Guide pratique de Gouvernance IA pour les CRHO et DRH

Un cadre stratégique pour une transformation IA de la fonction RH responsable et performante

1 - Introduction

L'intelligence artificielle transforme radicalement le paysage des ressources humaines et de la gestion d'entreprise.

Alors que 96% des dirigeants reconnaissent que l'adoption de l'IA générative augmente la probabilité des risques de sécurité [1], et que les incidents liés à l'IA ont explosé de 1 278% entre 2022 et 2023 selon l'OCDE [2], la mise en place d'une gouvernance IA robuste n'est plus une option, mais une nécessité stratégique.

L’essor simultané des IA algorithmiques (ML, deep-learning, moteurs de recommandation), des IA génératives (LLM) et, depuis peu, des IA agentives capables d’enchaîner des workflows sans supervision, ouvre trois axes de valeur en RH : Efficience, Décision, Expérience (notre approche "EDE").

Mais il crée aussi un faisceau de risques :

• Biais et discrimination (ex. recours collectif Mobley v. Workday 2025) qui peuvent engager la responsabilité de l’entreprise pour « disparate impact » Holland & Knight.

• Hallucinations, shadow AI et fuites de données : 27 % des contenus saisis dans des outils génératifs non approuvés contiennent déjà des informations sensibles Cyber Sierra.

• Complexité technique : multiplication des micro-services agentifs, dérive des modèles, chaîne de données difficile à tracer.

• Réputation et confiance employeur : toute faille nuit à l’image de marque et à l’attractivité des talents.

Face à ces enjeux, ignorer la gouvernance ou la sous-traiter « par défaut » à un fournisseur expose au risque réglementaire (EU AI Act, AIDA, EEOC) et financier.

Pour les Chief Human Resources Officers (CRHO) et Directeurs des Ressources Humaines (DRH) de moyenne et grande entreprises, l'enjeu dépasse largement la simple conformité réglementaire. Il s'agit de construire un cadre qui permette de tirer parti du potentiel transformateur de l'IA tout en protégeant l'organisation contre les risques émergents.

Cette gouvernance doit distinguer clairement les projets d'IA internes axés sur l'efficience, la décision et l'expérience (EDE) des initiatives commerciales destinées aux clients, partenaires et citoyens.

L'entrée en vigueur progressive de l'AI Act européen, avec ses sanctions financières applicables dès août 2025 [3], renforce l'urgence d'agir. Mais au-delà de la conformité, une gouvernance IA bien conçue devient un avantage concurrentiel, permettant d'innover en toute sécurité et de développer une culture organisationnelle adaptée aux défis du futur.

2- Les principes directeurs d'une gouvernance IA en entreprise

Une gouvernance IA efficace repose sur quatre piliers fondamentaux qui guident toutes les décisions et actions liées à l'intelligence artificielle dans l'organisation [4].

L'empathie organisationnelle

• Elle constitue le premier principe. Les organisations doivent comprendre les implications sociétales de l'IA, pas seulement les aspects technologiques et financiers. Cela implique d'anticiper et de traiter l'impact de l'IA sur toutes les parties prenantes : employés, clients, partenaires, et société dans son ensemble. Pour les DRH, cela signifie évaluer comment l'IA transformera les métiers, les compétences requises et l'expérience employé.

Le contrôle des biais en IA

• Il représente un défi majeur, particulièrement critique dans les processus RH. Il est essentiel d'examiner rigoureusement les données d'entraînement pour éviter d'intégrer les préjugés du monde réel dans les algorithmes d'IA. Les biais sexistes, raciaux ou sociaux peuvent conduire à des décisions discriminatoires en matière de recrutement, d'évaluation des performances ou de promotion, exposant l'entreprise à des risques juridiques et réputationnels considérables.

La transparence des IA

• Ce principe directeur exige que la manière dont les algorithmes d'IA fonctionnent et prennent des décisions soit claire et ouverte. Les organisations doivent être prêtes à expliquer la logique et le raisonnement qui sous-tendent les résultats obtenus grâce à l'IA. Cette exigence est particulièrement importante dans le contexte RH où les décisions automatisées peuvent affecter directement la carrière et le bien-être des employés.

