L’usage non encadré des outils d’intelligence artificielle crée une zone de risque pour les organisations : fuite de données, Shadow IT, biais ou perte de souveraineté numérique. Les directions achats, en lien avec la DSI et la sécurité, doivent devenir un acteur central de la gouvernance de l’IA, en intégrant la maîtrise du risque numérique et contractuel au cœur de leurs processus.
Face à l’explosion des usages de l’intelligence artificielle, les entreprises se trouvent confrontées à un paradoxe : une opportunité technologique majeure, mais aussi un risque systémique inédit. L’enthousiasme initial cède progressivement la place à des inquiétudes plus concrètes : sécurité des données, conformité réglementaire, et intégration dans un cadre de gouvernance mature.
Les récentes vagues de licenciements dans certains grands groupes, comme Accenture, traduisent moins une destruction d’emplois qu’une réorganisation profonde des compétences autour de l’IA. L’adoption rapide de ces technologies s’accompagne d’une transformation culturelle : apprendre à « bien faire de l’IA » devient une exigence stratégique autant qu’un défi opérationnel.
Le recours non contrôlé à des outils d’IA externes – souvent gratuits ou en ligne – expose les entreprises à des fuites massives d’informations sensibles. Selon une étude Thales, près de 70 % des organisations considèrent déjà l’écosystème de l’IA comme un risque majeur de sécurité. Plus inquiétant encore, près d’une sur deux admet avoir introduit des données non publiques dans des IA génératives sans encadrement formel.
Ces pratiques illustrent un phénomène bien connu : le shadow IT, c’est-à-dire l’utilisation d’outils numériques hors du contrôle de la DSI. Dans un contexte d’IA générative, cette dérive prend une dimension critique, car chaque interaction peut contribuer à enrichir les modèles d’apprentissage externes. Les recommandations de l’ANSSI rappellent qu’une sensibilisation continue et des chartes d’usage sont des leviers essentiels pour réduire ces risques.
Au même titre que le Règlement général sur la protection des données (RGPD), la gestion de l’IA relève d’un enjeu de gouvernance. L’ISO/IEC 27001:2022 insiste sur la nécessité d’un système de management de la sécurité de l’information (SMSI) fondé sur une analyse de risques, un contrôle opérationnel et un suivi de la conformité. Dans ce cadre, les directions achats deviennent un maillon essentiel : elles contractent, évaluent et encadrent les prestataires technologiques, tout en veillant à la sécurité des données fournisseurs et métiers.
Il est recommandé d’intégrer le risque IA dans la matrice des risques d’entreprise. Cette approche permet d’identifier les scénarios critiques : exfiltration de données, dépendance technologique ou compromission d’un modèle d’IA externe. Les achats peuvent, par exemple, exiger un questionnaire de conformité préalable pour tout fournisseur proposant une solution IA, incluant la localisation des serveurs, la politique de conservation des données et les mécanismes de chiffrement mis en œuvre.
Les guides d’hygiène informatique de l’ANSSI recommandent d’associer chaque utilisateur à la sécurité du système d’information, via la formation, la sensibilisation et la mise en œuvre d’une charte d’utilisation des moyens numériques. Pour les acheteurs, cette vigilance doit se traduire contractuellement : clauses de confidentialité renforcées, audits fournisseurs, exigences de certification ISO 27001 ou équivalentes.
En complément, la passerelle de gouvernance IA doit reposer sur trois piliers :
En attendant l’entrée en vigueur complète de l’IA Act européen, les directions achats disposent d’une marge d’action concrète : encadrer, auditer et évaluer la conformité des solutions IA. Ce rôle dépasse la simple logique d’acquisition : il s’agit désormais de construire une chaîne d’approvisionnement numérique responsable et souveraine.
La convergence entre sécurité, gouvernance et achats devient donc un impératif. En intégrant la gestion du risque IA dans les processus de sourcing et de contractualisation, les entreprises renforcent leur résilience et préservent leur capital informationnel. L’IA ne sera durable que si elle est maîtrisée ; et cette maîtrise commence souvent… au moment de l’achat.