IA, NIS 2 pour la résilience cyber des entités concernées, DORA pour la résilience opérationnelle numérique du secteur financier, et l’AI Act pour l’encadrement réglementaire de l’IA.
Conclusion : le report n’est pas une pause, c’est une opportunité de structuration
Le report de certaines obligations de l’AI Act ne doit pas être interprété comme un ralentissement de la conformité IA. Il doit être compris comme une opportunité de structuration.
Les organisations qui attendent risquent de subir l’IA : usages dispersés, shadow AI, absence de preuves, décisions non traçables, difficultés d’audit, exposition juridique et perte de confiance.
Celles qui anticipent peuvent transformer la contrainte réglementaire en avantage concurrentiel. Elles seront capables de prouver leur maturité, de rassurer leurs clients, de sécuriser leurs usages, d’aligner les métiers et de construire une gouvernance IA durable.
Dans ce contexte, ISO/IEC 42001 et les démarches de gestion des risques IA deviennent des leviers stratégiques. Elles permettent de passer d’une IA utilisée à une IA gouvernée.
DEVFORMA accompagne les organisations dans la montée en compétences de leurs équipes, la structuration de leur gouvernance IA et la préparation aux exigences de l’AI Act, d’ISO/IEC 42001 et des référentiels de gestion des risques associés.