La responsabilité

• Ce principe de responsabilité impose aux organisations de définir et respecter de manière proactive des normes élevées pour gérer les changements significatifs que l'IA peut apporter. Cela inclut la définition claire des responsabilités en cas d'erreur ou de décision erronée prise par l'IA, un aspect crucial pour maintenir la confiance et la légitimité des processus automatisés.

3- L'importance d'une gouvernance dans un plan stratégique IA

L'intégration de l'intelligence artificielle dans la stratégie d'entreprise ne peut plus se faire de manière improvisée. Une gouvernance structurée devient le socle indispensable pour transformer les opportunités technologiques en avantages concurrentiels durables, tout en maîtrisant les risques inhérents à ces technologies émergentes.

Distinguer les enjeux internes des projets commerciaux

Les CRHO et DRH doivent opérer une distinction fondamentale entre les applications d'IA destinées à l'optimisation interne (efficience, décision, expérience employé) et celles orientées vers les clients externes. Les projets internes d'IA en RH visent principalement l'amélioration des processus de recrutement, l'analyse prédictive des talents, l'automatisation des tâches administratives et l'enrichissement de l'expérience employé. Ces initiatives requièrent une gouvernance spécifique, centrée sur la protection des données personnelles des employés et la préservation de l'équité dans les décisions RH.

Les enjeux spécifiques de l'IA algorithmique des éditeurs

L'utilisation d'outils d'IA développés par des éditeurs externes soulève des défis particuliers. Les algorithmes de machine learning, de deep learning, de recommandation et de décision prédictive intégrés dans les solutions RH peuvent introduire des biais non détectés et des logiques de traitement opaques. La dépendance vis-à-vis de ces "boîtes noires" nécessite une vigilance accrue et des mécanismes de contrôle renforcés pour s'assurer que les décisions automatisées restent alignées avec les valeurs et objectifs de l'organisation.

Les défis émergents de l'IA générative

L'explosion de l'utilisation d'outils d'IA générative comme ChatGPT, Claude ou Gemini dans les environnements professionnels crée de nouveaux risques que les DRH doivent anticiper. Le phénomène du "Shadow AI" - l'utilisation non contrôlée d'outils d'IA par les employés - représente une menace majeure pour la sécurité des données et la conformité réglementaire [5]. Les hallucinations de l'IA, ces réponses plausibles, mais factuellement incorrectes, peuvent conduire à des erreurs de jugement coûteuses. Les fuites de données vers des solutions gratuites exposent l'entreprise à des violations de confidentialité, tandis que la qualité variable des prompts et des modèles de langage (LLM) peut générer des résultats incohérents ou biaisés.

L'émergence des IA agentives et l'automatisation des flux de travail (workflows)

Les IA agentives, capables d'automatiser des chaînes de tâches complexes, introduisent une nouvelle dimension de complexité. La multiplication des workflows automatisés peut créer des interdépendances difficiles à maîtriser et des points de défaillance imprévisibles. L'architecture de données devient plus complexe, nécessitant une gouvernance renforcée pour assurer la traçabilité, la qualité et la valorisation des données. Le respect de la confidentialité et de la protection des données personnelles devient d'autant plus critique que ces systèmes traitent et combinent des informations sensibles de manière autonome.

Risques réputationnels et enjeux de contrôle

Pour les organisations, les risques réputationnels liés à une mauvaise gouvernance de l'IA peuvent être dévastateurs. Une décision discriminatoire prise par un algorithme de recrutement, une fuite de données personnelles via un outil d'IA non sécurisé, ou une automatisation défaillante peuvent ternir durablement l'image de l'entreprise. Le contrôle des rôles et accès devient crucial pour s'assurer que seules les personnes autorisées peuvent utiliser certains outils d'IA ou accéder à des données sensibles. La gestion des flux de données doit être rigoureusement encadrée pour éviter les dérives et maintenir la conformité avec les réglementations en vigueur.

4 - L'échelle des risques et moyens d'atténuation

La gestion efficace des risques liés à l'IA nécessite une approche structurée qui classe les menaces selon leur probabilité d'occurrence et leur impact potentiel. Cette classification permet aux DRH de prioriser leurs efforts et d'allouer les ressources de manière optimale.

Risques critiques (Impact élevé, Probabilité élevée)

Les risques de sécurité et de protection des données constituent la catégorie la plus critique. La réutilisation non autorisée d'informations sensibles dans l'entraînement de modèles futurs, les fuites de données personnelles des employés, et l'accès non autorisé à des informations confidentielles représentent des menaces immédiates [6]. Ces risques peuvent entraîner des sanctions RGPD pouvant atteindre 4% du chiffre d'affaires annuel mondial, des litiges juridiques coûteux et une perte de confiance irréversible des collaborateurs et partenaires.

Moyens d'atténuation prioritaires :

• Mise en place de solutions d'IA sécurisées avec chiffrement des données en transit et au repos,

• Utilisation exclusive de versions entreprise des outils d'IA générative,

• Anonymisation systématique des données soumises aux algorithmes,

• Formation intensive des équipes aux bonnes pratiques de sécurité.

Risques majeurs (Impact élevé, Probabilité modérée)

Les biais algorithmiques et les décisions discriminatoires constituent un risque majeur, particulièrement dans les processus de recrutement, d'évaluation des performances et de gestion des carrières. Les algorithmes peuvent perpétuer ou amplifier des inégalités existantes, conduisant à des pratiques discriminatoires basées sur le genre, l'origine ethnique, l'âge ou d'autres caractéristiques protégées [7]. Les conséquences incluent des sanctions légales, des dommages réputationnels et la perte de talents diversifiés.

Moyens d'atténuation :

• Audit régulier des algorithmes pour détecter les biais,

• Diversification des équipes de développement et de validation,

• Mise en place de mécanismes de supervision humaine pour les décisions critiques,

• Établissement de métriques de fairness dans les processus automatisés.

Risques significatifs (Impact modéré, Probabilité élevée)

Les erreurs de traitement et les hallucinations de l'IA générative représentent un risque quotidien, mais généralement moins critique. Les collaborateurs peuvent recevoir des informations incorrectes, prendre des décisions basées sur des analyses erronées, ou diffuser des contenus factuellement inexacts. Bien que l'impact individuel soit modéré, la fréquence élevée de ces incidents peut éroder progressivement la confiance dans les outils d'IA et affecter la productivité.

Moyens d'atténuation :

• Formation des utilisateurs à l'esprit critique face aux résultats d'IA,

• Mise en place de processus de validation systématique,

• Création de principes et "garde-fous" clairs sur l'utilisation appropriée des outils génératifs,

• Établissement de mécanismes de feedback pour améliorer continuellement la qualité des résultats.

Risques émergents (Impact variable, Probabilité croissante)

Le Shadow AI et l'utilisation non contrôlée d'outils d'IA par les employés constituent un risque émergent dont l'impact peut rapidement escalader. Les employés utilisent de plus en plus d'outils d'IA personnels ou gratuits pour leurs tâches professionnelles, créant des vulnérabilités de sécurité et des problèmes de conformité difficiles à détecter [8]. Cette pratique peut exposer des données sensibles, créer des dépendances technologiques non maîtrisées et compromettre la cohérence des processus organisationnels.

Moyens d'atténuation :

• Mise en place d'une politique claire d'utilisation de l'IA,

• Fourniture d'outils d'IA approuvés et sécurisés aux employés,

• Sensibilisation aux risques du Shadow AI,

• Mise en place de systèmes de détection et de monitoring des usages non autorisés.

Risques systémiques (Impact très élevé, Probabilité faible)

Les défaillances d'architecture et les pannes en cascade des systèmes d'IA agentive représentent des risques systémiques rares, mais potentiellement catastrophiques. Une défaillance dans un système d'IA critique peut paralyser l'ensemble des processus RH, compromettre la continuité d'activité et générer des coûts considérables. La complexité croissante des architectures d'IA augmente la probabilité de ces incidents systémiques.

Moyens d'atténuation :

• Conception d'architectures résilientes avec des mécanismes de "failover",

• Maintien de processus manuels de secours,

• Tests réguliers de continuité d'activité,

• Diversification des fournisseurs et technologies pour éviter les points de défaillance unique.

5 - Bonnes pratiques minimales pour débuter vs excellence en gouvernance d'IA

La mise en place d'une gouvernance IA efficace peut s'aborder selon deux niveaux d'ambition : un socle minimal indispensable pour assurer la conformité et la sécurité de base, et un niveau d'excellence qui transforme la gouvernance en avantage concurrentiel stratégique.

Le minimum requis : les fondamentaux de la conformité

Le niveau minimal de gouvernance IA doit permettre de respecter les obligations légales et de protéger l'organisation contre les risques majeurs. Cette approche comprend la création d'une équipe projet pluridisciplinaire réunissant les représentants RH, IT, juridiques et opérationnels [9]. L'évaluation des usages actuels et futurs de l'IA constitue un prérequis indispensable, permettant de cartographier les outils existants et d'anticiper les besoins émergents.

L'identification et l'évaluation des risques doivent conduire à la définition de règles et procédures claires pour limiter les expositions critiques. Une charte IA basique doit établir les principes éthiques fondamentaux : transparence des décisions automatisées, responsabilité en cas d'erreur, et équité dans le traitement des données. La conformité avec les réglementations en vigueur, notamment le RGPD et l'AI Act, constitue un socle non négociable.

La formation de base des collaborateurs aux risques de l'IA et aux bonnes pratiques d'utilisation représente un investissement minimal, mais essentiel. Cette sensibilisation doit couvrir les dangers du Shadow AI, les risques de fuite de données, et les principes de validation des résultats d'IA générative.

L'excellence : vers une gouvernance stratégique et différenciante

L'excellence en gouvernance IA transcende la simple conformité pour devenir un levier de performance et d'innovation. Elle implique la création d'un comité de gouvernance IA permanent, doté d'un budget dédié et de pouvoirs décisionnels clairs. Ce comité intègre des experts externes, des représentants des métiers et des data scientists pour assurer une vision holistique et prospective.

L'approche d'excellence se caractérise par une gouvernance des données sophistiquée, incluant la traçabilité complète des flux de données, la valorisation systématique des actifs informationnels et la mise en place de mécanismes avancés de protection de la vie privée comme la pseudonymisation et l'anonymisation différentielle. Les processus de validation et de certification des algorithmes d'IA sont formalisés, avec des audits réguliers et des métriques de performance continues.

La formation devient stratégique et différenciée selon les populations : sensibilisation générale pour tous les collaborateurs, formation approfondie pour les managers et les utilisateurs avancés, et expertise technique pour les équipes IT et data. Des programmes de développement des compétences IA sont intégrés dans les parcours de carrière, anticipant les évolutions des métiers et des besoins en compétences.

Tableau 1 : Comparatif Gouvernance IA Minimum vs Excellence

Les étapes de progression vers l'excellence

La transition du minimum vers l'excellence suit généralement un parcours structuré en quatre phases.

1. La phase d'initialisation se concentre sur la mise en conformité et la réduction des risques critiques.

2. La phase de structuration voit l'émergence de processus formalisés et d'une gouvernance plus sophistiquée.

3. La phase d'optimisation intègre l'IA dans la stratégie globale et développe des capacités avancées.

4. Enfin, la phase d'innovation transforme la gouvernance IA en source d'avantage concurrentiel et d'innovation continue.

   
   

Cette progression nécessite un investissement croissant en ressources humaines, technologiques et financières, mais génère des retours sur investissement exponentiels en termes de performance, de résilience et de capacité d'innovation. Les organisations qui atteignent l'excellence en gouvernance IA se positionnent comme des leaders dans leur secteur et attirent les meilleurs talents, créant un cercle vertueux de performance et d'innovation.

6 - Formation et développement de la sensibilité à la gouvernance de l'IA

Le développement d'une culture organisationnelle adaptée à l'ère de l'IA nécessite une approche de formation différenciée et progressive, adaptée aux responsabilités et aux besoins spécifiques de chaque population au sein de l'entreprise.

Tableau 2 : Exemple de plan de formation

Formation de la Direction : Vision stratégique et responsabilité

• Les dirigeants doivent développer une compréhension approfondie des enjeux stratégiques de l'IA et de leur responsabilité en matière de gouvernance. Leur formation doit couvrir les implications business de l'IA, les risques réputationnels et juridiques, ainsi que les opportunités de différenciation concurrentielle. Les dirigeants doivent maîtriser les concepts de base de l'IA pour pouvoir prendre des décisions éclairées sur les investissements technologiques et les orientations stratégiques.

  
  

• La formation dirigeants inclut également la compréhension des cadres réglementaires émergents, notamment l'AI Act européen et ses implications pour l'organisation. Les dirigeants doivent être capables d'articuler la vision IA de l'entreprise, de communiquer sur les choix éthiques et de porter la transformation culturelle nécessaire à l'adoption responsable de l'IA.

Formation des Cadres : Pilotage opérationnel et management du changement

• Les cadres intermédiaires jouent un rôle crucial dans la mise en œuvre opérationnelle de la gouvernance IA. Leur formation doit les préparer à identifier les opportunités d'application de l'IA dans leurs domaines de responsabilité, à évaluer les risques associés et à accompagner leurs équipes dans l'adoption de nouveaux outils et processus.

  
  

• Les managers doivent développer des compétences en gestion du changement spécifiques à l'IA, incluant la capacité à rassurer les collaborateurs sur l'évolution de leurs métiers, à identifier les besoins de formation et à maintenir l'engagement dans un contexte de transformation technologique rapide. Ils doivent également maîtriser les principes de supervision humaine des systèmes automatisés et savoir détecter les signaux d'alerte liés aux biais ou aux dysfonctionnements.

Formation des Employés : Utilisation responsable et esprit critique

• La formation des collaborateurs doit développer un "mindset IA" qui combine compétence technique de base et esprit critique. Cette formation couvre plusieurs dimensions essentielles pour une utilisation responsable des outils d'IA.

  
  

• La sensibilisation au "Shadow AI" constitue un élément central, expliquant pourquoi l'utilisation d'outils non autorisés peut exposer l'entreprise à des risques de sécurité et de conformité. Les collaborateurs doivent comprendre les différences entre les versions gratuites et professionnelles des outils d'IA générative, et les implications de chaque choix en termes de confidentialité et de sécurité des données.

  
  

• La formation à la qualité des prompts et à l'interaction avec les modèles de langage (LLM) devient une compétence professionnelle essentielle. Les collaborateurs doivent apprendre à formuler des requêtes précises, à contextualiser leurs demandes et à itérer pour obtenir des résultats optimaux. Cette compétence inclut la compréhension des limites des modèles et la capacité à identifier les réponses potentiellement erronées ou biaisées.

Développement de l'esprit critique et de la validation

• L'esprit critique face aux résultats d'IA constitue une compétence transversale fondamentale. Les collaborateurs doivent développer des réflexes de validation systématique, apprendre à croiser les sources, à vérifier la cohérence des informations et à identifier les signaux d'alerte indiquant une possible hallucination ou un biais algorithmique.

  
  

• La formation doit également couvrir les bonnes pratiques de relecture et de validation collaborative. Les processus de double vérification, les mécanismes de peer review et les protocoles d'escalade en cas de doute doivent devenir des automatismes organisationnels.

Programmes de formation spécialisés par domaine

• Chaque domaine fonctionnel nécessite une approche de formation adaptée à ses spécificités. En recrutement, la formation doit couvrir la détection des biais dans les algorithmes de sélection et les techniques d'audit des processus automatisés. En gestion des performances, l'accent est mis sur l'interprétation des analyses prédictives et la préservation de l'équité dans l'évaluation.

  
  

• Pour les fonctions support comme la finance ou le juridique, la formation se concentre sur les implications réglementaires et les risques de conformité. Les équipes IT développent des compétences techniques avancées en sécurité des systèmes d'IA et en gouvernance des données.

Méthodes pédagogiques innovantes et évaluation continue

• L'efficacité de la formation repose sur des méthodes pédagogiques adaptées à l'apprentissage de concepts technologiques complexes. Les simulations et les cas pratiques permettent aux apprenants d'expérimenter les outils d'IA dans un environnement sécurisé. Les ateliers collaboratifs favorisent le partage d'expériences et l'émergence de bonnes pratiques contextualisées.

  
  

• L'évaluation continue des compétences acquises s'appuie sur des métriques qualitatives et quantitatives : tests de connaissances, évaluation des pratiques professionnelles, feedback des managers et auto-évaluation des collaborateurs. Cette approche permet d'adapter les programmes de formation aux besoins émergents et d'assurer une montée en compétence progressive et durable de l'ensemble de l'organisation.

7- Quelques références légales et pratiques en IA pour avancer

La gouvernance de l'IA s'appuie sur un écosystème réglementaire et normatif en évolution rapide, que les CRHO et DRH doivent maîtriser pour assurer la conformité et anticiper les évolutions futures.

Normes et standards internationaux

La norme ISO/IEC 23053:2022 fournit un cadre pour l'utilisation de l'IA dans les organisations, couvrant les aspects de gouvernance, de gestion des risques et de conformité éthique. La norme ISO/IEC 23894:2023 se concentre spécifiquement sur la gestion des risques liés à l'IA et propose des méthodologies d'évaluation et de mitigation.

Le cadre NIST AI Risk Management Framework (AI RMF 1.0) offre une approche structurée pour identifier, évaluer et gérer les risques liés à l'IA. Bien qu'américain, ce cadre influence les pratiques internationales et fournit des outils pratiques pour les organisations.

Le projet de Loi C-27 au Canada : une approche intégrée

Déposé en juin 2022, le projet de loi C-27 constitue une réforme ambitieuse qui modernise l'ensemble du cadre juridique canadien en matière de données et d'intelligence artificielle [13].

La LIAD, qui forme la troisième partie de ce projet de loi, vise à réglementer les échanges et le commerce internationaux et interprovinciaux en matière de systèmes d'IA. Cette approche intégrée permet d'harmoniser la protection des données personnelles avec l'encadrement de l'IA, créant un écosystème juridique cohérent pour les entreprises.

L'objectif principal de la LIAD est de veiller à ce que les systèmes d'IA déployés au Canada soient sécuritaires et non discriminatoires, tout en préservant l'innovation et la compétitivité économique. Cette approche équilibrée reconnaît que l'IA peut générer des bénéfices considérables pour la société tout en nécessitant un encadrement approprié pour prévenir les risques.

La Loi 25 au Québec : un cadre de protection des données renforcé

Le Québec dispose de la législation la plus stricte au Canada en matière de protection des renseignements personnels avec la Loi 25, qui modernise la Loi sur la protection des renseignements personnels dans le secteur privé [23]. Cette loi impose des obligations particulièrement rigoureuses pour l'utilisation de l'IA, notamment en matière de consentement, de transparence et de durée de conservation des données.

Pour les DRH québécois, la Loi 25 établit un cadre exigeant, mais clair pour l'utilisation de l'IA dans les processus RH. Les obligations incluent la réalisation d'évaluations des facteurs relatifs à la vie privée, la mise en place de mesures de sécurité appropriées, et la documentation des processus de traitement des données personnelles.

Cadres réglementaires européens

L'AI Act européen (Règlement UE 2024/1689) constitue la référence mondiale en matière de réglementation de l'intelligence artificielle [10]. Entré en vigueur le 1er août 2024, il établit une approche basée sur les risques avec des obligations spécifiques pour les systèmes d'IA à haut risque. Les sanctions financières, applicables dès août 2025, peuvent atteindre 35 millions d'euros ou 7% du chiffre d'affaires annuel mondial pour les violations les plus graves.

Le RGPD (Règlement Général sur la Protection des Données) reste la référence en matière de protection des données personnelles et s'applique pleinement aux systèmes d'IA. Les principes de minimisation des données, de transparence et de consentement éclairé prennent une dimension particulière dans le contexte de l'IA, notamment pour les applications RH qui traitent des données sensibles des collaborateurs.

Références académiques et "think tanks en IA"

Les travaux de l'OCDE sur l'IA, notamment les "Principes de l'OCDE sur l'IA" adoptés en 2019 et révisés en 2024, fournissent des orientations stratégiques pour une IA centrée sur l'humain et digne de confiance. L'Observatoire des incidents liés à l'IA de l'OCDE constitue une ressource précieuse pour comprendre les risques émergents et les bonnes pratiques de prévention.

Le Partnership on AI, consortium regroupant les principales entreprises technologiques et organisations de recherche, publie régulièrement des guides pratiques et des recommandations pour une IA responsable. Leurs travaux sur les biais algorithmiques et l'équité dans l'IA sont particulièrement pertinents pour les applications RH.

Outils et ressources pratiques

L'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) a publié en 2024 des "Recommandations de sécurité pour un système d'IA générative" qui fournissent des guidelines techniques précises pour sécuriser les déploiements d'IA en entreprise [11].

Le CIGREF (Club Informatique des Grandes Entreprises Françaises) propose un "Guide de mise en œuvre de l'AI Act" avec des outils pratiques et des check-lists pour les organisations [12]. Ce guide inclut des modèles de politiques IA et des grilles d'évaluation des risques adaptées au contexte français.

8 - Conclusion pour passer à l'action avec l'IA

La gouvernance de l'IA n'est plus une option pour les CRHO et DRH de moyenne et grande entreprises : c'est un impératif stratégique qui conditionne la capacité de l'organisation à tirer parti du potentiel transformateur de l'intelligence artificielle tout en maîtrisant les risques associés.

L'urgence d'agir est renforcée par l'entrée en vigueur progressive de l'AI Act européen et l'explosion des incidents liés à l'IA observée ces dernières années. Mais au-delà de la conformité réglementaire, une gouvernance IA bien conçue devient un avantage concurrentiel décisif, permettant d'innover en toute sécurité et de développer une culture organisationnelle adaptée aux défis du futur.

Les premiers pas vers une gouvernance efficace

1. Pour initier cette démarche, les DRH doivent commencer par constituer une équipe projet pluridisciplinaire réunissant les compétences RH, IT, juridiques et opérationnelles. Cette équipe aura pour mission de cartographier les usages actuels et futurs de l'IA, d'identifier les risques prioritaires et de définir les premiers éléments d'une charte IA adaptée au contexte organisationnel.

   
   

2. La formation et la sensibilisation des collaborateurs constituent un investissement immédiat et indispensable. Développer un "AI Mindset" qui combine compétence technique de base et esprit critique permettra à l'organisation de tirer parti des outils d'IA tout en évitant les pièges du Shadow AI et des utilisations inappropriées.

Vers une transformation durable

1. La gouvernance de l'IA doit être conçue comme un processus évolutif, capable de s'adapter aux innovations technologiques et aux évolutions réglementaires. Les organisations qui investissent dès aujourd'hui dans une gouvernance robuste et évolutive se positionnent comme des leaders dans leur secteur et créent les conditions d'une transformation numérique réussie et durable.

   
   

2. L'enjeu dépasse largement la simple gestion des risques : il s'agit de construire les fondations d'une organisation augmentée par l'IA, où la technologie amplifie les capacités humaines tout en préservant les valeurs et l'éthique qui font l'identité de l'entreprise. Pour les CRHO et DRH, c'est l'opportunité de jouer un rôle central dans cette transformation et de démontrer la valeur stratégique de la fonction RH à l'ère de l'intelligence artificielle.

Quelques références pour compléter

[1] IBM. (2024). "Étude sur les risques de sécurité liés à l'IA générative en entreprise"https://www.ibm.com/thought-leadership/institute-business-value/en-us/report/securing-generative-ai

[2] OCDE. (2024). "Observatoire des incidents liés à l'IA - Rapport annuel 2023-2024" https://oecd.ai/en/

[3] Union Européenne. (2024). "Règlement (UE) 2024/1689 du Parlement européen et du Conseil établissant des règles harmonisées concernant l'intelligence artificielle (AI Act)"https://eur-lex.europa.eu/eli/reg/2024/1689/oj?locale=fr

[4] IBM. (2024). "Qu'est-ce que la gouvernance de l'IA ?" https://www.ibm.com/fr-fr/think/topics/ai-governance

[5] Varonis. (2025). "Hidden Risks of Shadow AI" https://www.varonis.com/blog/shadow-ai

[6] Mister IA. (2025). "Gestion des risques de l'IA : les incidents à éviter en entreprise" https://www.mister-ia.com/article/risques-ia-entreprise-incidents

[7] KPMG. (2023). "Les différents risques de l'IA générative" https://kpmg.com/fr/fr/articles/data-ia/risque-ia-generative.html

[8] Hub One. (2025). "Shadow AI : comment encadrer l'usage non contrôlé de l'IA" https://www.hubone.fr/oneblog/shadow-ai-en-entreprise-comment-maitriser-les-risques-de-lia-utilisee-hors-des-radars/

[9] Eurécia. (2024). "8 étapes pour une gouvernance efficace de l'IA en entreprise" https://www.eurecia.com/blog/gouvernance-efficace-IA-entreprise/

[10] Deloitte. (2025). "EU AI Act : comprendre le premier cadre réglementaire sur l'intelligence artificielle" https://www.deloitte.com/fr/fr/our-thinking/explore/tech/EU-AI-Act.html

[11] ANSSI. (2024). "Recommandations de sécurité pour un système d'IA générative" https://cyber.gouv.fr/publications/recommandations-de-securite-pour-un-systeme-dia-generative

[12] CIGREF. (2025). "Guide de mise en œuvre de l'AI Act : Mode d'emploi et outils pour mettre en place une gouvernance de l'IA" https://www.cigref.fr/guide-de-mise-en-oeuvre-de-lai-act-mode-demploi-et-outils-pour-mettre-en-place-une-gouvernance-de-lia

[13] Gouvernement du Canada. (2022). "Projet de loi C-27 : Loi édictant la Loi sur la protection de la vie privée des consommateurs, la Loi sur le Tribunal de la protection des renseignements personnels et des données et la Loi sur l'intelligence artificielle et les données" https://www.parl.ca/documentviewer/fr/44-1/projet-loi/C-27/premiere-lecture

[14] Innovation, Sciences et Développement économique Canada. (2025). "Loi sur l'intelligence artificielle et les données" https://ised-isde.canada.ca/site/innover-meilleur-canada/fr/loi-lintelligence-artificielle-donnees

[15] Naaia. (2024). "Canada: focus sur la LIAD, la réglementation de l'IA" https://naaia.ai/la-reglementation-de-lia-au-canada-focus-sur-la-liad/

[16] Dentons. (2025). "Tendances à surveiller en 2025 : Réglementation de l'intelligence artificielle" https://www.dentons.com/fr-ca/insights/newsletters/2025/january/23/global-regulatory-trends-to-watch/dentons-canadian-regulatory-trends-to-watch-in-2025/artificial-intelligence-trends-to-watch-in-2025

[17] OBVIA. (2024). "Observatoire international sur les impacts sociétaux de l'IA et du numérique" https://www.obvia.ca/

[18] Gouvernement du Québec. (2024). "Arrêté ministériel 2024-02 du ministre de la Cybersécurité et du Numérique en date du 27 juin 2024" https://www.publicationsduquebec.gouv.qc.ca/fileadmin/gazette/pdf_encrypte/lois_reglements/2024F/83874.pdf

[19] Gouvernement du Québec. (2025). "Obligations et encadrement de l'intelligence artificielle" https://www.quebec.ca/gouvernement/faire-affaire-gouvernement/services-organisations-publiques/services-transformation-numerique/reussir-sa-transformation-numerique/accompagnement-des-organismes-publics/intelligence-artificielle-dans-ladministration-publique/obligations-et-encadrement-de-lintelligence-artificielle

[20] Conseil de l'innovation du Québec. (2024). "Prêt pour l'IA : Répondre au défi du développement et du déploiement responsables de l'intelligence artificielle" https://conseilinnovation.quebec/intelligence-artificielle/

[21] Ministère de la Cybersécurité et du Numérique du Québec. (2024). "Guide des bonnes pratiques d'utilisation de l'IA générative" https://cdn-contenu.quebec.ca/cdn-contenu/adm/min/cybersecurite_numerique/Publications/Strategie_cybersecurite_numerique_2024-2028/GU_bonnes_pratiques_utilisation_IA_generative_VF.pdf

[22] SOQUIJ. (2025). "SOQUIJ dévoile son cadre éthique pour une utilisation responsable de l'intelligence artificielle" https://soquij.qc.ca/a/fr/nouvelles/2025-02-12-soquij-devoile-cadre-ethique-pour-utilisation-responsable-intelligence-artificielle

[23] Gouvernement du Québec. (2021). "Loi 25 : Loi modernisant des dispositions législatives en matière de protection des renseignements personnels"

Précisez et chiffrez votre stratégie SIRH et IA en RH : écrivez nous, planifiez un rendez-vous pour discuter de vos besoins, abonnez-vous à notre infolettre et téléchargez dès maintenant l’une de nos cartographies SIRH 2025 ici → https://www.nexarh.com/cartographies-hr-tech-hcm-talent